Темная сторона ИТ — тренды киберпреступности 2024 года
2024-10-07
Искусственный интеллект, Интернет вещей, облачные сервисы, квантовые вычисления — все эти замечательные технологии могут служить не только на благо, но и во вред. В первой половине 2024 года стало очевидно, что киберпреступники все активнее пользуются самыми современными инструментами, нередко обходя в этом вопросе отделы кибербезопасности. Но, эффективное противодействие возможно.
Технологии сами по себе, естественно, не могут быть хорошими или плохими — всё зависит от того, кто и как их использует. За последние годы написаны сотни тысяч статей о том, как «умные» технологии уже в ближайшем будущем приведут нас к вершинам прогресса. При этом о другой «темной» стороне ИТ говорят гораздо реже. Тем не менее, проблема есть и она нарастает. Киберпреступники с успехом для своего дела, осваивают инструменты ИИ, пробуют квантовые компьютеры, пользуются технологиями для совестной работы, ставят себе на службу IoT и вообще всячески расширяют свое присутствие в мировой паутине, не особенно опасаясь преследования. В таких условиях, защитить свои ИТ-инфраструктуры и данные можно лишь сохраняя постоянную бдительность и работая на опережение. К сожалению, гонка между теми, кто атакует и теми, кто защищает вышла на новый этап, который еще очень далек от завершения.
Из любителей — в профессионалы
Одним из главных и самых опасных трендов последнего времени в сфере киберпреступности стал резкий рост профессионализма преступных команд. Если время хакеров одиночек осталось в начале 2000-х, то небольшие команды квалифицированных специалистов ушли в прошлое примерно 20 лет спустя. Сегодня киберпреступные сети — это мощные и зачастую децентрализованные структуры, которые могут анонимно объединять сотни и тысячи людей. Что наиболее опасно, в таких структурах (как и, например, в мафиозных кланах) существует специализация и «разделение труда». Конечно, есть разработчики вредоносных программ, специалисты по алгоритмам взлома и другие технические эксперты, но, в последнее время криминальные структуры начали активно привлекать специалистов по психологии и социальной инженерии. Причем, специалисты эти, в свою очередь, нередко знакомы с последними научными исследованиями в своих предметных областях.
В результате, большинство успешных атак за последнее время, было организовано с использованием (и глубоким пониманием) человеческого фактора. Поддельные письма, сообщения, электронные документы выглядят совсем как настоящие. В итоге, как показывает международная статистика, взломы корпоративных ИТ-систем чаще всего происходят через мессенджеры, почтовые сервисы, веб-порталы и социальные сети. Частных пользователей больше всего атакуют через онлайн-игры, фишинговые интернет-магазины, финансовые сервисы и снова-таки — социальные сети.
Там где человеческих сил недостаточно, используются новейшие технологии. Все чаще преступники разрабатывают, планируют и совершают взломы с привлечением возможностей искусственного интеллекта, а мощные распределенные DDoS-атаки уже давно совершаются с помощью огромных — на сотни тысяч устройств — бот-сетей IoT. Потенциальную угрозу может представлять и злонамеренный доступ к мощностям квантовых компьютеров, особенно учитывая тот факт, что сейчас целый ряд проектов, связанных с квантовыми вычислениями, имеет открытый статус и доступен широкому кругу пользователей.
Вместе с тем, несмотря на привлечение профессионалов, основу успеха преступных групп обеспечивает огромное количество «свободных агентов» — людей, которые ищут потенциальных жертв, а также всевозможные уязвимости в ИТ-системах. Найденные уязвимости, личные данные, ключи и пароли потом можно продать в даркнете — для этого давно существует развитый рынок. Конечно, с этим явлением пытаются систематически бороться, но, пока без особого успеха.
Число киберпреступников растет еще и потому, что найти и привлечь их к какой либо ответственности, как правило, крайне затруднительно. Да, специальные службы разных стран и отделы киберполиции выполняют свою работу, но, даже для обычной деанонимизации преступников часто требуются огромные усилия многих специалистов из разных стран. Поэтому систематическая борьба относительно эффективно ведется только с самыми крупными и известными киберпреступными сетями. В общем, злодеи появляются быстрее, чем хорошие парни успевают с ними бороться.
Дезинформация по заказу
Киберпреступления превратились в прибыльный бизнес, ежегодный оборот которого оценивается в миллиарды $ и эта цифра быстро растет. Здесь есть свои маркетплейсы, партнерские программы, специальные предложения и т.д. В общем все, что принято называть бизнес-моделью. Чтобы стать «хакером» теперь не надо никаких особенных навыков — достаточно купить программу или оформить подписку на вредоносный сервис. Более того, тенденции 2024 года говорят о том, что разрозненные «услуги» такого рода все чаще предлагаются в пакете и даже с единой консолью управления. Такой пакет, скажем, может объединять сервис по созданию и распространению фишинговых писем и сообщений (для мессенджеров и соцсетей) программы-шифровальщики, инструменты для взлома и т.д. В последнее время отмечается добавление ко всему этому возможностей ИИ, что делает подобные сервисы еще более опасными.
Еще одной ново тенденцией стало появление сервисов, которые можно условно назвать «дезинформация по заказу» (Disinformation as a Service, DaaS). Такой сервис, снова-таки, с помощью ИИ, позволяет автоматически создавать, распространять и поддерживать заведомо ложные сообщения. По заказу генерируются не только правдоподобные тексты новостей и комментарии к ним, но также фото и в некоторых случаях даже видеоматериалы. При этом недавние исследования показали, что, к примеру, в сети X (Twitter) грамотно составленные поддельные новости репостят на 70% чаще, чем достоверные сообщения. По другим мировым соцсетям данных нет, но, очевидно, ситуация там отличается незначительно.
Атаки устраивают не только через социальные сети, омниканальность — один из характерных признаков современных DaaS. Фейковая информация появляется сразу на множестве площадок, включая мессенджеры, форумы и другие площадки.
Уровень устойчивости аудитории к фейковым новостям очень сильно зависит от региона — он высок в странах Западной и Северной Европы (исследователи связывают это с более высокими образовательными стандартами, развитыми СМИ и доверием между людьми) и, напротив, очень низок в государствах Юго-Восточной Азии и Восточной Европы (где средства массовой информации более контролируемы, есть недостатки в образовании, а доверие внутри общества оставляет желать лучшего).
Вопреки распространённому мнению, мощным информационным атакам подвергаются не только организации госсектора. Сегодня DaaS все чаще становится инструментом недобросовестной конкуренции — данное направление быстро становится наиболее прибыльной областью этого криминального бизнеса.
Персонал устал
Киберугрозы быстро развиваются, становясь все более профессиональными и сложными. На этом фоне со всей очевидностью проявляется другая сторона медали — нехватка и, как следствие, чрезмерная загруженность специалистов, ответственных за кибербезопасность. Для отражения новых атак, конечно, появляются все новые инструменты защиты. Возможно, они даже эффективны, но сотрудники отдела безопасности иногда просто не успевают с ними разобраться должным образом. Атак становится больше с каждым днем, в то же время, бюджеты на кибербезопасность растут не так быстро, как того требуют обстоятельства. В результате — хроническая нехватка людей и времени, усталость и выгорание квалифицированных специалистов по безопасности. Возможно, эту проблему удастся решить в ближайшем будущем с помощью технологий AI/ML, но, пока что, вопросов здесь больше, чем ответов и в 2024 году проблема выгорания квалифицированного персонала стоит очень остро.
Несколько практических советов
Ландшафт киберугроз стремительно развивается. Атаки становятся все более сложными и изощренными, а киберпреступики быстро осваивают самые современные технологии. В этих условиях важно обеспечить комплексную защиту корпоративных ИТ-инфраструктур и данных пользователей. Как это сделать? На этот вопрос нет универсального ответа, тем не менее, существует ряд принципов, применение которых позволит существенно снизить риски киберугроз:
- Комплексное и систематическое управление обновлениями (как минимум для критически важного ПО).
- Строгий контроль доступа, многофакторная аутентификация (MFA) для всех учетных записей пользователей и регулярная смена паролей.
- Принцип минимальных привилегий. Пользователи получают только минимально необходимые разрешения для выполнения своих рабочих функций.
- Использование межсетевых экранов и фильтрация трафика.
- Внедрение системы обнаружения и предотвращения вторжений (IDPS) для мониторинга сетевой активности, принятия проактивных мер и блокировки атак.
- Безопасный удаленный доступ (например, через VPN), чтобы защищать конфиденциальные данные, когда сотрудники работают удаленно.
- Комплексное шифрование данных. Не только на жестких дисках корпоративных пользователей, серверах и других устройствах хранения, но и в процессе транзита (передачи данных по сетям).
- Регулярное резервное копирование по принципу 3-2-1-1.
- Систематические тренинги по кибербезопасности для сотрудников, включая фишинговые симуляции и воссоздание других угрожающих ситуаций.
- Разработка комплекса мер реагирования на инциденты кибербезопасности (создание плана и различных сценариев, назначение ролей для сотрудников, написание четких инструкций и т.д.). Все разработанные сценарии необходимо тестировать и вносить корректировки по результатам.
- Управление рисками третьих сторон. Проводите оценку практик безопасности сторонних поставщиков услуг и партнеров, с которыми приходится взаимодействовать. Часто атаки совершаются путем скрытого использования сетей доверенных внешних компании.
- Регулярные аудиты. Проводите проверки собственных инфраструктур и облачных сред для выявления и устранения уязвимостей в системах безопасности. Осуществляйте непрерывный мониторинг и разведку возможных угроз, будьте в курсе новых тенденций в сфере кибербезопасности.
Мир киберпреступности не стоит на месте — злоумышленники объединяются в большие корпорации и используют последние технологические достижения для реализации своих преступных целей. Но, это значит лишь то, что мы — все, кто хочет защитить свои цифровые активы — должны развиваться еще быстрее, эффективно внедряя проверенные методы защиты и осваивая новейшие инструменты кибербезопасности.