Политика в информационной безопасности

Участники рынка решений в области информационной безопасности (ИБ) в 2019 году прогнозируют усиление политизации сферы ИБ и ожидают новых кибератак с политической окраской – как операций кибершпионажа, так и саботажа. Кроме того, усилятся киберугрозы со стороны интернета вещей. В 2018 году среди угроз кибербезопасности они называют шифраторы, кибератаки, направленные на получение контроля над инфраструктурой организаций, а также активизацию проправительственных хакеров. Говоря о типах угроз, которые были наиболее распространены в 2018 году и проявили себя наиболее активно, технический директор Eset Russia Виталий Земских отмечает, что в 2018 году шифраторы остаются лидерами с точки зрения активности, потенциальной опасности и возможного ущерба. Их авторы осваивают целевые атаки на компании – более интересную, в сравнении с домашними пользователями цель, – и ищут новые способы заражения.  "Угроза криптомайнеров, о которой так много говорилось в конце 2017 года, напротив, переоценена. Любое антивирусное ПО без проблем детектирует как нативные, так и браузерные майнеры", - отметил он.  Директор по маркетингу компании "Ростелеком Solar" Валентин Крохин говорит о том, что по данным аналитиков центра мониторинга и реагирования на кибератаки Solar JSOC, в 2018 году примерно в полтора раза возросло колличество кибератак, направленных на получение контроля над инфраструктурой организаций. "Злоумышленники все чаще стремятся к долгосрочному и незаметному присутствию в ней с целью детального исследования и получения как можно более полного доступа к информационным и технологическим системам. На 10% возросло количество атак, целью которых является прямой вывод денежных средств из организаций, однако успешность таких атак снижается", - заметил он.  По мнению же экспертов Group-IB, фокус перспективной разработки и инноваций в создании сложных вирусов, а также проведении многоступенчатых целевых атак сместился от финансово-мотивированных киберпреступников к проправительственным хакерам. "Их действия направлены на обеспечение долговременного присутствия в сетях объектов критической инфраструктуры с целью саботажа и шпионажа за компаниями энергетического, ядерного, коммерческого, водного, авиационного и других секторов. В топ-3 стран происхождения самых активных проправительственных хакерских групп входит Китай, Северная Корея и Иран. Юго-Восточная Азия - самый активно атакуемый регион. Всего за год в нем была зафиксирована активность 21 APT-группы, что больше, чем в США и Европе. В 2018 году значительная часть атак была направлена именно на энергетический сектор. Все больше интереса проправительственные хакеры проявляют к уязвимостям в домашних маршрутизаторах. Это позволяет им не только шпионить за пользователями на зараженных девайсах, но и поддерживать более разветвленную и динамическую инфраструктуру. Финансовая мотивация по-прежнему превалирует среди киберпреступников атакующих банки, однако хищение денег — не самое страшное, что может случиться с финансовой организацией. Поскольку во многих странах мира банки являются объектами критической инфраструктуры, они оказались в числе мишеней для прогосударственных хакерских групп, специализирующейся на диверсиях и саботаже. Одна успешная кибератака может привести как к ликвидации самой кредитно-финансовой организации, так и коллапсу финансовой системы государства", - отмечают представители Group-IB. Виталий Земских, говоря об изменениях ландшафта киберугроз, отмечает, что в последние пять лет шифраторы были одной из главных угроз для корпоративного сектора. Сегодня большинство компаний научилось с ними бороться, но полиморфизм современных вредоносных программ остается проблемой. "В целом, киберландшафт меняется в сторону усложнения вредоносных программ и узкой специализации киберпреступников", - сказал он.  По словам Валентина Крохина, отмечается снижение числа успешных атак вирусов-шифровальщиков на коммерческие компании, однако данная угроза сохраняла актуальность для государственных организаций. "Кроме того, наиболее чувствительным для организаций видом угроз остается фишинг с применением методов социальной инженерии. Существенно вырос объем фишинговых рассылок, усложнились и диверсифицировались используемые в них методы социальной инженерии. Около 70% сложных кибератак на организации начинались с фишинговых писем", - отмечает он.   Что касается новых видов угроз, появившихся в 2018 году, эксперты Group-IB отмечают, что если в прошлом году основное внимание специалистов по безопасности было связано с эпидемиями WannaCry, NotPetya, BadRabbit, то начало 2018 года показало, что новый источник глобальной угрозы информационной безопасности — это side-channel атаки и уязвимости микропроцессоров разных вендоров. В Group-IB отмечают, что ключевая проблема брешей аппаратного обеспечения заключается в том, что эти уязвимости невозможно быстро и эффективно закрыть при помощи программных обновлений. "Именно поэтому исследовательская активность, посвященная поиску уязвимостей в BIOS/UEFI усиливается с каждым годом пропорционально возросшему количеству угроз, которые используются в реальных целенаправленных атаках. При этом о них становится известно благодаря утечкам, а не исследованию атак: сегодня на рынке нет решений, которые могли бы эффективно выявить такие угрозы", - отмечают в Group-IB. Виталий Земских отмечает по этому поводу, что в 2018 году специалисты Eset обнаружили LoJax, первый известный руткит для UEFI, который использовался во вредоносной кампании. "UEFI-руткиты описывались в докладах ИБ-компаний и раньше. Отрасль знала о возможности создания таких инструментов, однако отчетов о реальной компрометации не было. Опасность UEFI руткитов в том, что этот тип вредоносного ПО сохраняется в системе после переустановки операционной системы и замены жесткого диска. Его исключительно сложно обнаружить и удалить", - говорит Виталий Земских.  Еще одной тенденцией эксперты рынка ИБ называют то, что для кибергрупп сегодня характерна узкая специализация. "Если говорить о В2В, компании инвестируют в безопасность и наращивают защиту. Как результат, проведение кибератаки требует все больше ресурсов – денег, технической экспертизы, квалифицированных кадров. Для "специалиста широкого профиля" атака на, например, среднестатистический банк представляет собой невыполнимую задачу", - отмечает Виталий Земских. Валентин Крохин при этом отмечает, что по сравнению с 2017 годом в уходящем году серьезно возрос интерес киберпреступников к объектам критической информационной инфраструктуры. Так, по данным аналитиков Solar JSOC, во время массовой атаки с использованием уязвимости в устройствах Cisco, произошедшей в апреле этого года, интенсивность атак возрастала в 20-30 раз, если была направлена на критическую информационную инфраструктуру. Пул адресов, с которых производились атаки на значимые объекты КИИ также существенно шире, чем тот, с которого атаковали остальные компании. "Помимо данного инцидента, схожую динамику мы отмечаем и по ежедневным срезам атак. Существенно вырос интерес злоумышленников к инфраструктурам компаний из отраслей энергетики, нефтяной сферы, транспорта", - говорит директор по маркетингу компании "Ростелеком Solar" Валентин Крохин.  Относительно прогнозов в области киберугроз на 2019 год Виталий Земских отметил, что в следующем году финансово-мотивированные группировки продолжат поиск новых векторов атак. Под угрозой веб-приложения, а также партнеры и подрядчики крупных компаний. Эти представители SMB сами по себе не являются целью, но могут быть использованы в качестве плацдарма для целевой атаки на корпорации из-за недоработок в ИБ. "Увидим новые атаки с политической окраской – как операции кибершпионажа, так и саботаж. В последнем случае приоритетная цель атакующих – промышленные предприятия и объекты критической инфраструктуры. С большой долей вероятности возможен взлом облачных сервисов. Не исключаем, что в 2019 году жертвой станет крупный CERT или SOC-центр. Очень вероятно, что увидим крупные инциденты, связанные с компрометацией Android-устройств.  Большинство атак, нацеленных на кражу денег или данных, освещения не получит. Зато реальные и вымышленные инциденты, которые приписывают "государственным хакерам", как и раньше, получат широкий резонанс. В 2019 году процесс политизации ИБ только усилится, к сожалению.  Со стороны рынка увидим рост интереса к комплексным решениям для защиты корпоративной инфраструктуры, телеметрическим сервисам, продуктам с функционалом песочницы, консалтингу в области ИБ", - прогнозирует Виталий Земских. По мнению Валентина Крохина, в наступающем году российские компании будут активно заниматься реализацией требований федерального закона о критической информационной инфраструктуре, создавать центры мониторинга и реагирования на кибератаки, внедрять решения для защиты от таргетированных атак. "Что касается развития ИБ-угроз, то в наступающем году мощное развитие получат угрозы со стороны интернета вещей. По мере проникновения умных устройств в различные сферы нашей жизни –  ЖКХ, транспорт - можно ожидать инцидентов, направленных уже непосредственно на жителей и инфраструктуры умных городов с возможными экономическими и социальными последствиями", - говорит Валентин Крохин. По мнению экспертов Group-IB, энергетические объекты останутся главной мишенью группировок, нацеленных на саботаж, однако озаботиться оценкой компрометации своих систем и быть готовыми к атакам необходимо всем объектам критической инфраструктуры, связанным с жизнеобеспечением населения. Организациям, которым хотят защитить свои секреты, необходимо думать о безопасности не только своих корпоративных инфраструктур, но и домашних сетей и персональных устройств топ-менеджеров. Приоритетными целями атакующих могут стать производители материнских плат и поставщики оборудования в государственные органы. Реальная эксплуатация side-channel атак приведет к новым массовым утечкам из облачных сервисов, что может подорвать доверие к облачным инфраструктурам в случае резонансных инцидентов. "Аресты руководителей Cobalt и Fin7 могут привести к тому, что оставшиеся члены этих групп начнут формировать новые команды, что может привести к увеличению общего количества активных групп и обучению новых участников. Сегодня все финансово-мотивированные киберпреступные группы, которые занимаются целенаправленными атаками на банки, являются русскоговорящими. Мы ожидаем, что аналогичные группы будут сформированы из хакеров из Латинский Америки, а также стран Азии. Скорее всего, их первыми целями будут банки в их регионах", - прогнозируют эксперты Group-IB. Ссылка на источник