Информационная безопасность 2019

Конец года – время подведения итогов. Рынок информационной безопасности в России вырос, но, по словам заместителя генерального директора по развитию бизнеса Positive Technologies Бориса Симиса, этого никто не заметил. В 2019 году запланированные бюджеты на кибербезопасность увеличились в среднем на 20%, но компании не израсходовали их полностью. Во многом это связано с необходимостью проведения длительных конкурсных процедур, компании не успели закупить необходимые средства защиты.

Сменилась парадигма обеспечения информационной безопасности – теперь компании не пытаются построить неприступные защитные редуты, понимая, что это бесполезно, а ставят своей целью быстро обнаружить атаку и предотвратить непоправимый ущерб. В связи с этим растет потребность в высокоинтеллектуальных системах защиты с анализом трафика, управлением информацией о безопасности и событиями безопасности (SIEM), комплексных APT-решениях. 

Увеличился спрос на специалистов, обладающих несколькими компетенциями, например в кибербезопасности и data science, информационной безопасности и АСУ ТП. Бизнес стал понимать, что не имеет необходимого количества ИБ-специалистов нужного уровня, и начал переходить к аутсорсингу и аутстаффингу.

По данным опроса 200 генеральных директоров крупнейших компаний мира, проведенного компанией Ernst & Young, в ближайшие пять-десять лет киберугрозы выйдут на первое место среди угроз для мировой экономики. 

Продолжились работы по формированию нормативной правовой базы в области защиты объектов критической инфраструктуры (КИИ). ФСБ, традиционно отстающая в разработке нормативных документов от ФСТЭК, наконец сформулировала требования к средствам ГосСОПКА. 6 мая регулятор выпустил приказ № 196 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты». 19 июня вышли приказы № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств…» и № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…». В них были сформулированы понятие ГосСОПКА и конкретные требования к ее субъектам. Причем это не рекомендации, а документы, обязательные для исполнения.

Разработкой документов занималось и экспертное сообщество. Так, в мае вышло подготовленное АРСИБ при помощи ФСТЭК пособие «Безопасность объектов критической информационной инфраструктуры организаций», подробно рассказывающее о шагах, которые должны сделать предприятия для выполнения ФЗ-187.

Начала складываться судебная практика по привлечению к ответственности по ст. 274 УK РФ «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей». Появились первые успешно доведенные до конца дела. Например, в октябре жительница Владивостока получила три года условно за кражу компьютерной информации, содержащей персональные данные клиентов.

По-прежнему активное влияние на рынок ИБ оказывает Центробанк. Согласно нормативным документам регулятора, с 1 января 2020 года финансовые организации должны использовать программное обеспечение, у которого есть либо сертификат ФСТЭК, либо свидетельство о прохождении анализа уязвимостей. Вендоры банковского ПО стали выстраивать процессы жизненного цикла безопасной разработки, включающие этапы формирования требований, написания кода, тестирования, сертификации, эксплуатации и обновления. Для самописного ПО банки начали активно заказывать статический и динамический анализ кода.

Стоит отметить вступивший в силу 1 ноября 2019 года закон о «суверенном интернете», неоднозначно воспринятый экспертным сообществом. Это первый случай, когда закон обязывает коммерческие организации, в данном случае – операторов связи, проводить киберучения и оценивать возможности системы по отражению атаки. Аналогичное требование к владельцам значимых объектов КИИ появилось в нормативных документах ФСБ. 23 декабря в стране прошли учения по «суверенному интернету», в ходе которых четыре федеральных оператора связи отрабатывали 18 сценариев атак: 12 – через сети с протоколом сигнализации SS7 и шесть – через сети с протоколом DIAMETER, используемым в сетях 4G. Киберучения, проведение тестов на проникновение становятся хорошей практикой во всё большем числе компаний.

Согласно исследованию компании Positive Technologies «Кибербезопасность 2019–2020: тенденции и прогнозы», в минувшем году целенаправленные атаки преобладали над массовыми: в третьем квартале их доля составила 65% (против 59% во втором квартале и 47% – в первом). Массовые атаки перестают работать, так как организации начинают использовать более эффективные средства защиты. АРТ-группировки все чаще выбирают для атак предприятия малого и среднего бизнеса, не имеющие достаточных ресурсов для обеспечения безопасности. Взлом менее защищенных компаний позволяет проводить атаки на более защищенных контрагентов, задействуя доверенные каналы между ними.

Злоумышленники все чаще используют специализацию и сервисные модели. Одни группировки взламывают сети, другие платят за доступ и атакуют с помощью вирусов-шифровальщиков или похищают данные. 

Сохраняется тенденция к размытию контура безопасности предприятия. Руководители все чаще разрешают сотрудникам использовать в своей работе смартфоны и планшеты. В повседневную жизнь вошли облачные вычисления, а взлет интереса к мультиоблакам еще больше усложняет работу специалистам по информационной безопасности.

Среди исследователей трендом стал поиск аппаратных уязвимостей. Специалисты ищут и находят уязвимости на уровне печатной платы и элементов аппаратной логики. Публичных кейсов о реальном ущербе мало, но крупные компании уже стали закладывать соответствующие риски в модель угроз и выделять бюджеты на защиту.

За три квартала 2019 года Positive Technologies насчитала 231 хакерскую кампанию, направленную на конечных пользователей (за аналогичный период 2018 года – 217 кампаний). Основные методы атаки – социальная инженерия и заражение устройств вредоносным ПО. Вдвое уменьшилась доля атак на пользователей с подбором паролей к учетным записям на сайтах, что связано с распространением двухфакторной аутентификации. 

Злоумышленники активно используют уязвимости веб-сайтов. По данным Positive Technologies за 2019 год, 92% веб-приложений позволяют проводить атаки на пользователей, при этом 82% найденных уязвимостей связаны с ошибками при разработке кода. Бреши безопасности в 16% исследованных сайтов давали возможность контролировать не только само веб-приложение, но и сервер.

Интерес для преступников представляют конечные устройства пользователей. Многие мобильные банковские приложения позволяют войти в них по отпечатку пальца, что удобно, но небезопасно. В октябре исследователи из X-Lab за 20 мин разблокировали смартфон, используя отпечаток пальца хозяина, взятый со стакана. При этом применялись приложение Tencent Security, способное реконструировать отпечаток даже по его фрагментам, снятым с нескольких предметов, а также гравировальный аппарат стоимостью $140. Не менее опасно использовать для входа в банковское приложение только PIN-код. В случае кражи устройства подбор PIN-кода путем простого перебора не занимает много времени.

В мае много шуму наделало сообщение Facebook о закрытии уязвимости в принадлежащем компании мессенджере WhatsApр. Для установки вредоносного ПО, позволяющего следить за пользователем, достаточно было совершить звонок на телефон жертвы.

Лидируют по-прежнему вредоносные приложения, которые пользователь устанавливает сам. Они запрашивают специальные разрешения, в том числе связанные с администрированием устройства. Не спасает и установка из такого вроде бы доверенного источника, как магазин приложений. Ситуацией озаботились вендоры. По запущенной в 2019 году программе Google Play Security Rewards Program исследователи могут получить выплаты за уязвимости любого Android-приложения с числом установок от 100 млн. Эта мера должна привести к улучшению защищенности популярных Android-приложений. 

Широкое распространение получили атаки с использованием пользовательских данных, которые крадутся у организаций и продаются в даркнете. Например, злоумышленники представляются сотрудниками банка и по телефону пытаются заставить жертву перевести им через интернет деньги с помощью личного кабинета.

Большой проблемой для пользователей в этом году стали телефонные спам-звонки, которые осуществлялись с помощью записанных рекламных объявлений, умных чат-ботов или непосредственно человека. Операторы связи начали реагировать на жалобы пользователей и предлагать приложения для проверки входящих звонков. 

Растет число мошеннических операций с бесконтактной оплатой – злоумышленники располагаются рядом с жертвой и переводят с его гаджета небольшие суммы, не требующие ввода PIN-кода.

Увеличивается число атак на госучреждения. За первые три квартала 2019 года Positive Technologies зафиксировала 167 атак на госучреждения (за такой же период в 2018 году было зафиксировано 133 атаки). Чаще всего они проходили с использованием фишинга (49% атак) и вредоносного ПО (63% атак). 18% атак были связаны со взломом веб-приложений (в 2018 году этот показатель был почти таким же – 19%).

Серьезной проблемой в 2019 году стал телефонный терроризм. Раньше телефонных террористов было легко отследить, определить место звонка и принять меры. Сейчас злоумышленники покупают доступ к IP-телефонии за рубежом и, используя подмену номеров, звонят и сообщают о минировании государственного объекта, магазина, школы или детского сада. Атака происходит из-за пределов страны, расследование требует долгого и далеко не всегда простого взаимодействия с другими государствами, зачастую не имеющих желания заниматься нашими проблемами. 

Растет интерес киберпреступников к промышленному сектору. Широкую огласку получило нападение на Norsk Hydro. Ущерб от атаки на норвежского производителя алюминия был оценен в $41 млн. Задействованный шифровальщик LockerGoga использовался и в атаках на три химические компании США. В июне 2019 года атака шифровальщика-вымогателя частично парализовала производство бельгийской компании ASCO Industries, крупного поставщика авиационных компонентов. В целом за три квартала Positive Technologies зафиксировала 92 кибератаки на промышленные объекты, что существенно превышает показатель аналогичного периода 2018 года (25 атак).

Немного меньше стали атаковать финансовые учреждения, прежде всего за счет снижения доли массовых атак. «В третьем квартале 2019 года всего 4% зафиксированных атак носили массовый характер, а в аналогичный период годом ранее этот показатель был на уровне 32%», – пояснил руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин. При этом число целенаправленных атак на финансовые организации не снижается. Три из десяти выявленных APT-группировок внедряют вредоносное ПО в инфраструктуру банков через профильные ресурсы, посещаемые сотрудниками финансового учреждения, три – взламывают менее защищенную инфраструктуру компаний-партнеров или филиалов, у которых есть легитимные каналы в целевую финансовую организацию.

Новые технологии несут новые риски, а интеграция технологий только увеличивает количество векторов атак. Эксперты все чаще говорят о необходимости разработки принципиально новых подходов к обеспечению кибербезопасности, но пока методы защиты радикально не изменились. Компаниям предлагают своевременно обновлять программное обеспечение, закрывая выявленные уязвимости, проводить тренинги персонала, вкладываться в современные средства защиты. Следует понимать, что главное – не закрыться от всех угроз, а вовремя выявить атаку и сделать ее менее привлекательной для злоумышленника, который тоже ищет баланс между выгодой и затраченными ресурсами. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

<< Предыдущая статья   Вернуться к содержанию   Следующая статья >>