Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Без кофейной гущи

Прочитали: 2431 Комментариев: 110 Рейтинг: 102

Приближается Новый год, а значит, настало время прогнозов. Дело это нужное – говорим без всякой иронии. Качественные прогнозы ИБ-экспертов могут, например, помочь с выбором стратегии защиты. Но только если эти прогнозы опираются на какие-то реальные данные.

В проекте «Антивирусная правДА!» мы стараемся рассказывать об актуальных событиях в мире ИБ, дополняя официальные новости «Доктор Веб». Надеемся, что постоянные читатели имеют представление не только о том, ЧТО происходит в мире вирусов и антивирусов, но и ПОЧЕМУ. Так что предлагаем вам самостоятельно составить прогноз на следующий год. А для затравки – разберем один из уже появившихся.

Наблюдаются такие тенденции, как распространение подключенных устройств, имеющих доступ к персональным и финансовым данным, и появление новых подключений между самыми разными объектами — от скоплений устройств IoT и важных инфраструктур автомобилей, домов и офисов до комплексов «интеллектуальных городов».

http://safe.cnews.ru/news/line/2017-11-24_fortinet_kompanii_stolknutsya_s_problemoj_samoobuchayushchihsya

Есть такое. Миниатюризация и удешевление электронных устройств привели к взрывному их использованию. Правда, в реальности количество «умных» домов и тем более городов невелико, и атаки на них пока маловероятны. Но это пока.

Инвестиционная компания, принадлежащая Биллу Гейтсу, потратит $80 млн на создание умного города Белмонт в Аризоне. Он расположится на 101 кв. км в 45 минутах езды от Феникса, в районе Западной Долины (West Valley). На 15 кв. км территории Белмонта расположатся офисы и коммерческая недвижимость. Квадратный километр займут школы. Остальное место останется для жилых домов и общественных пространств.

«Белмонт создаст все условия для формирования ультрасовременного сообщества в городе с передовой инфраструктурой и новейшими технологиями. Его ядром станут центры обработки данных, новые производственные технологии, беспилотные автомобили, высокоскоростные сети мобильной связи и автономные логистические узлы», — говорится в заявлении Инвестиционной компании Аризоны, которая станет одним из партнеров строительства инновационного города.

С похожей идеей ранее выступила Саудовская Аравия, которая выделит $500 млрд на строительство крупнейшего мегаполиса NEOM.

https://hightech.fm/2017/11/13/gates-smart-city

Вернемся к прогнозам.

Последние достижения в таких сферах, как разработка искусственного интеллекта, активно используются на рынке киберпреступности в целях создания более эффективных атак. Согласно нашему прогнозу, в 2018 г. эта тенденция усилится.

Злоумышленники задействуют технологии автоматизации и искусственного интеллекта для непрерывной разработки огромного количества новых угроз, охватывающих все направления.

Автоматизация при создании вредоносных программ – дело известное. Новые троянцы могут создаваться путем перепаковки, в результате чего сама по себе вредоносная программа остается прежней, а вот сигнатура ее меняется. Системы автоматизации известны давно, и мы о них тоже неоднократно писали.

А вот словосочетание «искусственный интеллект» в уходящем году использовалось везде и всюду. Успехи в деле машинного обучения и анализа больших данных отрицать нельзя, однако машинное обучение – далеко не искусственный интеллект.

Ну и очень бы хотелось увидеть анализ использования искусственного интеллекта применительно к хакерским атакам, хотя бы в 2017 году. И заодно посмотреть на вредоносное ПО, которое «уже применяет модели обучения в целях обхода систем безопасности».

В принципе можно ожидать автоматизации систем анализа защищенности сайтов и поиска уязвимостей в приложениях. Поскольку огромное количество уязвимостей обнаруживается методами фаззинга (поиска мест некорректной обработки вводимых данных), это вполне реально. Но зачем? Во-первых, найденные уязвимости, как только их начнут использовать, будут мгновенно закрываться. А во-вторых, по-прежнему отлично работают методы распространения вредоносных программ путем почтовой рассылки. Дешево, сердито, не требует особых знаний – в отличие от использования продвинутых систем.

Вследствие стремительного распространения подключенных устройств в настоящее время возникают гиперподключенные инфраструктуры. Обеспечить их безопасность чрезвычайно нелегко, что создает благоприятные условия для деятельности киберпреступников.

Непонятно, что такое «гиперподключенные системы». Мы в антивирусной индустрии большие циники (как и все доктора, наверное). Если запросов на защиту нет, то, скорее всего, этого и нет в значимых количествах. В любом случае подключение возможно по проводам или беспроводной сети, а внедрение гиперсвязи пока откладывается. Поэтому обеспечивать безопасность будем по-старинке – защитой шлюзов и серверов интернет-провайдеров. Это надежно.

Такие атаки, как WannaCry и NotPetya, служат предостережением о потенциальных масштабных нарушениях и негативных экономических последствиях, связанных с вымогательством и блокировкой доступа к интеллектуальной собственности и коммерческим услугам.

Атаки WannaCry и NotPetya стали возможны благодаря тому, что пользователи массово игнорировали правила информационной безопасности. В частности, не устанавливали обновления (WannaCry), использовали приложение, на которое реагировали все антивирусные программы мира (NotPetya). Сами по себе оба эти троянца особого интереса не представляют и существенно уступают более продвинутым образцам вредоносных программ.

Прогноз: в следующем году заражения шифровальщиками продолжатся. Пользователи как не устанавливали обновления, так и продолжат их игнорировать. Пароли все те же – 1234567 и т. п. Еще Кассандра в Трое просила не тащить всяких троянцев в дом. Сколько тысячелетий прошло? А ситуация не меняется.

Кстати, интересно, как можно классифицировать первого троянского коня? Вариант: внешне безобидная система, выполняющая заявленный функционал и содержащая упакованные автономные вредоносные модули.

Эффективное противодействие интеллектуальным атакам будущего возможно только за счет внедрения подхода к защите инфраструктур, в основе которого лежит система безопасности, поддерживающая автоматизацию, интеграцию и стратегическую сегментацию.

Сегментация – это правильно. А вот с интеграцией все печально. Производители средств ИБ не используют общего интерфейса, позволяющего связать разнородные системы.

Прогноз: наиболее плачевной ситуация с безопасностью останется в малом и среднем бизнесе, не имеющем возможностей на «автоматизацию, интеграцию и стратегическую сегментацию».

Распространение самообучающихся «роевых» сетей и больших групп ботов. В будущем на смену ботнетам придут интеллектуальные скопления пораженных устройств — «роевые» сети. Это приведет к появлению более эффективных направлений атак. «Роевые» сети будут задействовать технологию самообучения в целях эффективного поражения уязвимых систем на беспрецедентном уровне. Устройства в составе этих сетей будут взаимодействовать друг с другом и согласованно принимать меры на основе обмена локальными данными. Помимо этого, интеллектуальные устройства-«зомби» будут самостоятельно выполнять команды без вмешательства оператора ботнета. Таким образом, количество устройств в составе «роевой» сети будет расти по экспоненте, как и в скоплениях роящихся насекомых. Эти устройства смогут одновременно атаковать множество целей, что существенно усложнит выявление и устранение угроз.

Высокая скорость осуществления этих массированных атак приведет к исчезновению момента предсказуемости, который необходим для противодействия атакам.

В предыдущем квартале текущего года зафиксировано 2,9 миллиарда попыток установки связи между ботнетами.

Ну, теоретически... Но зачем? Как говорил один преподаватель, сделать, конечно, можно все. Вопрос в том, сколько это будет стоить. Создать крутую сеть можно, но это будет дорого и долго. За это время скрипт-кидди (преступники, не умеющие писать вредоносный код) создадут сотню ботнетов и выведут все деньги.

Элементы бот-сетей в идеале должны быть незаметны для пользователей зараженных машин. Если же они станут заниматься самообучением и поиском уязвимостей, то их активность скоро будет замечена, сигнатуры – добавлены в антивирусы, и все. Теоретически можно, конечно, предсказать появление вредоносного самообучающегося распределенного искусственного интеллекта, но есть подозрение, что необнаружимым и неудаляемым он не будет. А вот денег на его создание потратят вагон. Смысл?

Количество атак при помощи червей-вымогателей и других типов программ за последний год увеличилось в 35 раз, однако это еще не предел. Вероятно, следующей целью программ-вымогателей станут поставщики облачных услуг и другие коммерческие организации, деятельность которых направлена на обеспечение регулярного поступления дохода. Поражение созданных поставщиками облачных услуг сложных гиперподключенных сетей может привести к нарушению деятельности сотен коммерческих организаций, государственных учреждений, важных инфраструктур и организаций здравоохранения.

Хм, атака NotPetya в чистом виде! Крупные компании, как правило, имеют продвинутые системы безопасности – это раз. Как минимум у них предусмотрен бэкап. К тому же такие атаки привлекают внимание высокопоставленных лиц. Скажем, если попробуют шантажировать «Газпром», то его руководство может обидеться и пожаловаться десятку-другому зарубежных правительств. Гораздо выгоднее атаковать, как и прежде, более мелкий бизнес.

Атаки на крупный бизнес 2017 года показали, что внимание СМИ обеспечено, но вот суммы выкупа – ничтожны. Потому что не платят.

Но вот что плохо. Фактически весь 2017 год прошел под знаком необходимости защиты индустриальных систем. При этом на деле атак было немного, а вот внимание хакеров всех мастей к ним привлечено громадное. Обновление подобных систем зачастую весьма сложно (слабо обновить ПО атомной станции или химического завода?) и связано с высокой ответственностью. Поэтому устаревшие системы там – не редкость. Вот это действительно проблема и прогноз: атаки на индустриальные системы – будут. А значит, возможно отключение света, выбросы химических веществ в атмосферу и т. п. К этому надо готовиться.

Изменчивое вредоносное ПО следующего поколения. В скором времени, а возможно, и в следующем году мы столкнемся с вредоносным ПО, от начала до конца разработанным при помощи машин.

При создании такого ПО будут использоваться технологии автоматизированного выявления уязвимостей и комплексного анализа данных.

Ностальгия, однако! В середине 90-х стали массово появляться системы разработки от Borland и других компаний. «В скором времени программисты будут не нужны, так как каждый пользователь сможет накидать интерфейс, а система его наполнит кодом». Двадцать лет прошло. Интересно было бы вновь почитать те прогнозы.

Но вот чего действительно следует ожидать, так это развития сервисов, предоставляющих возможности разработки кода на заказ. С соответствующим качеством, естественно.

«Одновременно с развитием сферы киберпреступности происходит и расширение темной паутины». Ну куда же без этой страшилки про неуловимого Джо!

Прошлым летом правоохранительные органы закрыли три крупных черных рынка даркнета, в результате чего продавцы нелегальных товаров наводнили Темную паутину собственными online-магазинами. В большинстве случаев сайты созданы без учета мер безопасности и раскрывают настоящие IP-адреса своих серверов. Вооружившись IP-адресами, сотрудники правоохранительных органов могут вычислить реальное месторасположение серверов, изъять их и найти владельца торговой площадки и многих ее клиентов.

С помощью предоставленной информации полиция Нидерландов теперь может физически изъять серверы из дата-центров, проанализировать их содержимое, отследить клиентов ElHerbolario и предоставить соответствующие данные своим коллегам из других стран.

Еще одной «жертвой» исследователя является DrugStore by Stoned100, специализирующийся на продаже наркотиков и вымогательского ПО. Сайт работал на базе WordPress и позволял не только узнать IP-адрес, но и в один клик получить резервные копии файлов базы данных. До DrugStore исследователь «прикрыл» еще один сайт с украинским IP-адресом 195.189.227.135.

https://www.securitylab.ru/news/489761.php

Мы уже писали о реальном размере Даркнета. Его ресурсы базируются на хостингах компаний, предлагающих анонимное размещение. Выявить такие хостинги – не проблема.

Мы уже знакомы с полиморфным вредоносным ПО, однако вскорости ситуация примет новый оборот: злоумышленники начнут применять технологию искусственного интеллекта для создания сложных кодов, способных скрываться от обнаружения при помощи написанных машинами процедур. Используя возможности естественного развития уже существующих средств, злоумышленники будут разрабатывать специализированные эксплойты, направленные на максимально эффективное поражение определенных уязвимостей.

Уже зафиксированы случаи выставления на продажу на рынках темной паутины современных служб, разработанных на основе технологии машинного обучения. В состав некоторых предложений, к примеру, входит служба «полной невидимости» (Fully Undetectable, FUD).

Ух ты, а мужики-то и не знают!

При помощи этой технологии разработчики угроз за определенную плату загружают коды атак и вредоносное ПО в службу анализа. Затем они получают отчет о возможности обнаружения угрозы средствами безопасности разных поставщиков.

Аналоги VirusTotal, о которых мы тоже писали неоднократно. Они позволяют проверить тот или иной файл на обнаружение антивирусом. Вот только такие сервисы, как правило, не проверяют реакцию превентивной защиты и антиспама. Так что зачастую это просто «развод» скрипт-кидди на деньги.

«Песочницы», оснащенные технологией машинного обучения, поддерживают своевременное выявление ранее неизвестных угроз и оперативную разработку мер защиты.

Вредоносные программы успешно обходят песочницы. Пик рекламы этой меры защиты прошел. Равно как и «пиара» облаков.

#безопасность #троянец #шифровальщик

Dr.Web рекомендует

Страшилки были, есть и будут. А как же без них? Мы не утверждаем, что злоумышленники не будут использовать новые технологии. Будет и машинное обучение, и анализ больших данных. Может, и искусственный интеллект изобретут. Вот только вероятность того, что вы попадете под удар изощренной атаки, в разработку которой были вложены миллионы, маловероятна, если это атака не государственного масштаба. Мы практически гарантируем, что править бал на устройствах и компьютерах будут все те же шифровальщики и банковские троянцы. И устанавливать их будут сами пользователи.

А что думаете вы?

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: