Прогноз развития киберугроз и средств защиты информации 2020

Известные эксперты отметили основные тенденции на рынке информационной безопасности в России и сделали свои прогнозы о развитии киберугроз и средств защиты информации на будущий 2020 год. Особо отмечены риски, связанные с цифровизацией экономики, недостатком квалифицированных кадров, слабой защищенностью мобильных устройств и IoT, социальной инженерией, целевыми атаками, мошенничеством и вымогательством. Ожидается усиление влияния государственных регуляторов. В таких условиях некоторые методы и средства информационной безопасности требуют переосмысления и технологического улучшения, в первую очередь за счет применения автоматизации и машинного обучения.

 

 

1. Введение
2. Прогнозы
1. 2.1. Avast Software
2. 2.2. BI.ZONE
3. 2.3. Check Point Software Technologies
4. 2.4. ESET Software
5. 2.5 Fortinet
6. 2.6. Group-IB
7. 2.7. ГК InfoWatch
8. 2.8. Oberon
9. 2.9. One Identity
10. 2.10. Positive Technologies
11. 2.11. Аванпост
12. 2.12. Компания «Актив»
13. 2.13. Аладдин Р.Д.
14. 2.14. Газинформсервис
15. 2.15. ГК «Интеллектуальная безопасность»
16. 2.16. Инфосистемы Джет
17. 2.17. Код Безопасности
18. 2.18. Лаборатория Касперского
19. 2.19. Ростелеком-Солар
20. 2.20. СёрчИнформ
3. Выводы

 

Введение

Конец года — традиционное время не только для подведения итогов, но и для предсказаний. Зарубежные журналисты и вендоры, работающие в области информационной безопасности, всегда активно собирают и формулируют тезисы о будущем, но на российском рынке таких публикаций сравнительно мало. Редакция Anti-Malware.ru решилась на смелый эксперимент: собрать прогнозы на наступающий 2020 год в виде экспертных комментариев от известных на рынке ИБ отечественных компаний и сосредоточить их в единой статье. Рассылая коллегам приглашение поучаствовать в этой необычной для нас инициативе, мы попросили их выразить свое мнение по следующему вопросу:

Что ждать от наступающего 2020 года в отношении развития киберугроз и эволюции средств защиты от них (тенденций)?

В общей сложности мы получили ответы от 29 экспертов из ведущих компаний рынка информационной безопасности. Комментарии приведены в алфавитном порядке по названию компаний.

 

Прогнозы

Avast Software

Исследователи Avast, говоря о наиболее вероятных трендах, выделяют рост атак на умные устройства, интерес хакеров к iOS и появление новых способов распространения вредоносных программ.

Николаос Хрисаидос, глава отдела исследования угроз и защиты для мобильных устройств Avast, уверен, что в следующем году в мобильной операционной системе от Apple будет найдено достаточно уязвимостей. Также Николаос предполагает, что вредоносные и фейковые приложения будут всё чаще попадать в официальные магазины приложений.

Исследователь безопасности Avast Даниэль Уричек считает, что количество умных устройств продолжит расти, и не все пользователи будут соблюдать все необходимые меры предосторожности при работе с ними.

В следующем году хакеры сосредоточатся на разработке эксплойтов и поиске новых уязвимостей в умных устройствах. Скорее всего, хакеры будут опираться на старые, уже установленные семейства вредоносных программ, дополняя их новыми эксплойтами.

Злоумышленники будут искать новые методы распространения угроз, уверен Якуб Крустек, глава направления по исследованию угроз компании Avast: «Киберпреступники всё время ищут новые способы, чтобы обойти современные решения безопасности и добраться до конечного пользователя. Самое уязвимое место — человек, поэтому злоумышленникам важно, чтобы их письма доходили до жертв и не блокировались системами безопасности. Так как вредоносные письма рассылаются не первый год и многие люди уже знают, как они выглядят, хакеры стремятся сделать их максимально правдоподобными. Их действительно становится всё сложнее сходу обнаруживать, а значит, процент успешных атак повышается», — комментирует эксперт.

Еще одна тенденция 2020 года — повышение внимания к приватности данных в сфере искусственного интеллекта. Раджарши Гупта, глава отдела искусственного интеллекта в Avast, ожидает увидеть практическое применение алгоритмов искусственного интеллекта. «Мы надеемся, что в 2020 году у нас появятся продукты, которые позволят частным лицам контролировать свои данные, и решать, могут ли разные компании использовать их», — сообщает Раджарши.

BI.ZONE

Евгений Волошин, директор блока экспертных сервисов BI.ZONE:

«Главным трендом следующего года я бы назвал борьбу с утечками информации. Во-первых, в этом году в Европе заработал в полную силу общий регламент защиты персональных данных (GDPR), который подразумевает выплату серьезных штрафов за инциденты. Несмотря на то, что России напрямую эти нововведения не касаются, они стали драйвером для развития рынка и в нашей стране, так как весь бизнес работает с крупными европейскими компаниями. Во-вторых, об утечках стали больше говорить. Это стало так популярно, что даже перестало быть интересно. Но если обыватели уже привыкли к тому, что про инциденты с утечками рассказывают из каждого утюга, то крупный бизнес в силу его инертности только сейчас начал оценивать киберриски, ведь украсть могут не только персональные данные, но и сведения, попадающие под коммерческую и даже государственную тайну. А это уже реальные сроки, и мы видим, что количество уголовных дел по профильным для отрасли статьям 183, 272 и 273 УК РФ существенно растет.

DLP-системы эффективно решают определенный класс проблем, однако инсайдеры становятся всё более изобретательными, поэтому существующие методы борьбы их уже не сдерживают.

В следующем году корпоративный сектор будет уделять существенное внимание разработке и внедрению инструментов превентивной защиты, методологий по расследованию инцидентов и выходу компании из кризисных ситуаций, связанных с утечками.

Думаю, что еще одно непаханое поле, которое могут начать осваивать компании — развитие киберграмотности как среди сотрудников компании, так и ее клиентов.

Еще одной полускрытой угрозой остаются вирусы-шифровальщики, которые уже принесли мировой экономике миллиардные убытки. Информацию об уязвимости «нулевого» дня можно приобрести за сумму порядка 100 тыс. долларов на черном рынке. Добавим к этому команду из 2-3 разработчиков и базовое понимание разработки такого типа ВПО. Успокаивает только то, что этот тренд объявляли и в прошлом, и в позапрошлом году, и я надеюсь, что он никогда не наступит.

Третьим трендом я бы назвал угрозы безопасности IoT-продуктов. Конечно, экономический ущерб от таких атак не сопоставим с теми же шифровальщиками или утечками баз данных, но он касается каждого из нас. Рынок растет, цена устройств падает. Вендоры, узнавая об уязвимостях в своих продуктах, зачастую просто закрывают производственные линии, потому что это намного выгоднее, чем обслуживать, выпускать патчи и т.д. На руку злоумышленникам играет и то, что в этом сегменте пока практически нет предложений по кибербезопасности. Таким образом, мы имеем огромный зоопарк неподдерживаемого оборудования, которое уязвимо, но которым люди пользуются, потому что это удобно. Зачастую виноваты и сами пользователи, которые не обновляют ПО на устройствах, не меняют дефолтные пароли и максимально просто интегрируют IoT-продукты в свою систему, напрямую подключая к интернету, используя Wi-Fi».

Check Point Software Technologies

Эксперты Check Point Software Technologies предполагают, что кибератаки будут всё больше влиять на жизни людей и целых государств: кибернападения будут использоваться в качестве косвенных конфликтов между небольшими странами, финансируемых и поддерживаемых крупными странами. Будет расти количество кибератак на коммунальные и иные критически важные инфраструктуры. Эксперты также предполагают широкое использование технологий на основе искусственного интеллекта: еще в 2016 году перед выборами президента США началось распространение поддельных новостей на основе ИИ, так что, скорее всего, злоумышленники уже разработали план действий, чтобы повлиять на выборы и в 2020 году.

Говоря о технологических трендах, исследователи выделяют три тенденции.

Станет больше атак на мобильные устройства. Уже в 2019 году количество атак вредоносов для мобильного банкинга увеличилось на 50% по сравнению с 2018 годом. 

Фишинговые атаки теперь распространятся на все каналы связи: если в этом году наибольшее количество фишинговых писем приходило по электронной почте, то теперь они переместятся в социальные сети, игры и мессенджеры.

Увеличится количество целевых атак на организации. Злоумышленники будут стремиться собрать как можно больше данных о компании-жертве: так они смогут нанести максимальный ущерб и увеличить выкуп.

ESET Software

Руслан Сулейманов, директор управления информационных технологий ESET Russia:

«В 2020 году следует ожидать увеличения мощности и продолжительности DDoS-атак на сетевые ресурсы: обычным явлением становятся атаки продолжительностью в несколько дней и даже недель, мощностью до 10 Гбит/с.

В новом году мошенники начнут активнее использовать дипфейки — технологии подмены голоса и видео в реальном времени как для развлечения, так и для обмана пользователей или систем голосовой идентификации.

Повсеместное распространение умных гаджетов и домашних устройств вызовет активизацию кибермошенников в данном сегменте.

Возможно увеличение числа специализированных вирусов и эксплойтов, нацеленных на домашние и промышленные IoT-устройства. При этом стоит ожидать появления продуктов или модулей для точек доступа и маршрутизаторов, направленных на защиту IoT-устройств.

Продолжится тренд на эксплуатацию уязвимостей в смартфонах, которые сегодня стали хранилищем всех данных о владельце, начиная от приватных фотографий и заканчивая данными о доступе к банковским счетам.

Если же говорить об эволюции средств защиты, то продолжит развитие сегмент аутсорсинга информационной безопасности и сегмент Security-as-a-Service.

Сохранится тренд на использование сервисов предиктивной аналитики и машинного обучения, в сегменте корпоративных ИБ-решений и продуктов для конечного пользователя. Функциональность продуктов для мобильных устройств также будет расширяться».

Fortinet

Алексей Андрияшин, технический директор Fortinet в России и странах СНГ:

«В 2020 году мы ожидаем развития атак, которые будут опираться на технологии ИИ, машинного обучения, роста количества подключенных устройств, расширения сетей 5G и повышения скорости обмена информацией. Необходимо быть готовыми к тому, что инструменты нанесения атак будут более автоматизированными и будут быстрее адаптироваться под существующие условия, поэтому сложность их обнаружения возрастет. Будущие угрозы будут активно мимикрировать под легитимный трафик.

Что касается российского рынка — здесь мы отмечаем интенсивное развитие биометрических способов идентификации пользователей. В первую очередь это актуально для банковского сектора. Поэтому в следующем году можно ожидать появления новых методов компрометации и хищения биометрических данных.

Тут очень важно следить за тем, чтобы оборудование, которое применяется для отбора биометрии, ее хранения и обработки, было очень качественным и надежным.

Сегодня наиболее распространенный тип атак — это DDOS, и этот классический метод никуда не уйдет, а будет только развиваться. Необходимо следить чтобы такие угрозы исключались. Для этого на рынке существует широкий спектр решений.

Для борьбы с ранее неизвестными угрозами необходимо применять новые решения, способные обучаться и применять разнообразные методы обнаружения угроз. Например, песочницы (sandbox) и EDR (Endpoint Detection and Response), которые позволяют выявлять и изолировать угрозы по различным поведенческим признакам, а также не пренебрегать возможностями облачных технологий. Если ваше решение по безопасности способно получать информацию из разных доверенных источников, то этим нужно пользоваться, потому что информация об угрозах, которые были обнаружены в какой-либо части света, будет актуальна для любой точки на карте мира».

Group-IB

Дмитрий Волков, CTO и глава Threat Intelligence Group-IB:

«Ведущим и самым пугающим трендом 2019 года мы считаем использование кибероружия в открытых военных операциях. Конфликт между государствами приобрел новые формы, и киберактивность играет ведущую роль в этом деструктивном диалоге. Атаки на критическую инфраструктуру и целенаправленная дестабилизация сети Интернет в отдельных странах открывают новую эпоху проведения кибератак.

Ранее казавшиеся нереалистичными сценарии отключения страны от Интернета становятся всё более вероятными. Для проведения атаки, способной нарушить стабильность работы глобальной сети в отдельно взятой стране, требуется длительная подготовка, однако технически это возможно.

Неутихающая военная риторика и агрессия могут привести к тому, что мы станем свидетелями демонстрации таких возможностей. Государствам и частным компаниям стоит позаботиться об отказоустойчивости предоставляемых сервисов в случае возникновения таких ситуаций.

Регистраторы доменных имен — это часть критической инфраструктуры страны. Так как нарушение их работы влияет на функционирование глобальной сети, они являются объектом атак со стороны проправительственных атакующих. В следующем году высок риск большого количества успешных атак, часть из которых будет проведена с целью саботажа.

Демонстрация возможностей эксплуатации и нарушения работоспособности оборудования отдельных производителей 5G будут использоваться как один из методов конкурентной борьбы за новый рынок. Успешные атаки могут нанести производителям значительный репутационный ущерб. Более широкое внедрение 5G значительно увеличит возможности обычных киберпреступников по проведению DDoS-атак, манипуляции трафиком, распространению вредоносных программ. 

В энергетическом секторе основным вектором для атакующих останутся ИТ-сети, доступ к которым необходим для шпионажа и сбора информации о том, как атаковать конкретную энергетическую компанию с целью саботажа. Компрометация ОТ-сетей — это следующий шаг после успешного проникновения в ИТ-сегмент сети. Выявить компрометацию ОТ-сети возможно только в двух случаях: если атака готовилась с целью саботажа или если оператор вредоносной программы допустил ошибку. Поэтому чаще всего атакующие максимально скрывают свое присутствие до крайнего момента, когда понадобится провести массовую атаку. Большую проблему для энергетического сектора будут составлять “supply chain”- атаки со стороны поставщиков программного и аппаратного обеспечения. Прежде всего будут атакованы управляющие компании, и уже через них пойдет развитие атак на сети энергетических компаний. Наибольшую опасность следует ожидать со стороны развитых стран. При том что они обладают более совершенным арсеналом для проведения атак, их активность менее заметна и изучена.

Успешные атаки на банки будут завершаться выводом инфраструктуры из строя для сокрытия следов».

ГК InfoWatch

Рустэм Хайретдинов, вице-президент ГК InfoWatch:

«Из-за стихийно развивающейся цифровой трансформации, которая порождает большое количество сложных и мало связанных между собой цифровых систем, организации всё больше собирают данные и всё меньше контролируют их использование. Цифровизация предполагает, что к данным может обращаться любой процесс, поэтому обеспечить защиту на логическом уровне, то есть понять какое из обращений легитимное, а какое — нет, нынешняя архитектура безопасности не в состоянии. Так что, мы ещё услышим о новых утечках и взломах.

Информационная безопасность становится контекстной, зависит от реализации цифровых процессов в конкретной отрасли и в конкретной организации, поэтому требования регуляторов по безопасности продолжат отдаляться от практической защиты, что в итоге приведёт к постепенному разделению функций compliance и security на предприятиях.

В ситуации, когда у защитников нет понимания, какие именно процессы они защищают, средства защиты будут концентрироваться на инфраструктуре, а процесс защиты данных и предотвращения атак будет продолжать замещаться мониторингом и расследованиями уже случившихся инцидентов. В результате будет требоваться всё больше операторов мониторинга и дефицит кадров станет критическим, что в последующем должно привести к развитию инструментов роботизации защиты».

Oberon

Андрей Головин, директор департамента информационной безопасности компании Oberon:

«В 2020 году сохранится нацеленность хакеров на крупные компании. Корпоративный сектор всё еще очень уязвим к атакам, которые осуществляются через цепочку поставок: сначала производится взлом доверенных контрагентов, и только затем — конечной жертвы. Но, надо отметить, целевое вымогательство станет более выборочным. Хакеры будут тщательно подходить к выбору объекта и атаковать именно те компании, которые, по их мнению, способны заплатить значительные суммы за восстановление информации. По количественному показателю первое место займут атаки, нацеленные на вывод денежных средств.

Максимальную заинтересованность хакеры проявят к персональным данным пользователей, особенно биометрическим. Эта информация позволит злоумышленникам совершенствовать методы социальной инженерии и проводить более убедительные атаки.

Под угрозой остаются и IoT-устройства в силу их всё еще низкой защищенности: во многих из них, помимо «слабых паролей», присутствуют и критические уязвимости.

Еще один тренд — машинное обучение и Big Data: в эти игры можно «играть и вдвоем». Злоумышленники не стоят на месте в развитии и будут использовать в своих целях эти инструменты, что определенно выведет кибератаки на совершенно новый уровень. Например, преступники могут применять искусственный интеллект для разработки профиля жертвы и создания информационных подделок».

One Identity

Яков Фишелев, руководитель представительства One Identity в России и СНГ:

«Если в 2016-2017 почти все наши проекты по внедрению IDM-решений были в финансовых организациях, то в 2018-2019 ситуация поменялась и теперь это промышленность, торговля, транспорт и ИТ. Кроме того, в целом увеличилось количество IDM-проектов, причем не только в России, но и странах СНГ.  Хотелось бы отметить появление аналитических статей об опыте внедрения IDM-решений разных заказчиков, люди готовы делиться своим опытом и нуждаются в мероприятиях по обмену опытом и мастер-классах».

Олег Шабуров, региональный менеджер One Identity:

Прогнозируем продолжение стремительного роста интереса к теме мониторинга доступа в DevOps-окружении и к базам данных.

«Многие заказчики уже успели посмотреть решения, представленные на рынке, и оценить их применимость для использования в своих инфраструктурах. Для многих это стало причиной пересмотра требований к простоте внедрения и удобству эксплуатации решений.

В 2020 году ожидаем массового перехода проектов по контролю привилегированного доступа со стадии тестирования в промышленную эксплуатацию».

Positive Technologies

Алексей Новиков, директор экспертного центра безопасности Positive Technologies:

«Малый и средний бизнес будет оставаться под прицелом как массовых киберкампаний, так и целевых атак хакерских группировок. Хакерам придется прибегать к взлому менее защищенных компаний, чтобы проводить через них атаки на целевые организации, в том числе по настроенным между ними доверенным каналам.

Схемы киберуслуг на продажу будут развиваться. Может приобреcти большую популярность схема, когда злоумышленники взламывают инфраструктуры компаний и проникают во внутреннюю сеть, но не используют такой доступ для своих целей, а продают или сдают его в аренду другим участникам теневого рынка по модели «Access as a Service».

Например, группировка REvil (также известная как Sodinokibi) уже использует такую схему для распространения вредоносных программ.

Можно прогнозировать рост числа инцидентов в секторе SMB, связанных с BEC-мошенничеством (business email compromise) — социальной инженерией с использованием реальных аккаунтов сотрудников компаний, в том числе руководства. Угроза особенно актуальна для компаний, которые регулярно совершают крупные денежные переводы в адрес контрагентов. Злоумышленники могут — якобы от имени доверенного лица — просить уполномоченных сотрудников компании-жертвы оплатить счет по подставным реквизитам. По данным ФБР, за последние три года такие атаки уже нанесли ущерб в размере 26 млрд долл. США.

Атаки с использованием уязвимостей сайтов, в том числе с применением JavaScript-снифферов, продолжатся ввиду их высокой эффективности.

Атаки на личные устройства пользователей не потеряют актуальности, поскольку для большинства людей удобство при работе с гаджетом важнее, чем безопасность личных данных. Скорее всего, атакующие будут совмещать атаки на гаджеты с классическими методами социальной инженерии (например, с мошенническими звонками по телефону с целью получить банковские данные)».

Николай Анисеня, руководитель группы исследований безопасности мобильных приложений:

«В атаках на пользователей по-прежнему лидируют вредоносные приложения, которые пользователь устанавливает сам. Они запрашивают специальные разрешения, в том числе связанные с администрированием устройства, наложением поверх других окон, accessibility services (службами для лиц с ограниченными возможностями), screen share. Однако в некоторых случаях никаких специальных разрешений не требуется. Примером может служить обнаруженная нашим экспертом уязвимость в Android WebView».

Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies:

«Основной целью киберпреступников в атаках на промышленные и энергетические компании остается шпионаж: хакеры стремятся на максимально возможное время закрепиться в инфраструктуре компании и получить контроль не только над IT-системами, над ключевыми компьютерами и серверами, но и над технологической сетью с промышленным оборудованием.

Атаки с целью шпионажа продолжатся и в 2020 году. При этом можно ожидать, что большинство таких атак станут продолжением успешно проведенных ранее, а компании научатся их выявлять».

Павел Новиков, руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies:

«С внедрением сетей 5G операторы столкнутся с новыми рисками, связанными с широким использованием виртуализации, усложнением задач администрирования, применением хорошо изученных хакерами интернет-протоколов. Реальные сети 5G пока опираются на предыдущие поколения: это сети с архитектурой Non-Standalone, то есть построенные на базе опорной сети 4G LTE. На переходном этапе устройства подключаются к частотам 5G для передачи данных, но для голосовых вызовов и SMS все еще используются сети 4G и 2G/3G. Соответственно, все недостатки защиты этих сетей еще долгое время будут актуальны и для абонентов 5G».

Ярослав Бабин, руководитель группы исследований безопасности банковских систем Positive Technologies:

«Преступники будут продолжать использовать фишинг и ВПО для проникновения в сети банков. Также хакеры будут продолжать использовать вновь опубликованные эксплойты для атак в течение нескольких часов после публикации. В связи с высокой стоимостью эксплойтов для уязвимостей нулевого дня на теневом рынке они не будут пользоваться массовой популярностью. Уже известные уязвимости (например, CVE-2017-11882), все еще успешно эксплуатируются злоумышленниками из-за несвоевременного обновления систем в банках, поэтому необходимости тратиться на дорогостоящие эксплойты у злоумышленников нет.

В новом году мошенники будут активнее переходить на атаки мобильных банковских приложений. Преступников будут интересовать уязвимости, связанные с раскрытием информации о пользователях. В связи с этим в будущем можно ожидать больше новостей об утечках персональных данных, в том числе данных банковских карт. Мы также предполагаем рост атак на пользователей с применением простейших способов социальной инженерии (например, фейковых SMS и звонков из банка): к сожалению, они наиболее эффективны, поскольку знания о безопасности у массового потребителя все еще практически отсутствуют.

Внедрение искусственного интеллекта в финансовом секторе продолжится, в том числе в целях повышения кибербезопасности и развития технологий антифрода. Это дает нам основание полагать, что злоумышленники будут изобретать новые способы мошенничества в системах онлайн-банкинга или переходить к атакам на более простые сервисы, такие как интернет-магазины, онлайн-сервисы по продаже билетов и другие».

Дмитрий Скляров, руководитель отдела анализа приложений Positive Technologies:

«Два последних года показали нам только верхушку айсберга аппаратных уязвимостей: их поиск стал настоящим трендом среди исследователей, которые в поиске «дыр в железе» переходят на все более низкий уровень, ищут уязвимости на уровне печатной платы, элементов аппаратной логики.

Специалисты активно переходят к аппаратному реверс-инжинирингу, на различных площадках публикуют фото ядер чипов, сделанных при помощи электронных микроскопов. Если раньше исследования процессоров велись в основном энтузиастами и были интересны очень узкому кругу специалистов, то сейчас, учитывая такие масштабы изысканий, вовлеченность широкого круга исследователей и интерес прессы к проблеме, аппаратные уязвимости представляются настоящей угрозой».

Аванпост

Андрей Конусов, генеральный директор компании «Аванпост»:

«Самый главный и фундаментальный источник угроз в 2020 и в последующие годы — это практическая цифровизация организаций, отраслей и экономики в целом, а также системы госуправления и всех сторон нашей жизни. То есть, то же самое явление, которое открывает перспективы развития. В этом нет ничего удивительного, ведь цифровизация качественно повышает зависимость организации (качества и своевременности управленческих решений, репутации, эффективности и других показателей основной деятельности на фоне быстрых изменений) от данных, информационных технологий и программного обеспечения. Чтобы извлечь выгоду из цифровизации, организация должна резко увеличить не только объем и сроки хранения накапливаемых и перерабатываемых данных, но и охватить ими все аспекты своей деятельности (включая детальную информацию от производственного оборудования, конкурентную среду, принятие управленческих решений, разработку продукции, присутствие на рынке труда и работу с персоналом). Кроме того, нужно существенно расширить  доступность данных и результатов их обработки для менеджеров всех уровней, для сотрудников большинства специальностей, для ИТ-персонала, для партнеров, а также для новой категории специалистов по обработке данных (data science).

Концентрация данных и расширение их доступности всегда приводят к повышению рисков, но при цифровизации эти явления происходят в беспрецедентных масштабах.

Это накладывается на углубление автоматизации, применение новых информационных технологий (например, машинного обучения, ИИ, «озёр данных», цифровых двойников и др.), а также на происходящее во всём мире снижение качества ПО — из-за того, что на первое место ставится скорость его разработки, а не тщательность проработки информационной архитектуры и информационной безопасности (ИБ). Всё это также является источником рисков и угроз. Кроме того, надо учитывать, что новые технологии и инструменты будут внедряться в существующие ИС, где, как мы все хорошо знаем, остается множество классических проблем ИБ, которые не удается решить десятилетиями. Теперь эти проблемы будут проявляться на гораздо более широком поле.

Нельзя также забывать, что современные люди (и особенно представители новых поколений) ради удобств применения информационных технологий легко идут на нарушение правил ИБ или вообще игнорируют их на работе и в личной жизни, даже не задумываясь о последствиях. Особенно, если применение ИТ приводит к сокращению числа рабочих мест, исчезновению специальностей или к другим негативным явлениям. А киберпреступники легко собирают и консолидируют разнородную информацию — и эффективно применяют ее в компьютерных преступлениях. В этих условиях злоумышленники используют любые уязвимости (например, применяют вредоносные программы), но опережающими темпами растет опасность тех преступлений, в которых задействованы инсайдеры и/или бывшие сотрудники, сохранившие права доступа к информационным системам прошлых работодателей. Эффективно противодействовать таким киберпреступлениям позволяют системы управления доступом.

Особо подчеркну важность поддержки в IDM функций IGA для противодействия рискам 2020 года. Ряд таких функций вошел в число востребованных уже в этом году. Это: автоматическое выявление и удаление «мертвых душ», а также автоматическое предотвращение опасного совмещения ролей, т.е. SoD-конфликтов. Спрос на них сохранится, но теперь наступает время новых практик, которые раньше применялись только в небольшом числе организаций с наиболее зрелым отношением к управлению доступом. Главное здесь — применение иерархических многоуровневых ролевых моделей, которые становятся понятными бизнесу и формулируются в его терминах. Это (а также бизнес-процессы назначения и проверки ролей и управление доступом к разнообразным информационным объектам, созданным пользователями информационных систем) позволяет вовлечь бизнес-подразделения в процессы управления доступом. И закрыть, наконец, огромную брешь в ИБ, которую не удавалось ликвидировать с помощью классических IDM-решений. Важность этих и других функций IGA позволяет прогнозировать, что в 2020 году сегмент систем управления доступом позволит снизить новые риски и сохранит лидирующее положение по темпам роста по отношению к другим сегментам российского рынка ИБ. При этом в полную силу заработают 5 новых каналов продвижения этих решений, наметившиеся в 2019 году».

Компания «Актив»

Дмитрий Горелов, коммерческий директор компании «Актив»:

«Уверен, что появятся новые неизвестные ранее векторы атак на мобильные платформы и устройства интернета вещей. Информационная безопасность пока явно не поспевает за бурным развитием технологий в данных сегментах. Хорошо, что уже идут процессы формирования российских стандартов в сфере информационной безопасности IoT и М2М, но это только начало пути.

На российском корпоративном рынке в 2020 году точно усилится роль государственного регулирования. Новые шаги ЦБ России, ФСТЭК, Министерства цифрового развития окажут влияние и на заказчиков, и на разработчиков решений информационной безопасности.

Если говорить про массовый сегмент, про обычных людей, пользующихся ИТ-технологиями, то крупные игроки будут усиливать требования к аутентификации пользователей. Уже сейчас повышенный уровень безопасности преподносится владельцами экосистем простым пользователям как ключевое конкурентное преимущество».

Аладдин Р.Д.

Алексей Сабанов, заместитель генерального директора «Аладдин Р.Д.»:

«Кибератаки достаточно подробно освещаются в регулярных отчетах Positive Technologies и ряда других специализированных компаний. Там же можно найти как инструменты их обнаружения, так и средства их купирования, а также выявить тактические тенденции развития указанных средств. Гораздо интереснее рассмотреть другие тенденции, лежащие около обозначенной темы.

187-ФЗ и ряд других последних нормативно-правовых актов имеют явный перекос в сторону кибератак и способов защиты от них. В то же время элементарное «наведение порядка» в реальной (не «бумажной») защите позволяет достаточно эффективно противостоять значительной части выявленных кибератак. Как известно, основным драйвером развития рынка ИБ является государственное регулирование и более конкретно — «свежая» нормативно-правовая база.

Одной из знаковых тенденций на мой взгляд является постепенно приходящее осознание регуляторами необходимости выпуска современных нормативно-правовых актов (НПА), отвечающих актуальным требованиям. Мне кажется, что 2020 год может явиться переломным в плане появления НПА, идущих в ногу с развитием технологий и изменяющегося пространства угроз.

При этом не обязательно всё время сочинять новые акты — их слишком долго придется согласовывать с нашими уполномоченными госорганами. Гораздо эффективнее ввести регулярное обновление существующей базы. Примеров для подражания много, приведу лишь один. Международные организации по стандартизации ITU и ISO регулярно (не реже 1 раза в пять лет) пересматривают все основные стандарты. При этом их доработка бывает весьма существенной, над текстами работают признанные эксперты из многих стран. Не пора ли нам ввести такую практику для российской НПА?»

Газинформсервис

Николай Нашивочников, заместитель генерального директора — технический директор ООО «Газинформсервис»:

«Мы в своей работе, в первую очередь, сосредоточены на решении задач обеспечения информационной безопасности промышленных систем, и кардинальных изменений на этой «ниве» мы не ожидаем.

По-прежнему будут активно применяться фишинговые атаки и злонамеренные программы, а одним из основных векторов атак останется корпоративная почта. Потребуется продолжать работу в сфере повышения осведомленности персонала в вопросах ИБ, в том числе за счет регулярного проведения тематических учений. Кроме того, мы рекомендуем обращать внимание на потребность выявления вредоносной активности в зашифрованном трафике, а также перестать уже уповать на средства защиты информации, работа которых основана на сигнатурных методах анализа и статических правилах корреляции событий безопасности.

Сквозная интеграция бизнес- и технологических процессов, рост применения «умных» устройств и киберфизических систем, а также переход к мало- или безлюдным технологиям существенно усложняют решение задач не только обеспечения ИБ, но и устойчивого функционирования технологического процесса (объекта).

Будет сложно обойтись без комплексного использования современных методов и средств защиты, использующих технологии расширенной аналитики данных (включая поведенческую аналитику), а также без репутационного анализа, threat intelligence, «песочниц» и анти-APT решений.

ГК «Интеллектуальная безопасность»

Руслан Рахметов, генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision):

«Теория информационной безопасности учит нас отталкиваться прежде всего от модели угроз и нарушителя — нам надо понимать, что и от чего/кого мы защищаем, а также учитывать бизнес-процессы, типы применяемых ИТ-систем, особенности защищаемых данных и требования законодательства. С экспоненциальным ростом объема информации становится всё труднее контролировать обработку больших данных, способы их хранения и предоставления контрагентам. На сегодняшний день объем и скорость обработки данных в современных компаниях таковы, что попытки в ручном режиме обеспечивать их информационную безопасность обречены как минимум на несвоевременность, а как максимум — на торможение бизнес-процессов, чего допускать нельзя, поскольку в современном контексте информационная безопасность должна быть не Showstopper, а Business Enabler.

В связи с этим растет и продолжит расти спрос на системы автоматизации процессов обеспечения кибербезопасности, реагирования на инциденты, соответствия законодательству, оценки рисков, отчетности и обеспечения Situational Awareness для руководства. Применение данного класса систем автоматизации позволяет существенно ускорить реагирование на угрозы и инциденты ИБ, особенно с учетом хронической нехватки квалифицированных кадров в области защиты информации.

Вендоры и интеграторы, безусловно, учитывают современные реалии и стремятся предложить продукты и услуги, отвечающие вызовам времени.

Автоматизация обеспечения информационной безопасности и реагирования на инциденты ИБ, в том числе с применением технологий машинного обучения и искусственного интеллекта, предотвращение утечек данных, защита информации в облаках, соответствие законодательству — вот то, что сейчас в тренде.

Для банков наиболее актуальны будут следующие направления: соответствие новому финансовому ГОСТ 57580; выстраивание банками своей деятельности в соответствии с положениями 683-П и 672-П (планируется изменение); вопросы информационной безопасности и антифрода в системе быстрых платежей (СБП); реализация работы с биометрией (ЕБС), 4-МР; перспективы OPEN API и вопросы безопасности; безопасность систем на базе распределенных реестров (система мастерчейн, в частности). Важны и более классические вопросы: противодействие фишингу и массовым рассылкам электронных писем, противодействие социальной инженерии».

Инфосистемы Джет

Андрей Янкин, директор Центра информационной безопасности компании «Инфосистемы Джет»:

«На мой взгляд, принципиально новых угроз в следующем году ждать не стоит.

Среди тенденций 2020 года можно выделить рост числа проектов по защите систем класса Big Data. Многие крупные компании в стремлении получить конкурентные преимущества активно внедряют такие решения, и безопасность здесь зачастую обеспечивается по остаточному принципу.

Мы нередко сталкиваемся с ситуациями, когда конфиденциальные данные из большого количества защищенных систем сливаются в единое, совершенно незащищенное озеро данных (data lake), прямой доступ к которому могут получить архитекторы, разработчики и даже подрядчики. Сейчас на рынке появляются эффективные решения для обеспечения безопасности больших данных, и это должно стать драйвером развития направления.

Еще один тренд — развитие практик и технологий для защиты процесса и средств разработки. Например, для обеспечения безопасности стремительно меняющейся микросервисной архитектуры не подходят классические средства, тут необходимы наложенные средства, способные работать на уровне самой системы контейнеризации, что обуславливает рост решений данного класса. Продолжит набирать популярность и подход DevSecOps, предполагающий интеграцию безопасности в процесс разработки и эксплуатации приложений на всех этапах.

С высокой вероятностью тема утечек конфиденциальных данных, которую активно подогревают СМИ, будет удерживать повышенное внимание бизнеса к управлению репутационными рисками. А возросший интерес к ИБ в промышленности будет сохраняться за счет новых требований регуляторов, нашумевших в 2019 году крупных инцидентов и общего роста информатизации. Наконец, усложнение ИБ-технологий и нарастающий кадровый голод будут способствовать дальнейшему росту направления экспертных сервисов».

Код Безопасности

Павел Коростелёв, руководитель отдела продвижения продуктов компании «Код Безопасности»:

«В рамках наиболее актуальных угроз можно выделить следующие:

С внедрением новых технологий и общим ускорением цифрового бизнеса мы ожидаем усиления угроз как кражи денег, так и кражи баз клиентов для последующей продажи.

Развитие кибер-вооружений, а также повышение активности хакеров, спонсируемых государством. Для этого типа угроз характерна политическая мотивация, высочайшая подготовка, а также сложность в отражении и реагировании на их атаки.

Требования бизнеса зачастую входят в противоречие с базовыми правилами ИБ. К примеру, если организация обеспечивает преимущество над конкурентами за счет глубокой синергии между сотрудниками, реализация принципа минимально необходимых для работы прав невозможна. В этих условиях растет риск злоупотребления (умышленного или случайного) знаниями или правами доступа. В следующем году мы ожидаем информации о новых инцидентах с участием инсайдеров.

С точки зрения развития средств защиты уместно выделить следующее:

Серьезный учет политических рисков и массовый переход на российские средства защиты и защищенные операционные системы. Этот тренд затрагивает как государственные и окологосударственные организации, так и крупных корпоративных клиентов. С точки зрения разработки это создает серьезный положительный эффект, в том числе для отечественных разработчиков средств защиты.

Значительное развитие аналитики, автоматизации и оркестрации управления средствами защиты. Ландшафт систем безопасности постоянно расширяется, специалистам необходимо постоянно работать в десятках разных систем управления. Это отвлекает их от более важных задач и повышает риск несвоевременного реагирования на инциденты ИБ. Ответом на это становятся новый класс систем — SOAR (Security Operations, Analytics and Reporting). Это платформа, на которой строится единая система управления и мониторинга корпоративной системы ИБ.

Средства защиты виртуальных машин в IaaS-сервисах. С массовым развитием публичных облаков появляется потребность в их защите. Некоторая часть задач по безопасности инфраструктуры передается поставщику этого сервиса, однако проблему защиты непосредственно виртуальных машин в облаке никто, кроме заказчика, не решит. Поэтому по-прежнему необходимо защищать виртуальные машины, причем с учетом того, что это в первую очередь серверы, требуется обеспечить замкнутую программную среду и контроль целостности программных модулей.

Развитие концепции нулевого доверия при управлении доступом к сети. Миграция серверов из корпоративного ЦОД в публичное облако, а также возможность работы пользователей из внешнего периметра требует переосмысления подходов к удаленному доступу.

Для обеспечения необходимого уровня безопасности заказчики всё чаще используют подход Zero trust. Этот подход подразумевает, что любой хост в сети является вредоносным, пока не доказано обратное.

Применительно к сетевому доступу это означает, что для получения доступа к корпоративному приложению необходимо аутентифицировать пользователя, компьютер, с которого он заходит, а также приложение, которое он использует. Только в этом случае можно разрешить доступ и не бояться горизонтального распространения хакера или заражения серверной инфраструктуры вирусами-вымогателями».

Лаборатория Касперского

Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского»:

«Мы видим, что в последнее время злоумышленники стали отходить от практики массового распространения универсальных программ-вымогателей и стали более тщательно выбирать своих жертв — они ищут те компании, которые будут готовы заплатить значительные суммы за восстановление своих данных.

Мы полагаем, что в ближайший год это «целевое вымогательство» будет только набирать обороты и, возможно, станет более агрессивным. Например, вместо шифрования файлов злоумышленники могут начать угрожать компаниям-жертвам публикацией украденных данных.

Кроме того, в попытках диверсифицировать свои атаки с помощью программ-вымогателей киберпреступники могут избрать мишенями не самые очевидные устройства — умные телевизоры, часы, машины, дома и т.п.

Новый виток развития получат и сложные, скрытные АРТ-атаки. В большинстве случаев не представляется возможным установить, кто именно стоит за подобными вредоносными операциями, и отчасти это «заслуга» самих злоумышленников: они старательно маскируют следы своей деятельности и нередко расставляют так называемые «ложные флаги», чтобы пустить исследователей по неверному следу. И мы уверены, что эта тенденция продолжит своё развитие. Киберкриминальные группы будут стремиться не только избежать атрибуции, но и выставить виноватым за свои действия кого-либо ещё. Для этого он могут, например, намеренно использовать бэкдоры, которые ассоциируются с другими АРТ-группировками, или специально сливать свой код, чтобы им воспользовались другие атакующие и ещё больше запутали общую картину.

Особый слой угроз будет связан с облачными технологиями. Переход на облачную инфраструктуру размывает границы между IT-системами самой компании и её провайдером. Из-за этого злоумышленникам будет сложно атаковать исключительно ресурсы той организации, которую они выбрали в качестве жертвы, — их вредоносная активность легко может затронуть и провайдера облачных сервисов. С другой стороны, компаниям также будет сложнее и дороже распознать целевую атаку на раннем этапе и выделить её среди других киберинцидентов, в которых так или иначе задействован её провайдер. Злоумышленники, разумеется, тоже не преминут воспользоваться теми возможностями, которые открывают облачные технологии. Мы считаем, что они всё активнее будут разворачивать свою вредоносную инфраструктуру в облаке, поскольку это снижает стоимость атак и позволяет увеличивать их количество и частоту».

Ростелеком-Солар

Игорь Ляпунов, вице-президент «Ростелеком» по информационной безопасности:

«Анализируя текущие тенденции, мы понимаем, что многие угрозы, которые в 2019 году только набирали обороты, в 2020 перейдут в фазу многочисленных реализаций. В частности, будет всё больше атак на IoT (конечных пользователей) и с использованием IoT-устройств — для проведения DDoS, фишинговых рассылок, взлома инфраструктур.

Существенно вырастет число атак, направленных на объекты КИИ и органы госвласти, в том числе со стороны профессиональных группировок с инструментарием уровня government-stated.

Кроме того, на сегодня известно несколько критичных уязвимостей, которые несут риски киберпандемий в предстоящем году. Увы, есть основания полагать, что усугубится и динамика утечек данных. Высока вероятность кратного роста числа атак с «доверенных инфраструктур» — публичных сервисов, взломанных сайтов и площадок, через подрядчиков в заказной разработке и ИТ-аутсорсинге (supply chain). Наконец, нельзя списывать со счетов атаки с компрометацией и финансовыми потерями вокруг blockchain.

Что касается эволюции средств защиты, то появление принципиально новых решений в 2020 году не предвидится. Скорее стоит ожидать на российском рынке новых систем сетевой безопасности, решений класса Incident Management and Response (IRP) и платформ Threat Intelligence (TIP)».

СёрчИнформ

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»:

Буду говорить про киберугрозы, которые спровоцированы инсайдерами. Эксперты называют 2019 год годом утечек — по масштабу и количеству, то же можно сказать и про Россию. Все помнят крупные сливы, которые случились в этом году (Сбербанк, РЖД, ФНС, Билайн), нет предпосылок, что в 2020-м их станет меньше. Компании уже не могут игнорировать эту угрозу, в том числе потому, что внимание СМИ и общественности растет. Очевидно будет ужесточение регулирования, хотя пока оно явно отстает по скорости реакции.

Например, мы видим, что вопрос безопасности при создании государственных суперсервисов вроде «цифрового профиля» не проработан. Та же история со сбором биометрии. Не зря даже замминистра финансов Алексей Моисеев публично признал, что утечка биометрических данных обернется катастрофой.

Из угроз, которые будут «процветать» — хорошо известная социнженерия. В результате утечек компрометируется так много данных, что у клиента банка или телеком-оператора не остается шансов разобраться, говорит он с мошенником или сотрудником организации. Еще одна новость в том, что социнженерия становится более технологичной. В 2019-м впервые зафиксировали атаку с помощью обученной нейросети для подделки голоса.

Что касается средств защиты, они развиваются в сторону анализа пользовательского поведения (хотя реальных решений на рынке пока единицы), появляются продукты и концепты по борьбе с принципиально новыми угрозами вроде дипфейков. Но как мы видим, наиболее опасными остаются старые угрозы: слив через внешние хранилища, манипуляции с базами данных, в т.ч. через удаленные соединения. Утечки за 2019 год показали, что случились они в компаниях, где все защитные средства были внедрены, но должным образом не использовались. Думаю, что инциденты хорошо всех перетряхнули, поэтому новый год станет годом не революционных релизов, а принципиально нового подхода в использовании существующих защитных средств.

 

Выводы

Особенно часто в комментариях экспертов звучала тематика интернета вещей (IoT). Трудно не согласиться с важностью этого вопроса: умные устройства быстро проникают в повседневную жизнь и приносят с собой целый пласт проблем безопасности. Огромное количество умных устройств создает бесчисленное количество потенциально уязвимых точек входа для злоумышленника, прошивки и операционные системы разрабатываются без оглядки на защиту от взлома и потом не обновляются, а ограниченная вычислительная мощность не позволяет установить дополнительную резидентную защиту. Возможно, что в новом году удастся найти прорывные решения этой проблемы на практике.

Часто эксперты обращались и к теме автоматизации в информационной безопасности. Многие участники рынка ИБ связывают будущее с технологиями машинного обучения, искусственного интеллекта, роботизации. Отчасти это связано с тем, что нагрузка на специалистов по борьбе с угрозами растет, а самих защитников часто не хватает: фраза «кадровый голод» встречалась в комментариях несколько раз. Конечно, при правильной реализации автоматика будет очень действенна и полезна, поскольку избавит аналитиков от рутинной работы и позволит обеспечить скорость реакции, недоступную человеку.

Похоже, что 2020 год не обойдется и без упоминаний о законодательстве, отраслевых стандартах и соответствии требованиям нормативных документов. Эксперты говорили об этом применительно к разным сферам: финансам, государственной инфраструктуре, самой информационной безопасности. В отечественной практике благие замыслы и идеи иногда реализуются не так, как задумывали их создатели, и это отчасти распространяется и на законодательные инициативы последних лет. Если ситуация в этой области улучшится, то все мы выиграем — в том числе потому, что ударная цифровизация всех сфер жизни создает новые риски, к которым лучше подготовиться заранее.

Довольно часто упоминались высокотехнологическое мошенничество и вымогательство. Эксперты ожидают дальнейшего развития таких угроз — в том числе с использованием новых технологий искусственного интеллекта, который будет всё активнее применяться на «темной стороне». Наряду с целевыми атаками и APT требует внимания целевой отъем денег у организаций разными способами: кажется вполне вероятным, что увеличится количество предприятий, пострадавших от кибермошенничества. Конечно, продолжатся и попытки преступных действий такого рода против рядовых пользователей.

Мобильные угрозы также были в центре внимания. Современный смартфон универсален и содержит множество разных функций, заметно упрощающих работу и личную жизнь — а стремление к удобству, как известно, всегда создает риски для безопасности. Поэтому вполне можно ожидать, что мобильное устройство по-прежнему будет центром активности современных людей, а значит, будут расти и связанные с ним угрозы.

Проблемы и задачи борьбы с инсайдерами традиционно актуальны и вряд ли утратят значимость в дальнейшем; однако на нынешнем этапе развития технологий они сочетаются, например, с накоплением и хранением больших объемов информации в потенциально общедоступной инфраструктуре, когда подрядчик или деловой партнер компании может получить сведения, для него не предназначенные, и поступить с ними далее в меру своей порядочности. Продукты и решения для борьбы с утечками станут умнее и мощнее, а дополнительную надежность им придаст распространение средств идентификации и аутентификации, в том числе многофакторной.

Новый год обещает быть интересным для рынка информационной безопасности. Следите за прогнозами и вовремя принимайте необходимые решения, а мы постараемся помочь вам в этом. Когда же 2020 год завершится, мы вместе с вами вернемся к этому материалу и посмотрим, чьи предсказания оказались ближе всего к реальности.