Черные сети: какие киберугрозы ждут нас в новом году
В прошлом году отмечался заметный рост новых критических уязвимостей в IT-решениях, выросла скорость, с которой после публикации уязвимости в руках злоумышленников оказывается работающий эксплойт. Это беспокоит специалистов, и они предупреждают о необходимости изменения подходов к управлению уязвимостями. Что готовит нам начавшийся год в области борьбы с киберугрозами, выясняли «Известия».
Мрачные ожидания экспертов
В 2022 году с высокой долей вероятности мы станем свидетелями и жертвами еще большего числа серьезных уязвимостей в популярных приложениях и системах, заявили «Известиям» в компании Trend Micro. IT-аналитики предполагают, что вымогательские атаки станут еще более целенаправленными, а число видов возможного ущерба будет увеличиваться, не ограничиваясь требованием выкупа за зашифрованные данные.
— Фишинг и другие виды атак с использованием социальной инженерии, несомненно, будут в фаворе у киберпреступников, ведь это самый эффективный прием для проникновения в сеть жертвы, — говорит технический директор Trend Micro в России и СНГ Михаил Кондрашин. — Будет расти популярность атак на «умные» устройства. Структурным изменением в поведении злоумышленников можно назвать повышенный интерес к атакам на цепочки поставок, которые непросто предотвратить, ведь эффективность бизнеса многих компаний сильно зависит от интеграции IT-систем с контрагентами, подрядчиками и деловыми партнерами.
В Positive Technologies считают, что в ближайшее время одной из главных угроз останутся программы-вымогатели. Пик атак шифровальщиков пришелся на первое полугодие 2021 года, когда от их действий пострадали крупные компании, такие как Colonial Pipeline или JBS Food, однако в третьем квартале их интенсивность начала снижаться. Этому способствовало множество факторов, среди которых и действия правоохранительных органов, и введение санкций в отношении криптовалютных бирж, способствовавших действиям вымогателей, и недостатки партнерских программ. Некоторые операторы переходят к формированию собственных команд дистрибьюторов ВПО, которые будут заниматься взломом сетей компаний и распространением шифровальщиков.
— В этой связи стоит отметить развитие рынка доступов в дарквебе, услугами которого пользуются и вымогатели, — рассуждает руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева. — За последний год увеличилось количество объявлений как о продаже доступов, так и о покупке.
Точками компрометации чаще всего становятся недостаточно защищенные сервисы, которые располагаются на периметре компании и содержат известные уязвимости или легко эксплуатируемые недостатки. Например, это может быть недавно обнаруженная уязвимость в решении для удаленного доступа или простой пароль для удаленного подключения. Рост числа таких атак начался еще в прошлом году.
По мнению экспертов Positive Technologies, еще одна цель злоумышленников в 2022 году — это разработчики ПО, ресурсы которых могут стать точками проникновения в корпоративные сети клиентов. Взлом такой компании может дать преступникам возможности для разных сценариев развития атаки. Среди них внедрение вредоносного кода в легитимное ПО, распространение вредоносных обновлений, кража исходного кода продуктов и поиск в нем уязвимостей нулевого дня. В 2021 году подобная атака вымогателей на компанию Kaseya и ее клиентов затронула более 1 тыс. организаций. Организации всё больше полагаются на облачные сервисы, соответственно, киберустойчивость компаний зависит от надежности провайдеров этих сервисов, которые также будут объектами атак.
В связи с масштабным распространением гибридной формы работы всё больше размываются границы физического контура безопасности, что потребует внедрения систем контроля доступа к данным и контроля их распространения, отмечает генеральный директор компании «МойОфис» Дмитрий Комиссаров.
— Мы отмечаем запрос на изменение приоритетов от экстренного внедрения разрозненных систем, включая эксперименты с масштабным использованием систем аудио-видео-конференцсвязи, к созданию комплексной глубоко интегрированной системы поддержки работы сотрудников, — говорит Комиссаров. — Мы отмечаем усиливающийся тренд на использование технологий искусственного интеллекта во многих направлениях, включая машинное обучение, анализ данных и решение рутинных задач. Также мы согласны с оценкой Gartner о приоритетном развитии технологий Generative Artificial Intelligence и Decision Intelligence в 2022 году. Эксперименты с этими направлениями мы наблюдаем и в России.
«Лаборатория Касперского» также обозначила основные тенденции в сфере кибербезопасности на 2022 год. По мнению экспертов, число атак программ-шифровальщиков в мире снизится из-за возросших рисков. Пристальное внимание к таким инцидентам правоохранительных органов заставит крупные банды прекратить работу. При этом эксперты ожидают, что часть операторов из распавшихся групп начнет более активно атаковать российские компании, а их небольшие «партнерские организации» будут прикрываться именами крупных групп и использовать старые образцы знаменитых шифровальщиков.
И всё же особых сюрпризов и сенсаций ждать не стоит, ведь злоумышленники не столь склонны к инновациям, как принято считать. Их задача заключается не во внедрении чего-то нового, а в повышении эффективности инструментов, уже себя зарекомендовавших. Поэтому в 2022 году на первое место вновь выйдут фишинг через электронную почту, проникновение через сервисы удаленного доступа, эксплуатация уязвимостей на периметре организации, а также компрометация цепочек поставок и атаки через подрядчиков, подчеркивает бизнес-консультант по информационной безопасности компании Cisco Алексей Лукацкий. А уже через эти векторы в сети организаций будут попадать шифровальщики, программы для кражи данных и учетных записей и т.п.
Самые опасные тенденции года
Руководитель группы защиты инфраструктурных IT компании «Газинформсервис» Сергей Полунин выделил семь кардинальных блоков киберугроз. Первый — это увеличение поверхности атаки. И чем сложнее приложения и инфраструктура, чем больше смежных сервисов, тем больше поверхность атаки. Внедрение технологии 5G, позволяющей соединить в единую сеть огромное число устройств, вызывает в этой связи особенные опасения.
Следующий блок — кибератаки на финансовые компании. Впрочем, с этим тезисом согласны не все коллеги Полунина.
— Финансовые компании исторически являются мишенью злоумышленников, — отмечает директор подразделения DevOps/DevSecOps, сооснователь Proto Group Денис Безкоровайный. — С ростом бюджетов на ИБ, расширением государственного регулирования в этой области атаки на финансовые компании становятся всё сложнее в реализации и менее привлекательными для злоумышленников.
Третье место у атак на мобильные устройства. С каждым годом на руках у людей становится всё больше гаджетов, для которых уже не выпускаются обновления безопасности.
— И это очень плохо. А еще на них же установлены мобильные приложения банков — это, очевидно, еще хуже, — акцентирует Полунин.
Четвертый блок — таргетированные фишинговые атаки. Фишинг остается очень большой проблемой, но усилия по обучению азам компьютерной грамотности не проходят даром. Однако теперь на первый план выходит таргетированный фишинг, который опирается на актуальные события в мире или предназначен для конкретной организации.
Далее в рейтинге Полунина следуют атаки на цепи поставки. Современные информационные технологии — это интеграция решений от большого количества производителей. ОС на вашем компьютере сделала одна компания, ваш рабочий портал в интернете — другая, а аутентификацию на этом портале обеспечивает третья. Соответственно, и брешь в безопасности на одном из этих этапов скомпрометирует всю цепочку.
— На наш взгляд, в ближайшее время число атак на цепочки поставки действительно вырастет, — соглашается директор центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин. — Такие атаки показали большую эффективность в случаях с производителями программного обеспечения, однако они не ограничиваются вендорами оборудования и софта. Очевидный объект атаки — подрядчики, консультанты и аудиторы, с которыми работают крупные компании.
Шестым Полунин выделяет использование искусственного интеллекта (ИИ) и машинного обучения (МО) злоумышленниками. С ним согласны и другие эксперты.
— В 2022 году мы обязательно услышим о новых видах атак с помощью ИИ и МО, — говорит директор практики информационной безопасности Лиги Цифровой Экономики Тимурбулат Султангалиев. — Говорить о полноценной реализации целенаправленных атак всё еще рано, однако благодаря этим технологиям атаки с применением социальной инженерии станет сложнее распознать. Так, ИИ может помочь в поиске новых уязвимостей в сетевом оборудовании и сервисах. Или обработать огромное количество данных и выявить новые закономерности в поведении жертвы, что позволит сформировать мошеннику новый план обмана.
Последний и всем знакомый блок проблем — утечки данных. Информация об утечке пользовательских данных из тех или иных организаций появлялась в текущем году практически еженедельно. На этот раз в даркнете могут по второму или третьему разу продаваться старые базы, иногда обогащенные какими-то дополнительными данными. Спрос рождает предложение — покупатели баз готовы платить, а значит, мы будет видеть новые утечки.