Специфика киберугроз будущего
Евгений Питолин, управляющий директор Kaspersky Lab в Казахстане, ЦА и Монголии
– Мы исходим из того сценария, что в ближайшем будущем наиболее значимые угрозы будут связаны с целевыми APT-атаками – именно они демонстрируют максимальную степень инновационности в сфере нарушений кибербезопасности. Вот наши основные прогнозы относительно кибербудущего:
1) Конец эры крупных отдельных целевых атак. Вместо этого киберзлодеи примутся за освоение новых, более сложных техник, которые будет гораздо труднее обнаружить и связать с конкретными кибергруппировками. В некоторых случаях более эффективной тактикой может быть прямое воздействие на инфраструктуру и компании, где есть потенциальные жертвы (например, на интернет-провайдеров).
2) Сетевое оборудование и интернет вещей. Представляется логичным, что в какой-то момент любой вредоносный агент будет использовать возможности и инструменты, предназначенные для воздействия на сетевое оборудование – осуществляя массовое заражение, и в дальнейшем использовать такие сети в своих целях, либо проводить менее заметные атаки на отдельных жертв.
3) Появление новичков. Сейчас входной барьер для атаки крайне низок – в открытом доступе находятся сотни весьма эффективных инструментов, утекших переработанных эксплойтов и программных пакетов всех видов и мастей. Кроме всего прочего, использование этих средств делает атрибуцию атак практически невозможной, а сами инструменты при необходимости легко кастомизируются. Атакующие традиционно используют приемы социальной инженерии в отношении локальных жертв, эксплуатируют их слабую защиту и общий недостаток культуры кибербезопасности – особенно это свойственно для регионов Азии.
4) Целевой фишинг. Тут сюрпризов, наверное, будет меньше всего – это самый успешный вектор заражения, и мы полагаем, что в ближайшем будущем он станет еще более важным. Секрет его успеха заключается в способности вызвать у жертвы любопытство, и недавние массовые утечки данных из различных социальных медиаплатформ могут помочь злоумышленникам усовершенствовать этот подход. Например, злоумышленник может использовать краденые учетные данные вашего друга, чтобы поделиться в социальной сети чем-то, что вы ранее обсуждали с ним в личной переписке, и таким образом значительно повысить свои шансы на проведение успешной атаки. Такой подход можно совместить с традиционными разведметодами, когда злоумышленники дополнительно проверяют правильность выбора жертвы, чтобы свести к минимуму распространение вредоносного ПО и вероятность его обнаружения.
5) Продвинутая цепочка поставок. Этот вектор атак успешно эксплуатируется в течение последних двух лет, что не может не вызывать беспокойство – многие задумались о количестве и безопасности своих поставщиков. К сожалению, на атаки подобного рода нет простого ответа. Атаки на цепочку поставок являются эффективным вектором заражения, и мы ожидаем, что в будущем они не потеряют свою актуальность, и в первую очередь в группе риска окажутся небольшие компании, поставщики специализированных финансовых сервисов для крупных игроков, таких как системы перевода денег, банки и биржи, ПО для PoS и ATM.
6) Мобильные устройства. Мы не предвидим никаких крупных эпидемий, связанных с мобильным вредоносным ПО, но ожидаем продолжения активности продвинутых злоумышленников по поиску новых способов получения доступа к устройствам потенциальных жертв.
7) Растущий интерес к промышленным сетям киберпреступников и спецслужб. Сокращение прибыльности и увеличение риска атак, направленных на традиционных жертв, заставляет киберпреступников искать новые цели, в том числе среди промышленных организаций. Параллельно спецслужбы многих стран, а также другие организованные группы, движимые коммерческими, внутренними или внешними политическими интересами, активно участвуют в разработках техник шпионажа и кибертеррористических атак на промышленные объекты. Принимая во внимание сложившийся геополитический контекст, тенденции в разработке АСУ ТП, а также повсеместный переход на новые процессы управления, модели производства и экономической деятельности, в ближайшие годы кибердавление на промышленные компании будет только нарастать.
8) Фокус на обходе антифрод-решений в финансовой среде: атаки на системы приема онлайн-платежей вместо PoS. В следующем году с точки зрения угроз для обычных пользователей и магазинов наиболее тяжелая ситуация сложится для тех, кто использует банковские карты без чипов и не требует двухфакторной аутентификации для транзакций. Для обхода антифрод-систем они полностью копируют все системные параметры компьютера и браузера. Мы предполагаем, что количество атак на PoS-терминалы будет уменьшаться, перемещаясь в плоскость атак на прием онлайн-платежей.
9) Первые атаки через кражу и использование биометрических данных. Биометрические системы идентификации и аутентификации пользователей постепенно внедряются различными финансовыми институтами, и при этом уже произошло несколько крупных утечек собранных биометрических данных. Эти два факта являются почвой для появления первых PoC (proof-of-concept) атак на финансовые сервисы с использованием утекших биометрических данных.