Рубрикатор | ![]() |
![]() |
Статьи | ![]() |
ИКС № 1 2020 | ![]() |
![]() |
Николай НОСОВ  | 27 декабря 2019 |
Информационная безопасность 2019
Целевые атаки через контрагентов, телефонный спам и терроризм, атаки с использованием методов социальной инженерии – неполный список угроз информационной безопасности, получивших распространение в минувшем году.
Состояние рынка
Конец года – время подведения итогов. Рынок информационной безопасности в России вырос, но, по словам заместителя генерального директора по развитию бизнеса Positive Technologies Бориса Симиса, этого никто не заметил. В 2019 году запланированные бюджеты на кибербезопасность увеличились в среднем на 20%, но компании не израсходовали их полностью. Во многом это связано с необходимостью проведения длительных конкурсных процедур, компании не успели закупить необходимые средства защиты.
Сменилась парадигма обеспечения информационной безопасности – теперь компании не пытаются построить неприступные защитные редуты, понимая, что это бесполезно, а ставят своей целью быстро обнаружить атаку и предотвратить непоправимый ущерб. В связи с этим растет потребность в высокоинтеллектуальных системах защиты с анализом трафика, управлением информацией о безопасности и событиями безопасности (SIEM), комплексных APT-решениях.
![Борис Симис](/data/2019/12/27/1237578773/Борис Симис.jpg)
Увеличился спрос на специалистов, обладающих несколькими компетенциями, например в кибербезопасности и data science, информационной безопасности и АСУ ТП. Бизнес стал понимать, что не имеет необходимого количества ИБ-специалистов нужного уровня, и начал переходить к аутсорсингу и аутстаффингу.
По данным опроса 200 генеральных директоров крупнейших компаний мира, проведенного компанией Ernst & Young, в ближайшие пять-десять лет киберугрозы выйдут на первое место среди угроз для мировой экономики.
Действия регуляторов
Продолжились работы по формированию нормативной правовой базы в области защиты объектов критической инфраструктуры (КИИ). ФСБ, традиционно отстающая в разработке нормативных документов от ФСТЭК, наконец сформулировала требования к средствам ГосСОПКА. 6 мая регулятор выпустил приказ № 196 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты». 19 июня вышли приказы № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств…» и № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…». В них были сформулированы понятие ГосСОПКА и конкретные требования к ее субъектам. Причем это не рекомендации, а документы, обязательные для исполнения.
Разработкой документов занималось и экспертное сообщество. Так, в мае вышло подготовленное АРСИБ при помощи ФСТЭК пособие «Безопасность объектов критической информационной инфраструктуры организаций», подробно рассказывающее о шагах, которые должны сделать предприятия для выполнения ФЗ-187.
Начала складываться судебная практика по привлечению к ответственности по ст. 274 УK РФ «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей». Появились первые успешно доведенные до конца дела. Например, в октябре жительница Владивостока получила три года условно за кражу компьютерной информации, содержащей персональные данные клиентов.
По-прежнему активное влияние на рынок ИБ оказывает Центробанк. Согласно нормативным документам регулятора, с 1 января 2020 года финансовые организации должны использовать программное обеспечение, у которого есть либо сертификат ФСТЭК, либо свидетельство о прохождении анализа уязвимостей. Вендоры банковского ПО стали выстраивать процессы жизненного цикла безопасной разработки, включающие этапы формирования требований, написания кода, тестирования, сертификации, эксплуатации и обновления. Для самописного ПО банки начали активно заказывать статический и динамический анализ кода.
Стоит отметить вступивший в силу 1 ноября 2019 года закон о «суверенном интернете», неоднозначно воспринятый экспертным сообществом. Это первый случай, когда закон обязывает коммерческие организации, в данном случае – операторов связи, проводить киберучения и оценивать возможности системы по отражению атаки. Аналогичное требование к владельцам значимых объектов КИИ появилось в нормативных документах ФСБ. 23 декабря в стране прошли учения по «суверенному интернету», в ходе которых четыре федеральных оператора связи отрабатывали 18 сценариев атак: 12 – через сети с протоколом сигнализации SS7 и шесть – через сети с протоколом DIAMETER, используемым в сетях 4G. Киберучения, проведение тестов на проникновение становятся хорошей практикой во всё большем числе компаний.
Общие тенденции ИБ
Согласно исследованию компании Positive Technologies «Кибербезопасность 2019–2020: тенденции и прогнозы», в минувшем году целенаправленные атаки преобладали над массовыми: в третьем квартале их доля составила 65% (против 59% во втором квартале и 47% – в первом). Массовые атаки перестают работать, так как организации начинают использовать более эффективные средства защиты. АРТ-группировки все чаще выбирают для атак предприятия малого и среднего бизнеса, не имеющие достаточных ресурсов для обеспечения безопасности. Взлом менее защищенных компаний позволяет проводить атаки на более защищенных контрагентов, задействуя доверенные каналы между ними.
Злоумышленники все чаще используют специализацию и сервисные модели. Одни группировки взламывают сети, другие платят за доступ и атакуют с помощью вирусов-шифровальщиков или похищают данные.
Сохраняется тенденция к размытию контура безопасности предприятия. Руководители все чаще разрешают сотрудникам использовать в своей работе смартфоны и планшеты. В повседневную жизнь вошли облачные вычисления, а взлет интереса к мультиоблакам еще больше усложняет работу специалистам по информационной безопасности.
Среди исследователей трендом стал поиск аппаратных уязвимостей. Специалисты ищут и находят уязвимости на уровне печатной платы и элементов аппаратной логики. Публичных кейсов о реальном ущербе мало, но крупные компании уже стали закладывать соответствующие риски в модель угроз и выделять бюджеты на защиту.
Рост атак на пользователей
За три квартала 2019 года Positive Technologies насчитала 231 хакерскую кампанию, направленную на конечных пользователей (за аналогичный период 2018 года – 217 кампаний). Основные методы атаки – социальная инженерия и заражение устройств вредоносным ПО. Вдвое уменьшилась доля атак на пользователей с подбором паролей к учетным записям на сайтах, что связано с распространением двухфакторной аутентификации.
Злоумышленники активно используют уязвимости веб-сайтов. По данным Positive Technologies за 2019 год, 92% веб-приложений позволяют проводить атаки на пользователей, при этом 82% найденных уязвимостей связаны с ошибками при разработке кода. Бреши безопасности в 16% исследованных сайтов давали возможность контролировать не только само веб-приложение, но и сервер.
Интерес для преступников представляют конечные устройства пользователей. Многие мобильные банковские приложения позволяют войти в них по отпечатку пальца, что удобно, но небезопасно. В октябре исследователи из X-Lab за 20 мин разблокировали смартфон, используя отпечаток пальца хозяина, взятый со стакана. При этом применялись приложение Tencent Security, способное реконструировать отпечаток даже по его фрагментам, снятым с нескольких предметов, а также гравировальный аппарат стоимостью $140. Не менее опасно использовать для входа в банковское приложение только PIN-код. В случае кражи устройства подбор PIN-кода путем простого перебора не занимает много времени.
В мае много шуму наделало сообщение Facebook о закрытии уязвимости в принадлежащем компании мессенджере WhatsApр. Для установки вредоносного ПО, позволяющего следить за пользователем, достаточно было совершить звонок на телефон жертвы.
Лидируют по-прежнему вредоносные приложения, которые пользователь устанавливает сам. Они запрашивают специальные разрешения, в том числе связанные с администрированием устройства. Не спасает и установка из такого вроде бы доверенного источника, как магазин приложений. Ситуацией озаботились вендоры. По запущенной в 2019 году программе Google Play Security Rewards Program исследователи могут получить выплаты за уязвимости любого Android-приложения с числом установок от 100 млн. Эта мера должна привести к улучшению защищенности популярных Android-приложений.
Широкое распространение получили атаки с использованием пользовательских данных, которые крадутся у организаций и продаются в даркнете. Например, злоумышленники представляются сотрудниками банка и по телефону пытаются заставить жертву перевести им через интернет деньги с помощью личного кабинета.
Большой проблемой для пользователей в этом году стали телефонные спам-звонки, которые осуществлялись с помощью записанных рекламных объявлений, умных чат-ботов или непосредственно человека. Операторы связи начали реагировать на жалобы пользователей и предлагать приложения для проверки входящих звонков.
Растет число мошеннических операций с бесконтактной оплатой – злоумышленники располагаются рядом с жертвой и переводят с его гаджета небольшие суммы, не требующие ввода PIN-кода.
Госсектор и бизнес
Увеличивается число атак на госучреждения. За первые три квартала 2019 года Positive Technologies зафиксировала 167 атак на госучреждения (за такой же период в 2018 году было зафиксировано 133 атаки). Чаще всего они проходили с использованием фишинга (49% атак) и вредоносного ПО (63% атак). 18% атак были связаны со взломом веб-приложений (в 2018 году этот показатель был почти таким же – 19%).
Серьезной проблемой в 2019 году стал телефонный терроризм. Раньше телефонных террористов было легко отследить, определить место звонка и принять меры. Сейчас злоумышленники покупают доступ к IP-телефонии за рубежом и, используя подмену номеров, звонят и сообщают о минировании государственного объекта, магазина, школы или детского сада. Атака происходит из-за пределов страны, расследование требует долгого и далеко не всегда простого взаимодействия с другими государствами, зачастую не имеющих желания заниматься нашими проблемами.
Растет интерес киберпреступников к промышленному сектору. Широкую огласку получило нападение на Norsk Hydro. Ущерб от атаки на норвежского производителя алюминия был оценен в $41 млн. Задействованный шифровальщик LockerGoga использовался и в атаках на три химические компании США. В июне 2019 года атака шифровальщика-вымогателя частично парализовала производство бельгийской компании ASCO Industries, крупного поставщика авиационных компонентов. В целом за три квартала Positive Technologies зафиксировала 92 кибератаки на промышленные объекты, что существенно превышает показатель аналогичного периода 2018 года (25 атак).
![](/data/2019/12/27/1237578769/Ярослав Бабин.jpg)
Немного меньше стали атаковать финансовые учреждения, прежде всего за счет снижения доли массовых атак. «В третьем квартале 2019 года всего 4% зафиксированных атак носили массовый характер, а в аналогичный период годом ранее этот показатель был на уровне 32%», – пояснил руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин. При этом число целенаправленных атак на финансовые организации не снижается. Три из десяти выявленных APT-группировок внедряют вредоносное ПО в инфраструктуру банков через профильные ресурсы, посещаемые сотрудниками финансового учреждения, три – взламывают менее защищенную инфраструктуру компаний-партнеров или филиалов, у которых есть легитимные каналы в целевую финансовую организацию.
Что делать?
Новые технологии несут новые риски, а интеграция технологий только увеличивает количество векторов атак. Эксперты все чаще говорят о необходимости разработки принципиально новых подходов к обеспечению кибербезопасности, но пока методы защиты радикально не изменились. Компаниям предлагают своевременно обновлять программное обеспечение, закрывая выявленные уязвимости, проводить тренинги персонала, вкладываться в современные средства защиты. Следует понимать, что главное – не закрыться от всех угроз, а вовремя выявить атаку и сделать ее менее привлекательной для злоумышленника, который тоже ищет баланс между выгодой и затраченными ресурсами.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!