Компания Digital Security, специализирующаяся на анализе защищенности систем, представила прогноз основных угроз и тенденций в сфере ИБ в 2015 г. Ведущие эксперты исследовательского центра компании предложили свое видение главных трендов и проблем безопасности по ключевым направлениям деятельности, сообщили CNews в Digital Security.
Конец 2014 г. ознаменовался обнаружением ряда опасных уязвимостей (Heartbleed, Shellshock, Poodle) в распространенном и давно разрабатываемом программном обеспечении с открытым кодом. По словам Дмитрия Евдокимова, директора исследовательского центра Digital Security, значительная часть такого ПО создавалась в 80-90 годы без заботы о безопасности, поэтому содержит множество проблем. Сегодня подобные разработки используются как часть больших программных комплексов, что позволяет применять содержащиеся в них уязвимости при реализации многоуровневых атак. По мнению эксперта, такие атаки будут популярны в 2015 г.
«Еще одной важной тенденцией в поиске проблем безопасности можно назвать использование вспомогательных аппаратных (цифровых и аналоговых) средств. Таким образом, мы еще больше приблизимся к обнаружению низкоуровневых уязвимостей и уязвимостей на уровне железа», — добавил Дмитрий Евдокимов.
В то же время, в 2015 г. станет актуальнее проблема безопасности фреймворков. Причем речь идет о фреймворках как для кроссплатформенной разработки, так и для решения конкретных задач. Аналогичная ситуация и с библиотеками — она сложилась уже в конце 2014 г. и в основном связана с передачей информации в открытом виде или с возможностью проведения MiTM-атаки, пояснил эксперт, сообщает safe.cnews.ru
Между тем, большое количество нововведений для самых распространенных мобильных ОС (iOS, Android) повлечет за собой распространение новых проблем безопасности, полагает Дмитрий Евдокимов. Примечательно, что в iOS добавили опцию разработки программ на языке Swift, а в Android постепенно начинают переход на новое окружение выполнения — ART. Также в iOS 8 впервые появилась возможность (app extensions) достаточно гибко взаимодействовать с приложениями на устройстве. «Сколько из-за этого было уязвимостей в Android-приложениях, мы все хорошо знаем, а вот как эту опцию будут использовать разработчики на iOS — интересно посмотреть», — отметил эксперт Digital Security.
Что касается операционной системы Windows Phone 8, то в конце 2014 г. появился jailbreak и для нее. По мнению Digital Security, данный факт упростит и ускорит появление вредоносного кода для WP8. Как считают в компании, высока вероятность того, что будет развиваться процесс изучения «внутренностей» этой ОС, а также процесс поиска уязвимостей в WP8 и в приложениях для нее.
Среди важных трендов 2015 г. в сфере мобильной безопасности в Digital Security назвали растущий спрос на анализ исходного кода мобильных приложений для финансовых организаций. Это обусловлено тем, что изначально они создавались сторонними разработчиками, которые, возможно, не уделяли должного внимания безопасности. Сейчас финансовые организации хотят контролировать все, включая мобильные приложения.
Проблема встроенных сертификатов на мобильных устройствах и чрезмерная вера в защищенность при их использовании на мобильных устройствах станет еще острее. Показательной можно считать реальную атаку, при которой на iOS-устройство без jailbreak устанавливается вредоносное приложение. Также не стоит забывать о возможности реализации атаки MiTM владельцами этих встроенных сертификатов, указали в компании.
По словам Алексея Тюрина, директора департамента аудита защищенности Digital Security, в наступившем году в банковской сфере сохранятся основные тенденции прошедшего. Во-первых, будет расти количество атак на внутрибанковские системы. То есть вектор атак продолжит расширяться с клиентов банков на сами банки. Основная причина — возможность сорвать сразу большой куш. «Конечно, такие атаки трудно автоматизировать полностью, да и с выводом денег могут возникнуть проблемы. Но пока готовность банков противодействовать таким атакам не заметна ни на техническом уровне, ни на уровне понимания. А потому проводить их достаточно легко, — заявил Алексей Тюрин. — И хотя ЦБ в этом году выпустил стандарт, посвященный жизненному циклу АБС и призванный повысить защищенность банковских систем, он является рекомендательным, и “на местах” его внедряют неохотно».
Далее, по мнению эксперта, будет расти количество и качество вредоносного кода, особенно кроссплатформенного. В первую очередь, речь идет о вирусах, которые могут распространяться в рамках одной ОС на несколько устройств. Так, нередки случаи заражения смартфонов через ПК или наоборот. Таким образом, «второй канал» уже не сможет спасти пользователя ДБО от хищения средств с его счетов в банке, поскольку злоумышленник сможет читать одноразовые пароли, приходящие по SMS на мобильное устройство, посредством зараженного ПК.
Следующая тенденция — реализация атак в отношении «непродвинутых» пользователей. Традиционные проблемы (некорректные настройки ПО, отсутствие обновлений, добровольное содействие «социальным инженерам» и несоблюдение правил ИБ при работе с интернетом) остаются. Также наверняка будет зафиксировано большое количество инцидентов в сфере онлайн-платежей. К примеру, перехватив сведения о номере карты (PAN), сроке действия и CVV2 (и даже без него), злоумышленник уже может проводить различные транзакции по карте через онлайн-сервисы и, таким образом, выводить деньги, подчеркнул Алексей Тюрин.
Еще один тренд наступающего года — усиление активности злоумышленников в отношении электронной валюты Bitcoin (и ее аналогов). Будет появляться все больше вирусов, нацеленных на кражу таких «денег», а также возрастет число таргетированных атак на ресурсы, где они «крутятся» (например, биржевые площадки), полагает эксперт.
В то же время, поскольку все больше интернет-клиентов (особенно для юридических лиц) работают теперь не только с браузером Internet Explorer и ОС Windows, а поддерживают и другие браузеры и ОС, злоумышленники испытывают определенные сложности, стремясь автоматизировать все процессы: от атак на клиентов и заражения их до определения ДБО банка и вывода денег. Помимо этого, растет и количество мобильных банк-клиентов, что затрудняет преступную деятельность. С практической точки зрения, захватить полный контроль над мобильным устройством или хотя бы установить на нем вредоносное приложение в разы труднее, чем произвести аналогичные действия на обычном компьютере, отметили в Digital Security. Другой положительной тенденцией, по данным компании, является усиление функций безопасности на ПК. К примеру, все больше производителей ПО переходит на процесс автоматического и практически принудительного обновления ПО.
В 2015 г. количество внедряемых ERP-систем будет увеличиваться. Более того, существующие платформы будут активно обновляться ввиду растущих потребностей бизнеса. «Так, например, мы наблюдаем увеличение количества SAP платформ версии 7.3 в 3,5 раза и снижение количества версий 6.4 примерно в полтора раза», — заметил Дмитрий Частухин, директор департамента аудита SAP Digital Security.
Параллельно с этим, сегодня все реже встречаются исключительно «внутренние» ERP-системы, поскольку развитие мобильных и облачных технологий затронуло и эту сферу. Доступность из интернета в сочетании со снижением расценок на организацию таргетированных атак продолжит привлекать внимание злоумышленников к этой области, считает эксперт. «Итак, мы прогнозируем увеличение количества инцидентов ИБ, связанных с ERP-системами. В этом году мы ожидаем рост критичных уязвимостей, приводящих к таким атакам, как удаленное выполнение кода, отказ в обслуживании и обход авторизации в новых решениях крупных игроков рынка (ERP SAP HANA, SAP Mobile). Проблемы с безопасностью продуктов менее популярных вендоров сделают возможными атаки на SCADA-системы через ERP-приложения», — заключил Дмитрий Частухин.
«Тем не менее, с каждым годом компании все больше уделяют внимание безопасности ERP-систем, не ограничиваясь матрицей SoD. И мы можем отметить общую тенденцию к снижению количества уязвимостей в ERP-системах примерно на 10-15% за прошедший год по отношению к позапрошлому», — добавил он, пояснив, что это связано не только с тем фактом, что «дыры» становятся все более сложными, и искать их все труднее, но и с тем, что вендоры стали внедрять процессы разработки, значительно уменьшающие шансы допустить ошибку, которая может повлиять на безопасность систем.
По мнению Александра Большева, директора департамента аудита АСУ ТП Digital Security, маловероятно, что на западном рынке в области безопасности АСУ ТП что-либо кардинальным образом изменится в 2015 г. «Что касается отечественного рынка, то 31-й приказ ФСТЭКа, несомненно, оказал и продолжает оказывать существенное влияние на индустрию, и можно надеяться, что уровень общей защищенности систем вырастет», — подчеркнул он.
Очевидно, что наиболее интересным следующий год будет в области исследований. Уже сейчас, по словам эксперта Digital Security, их вектор постепенно смещается от традиционных SCADA-систем, к которым, зачастую, исследователю трудно получить доступ, в область систем, используемых в повседневности. «Можно не сомневаться, что нас ждет множество новых данных о безопасности умных домов, систем управления движением, специфичных для городской среды радиопротоколов, транспортных сетей и т.д. Во всяком случае, тенденцию к увеличению заинтересованности такими системами можно было отметить уже на конференциях 2014 года», — резюмировал Александр Большев.
