Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Актуальні тренди кібербезпеки в 2021 році

2021-10-08
Автор: Телесфера

 Широке використання високорівневих і надвисокорівневих мов програмування, потужних фреймворків і середовищ розробки, розвиток хмарних інфраструктур і технологій віртуалізації і контейнеризації дозволяє випустити новий додаток або сервіс в безпрецедентно короткий термін. З такою ж швидкістю множаться і кіберзагрози, оскільки зловмисники використовують ті ж високоефективні інструменти розробки, але в своїх цілях. Це виводить рівень кіберпротидії на новий щабель: якщо раніше протистояння зі зловмисниками можна було описати як боротьбу умів і налаштованих засобів захисту інформації, то тепер це вже можна назвати повноцінною «війною машин», в якій борються штучні кіберінтеллекти. У цій статті ми поговоримо про актуальні тренди кібербезпеки в 2021 році: атаки на ланцюжки поставок і на третіх осіб (3rd parties), атаки на елементи «інтернету речей» і питання захисту хмарних інфраструктур, безпеку персональних даних (в т.ч. біометричних) , протидія ransomware і кріптомайнерам, застосування штучного інтелекту в ІБ. Поїхали!

1. Атаки на ланцюжки поставок

Сучасні великі високотехнологічні компанії намагаються грамотно вибудовувати процеси інформаційної безпеки, такі як управління кіберризиками, управління уразливостями і оновленнями, робота із засобами захисту інформації, збір і аналіз логів, аудити ІБ. Однак, навіть для висококваліфікованого фахівця багато з сучасного програмного забезпечення залишається «чорним ящиком»: найчастіше вони змушені сліпо довіряти вендорам - виробникам операційних систем, прикладного ПЗ і навіть розробникам засобів захисту. Мало які компанії мають в штаті виділених співробітників, які зможуть здійснити реверс-інжиніринг програмних продуктів з тим, щоб зрозуміти, які саме функції виконує та чи інша компонента. А якщо врахувати, що поновлення для програмних рішень випускаються чи не щодня, нам стає зрозуміло, що перевірити такі обсяги коду стає практично нереально. Таким чином, компанії волею-неволею стають залежними від компетенцій і стану кібербезпеки вендора.

Недавні приклади таких атак на ланцюжки поставок (англ. Supply chain attacks) - це гучні зломи ІТ-компаній SolarWinds і Kaseya. У разі SolarWinds в вихідний код продукту атакуючі внесли несанкціоновані зміни, які призвели до того, що користувачі даного ІТ-рішення стали уразливі перед зловмисниками: певні компоненти містили бекдор - шкідливий модуль, який брав керуючі команди з сервера хакерів і виконував якісь дії на атакованих системах. Таким чином, навіть грамотно вибудувана система ІБ в даному випадку буде безсила, оскільки оновлення ПЗ від SolarWinds, що містять шкідливий компонент, були підписані коректним цифровим підписом, і самі співробітники цього вендора не знали, що в вихідний код їх ПЗ були внесені несанкціоновані зміни. У разі Kaseya виявлена уразливість в продукті Kaseya VSA для віддаленого управління інфраструктурою торкнулася провайдерів ІТ-сервісів, які використовують це ПЗ для обслуговування великої кількості своїх клієнтів. Таким чином, дана атака на ланцюжок поставок поставила під загрозу ІТ-інфраструктури великого числа компаній, які нічого не підозрюють  - ймовірних кінцевих цілей атакуючих.

Наведемо ще один приклад: репозиторії GitHub, що містять вихідний код open source-проектів, тобто програм на основі відкритого вихідного коду, доступного для ознайомлення кожному, які розповсюджуються як правило безкоштовно. Дані репозиторії також є потенційними джерелами атак на ланцюжка поставок - зловмисникам досить заволодіти обліковим записом користувача GitHub, що має повноваження на внесення змін (commit) в вихідний код проекту. Внісши шкідливі зміни, атакуючим лише залишається почекати, поки код даного проекту буде завантажений виробником програмного рішення, яке атакується, оскільки не секрет, що багато комерційних продуктів використовують «під капотом» саме open source компоненти.

Варіантом захисту від атак на ланцюжки поставок буде комплекс заходів, спрямованих на перевірку благонадійності вендора - постачальника програмних продуктів і аналіз стану процесів інформаційної безпеки, збудованих у даного вендора. Для перевірки благонадійності можна використовувати класичні інструменти економічної безпеки, включаючи неформальний аудит фінансової документації, запит даних в таких системах, як «Інтерфакс-СПАРК» і «Контур-Фокус», проведення зустрічей з керівництвом компаній. Для аналізу стану інформаційної безпеки у вендорах слід підготувати опитувальник (чек-лист), в якому у формі питань потрібно сформулювати всі вимоги по ІБ, що пред'являються вашою компанією, наприклад: чи існують в компанії узгоджені процедури ризик-менеджменту і кібербезпеки; які процеси управління ПЗ і уразливостями; чи дотримуються розробники правил безпечної розробки ПЗ (т.зв. SSDLC - secure software development life cycle) і якщо так, то яких; чи використовуються статичні, динамічні, інтерактивні аналізатори вихідного коду; як налаштовані процеси CI/CD (continuous integration/continuous delivery, тобто безперервна інтеграція і доставка ПЗ до споживача); який процес створення документації на продукти; якими положеннями законодавства і внутрішніх нормативних документів керуються розробники в своїй діяльності.

Для вирішення проблеми впровадження шкідливих модулів вендорами-виробниками за допомогою технічних заходів можна порекомендувати компаніям-замовникам аналізувати аномальну поведінку встановлених програмних компонент, особливо недавно оновлених, системами класу EDR (endpoint detection and response, виявлення і реагування на загрози на кінцевих точках), UEBA (user and entity behavior analysis, аналіз поведінки користувачів і сутностей) і IDS/IPS (intrusion detection system/intrusion prevention system, системи виявлення/запобігання вторгнень). При виявленні підозрілих патернів в мережевій взаємодії ПЗ, при запуску різних додаткових утиліт, можливо скачуваних «на льоту» з інтернет-репозиторіїв, при спробі виконати незадокументовані операції слід оперативно провести перевірку.

2. Атаки на третіх осіб

Атаки на третіх осіб (англ. 3rd parties attacks) схожі на розглянуті вище атаки на ланцюжки поставок, однак їхня відмінність полягає в тому, що атаковані контрагенти (постачальники, підрядники, партнери, навіть клієнти і замовники) можуть, самі того не усвідомлюючи, стати «плацдармом» для хакерів. Це може статися в такий спосіб: припустимо, у вашій компанії укладені договірні відносини з фірмою-підрядником, яка здійснює впровадження або доопрацювання якогось бізнес-додатку. Для цього їй потрібно віддалене підключення до вашої інфраструктурі через VPN-тунель і створення облікового запису для співробітника-впроваджувача у вашій Active Directory. Таким чином, деяка частина ваших ІТ-систем буде доступна підряднику - наприклад, служба каталогів, загальні мережеві диски, нарешті саме допрацьовувати бізнес-додаток. Атакуючі, які спочатку планували зламати саме вашу інфраструктуру, можуть піти обхідним шляхом, коли зрозуміють, що ваші системи захищені досить надійно: хакери постараються спочатку атакувати підрядника, який може бути захищений слабкіше, а вже потім вони постараються дістатися до первісної мети, використовуючи налаштований VPN -туннель і вкрадені облікові дані з віддаленим доступом до вашої інфраструктурі. Таким чином, атакована компанія виконує роль «проксі-сервера» для атакуючих, що дозволяє їм від імені вашого підрядника отримати доступ до потрібних активів (ваші розробки, фінанси, персональні дані).

Дана атака відрізняється від атак на ланцюжки поставок тим, що їй можна відносно легко запобігти - досить лише до всіх сутностей, які виявляються у вашій ІТ-інфраструктурі, застосовувати принцип «нульової довіри» (англ. Zero Trust). Це має на увазі перевірку і контроль всіх облікових записів, всіх пристроїв, всіх мережевих з'єднань і процесів, що виконуються незалежно від того, хто є їх ініціатором. Для кожної сутності, будь то обліковий запис керівника, смартфон інженера або навіть принтер в переговорній, слід задавати правила мережевої взаємодії і розраховувати деякий скоринговий ризик-бал, який збільшується при підключенні з підозрілих локацій, в неробочий час, при наявності активних кіберінцидентів на цьому пристрої . Якщо подивитися на проблему ширше, то «проксі-сервером» для зловмисників може стати і ваш же працюючий віддалено співробітник, що запустив шкідливий файл на своєму ноутбуці, який він потім підключить по VPN до корпоративної мережі. Застосовуючи ж принцип нульової довіри, ми керуємося парадигмою «assumed breach» («вважайте, що вас вже зламали») для контролю всіх сутностей в нашій ІТ-інфраструктурі, в тому числі на основі декількох факторів, таких як повноваження залогіненого користувача, версія ОС, наявність встановлених оновлень ОС і патчів для ПЗ, присутність працездатного антивірусного засобу на пристрої, що підключається до мережі , час підключення, країна підключення, незвичайна поведінка облікового запису і пристрої (тут знову ж допоможуть системи аналізу аномалій і відхилень від відомих патернів, наприклад, UEBA-рішення).

Організаційні заходи, проте, також можуть бути застосовні для протидії такого роду атак - можна взяти за основу опитувальний лист, описаний в попередньому пункті. В даний чек-лист слід включити питання про наявність в компанії-контрагента узгоджених політик інформаційної безпеки та ризик-менеджменту, процедур і правил оновлення ОС і ПЗ, засобах захисту інформації, що використовуються, використовуваних положень законодавства та внутрішніх нормативних документів. Відповіді на ці питання допоможуть зрозуміти загальний рівень зрілості ІБ в компанії-контрагента, і цей рівень необхідно враховувати при прийнятті рішення про можливість або неможливість співпраці з ним. Якщо ж вимоги кібербезпеки в компанії-контрагента явно не виконуються, але взаємодіяти з нею необхідно, то буде досить розумним сприймати всі вхідні інформаційні потоки від даного контрагента аналогічно будь-якій інший неаутентифікованій, можливо зловмисною, інформацією з інтернету. Для такого контрагента не варто заводити облікові записи у внутрішніх ІТ-системах або створювати виділений VPN-канал для надання доступу до внутрішніх ресурсів, а слід працювати з ним як з будь-якою недовіреною сутністю з інтернету, пропускаючи через весь набір засобів периметрового захисту (фаерволи, « пісочниці », засоби антивірусного захисту і т.д.). Не слід недооцінювати і юридично вірно складену «угоду про нерозголошення» (англ. NDA - Non-disclosure agreement), в якій потрібно чітко вказати заходи забезпечення інформаційної безпеки при спільній роботі, відповідальність за порушення даної угоди, а також описати порядок компенсації потенційних збитків від реалізації ризиків кібербезпеки при взаємодії.

3. Атаки на елементи «інтернету речей»

Термін «Інтернет речей» (IoT - internet of things) має на увазі велику кількість елементів електроніки споживчого рівня, безперервно підключених до різноманітних мереж, в т.ч. до інтернет, для взаємодії між собою, з власником і з різноманітними інтернет-сервісами. Прикладами IoT-пристроїв можуть бути: смарт-телевізори, «розумні колонки», фітнес-трекери, елементи «розумного будинку» (датчики, побутова техніка, системи безпеки), веб-камери, автомобільні і транспортні системи і т.д. З розвитком мереж 5G кількість безперервно підключених пристроїв «інтернету речей» буде лише зростати, оскільки мережі нового покоління підтримують високошвидкісну передачу даних з малою витратою електроенергії і взаємодія пристроїв безпосередньо один з одним.

З точки зору кібербезпеки особливу заклопотаність викликають IoT-елементи, що володіють функціональними можливостями доступу в інтернет і допускають зовнішнє підключення до них, прошивки («прошивка», англ. Firmware) яких не отримують оновлень безпеки від виробника. Прикладом такого вразливого пристрою може стати веб-камера нижнього цінового діапазону, розроблена, наприклад, в Китаї, і використовувана, скажімо, для контролю обстановки на садовій ділянці: до неї можна підключатися з інтернету для перегляду зображення, в ній встановлений якийсь спрощений веб-сервер для контролю самої камери (наприклад, для повороту камери або наближення), при цьому виробник, швидше за все, не балує покупців частими оновленнями «прошивки», а якщо ця модель більше не виробляється, то оновлення ПЗ можна і взагалі не дочекатися. Пошук вразливостей в установленому на камері веб-сервері з великою часткою вірогідності не буде скрутним, оскільки апаратна «начинка» побутової техніки, як правило, не найпродуктивніша і підтримує установку лише найпростішого софта з урізаним функціоналом, а виробники в висококонкурентному середовищі змушені економити буквально на всьому для формування найпривабливішої ціни, в т.ч. на якості вбудованого ПЗ, процесах безпечної розробки софта і на роботах по усуненню в ньому вразливостей.

Отже, в разі, якщо в програмному коді веб-сервера, встановленого в камері, знайдуть вразливість, то власник зможе захистити себе єдиним способом - відключивши камеру від інтернету або повністю виключивши свій пристрій. У випадку з простою домашньою електронікою це нескладно, але як бути, наприклад, власникам великого парку таких камер, які необхідні для виконання певної бізнес-функції, наприклад, контролю важливого об'єкта? Швидше за все, така камера так і залишиться підключеною до інтернету, і через деякий час вона виявиться зламана через знайдену уразливість. Далі робота камери буде контролюватися вже зловмисником - він може як безкарно переглядати зображення з камери або просто вимкнути її, так і використовувати пристрій в своїх цілях - наприклад, зробити його частиною бот-мережі, яка здійснює DDoS-атаки за вказівкою зловмисника, або банально почати майнити криптовалюту, витрачаючи електроенергію свого нічого не підозрюючого власника. Слід врахувати, що вся відповідальність за наслідки шкідливої активності пристрою ляже на власника пристрою, навіть якщо зараження відбулося без його відома. Картина стає ще драматичнішою, якщо уявити собі, що заражений, наприклад, пристрій класу «переносної електроніки»: портативний глюкометр (прилад для вимірювання рівня глюкози в крові) або пульсоксиметр (прилад для вимірювання рівня насичення крові киснем). Таким чином, питання захисту пристроїв «інтернету речей» вже виходить за рамки стандартних бізнес-ризиків і зачіпає життя і здоров'я людей, що є абсолютним пріоритетом.

Для захисту IoT-пристроїв від кібератак в загальному випадку увагу варто звернути на наступне:

  • Країна виробництва пристрою і виробник: чим відоміший виробник, тим вище ймовірність своєчасного оновлення ПЗ і нижча ймовірність наявності неліквідованих вразливостей, про які відомо вендору.
  • Наявність юридичних документів на офіційному сайті: положення про конфіденційність даних, що обробляються, політики обробки персональних даних, заяви про відповідність тим чи іншим законодавчим нормам і т.д.
  • Можливість налаштування вбудованого ПЗ для контролю зовнішніх інтернет-підключень до пристрою - віддаленого управління, адміністрування, перегляду стану і т.д.
  • Наявність оновлень вбудованого ПЗ на офіційному сайті виробника, періодичність їх випуску, дата випуску останнього оновлення.
  • Наявність спільноти ентузіастів-аматорів, які випускають неофіційні, «кастомізовані» прошивки для даного пристрою.

У разі застосування пристроїв «інтернету речей» для виконання бізнес-завдань слід уважно поставитися до вибору виробника, віддаючи перевагу тому, хто регулярно випускає оновлення вбудованого ПЗ, пропонує розширену технічну підтримку і виїзд своїх фахівців on-site, надає тривалу гарантію і рекомендації по захищеному налаштування пристрою, а також має актуальні документи з описом реалізованих заходів інформаційної безпеки і прийнятими методиками безпечної розробки.

У разі застосування IoT-пристроїв в особистих цілях слід оцінити, наскільки той чи інший функціонал віддаленої роботи з пристроєм дійсно потрібно, наскільки простою буде захищена настройка пристрою кінцевим користувачем (наприклад, дитиною або літньою людиною), чи дає виробник докладні рекомендації та інструкції по налаштуванню девайса для обмеження і контролю його «небезпечного» функціоналу.

4. Питання захисту хмарних інфраструктур

Тематика захисту хмарних інфраструктур також є вкрай актуальною на поточний момент, і це безсумнівно пов'язано з популярністю хмарних платформ і рішень, які залучають замовників легкістю горизонтального масштабування, прозорим плануванням витрат, можливостями перекласти частину завдань з обслуговування інфраструктури на фахівців Cloud-провайдерів. Крім того, останнім часом на вітчизняний ринок хмарних інфраструктур вийшли багато відомих гравців, які пропонують хмарні рішення і сервіси, призначені в тому числі для обробки персональних даних, роботи в складі ГІС (державної інформаційної системи), а також для обробки конфіденційної інформації, захищеної від несанкціонованого доступу. Такі пропозиції дозволяють користуватися послугами хмарних сервісів навіть державним установам, але при цьому для багатьох компаній можливість роботи з хмарними інфраструктурами досі залишається під питанням. Головними челенджами є питання відповідності із законодавством, конфіденційності корпоративної інформації як для провайдера послуги, так і для «сусідів» по інфраструктурі, складності міграції з on-prem-інфраструктури, тонкощі налаштування хмарних систем забезпечення кібербезпеки.

Хмарні інфраструктури можна розділити за принципом роботи на наступні типи:

  • Public cloud (публічні хмари) - провайдер хмарних послуг надає замовнику свою інфраструктуру і сервіси на комерційній основі, як правило, за передплатою.
  • Private cloud (приватні хмари) - організація розміщує частину своєї інфраструктури в деякому своєму або орендованому ЦОД (центрі обробки даних) і повністю контролює всі апаратні і програмні компоненти.
  • Hybrid cloud (гібридні хмари) - організація поєднує роботу з публічною і приватною хмарою, розміщуючи свої додатки і дані в залежності від зручності і потреб в тій чи іншій інфраструктурі.
  • Multi-cloud (мультихмарна) - організація користується послугами кількох провайдерів хмарних сервісів для надійності і підвищення відмовостійкості, наприклад, розміщуючи основну інфраструктуру в одній публічній хмарі, а бекапи і резервні сервіси - в іншій.

Для роботи з хмарними інфраструктурами, як правило, надаються наступні варіанти:

  • IaaS (infrastructure as a service) - надання послуги за моделлю «інфраструктура як сервіс», коли хмарний провайдер надає тільки своє апаратне забезпечення, мережевий доступ і гипервизор системи віртуалізації, а замовникам дається можливість встановити свої операційні системи, прикладне та системне ПЗ, бізнес-додатки.
  • PaaS (platform as a service) - надання послуги за моделлю «платформа як сервіс», коли хмарний провайдер надає встановлену операційну систему (як правило, даючи на вибір кілька варіантів ОС на базі Winows і Linux), а замовники вже встановлюють тільки своє програмне забезпечення.
  • SaaS (software as a service) - надання послуги за моделлю «програмне забезпечення як сервіс», коли хмарний провайдер надає кінцевому замовнику попередньо встановлений бізнес-додаток з деякими можливостями по його налаштуванню і модифікації.

Також в контексті інформаційної безпеки можна виділити такі терміни:

  • SECaaS (security as a service, «безпека як сервіс») - надання замовникам послуг в області кібербезпеки з передплати, з розміщенням самих ЗЗІ в хмарі провайдера, наприклад, систем резервного копіювання, сканерів вразливостей, систем аутентифікації і управління доступом, рішень для збору і аналізу подій ІБ.
  • FWaaS (firewall as a service, «фаервол як сервіс») - надання міжмережевого екрану в хмарній інфраструктурі за передплатою.
  • MaaS (malware as a service, «шкідливе ПЗ як сервіс») - термін, введений зловмисниками, який означає, що одні атакуючі розробляють якийсь шкідливий інструмент і надають доступ за передплатою іншим атакуючим, які потім використовують його в своїх атаках. Наприклад, в разі використання вірусу-здирника (англ. «Ransomware») така техніка буде називатися RaaS (ransomware as a service).

Для забезпечення кібербезпеки в різних хмарних інфраструктурах на ринку пропонуються спеціалізовані рішення:

  • CASB (cloud access security broker) - брокери безпеки хмарного доступу, що забезпечують ІБ в хмарі за допомогою аутентифікації користувачів (в т.ч. мультифакторній), контролю за наданням доступу до даних, логування дій, надання звітності, а також шляхом контролю програмного API-доступу з боку додатків і сервісів.
  • CSPM (cloud security posture management) - системи управління станом хмарної безпеки, що допомагають проаналізувати кіберризики на основі даних про налаштування хмарної інфраструктури, які проводять оцінку відповідності поточних налаштувань хмарних систем вимогам законодавства і рекомендацій вендорів, що допомагають візуалізувати стан ІБ в Cloud-інфраструктурі.
  • CWPP (cloud workload protection platform) - хмарні системи захисту сервісів, які здійснюють контроль налаштувань розміщених в хмарі елементів (серверів, контейнерів, додатків), аналіз їх вразливостей, сегментацію на мережевому рівні, контроль активності, усунення загроз.
  • SASE (secure access service edge) - прикордонні сервіси безпечного доступу, що надають користувачам зручний і безпечний доступ до корпоративних хмарних ресурсів з використанням засобів мультифакторної аутентифікації, з перевіркою пристрою, який подключається,  на відповідність вимогам компанії (т.зв. «posturing»), із застосуванням функціоналу систем виявлення/запобігання вторгнень і контролем мережевого трафіку.

5. Безпека персональних даних (в т.ч. біометричних)

Питання забезпечення конфіденційності персональних даних стали підніматися практично відразу після початку широкого застосування засобів обчислювальної техніки для обробки відомостей, що стосуються фізичних осіб. Саме тому ще в 1981 році була підписана Конвенція №108 Ради Європи про захист фізичних осіб при автоматизованій обробці персональних даних. Зрозуміло, з розвитком інформаційних технологій надійний захист особистої інформації став необхідною умовою для успішної роботи як комерційних, так і державних структур - ні клієнту інтернет-магазину, ні користувачеві державного сервісу не захочеться стати жертвою витоку його персональних даних. Висока соціальна значимість забезпечення інформаційної безпеки персональних даних була і залишається драйвером державних законодавчих ініціатив - досить згадати Федеральний Закон №152 «Про персональні дані» від 27.07.2006 р, європейські норми GDPR (General Data Protection Regulation, Загальний регламент щодо захисту персональних даних ) або, наприклад, такі регіональні нормативні вимоги, як CCPA (California Consumer Privacy Act, Каліфорнійський закон про захист прав споживачів). При цьому законодавчі норми безперервно актуалізуються для відповідності ландшафту кіберзагроз, що змінюється. Ще одним трендом є поступове підвищення штрафних санкцій за порушення законодавчих вимог до обробки персональних даних - так, наприклад, за нормами GDPR штраф може становити до 4% від річного обороту компанії.

З точки зору бізнесу, захист персональних даних клієнтів і співробітників є важливим завданням не тільки в контексті відповідності із законодавством - сьогодні найчастіше саме накопичені дані про споживачів є одним з головних нематеріальних активів компанії, а лояльність співробітників і клієнтів формується в тому числі і заходами, що робляться компанією для захисту їх акаунтів, особистих даних, платіжної інформації. Ще більш важливим завданням є захист біометричних персональних даних - біологічних, фізіологічних, поведінкових характеристик людини, які використовуються для встановлення особи (ідентифікації, аутентифікації). Біометрія вже широко використовується фінансовими організаціями для дистанційного отримання банківських послуг в рамках російської «Єдиної біометричної системи», яка також дозволяє виконувати ряд інших юридично значимих дій віддалено, а також у транспортній сфері для забезпечення безпеки, в проектах розпізнавання пасажирів в аеропортах і безконтактній оплаті проїзду в метрополітені. Комерційні компанії часто використовують біометричні персональні дані клієнтів для підтвердження особи (скани паспортів або селфі з відкритим паспортом в руці), а також для контролю доступу своїх співробітників в приміщення (відеоспостереження, біометричні сканери відбитків пальців). Безпека біометричних персональних даних може будуватися, наприклад, на принципі обробки не вихідних фізіологічних характеристик суб'єкта (зберігання відбитків пальців, фотографій особи, зразків ходи і фігури і т.д.), а біометричного шаблону - дескриптора, що можна спрощено порівняти з обчисленням односторонньої хеш-функції, значення якої не дозволяє відновити аргумент, тобто початкові дані. При цьому безпосередньо у біометричних характеристик є важлива особливість - на відміну від класичних способів аутентифікації (наприклад, паролів), їх неможливо легко замінити, що робить питання коректної обробки та захисту біометричних персональних даних критичними.

Для захисту персональних даних в сучасній ІТ-інфраструктурі можна керуватися наступними принципами на всіх етапах обробки інформації:

  • Безпека при зберіганні даних (англ. Data at rest): захист інформації при її зберіганні на носіях інформації може включати в себе використання засобів повнодискового шифрування, шифрування баз даних і окремих файлів, застосування засобів управління правами доступу, систем управління мобільними пристроями (MDM-платформи), засобів контролю за витоками даних (DLP-продукти) і брокерів безпеки хмарного доступу (CASB-рішення).
  • Безпека при передачі даних (англ. Data in transit): захист даних при передачі передбачає насамперед захист каналів передачі інформації, наприклад, за допомогою використання протоколу TLS, VPN-рішень з шифруванням трафіку, систем для захисту електронної пошти (S/MIME, PGP) і спільної обробки інформації (DRM/RMS-рішення).
  • Безпека при обробці даних (англ. Data in use): захист даних при її обробці може включати в себе різноманітні моделі контролю і розмежування доступу (наприклад, на основі ролей, ризиків, умов доступу, що виконуються  - відповідно Role-based access control, Risk-based access control, Conditional access), рішення для управління акаунтами і контролем доступу (Identity and access management), а також системи управління правами доступу (рішення IRM - Information rights management).
  • Конфіденційність за замовчуванням (англ. Privacy by default): всі опції захищеної обробки персональних даних повинні бути включені за замовчуванням, суб'єкту не потрібно виконувати додаткових налаштувань приватності.
  • Вбудована конфіденційність (англ. Privacy by design): архітектурна підтримка захисту персональних даних як на рівні систем, додатків і сервісів, так і на рівні бізнес-процесів.

Для захисту персональних даних в хмарних інфраструктурах, крім зазначених вище принципів, можна також використовувати SOAR-рішення для автоматизації процесів реагування на кіберінциденти, впроваджувати мережеву модель доступу з «нульовою довірою» (англ. Zero Trust model), а також використовувати криптосистеми з гомоморфним шифруванням . Керуватися можна також стандартом ДСТУ ISO/IEC 27018-2020 «Звід правил щодо захисту персональних даних (ПДН) в публічних хмарах, використовуваних для їх обробки», який відповідає міжнародному стандарту ISO/IEC 27018:2019 "Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors".

6. Протидія криптовимогачам і нелегальному майнінгу криптовалют

Захист персональних даних тісно пов'язаний з актуальною кіберзагрозою вірусів-шифрувальників. Автори даних шкідників справедливо вважають, що персональні дані клієнтів, співробітників, партнерів компанії становлять особливу цінність, і будують свої атаки не тільки на безпосередньому шифруванні ІТ-інфраструктури (включаючи носії з особистими даними), а й на попередньому викраденні цінної інформації, щоб потім шантажувати жертву розголошенням вкрадених відомостей. Найчастіше атаковані компанії, з одного боку, знаходяться «в лещатах» регуляторів, які можуть оштрафувати організацію, дізнавшись про витік персональних даних, і, з іншого боку, ризикують втратити розгніваних витоком клієнтів. При цьому безпосередньо припинення діяльності в результаті атаки шифрувальника також призводить до серйозного репутаційного збитку, оскільки даний факт швидко стає надбанням громадськості. На даний момент загроза кібератак вірусами-шифрувальниками обговорюється на рівні перших осіб США, де тільки за останні місяці стався ряд гучних кіберінцидентов, точний збиток від яких ще тільки належить оцінити. При цьому шкідники поширюються, як правило, за моделлю RaaS, що означає, що з одним кіберзлочинним угрупованням, яке є безпосереднім автором вірусу і підтримує всю його інфраструктуру, може по партнерськый моделі взаємодіяти велика кількість хакерських команд поменше, виплачуючи авторам певний відсоток від отриманого викупу. На Даркнет-майданчиках також відбувається взаємодія атакуючих і тих, хто продає т.зв. «доступи» до зламаних інфраструктур, тобто валідны облікові дані до ІТ-систем компаній, отримані в результаті фішингових атак або шляхом експлуатації вразливостей. Там же можна знайти і оголошення про найм програмістів, готових розробляти шкідливе ПЗ, і оголошення про купівлю/продаж 0-day експлойтів, для яких вендори ще не випустили патчі, і пропозиції сервісів «криптування», які обіцяють забезпечити захист від виявлення антивірусними засобами ( т.зв. FUD, fully undetectable) шляхом шифрування внутрішніх структур шкідливих модулів.

З технічної точки зору, віруси-шифрувальники нічим не відрізняються від звичайних, менш руйнівних вірусів: як правило, спочатку відбувається запуск розвідувального модуля (дропера) в контексті низькопривілегірованого користувача, наприклад, співробітника, який відкрив файл, що прийшов в фішинговому листі, або сервісного облікового запису, з-під якоого запущений атакований через уразливість веб-сервер. Дропер не детектується антивірусним ПЗ, оскільки з формальної точки зору не виконує нелегітимних дій - він збирає інформацію про систему, в яку потрапив, наприклад, ім'я домену, ім'я облікового запису, характеристики хоста. Далі, якщо дана інфраструктура цікава для атакуючих, дроппер по команді керівника хакерського C&C-серверу завантажує додаткові модулі, які допомагають закріпитися в атакованій системі, підвищити привілеї і заразити вже інші хости в мережі. Далі, в разі вірусу-здирника, відбувається пошук потрібної інформації на всіх заражених системах і вивантаження знайдених файлів на зовнішній сервер (який або належить атакуючим, або на легітимний сервіс обміну інформацією, наприклад, DropBox). Після цього вірус вже виконує шифрування всіх заражених пристроїв в мережі, часто використовуючи легітимні інструменти з використанням заданого атакуючими ключа; при цьому бували випадки виконання незворотного шифрування, коли навіть виплачений викуп не допомагав повернути дані.

У нещодавно випущеному звіті групи дослідників Ransomware Task Force зазначено, що боротьба з атаками вірусів-шіфрувальників повинна здійснюватися шляхом вибудовування міжнародної всеосяжної стратегії захисту, належної підготовки до атак і коректному реагуванню на них, а також шляхом руйнування бізнес-моделі зловмисників і зниження їх нелегальної виручки . На останньому можна зупинитися більш докладно: в документі пропонується суттєво ускладнити зловмисникам вивід отриманого викупу, контролюючи операції в криптовалюті. Дійсно, на Даркнет-майданчиках для взаєморозрахунків між покупцями і продавцями нелегальних товарів і послуг широко використовується криптовалюта, і, як правило, саме в криптовалюті зловмисники вимагають викуп у зламаних компаній. Після отримання криптовалюти її необхідно конвертувати в «фіат», тобто фіатні валюти - долари або євро, таким чином легалізуючи і переводячи у готывку доходи від протиправної діяльності. За даними ФБР США, після атаки на Colonial Pipeline цьому відомству вдалося повернути майже половину від суми сплаченого викупу в 4.4 мільйона доларів в біткоін-еквіваленті - можливо, якраз на етапі виведення і переведення в готівку коштів. Операції купівлі та продажу криптовалюти здійснюються або через кріптобіржкі, які піддаються державному регулюванню, або через крипто-банкомати, які також можна контролювати, або за допомогою OTC-трейдингу (Over the counter, буквально «минаючи прилавок»), коли продавець-власник криптовалюти і покупець домовляються про угоду безпосередньо. Закордонне державне регулювання у фінансовій сфері має на увазі такі норми, як KYC (Know your customer, знай свого покупця), AML (Anti-money laundering, антивідмивне законодавство), CFT (Combatting financial of terrorism, протидія фінансуванню тероризма). Зловмисники ж, знаючи про можливі державних бар'єри, вживають ряд контрзаходів: використовують сервіси кріптоміксерыв, які дозволяють розбити одну криптовалютну транзакцію на безліч дрібних, здійснити кілька внутрішніх операцій обміну і таким чином приховати вихідне походження коштів; виконують операції обміну одних криптовалют на інші; намагаються використовувати криптовалюту для внутрішніх нелегальних взаєморозрахунків, мінімізуючи необхідність виведення в фіатны гроші. При цьому багато зловмисників знають про можливості відстеження транзакції в деяких криптовалютах: зокрема, біткоіни не є анонімним засобом платежу, оскільки дозволяє через blockchain-реєстр відстежити адреси одержувачів і відправників криптовалюти, отримати дані про суму переказів, історію транзакцій, обсяг грошових коштів на біткоін-гаманцях. Деякі ж анонімні криптовалюти, такі як Monero, Zcash, Dash, надають зловмисникам більше можливостей з приховування нелегальних доходів, однак, вимога викупу в таких криптовалютах ускладнене можливостями атакованих компаній придбати їх - внутрішні compliance-процедури та державне регулювання в багатьох випадках просто не дозволить організаціям виконати операції з ними.

Ще один з векторів атак для отримання зловмисниками нелегальних доходів в криптовалюті - криптомайнінг або cryptojacking, тобто несанкціоноване використання заражених пристроїв для генерування криптовалюти шляхом виконання математичних операцій. У разі, якщо зловмисники отримали доступ до інфраструктури атакований компанії, але поки не вважають за доцільне проводити атаку з використанням вірусу-шифрувальника, вони можуть таємно запустити вірус-криптомайнер, який буде генерувати криптовалюту на користь атакуючих. Аналогічним чином можна задіяти і атаковані IoT-пристрої, про які ми говорили вище - велика кількість заражених девайсів компенсує їх низькі обчислювальні потужності. Деякий час назад також була популярна атака виду JavaScript Mining, коли в браузері відвідувача веб-сайту запускався JavaScript-код, який генерував Monero - таким чином атакуючі частково монетизували свої успішні атаки на веб-сайти. Однак, останнім часом хакери все рідше вдаються до подібних методів - частково через зростання обчислювальної складності майнінгу деяких криптовалют, частково через те, що монетизувати атаку можна простіше і швидше, наприклад, через продаж вкрадених облікових даних або шляхом використання пристрою для DDoS-атаки.

7. Застосування штучного інтелекту в інформаційній безпеці

Розмови про практичне застосування штучного інтелекту, в тому числі і в інформаційній безпеці, ведуться вже давно, але на ринок дані інструменти вийшли тоді, коли зрілість таких продуктів дозволила застосовувати їх в корпоративних середовищах, точність роботи стала виправдовувати їх вартість, а можливості зловмисників стали широкі настільки, що ефективно і оперативно протистояти їм стало можливо тільки із застосуванням даної технології. Якщо ж звернутися до історії, то передумовами для створення концепції штучного інтелекту стали наукові дослідження в області побудови математичної моделі штучного нейрона і нейронної мережі на базі спостережень за живими організмами і природними нейронами. У 1943 році американські нейрофізіологи Уоррен Маккаллок і Вальтер Піттс в своїй науковій статті «Логічне числення ідей, що відносяться до нервової активності» припустили, що мережа, що складається з аналогічних природним штучних нейронів, може виконувати логічні і математичні операції. Видатний британський вчений Алан Тьюринг в 1948 році опублікував статтю «Розумні машини» (англ. «Intelligent Machinery»), а в 1950 році - роботу «Обчислювальні машини й розум» (англ. «Computing Machinery and Intelligence»), в яких описуються концепції машинного навчання і штучного інтелекту. Сам же термін «Штучний інтелект» був введений американським вченим-інформатиком Джоном Маккарті в 1956 році. Це були одні з перших спроб «оцифрувати» живий організм і представити живу істоту як набір алгоритмів, які можна проаналізувати і відтворити. З тих пір наука значно просунулася в питаннях створення штучного інтелекту: знаковими подіями можна назвати шахову перемогу суперкомп'ютера IBM Deep Blue над гросмейстером Гаррі Каспаровим в 1997 році і перемогу в грі го програми AlphaGo розробки Google DeepMind над професійним гравцем Лі Седолем в 2016 році. При цьому перша перемога була досягнута в добре алгорітмізованій шаховій грі, де для виграшу досить знати всі можливі комбінації і ходи, а друга - за рахунок машинного навчання, який застосовувався AlphaGo для самонавчання грі в го.

Отже, давайте дамо сучасні визначення кільком термінам, пов'язаним зі штучним інтелектом (ШІ):

  • Штучний інтелект (англ. Artificial intelligence, AI) передбачає виконання інформаційними системами задач прийняття рішень і навчання, за аналогією з інтелектом живих істот.
  • Нейронна мережа (англ. Neural network) - взаємопов'язана безліч штучних нейронів, що виконують прості логічні операції, які володіють здатністю машинного навчання.
  • Машинне навчання (англ. Machine learning, ML) - це техніка навчання інформаційної системи на основі наданих наборів даних (англ. Dataset) без використання визначених правил, є окремим випадком штучного інтелекту. Загальним завданням машинного навчання є побудова алгоритму (програми) на підставі наданих вхідних даних і заданих вірних/очікуваних результатів - таким чином, процес роботи ML-системи розділений на початкове навчання на наданих датасетах і на подальше прийняття рішень вже навченої системою.

Існує кілька способів машинного навчання, наприклад:

  1. Навчання з учителем (англ. Supervised learning) - це спосіб машинного навчання, в якому використовуються розмічені набори даних (прокласифікувати об'єкти з виділеними характерними ознаками), для яких такий собі «учитель» (людина або навчальна вибірка) вказує правильні пари «питання-відповідь», на підставі чого потрібно побудувати алгоритм надання відповідей на подальші аналогічні питання.
  2. Навчання без вчителя (англ. Unsupervised learning) - це спосіб машинного навчання, в якому не використовуються розмічені набори даних, не вказані правильні пари «питання-відповідь», а від інформаційної системи потрібно на підставі відомих властивостей об'єктів знайти різні взаємозв'язки між ними.
  3. Навчання з частковим залученням вчителя (англ. Semi-supervised learning) - спосіб машинного навчання, в якому комбінується невелика кількість розмічених наборів даних і велика кількість нерозмічених. Такий підхід виправданий тим, що отримання якісних розмічених дата-сетів є досить ресурсномістким і тривалим процесом.
  4. Навчання з підкріпленням (англ. Reinforcement learning) - окремий випадок навчання з учителем, при якому «учителем» є середовище функціонування, що дає зворотний зв'язок інформаційній системі в залежності від прийнятих нею рішень.
  5. У машинному навчанні можуть також використовуватися і інші алгоритми, такі як байєсовські мережі, ланцюги Маркова, градієнтний бустінг.

- Глибоке навчання (англ. Deep learning) - це окремий випадок машинного навчання, в якому використовується складна багатошарова штучна нейронна мережа для емуляції роботи людського мозку і обробки мови (англ. Natural language processing), звукових (англ. Speech recognition) і візуальних образів (англ. computer vision). Машинний зір в даний час широко використовується в системах забезпечення безпеки, контролю транспорту і пасажирів. Системи обробки мови і розпізнавання слів допомагають голосовим асистентам «Сірі» або «Алісі» відповідати на запитання користувачів.

- Великі дані (Big Data) - великий обсяг структурованих і неструктурованих даних в цифровому вигляді, що характеризується обсягом (volume), швидкістю зміни (velocity) і різноманітністю (variety). Для обробки Big Data можуть застосовуватися спеціалізовані програмні інструменти, такі як Apache Hadoop/Storm/Spark, Kaggle, СУБД класу NoSQL. Вважається, що для підвищення business-value при використанні Big Data потрібно перейти від різнорідних даних до структурованої інформації, а потім - до знань (відомостей). Оброблений, структурований і розмічений dataset, отриманий з релевантного масиву Big Data, є необхідним (і одним з найцінніших) компонентом для машинного навчання в сучасних системах.

- Глибокий аналіз даних (Data mining) - структурування і виділення корисної інформації з різнорідної і неструктурованої маси даних, в тому числі з Big Data.

- Нечітка логіка (англ. Fuzzy logic) - застосування нестрогих правил і нечітких відповідей для вирішення завдань в системах штучного інтелекту та нейронних мережах. Може застосовуватися для моделювання логіки людини, наприклад, при звуженні або розширенні результатів пошуку відповіді на питання в залежності від контексту.

Розглянувши основні визначення і принципи, перейдемо до питання практичного застосування систем штучного інтелекту в кібербезпеці. Використання ШІ в ІБ обгрунтовано перш за все двома факторами - необхідністю оперативного реагування при настанні кіберінцидента і нестачею кваліфікованих фахівців з кіберзахисту. Дійсно, в сучасних реаліях досить складно заповнити штатний розклад кваліфікованими фахівцями з ІБ з необхідним досвідом, а масштабні інциденти ІБ можуть розвиватися стрімко: рахунок часто йде на хвилини. Якщо в компанії відсутня цілодобова чергова зміна аналітиків ІБ, то без системи оперативного автономного реагування на кіберінциденти буде важко забезпечити якісний захист в неробочий час. Крім того, зловмисники перед своєю атакою можуть виконати відволікаючий маневр - наприклад, запустити DDoS-атаку або активне мережеве сканування, відволікаючи кіберспеціалістів. У таких ситуаціях допоможе система реагування на кіберінциденти на основі штучного інтелекту, яка може одночасно обробляти велику кількість подій ІБ, автоматизувати рутинні дії аналітиків ІБ і забезпечувати оперативне реагування на інциденти без участі людини. Наприклад, в нашому IRP/SOAR-рішенні Security Vision широко застосовуються механізми штучного інтелекту і машинного навчання: навчена на раніше вирішених інцидентах платформа сама запропонує аналітику сприятливу дію з реагування в залежності від типу кіберінцидента і його властивостей, буде призначена оптимальна команда реагування з колег, що володіють найбільш релевантними знаннями, а в разі виявлення нетипових підозрілих подій система сама створить відповідний інцидент і сповістить про нього співробітників ІБ-департаменту. У рішенні IRP/SOAR Security Vision використовуються алгоритми інтелектуального реагування на кіберінциденти: навчена система дозволяє спрогнозувати вектор атаки і її подальший розвиток в інфраструктурі, показати тенденції, а потім автоматично припинити шкідливі дії і дати поради аналітикам SOC-центру.

Системи захисту на основі штучного інтелекту будуть незамінні для виявлення аномалій у великій кількості подій інформаційної безпеки, наприклад, шляхом аналізу журналів ЗЗІ, даних з SIEM-систем або SOAR-рішень. Ця інформація, разом з даними вже відпрацьованих і закритих інцидентів ІБ, буде являти собою якісний розмічений dataset, на якому системі можна буде легко навчитися. Класичні системи аналізу відхилень побудовані, як правило, на деяких наперед заданих операторами правилах: наприклад, перевищення обсягу специфічного трафіку, певну кількість неуспішних спроб аутентифікації, кілька послідовних спрацьовувань ЗЗІ. Системи ж на базі штучного інтелекту зможуть прийняти рішення самостійно, без «оглядки» на правила, раніше створені співробітниками ІБ, які, можливо, вже втратили актуальність і не враховують змінену ІТ-інфраструктуру. Детектування аномалій може допомогти в захисті призначених для користувача даних - наприклад, банківський інтернет-сервіс може збирати й аналізувати дані про патерни (характерні ознаки, шаблони) роботи клієнтів з тим, щоб оперативно виявляти скомпрометовані облікові записи. Наприклад, якщо користувач протягом останнього року підключався до сервісу з російської IP-адреси у будні в робочий час і використовував браузер Internet Explorer, то в разі підключення з території Китаю з використанням браузера Mozilla Firefox в нічний час слід, можливо, на час заблокувати обліковий запис цього користувача і відправити йому повідомлення. Фінансові організації можуть використовувати системи машинного навчання і штучного інтелекту також для проведення оцінки (скорингу) позичальників, аналізу фінансових ризиків, в анти-фрод системах. Іншою моделлю використання систем штучного інтелекту в кібербезпеці є робота з внутрішніми порушниками: знаючи типову поведінка користувача, система може надіслати попередження аналітикам ІБ в разі істотної зміни моделі роботи співробітника (відвідування підозрілих сайтів, тривала відсутність за робочим ПК, зміна кола спілкування при листуванні в корпоративному месенджері і т.д.). Системи захисту, оснащені комп'ютерним зором і обробкою мови, зможуть оперативно сповіщати охорону про спроби проходу через прохідну сторонніх або співробітників по чужим перепустками, аналізувати робочу активність співробітників за допомогою веб-камер, оцінювати коректність спілкування менеджерів з клієнтами по телефону.

При цьому не слід забувати і те, що системи на базі штучного інтелекту використовують і кіберзлочинці: відомі шахрайські прийоми використання Deep fake (створення реалістичного віртуального образу людини) для обману анти-фрод систем, підробки голосів для шахрайських дзвінків родичам атакованих осіб з проханням перевести гроші , застосування телефонних IVR-технологій для фішингу та розкрадання грошових коштів. У шкідливому ПЗ також використовуються елементи штучного інтелекту, які дозволяють атакуючим набагато швидше підвищувати свої привілеї, переміщатися по корпоративній мережі, а потім знаходити і викрадати цікаві для них дані. Таким чином, технології, що стали доступними широкому загалу, використовуються як на благо, так і на шкоду, що означає, що боротися з такими підготовленими кіберзлочинцями можна і потрібно із застосуванням найдосконаліших засобів і методів захисту.

Джерело: https://habr.com/ru/post/579724/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Налаштування QoS на пограничному маршрутизаторі Cisco

Налаштування QoS на пограничному маршрутизаторі Cisco
cisco,router,Налаштування,QoS,Налаштування Cisco

Пограничний маршрутизатор в мережі офісу це точка, де вирішується доля всього мережевого трафіку, що прямує в Інтернет. Саме пограничний маршрутизатор вирішує, який трафік надіслати без затримок, а який притримати і пропустити потім.

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).