Аналитика по информационной безопасности

Искусственный интеллект (ИИ) обладает огромным потенциалом в контексте беспроводных сетей, это быстро развивающаяся область. Организации малого и среднего бизнеса обеспокоены растущими киберугрозами, и это справедливо: всего одна успешная вредоносная атака может принести много финансового, репутационного и юридического ущерба, вплоть до остановки бизнеса. Но благодаря передовой облачной безопасности, основанной на ИИ, будущее выглядит гораздо перспективнее для бизнеса, чем для киберпреступников.

Офисные пакеты потому и востребованы во всем мире, что входящие в них приложения чрезвычайно удобны для работы с данными и обладают широким набором функций, максимально облегчающих пользователям жизнь. Возьмем, например, функцию внесения исправлений в Microsoft Word — очень полезная штука для работы сразу нескольких авторов с одним документом. Видно, кто, что и когда исправил. Класс! Но, как и у многого в нашей жизни, у этой возможности есть и оборотная сторона. Непринятые исправления в Word-файле часто становятся причиной утечки конфиденциальной информации из компании, что порой приводит к весьма драматическим последствиям. Сегодня мы расскажем о двух подобных кейсах из нашей практики и рассмотрим, как с этим можно бороться силами DLP.

Как действует типовой злоумышленник? В первую очередь он стремится узнать о Вашей инфраструктуре столько, сколько сумеет. Об этом мы и хотим рассказать: об обнаружении информации, которая поможет киберпреступнику спланировать и провести атаку эффективнее. Примерами таких данных являются: сведения о сетевых устройствах, сетевые сервисы на периметре, перечни сотрудников, их сфера деятельности и компетенции, почтовые адреса, свободные домены с похожим написанием, публичные репозитории с неудалённой аутентификационной информацией и т.д.

Тест на проникновение является одним из наиболее распространенных способов оценить надежность систем защиты, продемонстрировать возможные методы проведения атак, выявить существующие проблемы безопасности. Однако пентесты требуют значительной доли участия человека, проводятся с определенной частотой и в сжатые сроки, их результаты отражают статичную картину, зафиксированную на момент проведения. Продукты по моделированию нарушений и атак (Breach and Attack Simulation, BAS) представляют собой новый развивающийся рынок средств, выполняющих автоматическое тестирование безопасности на регулярной основе. Рассмотрим внимательнее этот рынок и его драйверы, ключевые продукты данной области, а также прогнозы.

Метод Threat Hunting заключается в эвристическом поиске признаков вредоносной активности; его цель — выявить и пресечь те угрозы, которые уже проникли внутрь периметра организации. В обзоре рассматриваются принципы такого подхода, коммерческие решения Cisco, Infocyte, Mantix4, Alert Logic, Nuix, а также продукты с открытым исходным кодом (open source).

Программы-вымогатели активно развиваются. Киберкриминал придумывает и реализует все более изощренные угрозы; кратно растет и количество способов их доставки. Особенно уязвим в этом отношении малый и средний бизнес: в последнем квартале 2018 года 71% ransomware-атак был направлен именно против таких предприятий.

В США, Японии и Китае технологии искусственного интеллекта являются уже не просто трендом, а де-факто обязательным стандартом для многих крупных компаний. В России крупные компании также ведут или планируют проектную деятельность по внедрению технологий искусственного интеллекта. Однако передовой зарубежный опыт перенимается с опозданием. Процесс тормозится из-за дефицита квалифицированных кадров, нехватки необходимой ИТ-инфраструктуры и недостатка успешных практических кейсов.

Для противодействия современным угрозам информационной безопасности требуются актуальные методы защиты. Одним из них является применение технологий искусственного интеллекта (AI) для обнаружения неизвестных видов угроз и минимизации последствий от реализованных атак. Такие интеллектуальные технологии и связанная с ними архитектура DaVinci применяются в межсетевых экранах Huawei серии USG6000E.

Чтобы противостоять современным киберпреступникам, необходимо быть в курсе самых актуальных методов атак и регулярно совершенствовать свои навыки. Соревнования между атакующими и защитниками в безопасной игровой обстановке, которые ежегодно проводятся в рамках международного форума по практической кибербезопасности Positive Hack Days, — хорошая возможность изучить новые сценарии атак и отработать эффективные методы противодействия им. Для тех, кто не смог понаблюдать за кибербитвой воочию или хочет знать больше, вся хронология действий атакующих и защищающихся, их успехи и провалы — в обзоре, основанном на данных, собранных командой экспертного центра безопасности Positive Technologies (PT Expert Security Center) во время The Standoff этого года.

С августа 2018 года система поиска следов компрометации в сетевом трафике PT Network Attack Discovery и ловушки-ханипоты компании Positive Technologies начали фиксировать массовые сканирования систем phpMyAdmin. Сканирования сопровождались перебором 159 разных веб-шеллов (оболочек) с командой die(md5(Ch3ck1ng)). Эти данные стали отправной точкой для крупномасштабного расследования. Эксперты Positive Technologies постепенно раскрыли всю цепочку событий и закончили обнаружением большой вредоносной кампании, продолжавшейся с 2013 года. Специально для Anti-Malware.ru Кирилл Шипулин, специалист PT Expert Security Center, рассказал всю историю, с начала и до завершения.