В декабре всегда принято подводить итоги года. Это повод еще раз вспомнить за прошедшие несколько месяцев все самые важные, ключевые и интересные события, инциденты, факты, новости и открытия потрясшие мир ИТ и ИБ-индустрии. Еще это и повод выучиться на ошибках, вынести ценный опыт из имевших место кейсов, и конечно же уловить те тренды, что будут преобладать в наступающем периоде!
И 2017, безусловно, не стал исключением. Он запомнился многими яркими моментами: вирусы-шифровальщики, новые эксплоиты, взлет биткоина, ICO и невероятный рост популярности продуктов основанных на блокчейн технологии, машинное обучение и ИИ для ИБ, становление отечественных SOC и утверждение новых требований КИИ, всплеск malware на мобильных платформах, снова атаки на банки, следующий за ним ГОСТ по безопасности ФинТеха и еще целая куча чуть менее заметных, но не менее важных и весомых событий
И конечно, же 2017 принес очень многое лично для меня, это и выступление на PHDays и победа на ZeroNights, собственные исследования, подрастающая дружина молодых коллег в Политехе, новые знакомства, встречи, приятное общение и безумный драйв на многих очень крутых и интересных проектах!
Знаковые события в ИБ
1. Шифровальщики
Вирусы-шифровальщики уже сами по себе давно , однако на их долю в текущем году выпало очень много инцидентов и шумихи вокруг этого. И не зря.. случившиеся заметным образом отличается от того что было в предыдущие годы.
По статистике некоторых , каждая 10-я компания в 2017 года так или иначе стала жертвой вируса-шифровальщика. При этом, обнаружения взлома системы составляет 172 дня на Западе и почти 3 года в России. Если подойти с юмором, то вполне можно сказать, что 2017 это год шифровальщиков - майский , летний и осенний . Так по масштабам WannaCry и вовсе можно сравнить разве что c всемирным распространением червя Conficker в 2008-2009 году, что в антивирусных энциклопедиях до сих является одной из крупнейших эпидемией в мире. По исследовательского центра компании Group-IB, в России атаке подверглись компьютерные системы "Роснефти", "Башнефти", "Евраза", российских офисов компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", "Ощадбанка" и концерна "Антонов".
И наступающий 2018-й этот тренд продолжит только уже в чуть новом ключе – вместо шифровальщиков вымогающих деньги в обиход войдут вредонсосы скрытно использующие вычислительные мощности жертвы для криптовалюты. Но о них чуть ниже.
2. Взлет криптовалюты и вредоносный майнинг
По сравнению с прошлым годом курс биткойна в 15 раз и к концу года еще может легко побить этот рекорд. А капитализация платформы для умных контрактов Ethereum вообще в 48 раз!
Если говорить прямо, то криптовалюты за текущий год оказали просто невероятное влияние на мировую экономику и уже существенным образом изменили рынок венчурных инвестиций. К примеру, объем привлеченных суммарных средств через году составил аж $3,5 млрд, тогда как традиционный IPO, имеет показатель чуть больше $1 млрд. Как вам такая разница?
И,конечно же логично, что с ростом этих новых технологий и ИТ-площадок связано появление и новых угроз и уязвимостей. Во-первых, это простор для разнообразных классических атак, как то создания фишинговых сайтов, взлома web-ресурсов и подмены () биткойн-кошелька. По статистике предоставленной , по итогам года $300 млн, то есть фактически десятая часть средств, привлеченных через ICO, была украдена преступниками.
И это пока что не все новости! В связи с безумным распространением майнинга криптовалюты появились новые атаки, в частности , как с помощью малварью и даже так и взломе web-ресурсов с целью ботнет-сетей отдающий свои вычислительные мощности злоумышленникам.
3. Malware на Android и iOS
По информации из ЛК, в третей половине 2017 года резко возросло количество пользователей, атакованных мобильным банковским трояном Asacub. В июле текущего года количество жертв трояна выросло почти втрое, составив порядка 29 тыс. Также исследователи обнаружили новую модификацию мобильного трояна Svpeng, способного считывать введенный пользователем текст, отправлять SMS-сообщения и препятствовать своему удалению.
В этом же отчете также говорится о расширении списка мобильных приложений, атакуемых банковским трояном FakeToken. По мимо традиционного набора с фишинговыми страницами в сферу новых модификаций зловреда интересов вошли приложения для вызова такси, заказа авиабилетов и бронирования номеров в гостиницах. Основная цель трояна – сбор данных банковской карты пользователя.
В 2017 году по мимо всего прочего наблюдается и рост активности троянов, похищающих деньги пользователей посредством подписок. Так вредоносное ПО может нажимать кнопки на данных сайтах, используя специальные JS-файлы, таким образом осуществляя оплату неких услуг втайне от пользователя.
В банковских троянов, вошли Trojan-Spy..Zbot, Nymaim, Neurevt и Caphaw.
4. Эксплоиты
В течении всего 2017 года продолжился рост количества атак на пользователей с использованием вредоносных офисных документов.
Несмотря на появление двух новых уязвимостей для пакета Microsoft Office, CVE-2017-8570 и CVE-2017-8759, злоумышленники продолжают эксплуатировать CVE-2017-0199 – найденную в марте 2017 года логическую уязвимость в обработке NTA-объектов.Суммарно доля эксплойтов для Microsoft Office составила в третьем квартале 27,80%.
В октябре обнаружили новый эксплойт для уязвимости нулевого дня в Adobe Flash, который доставлялся через документ Microsoft Office и использовался «в дикой среде» против наших клиентов. Мы уверены, что эта атака связана с группировкой, которую мы отслеживаем под именем .
В третьем квартале не было крупных сетевых атак (таких как или ) с использованием уязвимостей, исправленных в обновлении MS17-010.
Публикация группировкой ShadowBrokers, в результате чего продвинутые эксплойты, якобы разработанные АНБ, попали в руки криминальных групп, которые иначе не получили бы доступа к коду такого высокого уровня.
5. APT - атаки (таргетированные атаки)
По статистика от ЛК по сравнению с 2016-м число таргетированных атак в текущем году выросло вдвое. При этом всего около 10 из них, как , имеют коммерческие интересы, тогда как цель остальных – кибершпионаж и охота за данными государственных ведомств и компаний нефтегазовой отрасли. Однако, большую часть жертв киберпреступников составили российские банки
В октябре в даркнете в свободной продаже было новое вредоносное ПО для банкоматов . Купив его за несколько тысяч долларов, даже новички в темном искусстве могли начать опустошать банкоматы.
Финансовая составляющая ИБ
1. Текущая статистика
В декабре 2017 года , что мировые расходы компаний на обеспечение информационной безопасности в 2017 году составят $89,13 млрд. Согласно оценке Gartner, корпоративные затраты на кибербезопасность почти на $7 млрд превысят сумму 2016 года в $82,2 млрд.
Крупнейшей статей расходов эксперты считают ИБ-услуги: в 2017 году компании направят на эти цели свыше $53 млрд против $48,8 млрд в 2016-м. Второй по величине сегмент ИБ-рынка — решения для защиты инфраструктуры, затраты на которые в 2017-м составят $16,2 млрд вместо $15,2 млрд год назад. Оборудование для сетевой безопасности — на третьем месте ($10,93 млрд).
В структуру ИБ-расходов также входит потребительское ПО для обеспечения информационной безопасности и системы идентификации и управления доступом (Identity and Access Management, IAM). Затраты по этим направлениям в 2017 году в Gartner оценивают в $4,64 млрд и $4,3 млрд, тогда как в 2016 году показатели были на уровне $4,57 млрд и $3,9 млрд соответственно.
Аналитики ожидают дальнейший подъем на ИБ-рынке: в 2018 году организации увеличат затраты на киберзащиту еще на 8% и направят на эти цели в общей сложности $96,3 млрд. Среди факторов роста специалисты перечислили меняющееся регулирование в ИБ-сфере, информированность о новых угрозах и разворот компаний к стратегии цифрового бизнеса.
2. Статистика и прогноз Gartner
Прогноз Gartner на 2018 год увеличение расходов по всем основным направлениям. Так, на сервисы киберзащиты будет потрачено около $57,7 млрд (+$4,65 млрд), на обеспечение безопасности инфраструктуры — порядка $17,5 млрд (+$1,25 млрд), на оборудование для защиты сетей — $11,67 млрд (+$735 млн), на потребительское ПО — $4,74 млрд (+$109 млн) и на IAM-системы — $4,69 млрд (+$416 млн).
Также аналитики , что к 2020 году более 60% организаций в мире будут вкладывать средства одновременно в несколько инструментов защиты данных, в том числе в средства предотвращения потери информации, шифрования и аудита. По состоянию на конец 2017 года доля компаний, закупающих такие решения, была оценена в 35%.
Еще одной существенно статьей корпоративных расходов на информационную безопасность будет привлечение сторонних специалистов. Ожидается, что на фоне дефицита кадров в области кибербезопасности, растущей технической сложности ИБ-систем и увеличения киберугроз затраты компаний на ИБ-аутсорсинг в 2018 году увеличатся на 11% и составят $18,5 млрд.
По расчетам Gartner, к 2019 году корпоративные расходы на услуги сторонних ИБ-экспертов составят 75% от общей суммы затрат на ПО и оборудование для обеспечения кибербезопасности, тогда как в 2016 году это соотношение было на уровне 63%.
Публичные отчеты ИБ
1. Security Intelligence Report 2017
Совсем недавно Microsoft регулярный отчет по статистике угроз безопасности информационных систем.
Так согласно исследованию, по итогам 1 квартала 2017 года 14,8% компьютеров в России столкнулись с вредоносным ПО, тогда как в мире этот показатель составил 9%. При этом статистика по месяцам в России за отчетный квартал демонстрирует тенденцию к снижению — 17,2% в январе, 15,1% в феврале и 12% в марте 2017 года.
С ростом популярности облачных сервисов увеличилось и количество атак на них. По данным исследования Microsoft, в 2017 году в мире было зафиксировано в 4 раза больше угроз безопасности, чем за аналогичный период годом ранее. Количество попыток входа в учетную запись Microsoft с вредоносных IP-адресов увеличилось на 44%, став самой главной причиной заражения облачных сервисов (51%). Также наиболее распространены атаки через: протокол удалённого доступа (23%), спам (19%), сканирование портов (3,7%), протокол SSH* (1,7%) и другие.
В отчете отмечается, что самой распространенной категорией стали трояны: на конец 1 квартала 2017 года они были обнаружены у пользователей 10,26% компьютеров. Второе и третье место заняли вирусы (1,59%) и загрузчики троянов и дропперы (0,64%). В тот же период среди нежелательного программного обеспечения на большинстве зараженных компьютеров были найдены инсталляторы дополнительного ПО (5,49%), модификаторы браузера (2,14%) и рекламное ПО (0,25%).
2. от Group-IB
Банки, электростанции, криптобиржи — наиболее вероятные цели хакеров в следующем году. По мнению экспертов, главной опасностью для банков станет не воровство денег, а разрушение их ИТ-инфраструктуры как финальный этап целенаправленной хакерской атаки.
Одним из возможных сценариев диверсии могут быть торги на биржах от имени банка с целью влияния на курсы валют. Это может привести к запуску лавинообразных операций, совершаемых торговыми роботами после резких колебаний валютных курсов.
- Ущерб от троянов под Android в России вырос на 136% и перекрыл ущерб от троянов для персональных компьютеров на 30%
- Хакеры сумели автоматизировать фишинг под банки и платежные системы, фишинг теперь происходит без непосредственного участия киберпреступника в каждой краже.
- Ежедневно жертвами финансового фишинга в России становятся более 900 клиентов банков. В среднем 10–15% посетителей фишинговых сайтов попадаются на уловку преступников и вводят свои данные.
- Хакеры переключают свое внимание с банков на криптоиндустрию (ICO, кошельки, биржи, фонды), где аккумулируется все больше денег. Суммарный ущерб от целевых хакерских атак на криптоиндустрию составил более $168 млн, а доход от атак на криптобиржи варьируется от $1,5 (Bitcurex) до $72 млн (Bitfinex), в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего $1,5 млн.
- Злоумышленники «перенастраивают» популярные банковские трояны, такие как TrickBot, Vawtrak, Qadars, Tinba, Marcher, для сбора логинов и паролей пользователей криптовалют. Это говорит о том, что преступники нашли для себя новую прибыльную нишу, и в ближайшее время можно ожидать снижения их активности в традиционной банковской сфере.
- Хакеры будут успешно атаковать промышленные объекты, потому что научились работать с «логикой» критически важной инфраструктуры. Хакерская группа BlackEnergy продолжает атаки на финансовые и энергетические компании. Оказавшиеся в ее распоряжении инструменты позволяют удаленно управлять терминалами Remote terminal unit (RTU), которые отвечают за физическое размыкание/замыкание энергосети. А летом 2017 года были зафиксированы тестовые атаки на энергокомпании Великобритании и Ирландии.
Развитие хакерского инструментария
Бестелесность и вредоносные скрипты — новый (и теперь уже основной) принцип проведения атак. Хакеры стараются оставаться незамеченными и для этого используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP помогают им обеспечивать персистентность (закрепление) в системе, а также автоматизировать некоторые этапы атаки.
3. Сводная по зафиксированным во II квартале 2017 года Центром мониторинга событиям и инцидентам информационной безопасности.
За три месяца сенсоры зафиксировали и проанализировали 254 453 172 события информационной безопасности и выявили 144 инцидента.
Результаты глобального исследования тенденций информационной безопасности на 2017 год открывают более широкий взгляд на кибербезопасность и конфиденциальность и представляют их драйверами развития бизнеса и отношений с клиентами и партнерами.
Анализ результатов позволил выделить четыре основные тенденции:
- Организации стали уделять повышенное внимание рискам, связанным с «Интернетом вещей»;
- Наблюдается рост геополитических угроз.
Интернет вещей (IoT) и безопаность
По сведениям из , первые месяцы текущего года Интернет вещей (IoT) преподнес небольшой сюрприз, когда смарт-ТВ были атакованы шифровальщиком. Телевизоры LG под управлением Android стали первыми жертвами, показав, что «умные» телевизоры могут быть с помощью DTT-сигналов.
Другой кейс. Как объяснил исследователь Нетанель Рубин на последнем Chaos Communications Congress в Гамбурге (Германия), смарт-счетчики представляют опасность по некоторым направлениям. Поскольку все данные по потреблению электричества дома и в офисе записываются и отправляются в электрокомпанию, то хакер, контролирующий устройство, может просматривать информацию и использовать ее во вредоносных целях. Например, грабителю будет очень полезно знать, в какое время суток дом или офис пустой. Он также может удаленно узнать, какие устройства находятся в помещении, т.к. каждое электронное устройство оставляет свой уникальный «отпечаток» в электросети.
Wikileaks и утечки данных
Wikileaks продолжит публикацию информации о которая содержит описание глобальной программы ЦРУ США для взлома электронных устройств.
ИТ-технологии
Машинное обучение для ИБ
Машинное обучение — технология, которая дарит компьютерам когнитивные способности. Благодаря ей машины не используют детерминированные алгоритмы, а могут выполнять задачи по-разному. Это можно назвать прообразом искусственного интеллекта. Это здорово облегчают повседневные задачи: мобильные телефоны распознают голосовые команды, поисковые системы выдают лучшие запросы, почта отличает и отфильтровывает спам.
Аналитик 451 Research Эрик Огрен , что машинное обучение, которое анализирует поведение пользователя, — крупнейшая тенденция в области безопасности в 2017 и грядущем 2018 году. Оно дает шансы предотвратить ущерб от атак, которые были не замечены стандартными средствами обороны. Благодаря нему становится возможным сформировать статистический профиль нормальной активности пользователя, устройства или сайта и идентифицировать события, выходящие за обычные рамки. Поведенческая аналитика позволяет предотвратить нарушения безопасности и несанкционированный доступ к закрытым сведениям.
Нормативно-правовое регулирование ИБ
1.Федеральный закон о КИИ
В уходящем году особенно актуальной стала проблема кибербезопасности. Новый федеральный закон N187-ФЗ только подчеркивает необходимость и важность защиты каждой системы. И не просто рекомендует, а обязывает компании различных отраслей (как государственные, так и коммерческие) защищаться и вводит механизмы контроля эффективности защитных мер.
2. SOC, ГосСОПКА и FinCERT
Сформировалась новая для российского рынка концепция «частно-государственного» партнерства в области безопасности. Данная схема предполагает наличие государственных или частных систем, которые нужно защищать. Во главе схемы располагается государство в лице 8 центра безопасности ФСБ России, которое отвечает за функционирование системы ГосСОПКА, и есть разнообразие корпоративных и ведомственных центров реагирования на компьютерные атаки. В результате получается, что общегосударственная защита информационных систем распределяется между государством и коммерческими компаниями. При этом появляется возможность реализовывать аутсорсинг информационной безопасности. В конечном счете создается система взаимосвязанных субъектов: защищающиеся системы, ГосСОПКА, государство. Система ГосСОПКА и требования закона N 187-ФЗ не гарантируют, что систему невозможно будет взломать, но выполнение этих требований и создание центров ГосСОПКА позволит отсечь 90% примитивных атак, позволив сконцентрироваться на высокоуровневых.
3. GDPR или защита Персональных данных по европейски
Закон о защите персональных данных (GDPR), вступающий в силу в 2018 году в Евросоюзе, определяет, насколько система является значимой для субъекта обрабатываемых персональных данных. Для значимых информационных систем вводятся привычные нам понятия: национальное регулирование, сертификация систем на требования национальных регуляторов. От добровольной защиты информационных систем западный мир переходит к императивным подходам, т.е. обязательным требованиям по защите информации. Таким образом, и российский и зарубежный рынок сейчас задаются одним и тем же вопросом: что мы должны сделать, чтобы привести свою систему защиты к соответствию с новыми видами законодательства
Общие тенденции
Ключевыми событиями 2017 года, безусловно, были атаки вымогателей , и . Исследователи полагают, что за стояла известная хакерская группировка Lazarus. На данный момент число жертв этого вымогателя, который распространялся с ошеломляющей скоростью, оценивается в 700 тыс. пользователей по всему миру.
В 2017 году мы наблюдали возобновление целевых атак, направленных на уничтожение данных наряду с их кражей либо вместо нее. Примерами могут служить . Другой пример того, как киберпреступники могут достигать своих целей, используя дешевые инструменты и тщательно выбирая своих жертв, – вредоносная кампания .
В 2017 году стало очевидно, что злоумышленники, реализующие сложные угрозы, широко применяют обычную кражу средств для финансирования своей высокозатратной деятельности. В частности, мы рассказали о – команде в составе группировки Lazarus, которая занимается финансовыми махинациями. Среди мишеней BlueNoroff были, среди прочего, финансовые учреждения, казино, разработчики ПО для финансовых трейдеров и предприниматели, чей бизнес связан с криптовалютами. Одной из наиболее значимых кампаний BlueNoroff стали атаки на финансовые учреждения в Польше.
В 2017 году продолжился Мишенями злоумышленников стала банковская инфраструктура и платежные системы, а в ходе атак, помимо таких примитивных методов, как заклеивание объективов камер и сверление отверстий, применялись продвинутые бесфайловые зловреды.
Спустя год после активности ботнета Mirai в 2016 году, смог заразить 300 000 подключенных устройств – и это лишь одна из многих кампаний, нацеленных на подключенные устройства и системы.
В 2017 году имели место крупные утечки данных из компаний , , , , и др., от которых в целом пострадали миллионы пользователей. Также в ноябре 2017 года стало известно об , произошедшей в октябре 2016 г., в результате которой были опубликованы данные о 57 миллионах пользователей и водителей такси.
Чуть-чуть о том, что будет трендом в 2018
Ответом на усложнение атак стал рост интереса к построению центров мониторинга безопасности (SOC). Уже в 2017 году около 10 компаний приступили к созданию своих SOC, а в 2018 это число вырастет в три раза.
Безопасность умных автомобилей. Заражение через Wi-Fi или может обеспечить злоумышленникам полный контроль над системами машины.
Зловреды для Android. В уходящем году владельцы устройств на мобильной ОС от Google столкнулись с целым рядом новых угроз. Это и первый , и миграция с Linux , позволяющей перехватить контроль над устройством, и .
Скрытая добыча криптовалют и кража токенов. Майнинг биткойнов требует все больших ресурсов, и злоумышленники пытаются использовать для обогащения крупные ботнеты.
IoT-ботнеты. Сеть Mirai, сотни тысяч подключенных устройств, чтобы проводить DDoS-атаки, ставит вопрос об опасности «умных» гаджетов. В 2017 году ботнет и на Windows-машины. Защищенность IoT-устройств, количество которых к 2020 году отметки в 50 млрд штук, становится проблемой критической важности.
Продолжится рост логических атак на банкоматы (только за первое полугодие 2017 года общий объем атак такого типа в странах Европы вырос на 500%). Банки, в свою очередь, станут еще активнее интересоваться реальными угрозами, грозящими финансовыми потерями, и оценивать риски
