Собака бывает кусачей: какие киберугрозы ждут бизнес в 2018 году

Хотя от кибератак традиционно больше страдает финансовый сектор, эксперты в области информационной безопасности рекомендуют внимательнее отнестись к защите компаниям из всех отраслей экономики. Среди новых целей хакеров - криптовалютные биржи и сервисы. Специалисты также прогнозируют рост количества атак на крупные хранилища информации, оперирующие данными миллионов пользователей. Кроме того, стоит ожидать "творческих тактик вымогательства", использования социальной инженерии и атак на облачную инфраструктуру.

К каким изменениям готовиться бизнесу

Вице-президент группы компаний InfoWatch, генеральный директор компании AttackKiller (занимается разработкой решений для защиты организаций от внешних атак) Рустэм Хайретдинов ожидает ужесточения регулирования в сегменте B2B в 2018 г. "На соответствие требованиям регуляторов будет тратиться больше ресурсов, в том числе финансовых, однако практических проблем защиты бизнеса от киберугроз это не решит", - заметил он.

Регуляторы оказывают сильное влияние на компании. "Зачастую заказчики боятся проверок со стороны регуляторов больше, чем реальных угроз информационной безопасности", - сообщил технический директор Check Point Software Technologies в России и СНГ Никита Дуров. В частности, компания ожидает серьезных преобразований в обеспечении информационной безопасности на промышленных объектах в связи с вступлением в силу с 1 января 2018 г. Федерального закона от 26.07.2017 №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

Как считает директор департамента информационной безопасности компании "Сервионика" (ГК "АйТеко") Василий Степаненко, регулятор постарается уравнять всех заказчиков и сработает катализатором обеспечения ИБ. Однако он заметил, что для некоторых компаний критичным окажется Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR), который начнет действовать с 25 мая 2018 г.

В связи с требованиями регуляторов технический директор Eset Russia Виталий Земских ожидает 50%-ный рост инвестиций в продукты информационной безопасности, волну инвентаризации с заменой устаревших аппаратных и программных средств, рост спроса на комплексные решения, телеметрические сервисы класса Threat Intelligence и консалтинговые услуги.

Кроме того, факторами роста инвестиций в ИБ он назвал требования регуляторов к защите госсектора, влияние эпидемий 2017 г. (WannaCry, Petya/NotPetya, Bad Rabbit), новые масштабные кибератаки и повышение общей осведомленности компаний в области ИБ.

Глава представительства Avast в России Алексей Федоров также ожидает, что расходы на защиту ИБ будут расти. Согласно опросу Avast, 90% организаций осознают, что информационная безопасность становится критически важным аспектом бизнеса. Средний и малый бизнес нуждается в более простых решениях, где можно положиться на ИТ и ИБ-специалистов. Поэтому, заметил он, решения будут более удобными для бизнеса, а также будут предоставлять комплексную защиту.

В отличие от них ведущий аналитик отдела развития "Доктора Веба" Вячеслав Медведев настроен не так оптимистично. Он заметил, что платежеспособный спрос населения будет сокращаться. Соответственно, с большой долей вероятности можно предположить, что в большинстве компаний продолжится тенденция сокращения ИТ-бюджетов.

Рустэм Хайретдинов придерживается схожего мнения. По его словам, в 2018 г. в связи с прогнозируемой стагнацией произойдет сокращение ИТ/ИБ-бюджетов в самых платежеспособных отраслях экономики - государственном секторе, энергетике, телекоме и финансах.

Аналитик "Доктора Веба" обращает внимание на то, что в стране разрабатывается программа "Цифровая экономика", предполагающая, в частности, увеличение мер защиты, которые должны использоваться компаниями. "Бизнесу понадобится реальная, а не "бумажная" защита", - отмечает Рустэм Хайретдинов, также говоря об усиливающейся цифровизации бизнеса.

При этом Вячеслав Медведев не исключил наложения санкций на использование некоторых продуктов (или отзыва лицензий на их использование) в связи с нарастанием международной напряженности.

Одним из сдерживающих факторов роста в B2B-сегменте аналитик "Доктора Веба" назвал то, что программа импортозамещения, по сути, не поддерживается бизнесом. За прошедшее время было создано мало российских систем, несмотря на многочисленные программные заявления. Он видит причину в сложности и дороговизне создания продуктов для лидеров рынка с необходимым функционалом и надежностью.

Аналитик "Доктора Веба" предположил, что потребителями российских решений могли бы стать компании малого и среднего бизнеса, которым не нужен полный функционал дорогих продуктов. Однако существуют препятствия - недостаточная платежеспособность населения и, как следствие, пиратство.

Каких угроз остерегаться

Вячеслав Медведев из "Доктора Веба" предположил, что характер угроз в новом году не поменяется. Скорее всего, это будут шифровальщики, банковские трояны, DDoS-атаки и фишинг. При этом в 2018 г. возможны перерождения старых семейств угроз, к которым нужно быть готовыми. Никита Дуров из Check Point Software Technologies добаил, что киберпреступники будут искать способы усовершенствовать свои инструменты, чтобы снова использовать их.

Специалист Avast уверен, что киберпреступники будут применять все более сложные методы социальной инженерии. "Целевые атаки будут более успешными: в руках мошенников большая база личных данных, собранных ранее, так что выявить личные и контекстуальные связи, сделать максимально правдоподобные сообщения будет гораздо проще", - пояснил он.

Как заметил архитектор бизнес-решений компании VMware Артем Гениев, с помощью социальной инженерии можно будет проникнуть в сеть даже через защищенный периметр: всегда найдется сотрудник, который не заподозрит подвоха и откроет вредоносное вложение или запустит скачивание ненадежной программы. "Поэтому очень важно, чтобы компания разработала ключевые принципы работы с ИТ, а также сумела донести эту информацию до сотрудников всех уровней - от ИТ-специалистов и топ-менеджмента до рядовых сотрудников и даже подрядчиков", - подчеркнул специалист VMware.

Артем Гениев заметил, что атаки шифровальщиков показали свою мощь и будут использоваться и дальше - если не для получения прибыли, то для других преступных целей. По словам Никиты Дурова из Check Point Software Technologies, стоит ожидать от киберпреступников "творческих тактик вымогательства". Например, таких как "перешлите вирус двум контактам, и мы сделаем скидку на возврат ваших данных".

Специалисты Аналитического центра (АЦ) InfoWatch прогнозируют рост целевых хакерских атак на крупные хранилища информации и интернет-сервисы, оперирующие данными миллионов пользователей. Повышение ликвидности персональных данных на черном рынке приведет к новому витку деструктивных действий со стороны и киберпреступников извне, и нарушителей внутри компаний.

Также под угрозой находятся производственные процессы компаний из-за возможных взломов ERP-систем (Enterprise Resource Planning - планирование ресурсов предприятия), АСУТП (автоматизированные системы управления технологическим процессом) и других корпоративных систем. Как считают специалисты АЦ InfoWatch, злоумышленники будут чаще пускать в ход программы-вымогатели и взламывать корпоративную электронную почту.

Специалисты АЦ InfoWatch отмечают, что в технологическом плане киберпреступники стараются опережать сотрудников, занимающихся ИБ организаций. В частности, в новом году хакеры, вероятнее всего, продолжат осваивать машинное обучение, блокчейн и другие новые технологии, позволяющие вести масштабные управляемые атаки и при этом сохранять анонимность.

Под угрозой также компании, которые активно используют устройства, относящиеся к миру Интернета вещей (IoT) - веб-камеры, беспилотные аппараты и другие умные устройства. Специалисты АЦ InfoWatch привели в пример объединение хакерами тысяч подключенных устройств в деструктивные сети. Уязвимости IoT будут использоваться для компрометации данных и извлечения прибыли.

Об этом же говорит и Артем Гениев из VMware. С развитием технологий Интернета вещей, умных производств, городов и домов будут происходить атаки на них. Виталий Земских предполагает, что скоро распространится вредоносное ПО, ориентированное на IoT - как вариант, шифраторы.

"Контроль IoT-сети дает злоумышленникам большие возможности для получения критических данных - контроль камер наблюдения или POS-терминалов, - нарушения общественного порядка, нечестной конкурентной борьбы и т.д. Проблема еще и в том, что, в отличие от сетей, устройства IoT не всегда имеют встроенную защиту от взлома и получить через них доступ ко всей сети для злоумышленников проще, чем взломать защищенный корпоративный периметр", - отмечает Артем Гениев.

Кроме того, отметил Никита Дуров из Check Point Software Technologies, в 2018 г. актуальными угрозами по-прежнему останутся атаки на облачную инфраструктуру. Самая популярная форма которых на сегодняшний день - это взлом учетных записей SaaS-приложений или хостинг-серверов. По его прогнозам, количество атак на них в будущем году возрастет. А количество взломов, эксплуатирующих уязвимости в корпоративном ПО, наоборот, сократится в связи с усилением защиты операционных систем.

В 2017 г. широкое распространение получило вредоносное ПО для майнинга криптовалюты. Никита Дуров из Check Point Software Technologies полагает, что в следующем году количество таких зловредов сильно возрастет.

По мере легализации криптовалюты хакеры будут все больше перемещать фокус внимания на эту сферу. "Майнинг-фермы, криптофонды, криптокошельки будут уязвимы, пока регламенты безопасности не будут четко сформулированы. А на это потребуется время. Помимо шифровальщиков, которые еще дадут о себе знать в 2018 г., арсенал хакеров разнообразят майнинг-вирусы, которые позволят мгновенно получать прибыль с атак", - отметил заместитель директора по развитию компании "Айдеко" Дмитрий Хомутов.

Меняются и подходы злоумышленников к способам атак. Теперь они понимают, что "цифровые следы" остаются и могут быть основанием для уголовных наказаний. "А раз так, то нет смысла точечно уничтожать логи. Чтобы замести следы, злоумышленники будут стремиться разрушать всю инфраструктуру - сжигать за собой мосты", - прогнозирует Василий Степаненко из ГК "АйТеко".

Виталий Земских назвал сравнительно новым вектором угроз атаки на цепи поставок. "Суть в том, что атакующие не пытаются получить доступ в сеть крупной компании напрямую - это дорого, долго и сложно. Вместо этого они действуют через подрядчиков, поставщиков и партнеров: небольшие компании зачастую не имеют средств для построения комплексной защиты. Далее скомпрометированная сеть используется в качестве плацдарма для атаки на целевую компанию", - заметил он.

"Примерно так была построена деструктивная атака с применением шифратора Petya/NotPetya. Атакующие получили доступ к серверу обновлений бухгалтерского ПО M.E.Doc, популярного в украинских компаниях. Пользователи установили троянизированное обновление, и угроза распространилась в их сетях", - объяснил Виталий Земских.

Рустэм Хайретдинов прогнозирует, что системы, построенные на принципах "навесной" безопасности, будут чаще подвергаться атакам извне. "Когда бизнес-приложения и инфраструктура под них проектируются без учета встроенных механизмов безопасности и только после окончания разработки передаются службам безопасности, система оказывается чрезвычайно уязвимой", - уточнил он.

Рустэм Хайретдинов предполагает, что изменения будут связаны с архитектурной уязвимостью таких систем, когда объект и его защита разрабатываются отдельно.

На кого нацелены атаки

Рустэм Хайретдинов из AttackKiller прогнозирует, что от атак будут страдать в первую очередь финансовые компании, поскольку "результаты их взломов проще всего монетизировать". "Под прицелом хактивистов - политически мотивированных хакеров - будут оставаться государственные органы и ключевые элементы инфраструктуры: энергетика, транспорт и телеком", - добавил он.

В целом же, как считает аналитик "Доктора Веба", компании практически из всех отраслей находятся под угрозой. "Нужно понимать, что для хакеров нет слишком маленькой компании, которая не заслуживает их внимания. Бизнес кибератак активно масштабируется, так что жертвой может стать любая организация", - считает Алексей Федоров из Avast.

Вячеслав Медведев выделил мелкий и средний бизнес - именно такие компании, как правило, атакуются. Это объясняется тем, что пользователи могут установить вредоносное ПО в силу недостаточных мер защиты.

Артем Гениев отметил, что в новом году под угрозой будет находиться весь корпоративный сектор, особенно компании уровня Enterprise. Кроме банков, финансовых организаций, телекоммуникационных компаний и промышленных производств к потенциальным жертвам атак хакеров он отнес СМИ.

"В 2018 г. может появиться новый класс среди первоочередных атакуемых - это интеграторы, провайдеры услуг. Если инфраструктура интегратора недостаточно защищена, такой поставщик может, сам того не зная, стать "троянским конем" для коммерческих заказчиков", - предостерег Василий Степаненко. Кроме того, среди новых целей хакеров можно выделить криптовалютные биржи и сервисы, сообщил Виталий Земских.

Как защититься бизнесу

Вячеслав Медведев из "Доктора Веба" посоветовал компаниям обратить внимание на "существующие учебники по информационной безопасности". "Не следует отключать антивирус, длительное время не обновлять его, не ставить "заплатки" безопасности, давать пользователям право запускать вложения из писем", - добавил он.

Рустэм Хайретдинов из AttackKiller рекомендует привести в порядок существующие информационные системы в организации, исследовать уязвимости и протестировать киберустойчивость, после чего обеспечить эшелонированную защиту ключевых узлов от внешних атак. "При разработке новых бизнес-систем стоит учитывать безопасность еще на этапе проектирования, встраивать механизмы защиты во все ключевые процессы на всех стадиях жизненного цикла информационных систем", - отметил он.

"Что касается защиты организаций от действий внутренних нарушителей, то для предупреждения преднамеренных и случайных утечек требуются современные DLP-системы (Data Loss Prevention - продукт, созданный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети - Прим. ComNews) с возможностью контроля широкого спектра каналов и подключением инструментов анализа поведения пользователей информационных систем", - обращают внимание специалисты АЦ InfoWatch.

Специалист VMware советует обратить внимание на новую модель ИБ. "Защита на уровне периметра работает, когда он стабилен и все системы находятся в одном дата-центре, а люди сидят в одном здании и работают на стационарных ПК. Однако реальность такова, что периметр размывается, сотрудники используют собственные устройства, облачные сервисы - они находятся за пределами корпоративного файервола. Поэтому необходимо интегрировать безопасность везде внутри периметра, что становится возможным за счет виртуализации сетей и микросегментации. Благодаря микросегментации вся ИТ-среда разделяется на небольшие сегменты, и у каждой есть свой файервол: при взломе одного сегмента остальные устройства и приложения останутся в безопасности", - рассказал Артем Гениев.

Помимо этого, VMware рекомендует своим заказчикам шифровать данные при передаче и хранении, чтобы обезопасить бизнес-критичные приложения. Необходимо использовать мультифакторную аутентификацию для защиты учетных записей и системных компонентов. Наконец, добавил Артем Гениев, чтобы избежать атак на программные продукты (как в случае с WannaCry), важно своевременно устанавливать все обновления и патчи на корпоративное ПО.

Как сообщил специалист VMware, на удаленных площадках можно применить принципы Software Defined. "Благодаря виртуализации на таком сервере можно запускать несколько изолированных сервисов - например, видеонаблюдение, межсетевой экран и шлюз Интернета, - при этом конфигурация распространяется из центра в виде политик. Это позволяет распространить принципы микросегментации в самые удаленные точки организации, защитить в том числе и устройства Интернета вещей", - отметил Артем Гениев.

"Чтобы обеспечить оптимальную безопасность, компаниям необходимо выстраивать информационную безопасность на одном уровне со всей ИТ-инфраструктурой. Следует использовать стратегию нулевого доверия и внедрять превентивные методы по борьбе с угрозами. Это позволит идентифицировать и остановить незнакомый вредоносный код еще до того, как он попадет в корпоративную сеть", - посоветовал Никита Дуров из Check Point Software Technologies.

Как заметил Дмитрий Хомутов из "Айдеко", компании должны позаботиться о своей защите на всех потенциально уязвимых точках - веб-приложениях, рабочих станциях, Wi-Fi-сетях.

"Дверью в корпоративную сеть может стать что угодно, поэтому подход к информационной безопасности должен быть комплексным, охватывающим максимальное количество векторов атак. Защита сетевого периметра и сегментирование локальной сети обеспечивают защиту от проникновения вирусов внутрь защищенного контура или позволяют предотвратить полное заражение сети и критически важных блоков - компьютеров финансового отдела, бухгалтерии, серверов баз данных, бэкапов, систем управления производственными процессами", - добавил он.

Виталий Земских из Eset заметил, что нужно следовать стандартным мерам безопасности - защищать периметр. Для этого нужно использовать современные комплексные ИБ-решения, включая продукты для защиты почтовых и файловых серверов, своевременное обновление ПО. Кроме того, следует применять телеметрические сервисы класса Threat Intelligence, предоставляющие доступ к данным о целевых атаках на организации, новых вредоносных программах и активности ботнетов. Немаловажным являются консалтинговые и сервисные услуги в области киберзащиты, включая социотехнические тесты, привлечение на аудит стороннего подрядчика (чтобы исключить появление случайных или спланированных уязвимостей в защите) и обучение персонала.