Los días 20 y 21 de junio se celebró en Moscú el
Congreso Internacional sobre Ciberseguridad . Después del evento, los visitantes pueden sacar las siguientes conclusiones:
- el analfabetismo digital se está extendiendo tanto entre los usuarios como entre los mismos ciberdelincuentes;
- los primeros continúan cayendo en phishing, abren enlaces peligrosos, llevan malware a redes personales desde teléfonos inteligentes personales;
- entre los segundos, hay más y más recién llegados que persiguen dinero fácil sin sumergirse en la tecnología: descargan la botnet en la darkweb, configuran la automatización y controlan el saldo de la billetera;
- Los guardias de seguridad tienen que confiar en análisis avanzados, sin los cuales es muy fácil ver la amenaza en el ruido de la información.
El congreso se celebró en el World Trade Center. La elección del sitio se explica por el hecho de que esta es una de las pocas instalaciones con aprobación FSO para eventos con los rangos más altos del país. Los visitantes al Congreso pudieron escuchar los discursos del Ministro de Desarrollo Digital Konstantin Noskov, el jefe del Banco Central Elvira Nabiullina, el presidente de Sberbank German Gref. La audiencia internacional estuvo representada por el CEO de Huawei en Rusia, Aiden Wu, el director retirado de Europol, Jürgen Storbeck, el presidente del Consejo Alemán de Ciberseguridad, Hans-Wilhelm Dünn, y otros expertos de alto nivel.
¿Es más probable que el paciente esté vivo?
Los organizadores seleccionaron temas que eran adecuados tanto para discusiones generales como para informes orientados a la práctica sobre cuestiones técnicas. La mayoría de los discursos mencionaron la inteligencia artificial de una forma u otra: para crédito de los oradores, a menudo ellos mismos reconocieron que en la encarnación actual, esto es más un "tema exagerado" que una pila de tecnología realmente funcional. Al mismo tiempo, sin el aprendizaje automático y la ciencia de datos hoy en día, es difícil imaginar la protección de una gran infraestructura corporativa.
Es posible detectar un ataque en promedio tres meses después de penetrar en la infraestructura.
Porque una firma no detiene 300 mil nuevos malware que aparecen en la Web todos los días (según Kaspersky Lab). Y, en promedio, la seguridad cibernética lleva tres meses detectar a los ciberdelincuentes en su red. Durante este tiempo, los crackers logran establecerse en la infraestructura para que tengan que ser expulsados tres o cuatro veces. Se limpiaron los almacenes: el malware regresó a través de una conexión remota vulnerable. Establecieron la seguridad de la red: los delincuentes envían a un empleado una carta con un troyano, supuestamente de un socio comercial desde hace mucho tiempo, a quien también lograron comprometer. Y así, hasta el final, no importa quién finalmente prevalezca.
A y B construyeron IB
Sobre esta base, dos direcciones paralelas de seguridad de la información están creciendo rápidamente: control ubicuo sobre la infraestructura basada en centros de seguridad cibernética (Centro de operaciones de seguridad, SOC) y detección de actividad maliciosa a través de un comportamiento anormal. Muchos oradores, por ejemplo, el vicepresidente de Trend Micro para Asia Pacífico, Medio Oriente y África, Dhanya Thakkar, instan a los administradores a asumir que han sido pirateados para no perderse eventos sospechosos, por insignificantes que puedan parecer.
IBM en un proyecto SOC típico: "Primero, diseñe el modelo de servicio futuro, luego impleméntelo y solo luego implemente los sistemas técnicos necesarios".
De ahí la creciente popularidad de los SOC, que cubren todas las secciones de la infraestructura y a tiempo informan sobre la actividad repentina de algún enrutador olvidado. Según Gyorgy Racz, Director de IBM Security Systems en Europa, en los últimos años, la comunidad profesional ha desarrollado una cierta idea de tales estructuras de control, al darse cuenta de que la tecnología de seguridad por sí sola no se puede lograr. Los SOC de hoy traen el modelo de servicio IS a la compañía, permitiendo que los sistemas de seguridad se integren en los procesos existentes.
Contigo mi espada y mi arco y mi hacha
El negocio existe en condiciones de escasez de personal: el mercado necesita alrededor de 2 millones de especialistas en seguridad de la información. Esto empuja a las empresas a externalizar el modelo. Incluso las corporaciones a menudo prefieren llevar a sus propios especialistas a una entidad legal separada; aquí pueden recordar SberTech y su propio integrador en el aeropuerto de Domodedovo, y otros ejemplos. Si no es un gigante en su industria, es más probable que contacte a alguien como IBM para que lo ayude a construir su propio servicio de seguridad. Una parte importante del presupuesto se gastará en procesos de reestructuración para lanzar la seguridad de la información en el formato de servicios corporativos.
Los escándalos filtrados de Facebook, Uber y Equifax, una agencia de crédito estadounidense, elevaron los problemas de seguridad de TI al nivel de las juntas directivas. Por lo tanto, CISO se convierte en un participante frecuente en las reuniones, y en lugar de un enfoque tecnológico para la seguridad, las empresas utilizan un prisma comercial: para evaluar la rentabilidad, reducir los riesgos y dejar las pajillas. Sí, y contrarrestar a los cibercriminales está ganando una connotación económica: es necesario que un ataque no sea rentable para que la organización, en principio, no interese a los crackers.
Hay matices
Todos estos cambios no pasaron por los atacantes que redirigieron los esfuerzos de las corporaciones a los usuarios privados. Los números hablan por sí mismos: según BI.ZONE, en 2017-2018, las pérdidas de los bancos rusos debido a los ataques cibernéticos en sus sistemas disminuyeron en más de 10 veces. Por otro lado, los incidentes relacionados con el uso de la ingeniería social en los mismos bancos aumentaron del 13% en 2014 al 79% en 2018.
Los delincuentes encontraron un eslabón débil en el perímetro de la seguridad corporativa, que resultó ser usuarios privados. Cuando uno de los oradores pidió levantar la mano de todos con un software antivirus especializado en sus teléfonos inteligentes, tres de varias docenas respondieron.
En 2018, los usuarios privados participaron en cada quinto incidente de seguridad; el 80% de los ataques a los bancos se llevaron a cabo mediante ingeniería social.
Los usuarios modernos están mimados por servicios intuitivos que les enseñan a evaluar TI en términos de conveniencia. Las funciones de seguridad que agregan un par de pasos adicionales son una distracción. Como resultado, el servicio protegido pierde para el competidor con botones más bonitos y los archivos adjuntos a correos electrónicos de phishing se abren sin leer. Vale la pena señalar que la nueva generación no muestra la alfabetización digital que se le atribuye: las víctimas de los ataques son cada vez más jóvenes y el amor de los millenials por los dispositivos solo amplía el rango de posibles vulnerabilidades.
Toca al hombre
La seguridad hoy es luchar contra la pereza humana. ¿Piensa si abrir este archivo? ¿Necesito seguir este enlace? Deje que este proceso se asiente en la caja de arena, y una vez más lo apreciará todo. Las herramientas de aprendizaje automático recopilan constantemente datos sobre el comportamiento del usuario para desarrollar prácticas seguras que no causen inconvenientes innecesarios.
Pero, ¿qué hacer con un cliente que convence a un especialista antifraude para resolver una transacción sospechosa, aunque se le dice directamente que la cuenta del destinatario se ha visto en transacciones fraudulentas (un caso real de la práctica de BI.ZONE)? ¿Cómo proteger a los usuarios de intrusos que pueden falsificar una llamada del banco?
Ocho de cada diez ataques de ingeniería social son por teléfono.
Las llamadas telefónicas se convierten en el principal canal de ingeniería social maliciosa: en 2018, la proporción de tales ataques aumentó del 27% al 83% por ciento, superando con creces los SMS, las redes sociales y el correo electrónico. Los delincuentes crean centros de llamadas completos para llamar por teléfono con ofertas para ganar dinero en el intercambio u obtener dinero por participar en encuestas. A muchas personas les resulta difícil tomar información de manera crítica cuando se les requieren decisiones inmediatas, prometiendo una recompensa impresionante por esto.
La última tendencia es el fraude con programas de lealtad, que le roban a la víctima millas acumuladas a lo largo de los años, litros gratis de gasolina y otros bonos. Clásicos probados, suscripción paga a servicios móviles innecesarios, tampoco pierde relevancia. En uno de los informes, hubo un ejemplo de un usuario que diariamente perdió 8 mil rublos debido a dichos servicios. Cuando se le preguntó por qué no le molestaba el equilibrio constante de fusión, el hombre respondió que atribuía todo a la avaricia de su proveedor.
Hackers no rusos
Los dispositivos móviles difuminan la línea entre los ataques a usuarios privados y corporativos. Por ejemplo, un empleado puede buscar secretamente un nuevo trabajo. Se tropieza con Internet en un servicio para preparar un currículum, descarga una aplicación o plantilla de documento a un teléfono inteligente. Entonces, los atacantes que lanzaron el recurso en línea falso se suben a un dispositivo personal, desde donde pueden trasladarse a la red corporativa.
Según un orador del Grupo IB, fue precisamente una operación de este tipo la que llevó a cabo el grupo avanzado Lázaro, que se conoce como una unidad de inteligencia de Corea del Norte. Estos son algunos de los ciberdelincuentes más productivos de los últimos años: han sido responsables del robo del
banco central de Bangladesh y
el banco más grande de Taiwán ,
FEIB ,
ataques contra la industria de las criptomonedas e incluso
la compañía cinematográfica Sony Pictures . Los grupos APT (del inglés amenaza persistente avanzada, "amenaza avanzada persistente"), cuyo número en los últimos años ha crecido a varias docenas, ingresan a la infraestructura en serio y durante mucho tiempo, habiendo estudiado previamente todas sus características y debilidades. Así es como se las arreglan para averiguar acerca del lanzamiento profesional de un empleado que tiene acceso al sistema de información necesario.
Las grandes organizaciones de hoy están amenazadas por 100-120 grupos cibernéticos especialmente peligrosos, una de cada cinco compañías de ataques en Rusia.
El jefe del departamento de investigación de amenazas de Kaspersky Lab, Timur Biyachuev, estimó el número de los grupos más formidables en 100-120 comunidades, y ahora hay varios cientos de ellos. Las empresas rusas están amenazadas por alrededor del 20%. Una proporción significativa de delincuentes, especialmente de grupos recientemente emergidos, viven en el sudeste asiático.
Las comunidades APT pueden crear específicamente una compañía de desarrollo de software para cubrir sus actividades o
comprometer el servicio de actualización global de ASUS para alcanzar varios cientos de sus objetivos. Los expertos monitorean constantemente dichos grupos, reuniendo evidencia dispersa para determinar la identidad corporativa de cada uno de ellos. Tal inteligencia (inteligencia de amenaza) sigue siendo la mejor arma preventiva contra el cibercrimen.
¿De quién serás?
Según los expertos, los delincuentes pueden cambiar fácilmente las herramientas y tácticas, escribir nuevo malware y descubrir nuevos vectores de ataque. El mismo Lázaro en una de las campañas colocó palabras de habla rusa en el código para dirigir la investigación en una pista falsa. Sin embargo, el patrón de comportamiento en sí es mucho más difícil de cambiar; por lo tanto, los especialistas pueden, por características, suponer quién llevó a cabo este o aquel ataque. Aquí nuevamente son ayudados por las tecnologías de big data y aprendizaje automático que separan el grano de la paja en la información recopilada por la información de monitoreo.
Los oradores del Congreso hablaron sobre el problema de la atribución o la determinación de la identidad de los atacantes, más de una o dos veces. Ambas cuestiones tecnológicas y legales están asociadas con estas tareas. Digamos, ¿los delincuentes caen bajo la protección de la legislación de datos personales? Por supuesto, sí, lo que significa que el envío de información sobre los organizadores de la campaña solo es posible de forma anónima. Esto impone algunas restricciones en los procesos de intercambio de datos dentro de la comunidad profesional de seguridad de la información.
Los escolares y hooligans, clientes de tiendas clandestinas de piratas informáticos, también complican la investigación de incidentes. El umbral para ingresar a la industria del delito cibernético ha disminuido hasta tal punto que las filas de los actores maliciosos tienden al infinito: no los contará a todos.
Hermosa lejos
Es fácil caer en la desesperación ante la idea de los empleados que, con sus propias manos, ponen una puerta trasera al sistema financiero, pero también hay tendencias positivas. La creciente popularidad del código abierto aumenta la transparencia del software y simplifica la lucha contra las inyecciones de código malicioso. Los expertos en ciencia de datos están creando nuevos algoritmos que bloquean las acciones no deseadas cuando muestran signos de intención maliciosa. Los expertos están tratando de acercar la mecánica de los sistemas de seguridad al funcionamiento del cerebro humano, para que el equipo de protección utilice la intuición junto con los métodos empíricos. Las tecnologías de aprendizaje profundo permiten que dichos sistemas evolucionen independientemente en los modelos de ciberataque.
Skoltech: “La inteligencia artificial está de moda, y eso es bueno. De hecho, todavía queda mucho tiempo por recorrer, y es aún mejor ".
Como Grigory Kabatyansky, Asesor del Rector del Instituto de Ciencia y Tecnología de Skolkovo, recordó a la audiencia, tales desarrollos no pueden llamarse inteligencia artificial. La IA real no solo puede aceptar tareas de humanos, sino también establecerlas de forma independiente. Hasta el advenimiento de tales sistemas, que inevitablemente toman su lugar entre los accionistas de las grandes corporaciones, unas pocas décadas.
Mientras tanto, la humanidad está trabajando con tecnologías de aprendizaje automático y redes neuronales, de las que los académicos hablaron a mediados del siglo pasado. Los investigadores de Skoltech utilizan modelos predictivos para trabajar con Internet de las cosas, redes móviles y comunicaciones inalámbricas, soluciones médicas y financieras. En algunas áreas, el análisis avanzado está luchando con la amenaza de desastres tecnológicos y problemas de rendimiento de la red. En otros, sugiere opciones para resolver problemas existentes e hipotéticos, resuelve problemas como
revelar mensajes ocultos en portadores aparentemente inofensivos.
Entrenamiento en gatos
Igor Lyapunov, vicepresidente de seguridad de la información en Rostelecom PJSC, considera que el problema fundamental del aprendizaje automático en la seguridad de la información es la falta de material para los sistemas inteligentes. Las redes neuronales se pueden enseñar a reconocer a un gato mostrando miles de fotos con este animal. ¿Dónde obtener miles de ciberataques para citar como ejemplo?
La proto-IA de hoy ayuda a buscar rastros de delincuentes en la red oscura y analizar el malware ya detectado. Antifraude, antilavado de dinero, que identifica en parte las vulnerabilidades en el código; todo esto también se puede hacer por medios automatizados. El resto puede atribuirse a los proyectos de marketing de los desarrolladores de software, y esto no cambiará en los próximos 5-10 años.