Vom 20. bis 21. Juni fand in Moskau der
Internationale Kongress für Cybersicherheit statt. Im Anschluss an die Veranstaltung konnten die Besucher folgende Schlussfolgerungen ziehen:
- Der digitale Analphabetismus verbreitet sich sowohl unter den Nutzern als auch unter den Cyberkriminellen selbst.
- Erstere fallen weiterhin auf Phishing herein, öffnen gefährliche Links und bringen Malware von persönlichen Smartphones in persönliche Netzwerke.
- Unter den zweiten gibt es immer mehr Neulinge, die leichtes Geld suchen, ohne in die Technologie einzutauchen - sie haben das Botnetz im Darkweb heruntergeladen, die Automatisierung eingerichtet und das Gleichgewicht der Brieftasche überwacht.
- Sicherheitspersonal muss sich auf fortschrittliche Analysen verlassen, ohne die die Bedrohung im Informationsrauschen sehr leicht zu erkennen ist.
Der Kongress fand im World Trade Center statt. Die Wahl des Standortes erklärt sich aus der Tatsache, dass dies eine der wenigen Einrichtungen mit FSO-Zulassung für Veranstaltungen mit den höchsten Rängen des Landes ist. Die Besucher des Kongresses konnten Reden des Ministers für digitale Entwicklung Konstantin Noskov, der Leiterin der Zentralbank Elvira Nabiullina, der Präsidentin der Sberbank German Gref, hören. Das internationale Publikum wurde von Huawei-CEO in Russland, Aiden Wu, dem pensionierten Europol-Direktor Jürgen Storbeck, dem Präsidenten des Deutschen Rates für Cybersicherheit, Hans-Wilhelm Dünn, und anderen hochrangigen Experten vertreten.
Ist der Patient eher am Leben?
Die Organisatoren wählten Themen aus, die sowohl für allgemeine Diskussionen als auch für praktisch orientierte Berichte zu technischen Fragen geeignet waren. Die meisten Reden erwähnten künstliche Intelligenz auf die eine oder andere Weise - zur Ehre der Sprecher erkannten sie oft selbst, dass dies in der aktuellen Inkarnation eher ein „Hype-Thema“ als ein wirklich funktionierender Technologie-Stack ist. Gleichzeitig ist der Schutz einer großen Unternehmensinfrastruktur ohne maschinelles Lernen und Data Science heute kaum vorstellbar.
Es ist möglich, einen Angriff durchschnittlich drei Monate nach dem Eindringen in die Infrastruktur zu erkennen.
Denn eine Signatur stoppt nicht 300.000 neue Malware, die jeden Tag im Web erscheint (laut Kaspersky Lab). Im Durchschnitt dauert die Cybersicherheit drei Monate, um Cyberkriminelle in ihrem Netzwerk zu erkennen. In dieser Zeit schaffen es Cracker, in der Infrastruktur Fuß zu fassen, so dass sie drei- oder viermal rausgeschmissen werden müssen. Die Speicher wurden bereinigt - die Malware wurde über eine anfällige Remoteverbindung zurückgegeben. Sie stellten die Netzwerksicherheit her - Kriminelle senden einem Mitarbeiter einen Brief mit einem Trojaner, angeblich von einem langjährigen Geschäftspartner, den sie ebenfalls kompromittieren konnten. Und so bis zum bitteren Ende, egal wer sich letztendlich durchsetzt.
A und B bauten IB
Auf dieser Basis nehmen zwei parallele Richtungen der Informationssicherheit rasant zu: die allgegenwärtige Kontrolle über die Infrastruktur basierend auf Cyber-Sicherheitszentren (Security Operations Center, SOC) und die Erkennung böswilliger Aktivitäten durch abnormales Verhalten. Viele Redner, zum Beispiel Dhanya Thakkar, Vizepräsident von Trend Micro für den asiatisch-pazifischen Raum, den Nahen Osten und Afrika, fordern die Administratoren auf, anzunehmen, dass sie gehackt wurden, um verdächtige Ereignisse nicht zu verpassen, egal wie unbedeutend sie auch erscheinen mögen.
IBM zu einem typischen SOC-Projekt: „Entwerfen Sie zuerst das zukünftige Servicemodell, implementieren Sie es dann und stellen Sie erst dann die erforderlichen technischen Systeme bereit.“
Daher die wachsende Beliebtheit von SOCs, die alle Bereiche der Infrastruktur abdecken und rechtzeitig über die plötzliche Aktivität eines vergessenen Routers berichten. Laut Gyorgy Racz, Direktor von IBM Security Systems in Europa, hat die Fachwelt in den letzten Jahren eine bestimmte Vorstellung von solchen Kontrollstrukturen entwickelt und erkannt, dass Sicherheitstechnologie allein nicht erreicht werden kann. Die heutigen SOCs bringen das IS-Servicemodell in das Unternehmen und ermöglichen die Integration von Sicherheitssystemen in vorhandene Prozesse.
Mit dir mein Schwert und mein Bogen und meine Axt
Das Geschäft besteht unter Bedingungen des Personalmangels - der Markt benötigt etwa 2 Millionen Spezialisten für Informationssicherheit. Dies zwingt Unternehmen, das Modell auszulagern. Selbst Unternehmen ziehen es oft vor, ihre eigenen Spezialisten zu einer separaten juristischen Person zu bringen - hier können Sie sich an SberTech und seinen eigenen Integrator am Flughafen Domodedovo sowie an andere Beispiele erinnern. Wenn Sie kein Riese in Ihrer Branche sind, wenden Sie sich eher an jemanden wie IBM, um Ihren eigenen Sicherheitsdienst aufzubauen. Ein erheblicher Teil des Budgets wird für Restrukturierungsprozesse aufgewendet, um die Informationssicherheit im Format von Unternehmensdiensten zu starten.
Durchgesickerte Skandale von Facebook, Uber und Equifax, einem US-amerikanischen Kreditbüro, haben IT-Sicherheitsprobleme auf die Ebene der Verwaltungsräte gebracht. Daher nimmt CISO häufig an den Meetings teil, und anstelle eines technologischen Sicherheitsansatzes verwenden Unternehmen ein Geschäftsprisma, um die Rentabilität zu bewerten, Risiken zu reduzieren und Strohhalme zu legen. Ja, und die Bekämpfung von Cyberkriminellen gewinnt an wirtschaftlicher Bedeutung - es ist notwendig, einen Angriff unrentabel zu machen, damit die Organisation Cracker im Prinzip nicht interessiert.
Es gibt Nuancen
All diese Änderungen gingen nicht an den Angreifern vorbei, die die Bemühungen von Unternehmen auf private Benutzer umleiteten. Die Zahlen sprechen für sich: Laut BI.ZONE haben sich die Verluste russischer Banken aufgrund von Cyber-Angriffen auf ihre Systeme in den Jahren 2017-2018 um mehr als das Zehnfache verringert. Auf der anderen Seite stiegen die Vorfälle, bei denen Social Engineering in denselben Banken eingesetzt wurde, von 13% im Jahr 2014 auf 79% im Jahr 2018.
Kriminelle fanden ein schwaches Glied im Bereich der Unternehmenssicherheit, das sich als private Benutzer herausstellte. Als einer der Redner darum bat, die Hände aller mit spezialisierter Antivirensoftware auf seinem Smartphone zu heben, antworteten drei von mehreren Dutzend.
Im Jahr 2018 nahmen private Benutzer an jedem fünften Sicherheitsvorfall teil, 80% der Angriffe auf Banken wurden mithilfe von Social Engineering durchgeführt.
Moderne Benutzer haben die Qual der intuitiven Dienste, mit denen sie lernen, die IT im Hinblick auf ihre Benutzerfreundlichkeit zu bewerten. Sicherheitsfunktionen, die einige zusätzliche Schritte hinzufügen, lenken ab. Infolgedessen verliert der geschützte Dienst mit hübscheren Schaltflächen an den Konkurrenten, und Anhänge zu Phishing-E-Mails werden ohne Lesen geöffnet. Es ist erwähnenswert, dass die neue Generation nicht die ihr zugeschriebene digitale Kompetenz aufweist - die Opfer von Angriffen werden jedes Jahr jünger, und die Liebe der Millennials zu Gadgets erweitert nur das Spektrum möglicher Sicherheitslücken.
Schlag auf den Menschen
Sicherheit bekämpft heute die menschliche Faulheit. Überlegen Sie, ob Sie diese Datei öffnen möchten? Muss ich diesem Link folgen? Lassen Sie diesen Vorgang im Sandkasten sitzen, und Sie werden wieder alles zu schätzen wissen. Tools für maschinelles Lernen sammeln ständig Daten zum Benutzerverhalten, um sichere Praktiken zu entwickeln, die keine unnötigen Unannehmlichkeiten verursachen.
Aber was tun mit einem Kunden, der einen Betrugsbekämpfungsspezialisten davon überzeugt, eine verdächtige Transaktion zu lösen, obwohl ihm direkt mitgeteilt wird, dass das Konto des Adressaten bei betrügerischen Transaktionen gesehen wurde (ein realer Fall aus der Praxis von BI.ZONE)? Wie können Benutzer vor Eindringlingen geschützt werden, die einen Anruf von der Bank vortäuschen können?
Acht von zehn Social-Engineering-Angriffen erfolgen telefonisch.
Telefonanrufe werden zum Hauptkanal für böswilliges Social Engineering. 2018 stieg der Anteil solcher Angriffe von 27% auf 83% und übertraf SMS, soziale Netzwerke und E-Mail bei weitem. Kriminelle schaffen ganze Call Center zum Telefonieren mit Angeboten, um Geld an der Börse zu verdienen oder Geld für die Teilnahme an Umfragen zu erhalten. Vielen Menschen fällt es schwer, Informationen kritisch zu nehmen, wenn sofortige Entscheidungen von ihnen verlangt werden, was eine beeindruckende Belohnung verspricht.
Der neueste Trend ist Betrug mit Treueprogrammen, die dem Opfer im Laufe der Jahre gesammelte Meilen, freie Liter Benzin und andere Boni rauben. Bewährte Klassiker, kostenpflichtiges Abonnement für unnötige mobile Dienste, verlieren ebenfalls nicht an Relevanz. In einem der Berichte gab es ein Beispiel für einen Benutzer, der täglich 8.000 Rubel durch solche Dienste verlor. Auf die Frage, warum ihn das ständig schmelzende Gleichgewicht nicht störe, antwortete der Mann, dass er alles der Gier seines Versorgers zuschreibe.
Nicht russische Hacker
Mobile Geräte verwischen die Grenze zwischen Angriffen auf private und geschäftliche Benutzer. Beispielsweise kann ein Mitarbeiter heimlich nach einem neuen Job suchen. Er stolpert über das Internet über einen Dienst zur Erstellung eines Lebenslaufs, lädt eine Anwendung oder Dokumentvorlage auf ein Smartphone herunter. Die Angreifer, die die falsche Online-Ressource gestartet haben, erhalten ein persönliches Gadget, von dem aus sie zum Unternehmensnetzwerk wechseln können.
Laut einem Sprecher der Gruppe IB war es genau eine solche Operation, die die fortgeschrittene Gruppe Lazarus durchführte, von der als nordkoreanische Geheimdiensteinheit gesprochen wird. Dies sind einige der produktivsten Cyberkriminellen der letzten Jahre - sie haben den Diebstahl der
Zentralbank von Bangladesch und
Taiwans größter FEIB-Bank ,
Angriffe auf die Kryptowährungsbranche und sogar
die Filmfirma Sony Pictures erklärt . APT-Gruppen (von der englischen Advanced Persistent Threat, "Persistent Advanced Threat"), deren Anzahl in den letzten Jahren auf mehrere Dutzend angewachsen ist, greifen ernsthaft und lange in die Infrastruktur ein, nachdem sie zuvor alle ihre Merkmale und Schwächen untersucht haben. Auf diese Weise können sie herausfinden, wie ein Mitarbeiter Karriere macht, der Zugriff auf das erforderliche Informationssystem hat.
Große Organisationen sind heute von 100 bis 120 besonders gefährlichen Cybergruppen bedroht, einem von fünf Angriffsunternehmen in Russland.
Der Leiter der Bedrohungsforschungsabteilung des Kaspersky Lab, Timur Biyachuev, schätzte die Anzahl der beeindruckendsten Gruppen in 100 bis 120 Gemeinden, von denen es derzeit mehrere hundert gibt. Russische Unternehmen sind zu rund 20% bedroht. Ein erheblicher Teil der Kriminellen, insbesondere aus kürzlich entstandenen Gruppen, lebt in Südostasien.
APT-Communities können speziell ein Softwareentwicklungsunternehmen gründen, um ihre Aktivitäten abzudecken, oder
den globalen Update-Service von
ASUS gefährden , um mehrere hundert ihrer Ziele zu erreichen. Experten überwachen solche Gruppen ständig und sammeln verstreute Beweise, um die Corporate Identity jeder einzelnen von ihnen zu bestimmen. Solche Informationen (Bedrohungsinformationen) bleiben die beste vorbeugende Waffe gegen Cyberkriminalität.
Wem wirst du gehören?
Laut Experten können Kriminelle leicht Tools und Taktiken ändern, neue Malware schreiben und neue Angriffsmethoden entdecken. Derselbe Lazarus hat in einer der Kampagnen russischsprachige Wörter in den Code aufgenommen, um die Untersuchung auf eine falsche Spur zu lenken. Das Verhaltensmuster selbst ist jedoch viel schwieriger zu ändern, daher können Spezialisten anhand charakteristischer Merkmale annehmen, wer diesen oder jenen Angriff ausgeführt hat. Auch hier helfen ihnen Big-Data- und maschinelle Lerntechnologien, die die Spreu in den durch die Überwachung der Informationen gesammelten Informationen von der Spreu trennen.
Die Sprecher des Kongresses sprachen mehr als ein- oder zweimal über das Problem der Zuschreibung oder der Feststellung der Identität von Angreifern. Mit diesen Aufgaben sind sowohl technologische als auch rechtliche Fragen verbunden. Fallen Kriminelle unter den Schutz der Gesetzgebung für personenbezogene Daten? Natürlich ja, was bedeutet, dass das Senden von Informationen über Kampagnenorganisatoren nur in anonymer Form möglich ist. Dies führt zu einigen Einschränkungen bei den Datenaustauschprozessen innerhalb der professionellen Community für Informationssicherheit.
Schulkinder und Hooligans, Kunden von heimlichen Hacker-Läden, erschweren ebenfalls die Untersuchung von Vorfällen. Die Schwelle für den Eintritt in die Cyberkriminalitätsbranche ist so weit gesunken, dass die Anzahl der böswilligen Akteure unendlich ist - Sie werden nicht alle zählen.
Schön weit
Es ist leicht, bei dem Gedanken an Mitarbeiter, die mit ihren eigenen Händen eine Hintertür zum Finanzsystem setzen, in Verzweiflung zu geraten, aber es gibt auch positive Trends. Die wachsende Beliebtheit von Open Source erhöht die Transparenz der Software und vereinfacht den Kampf gegen schädliche Code-Injektionen. Data Science-Experten entwickeln neue Algorithmen, die unerwünschte Aktionen blockieren, wenn sie Anzeichen böswilliger Absichten zeigen. Experten versuchen, die Mechanik von Sicherheitssystemen näher an die Funktionsweise des menschlichen Gehirns heranzuführen, damit die Schutzausrüstung neben empirischen Methoden auch die Intuition nutzt. Deep-Learning-Technologien ermöglichen es solchen Systemen, sich unabhängig von Cyberangriffsmodellen zu entwickeln.
Skoltech: „Künstliche Intelligenz ist in Mode und das ist gut so. Tatsächlich ist es noch sehr lange und es ist noch besser. "
Wie Grigory Kabatyansky, Berater des Rektors des Skolkovo-Instituts für Wissenschaft und Technologie, das Publikum erinnerte, können solche Entwicklungen nicht als künstliche Intelligenz bezeichnet werden. Echte KI kann Aufgaben von Menschen nicht nur annehmen, sondern auch unabhängig festlegen. Bis zum Aufkommen solcher Systeme, die unweigerlich ihren Platz unter den Aktionären großer Unternehmen einnehmen, einige Jahrzehnte.
In der Zwischenzeit arbeitet die Menschheit mit Technologien für maschinelles Lernen und neuronalen Netzen, über die Wissenschaftler Mitte des letzten Jahrhunderts gesprochen haben. Skoltech-Forscher verwenden Vorhersagemodelle, um mit dem Internet der Dinge, Mobilfunknetzen und drahtloser Kommunikation sowie medizinischen und finanziellen Lösungen zu arbeiten. In einigen Bereichen hat Advanced Analytics mit der Bedrohung durch technologische Katastrophen und Netzwerkleistungsproblemen zu kämpfen. In anderen Fällen werden Optionen zur Lösung bestehender und hypothetischer Probleme vorgeschlagen und Probleme wie das
Aufdecken versteckter Nachrichten in scheinbar harmlosen Trägern gelöst.
Training an Katzen
Igor Lyapunov, Vizepräsident für Informationssicherheit bei Rostelecom PJSC, sieht das grundlegende Problem des maschinellen Lernens in der Informationssicherheit als Materialmangel für intelligente Systeme. Neuronale Netze können gelehrt werden, eine Katze zu erkennen, indem Tausende von Fotos mit diesem Tier gezeigt werden. Wo kann man Tausende von Cyberangriffen als Beispiel anführen?
Die heutige Proto-KI hilft bei der Suche nach Spuren von Kriminellen im Darknet und der Analyse bereits erkannter Malware. Betrugsbekämpfung, Geldwäschebekämpfung, teilweise Identifizierung von Schwachstellen im Code - all dies kann auch automatisiert erfolgen. Der Rest ist auf Marketingprojekte von Softwareentwicklern zurückzuführen, die sich in den nächsten 5 bis 10 Jahren nicht ändern werden.