Bonjour à tous, je m'appelle Alexander Dvoryansky, je suis le directeur commercial d'Infosecurity. Aujourd'hui, nous examinerons les principales tendances et vecteurs du développement de la cybersécurité, à la fois mondiale et russe, qui, à mon avis, seront pertinentes dans un avenir proche.
Si nous traduisons toutes les définitions des kilomètres encyclopédiques en une définition complète et compréhensible, alors, aussi banal que cela puisse paraître, la cybersécurité est une contre-réaction aux dangers émergents, et elle est basée, bien sûr, sur la protection et la prévention des attaques de pirates.
Ainsi, les tendances en matière de cybersécurité sont directement liées aux buts et objectifs des cybercriminels. Nous allons maintenant les considérer.
En termes de concentration, comme précédemment, les attaques de pirates visent les grandes entreprises, y compris les systèmes industriels financés par l'État et d'autres infrastructures critiques. Mais en plus des cibles à grande échelle, les pirates sont très intéressés par les «petits poissons»: routeurs et autres équipements réseau, appareils IoT et vulnérabilités matérielles (comme Spectre et Meltdown).
Dans le même temps, je voudrais noter séparément les attaques menées à travers la soi-disant chaîne d'approvisionnement. En fait, la première chose que vous faites est de casser vos contreparties de confiance, puis en leur nom, vous obtenez une sorte d'investissement avec un chiffreur.
Ainsi, la tendance n ° 1 renforce la défense des plus vulnérables et des plus «friandises».
Considérons maintenant l'autre côté de la médaille, c'est-à-dire les principaux objectifs du piratage. Voici les éléments suivants:
- Retrait d'espèces (y compris aux distributeurs automatiques de billets);
- Divers ransomwares (essuie-glaces / cryptographes);
- Exploitation minière cachée;
- Vol de données pour la revente;
- Espionnage industriel.
Par conséquent, tendance n ° 2 - actions visant à prévenir les dommages financiers, à perturber la vie de l’organisation et à divulguer des informations confidentielles.
Une tendance distincte (nous avons ce numéro 3), qui prend de l'ampleur, est l'utilisation de données accessibles au public.
"Des conneries!" - dites-vous. «Et ce n'est pas le cas» - je vais vous répondre.
Sans le remarquer, les spécialistes de l'entreprise laissent diverses données sur eux-mêmes, leurs domaines internes, leurs identifiants, leurs identifiants, leurs mots de passe sur Internet. Ainsi, nous avons trouvé à plusieurs reprises sur des ressources publiques comme
github et
pastebin , des informations sensibles similaires. Nul doute que les pirates en profiteront avec plaisir.
Eh bien, maintenant, nous allons traiter de l'envers: comment nous allons nous défendre et ce qui est à la mode maintenant.
Tendance n ° 4. SOC, y compris le cloud et la cloudisation
Sur le marché russe, seuls les paresseux ne parlent plus de SOC maintenant. Pour les développeurs, il s'agit d'un marché profond, pour les clients, c'est l'occasion d'améliorer qualitativement le niveau global de sécurité des informations de l'entreprise et de construire une défense complète en profondeur.
De plus en plus de participants au marché donnent leur préférence au modèle de service de connexion aux centres de suivi des événements et de traitement des événements, ou le feront au cours des 2 prochaines années, plutôt que de se lancer dans la construction de leurs propres moyens. Cela est principalement dû au coût nettement inférieur de la solution et à un retour sur investissement plus rapide. De plus, le client n'a pas besoin de former et de maintenir une équipe d'analystes, qui, soit dit en passant, sont assez chers aujourd'hui.
À leur tour, les acteurs du marché russe pour le suivi des événements SI recourent de plus en plus à l'échange d'expériences avec des collègues de l'atelier du monde entier. Cela est également confirmé par l'accréditation de plusieurs entreprises par la communauté professionnelle du CERT Carnegie Melone Institute, certaines d'entre elles étant même membres de la communauté internationale des centres de réponse aux incidents du SI: FIRST.
La tendance suivante dans le compte (n ° 5), mais pas en valeur, sont les services selon le modèle MSSP (Managed Security Service Provider)
De plus en plus de grandes et moyennes entreprises découvrent des services gérés fournis par des fournisseurs de services pour fournir des services de sécurité de l'information sur une base commerciale.
Quelle est la valeur pour les clients et pourquoi l'avenir proche du MSSP?
Premièrement, il s'agit d'une réduction des coûts, car il n'est pas nécessaire d'acheter des logiciels et des équipements spécialisés, en outre, le paiement est effectué exclusivement pour les services effectivement fournis au client.
Deuxièmement, les services sont fournis par des professionnels qui, sur la base de leur propre expérience, vous aideront à répondre rapidement et avec compétence aux incidents et à faire face à d'autres difficultés.
À votre tour, vous devez vous concentrer sur l'activité principale et oublier la sécurité des informations, ou simplement contrôler et optimiser les services fournis par le fournisseur de services.
En Russie, le MSSP commence à peine à prendre de l'ampleur, même si, bien sûr, il est encore loin des indicateurs mondiaux. De plus en plus de clients commencent à faire confiance aux prestataires de services, en externalisant des processus informatiques et de sécurité des informations clés.
Nous continuons. La sixième tendance, et probablement la plus prévisible - KII et GosSOPKA
Le 1er janvier 2018, la loi «Sur la sécurité des infrastructures d'information critiques» (ci-après dénommée la Loi) est entrée en vigueur dans notre pays. A partir de 2013, même au stade du projet, cette loi a été vivement débattue par la communauté de la sécurité de l'information et a soulevé de nombreuses questions concernant la mise en œuvre pratique des exigences qu'elle a avancées. Maintenant que ces exigences sont entrées en vigueur et que tous les sujets du CII ont été confrontés au besoin ardent de les remplir, voici un algorithme d'actions plus ou moins unifié.
Selon la loi, les entités CII doivent:
- effectuer la catégorisation des objets KII;
- assurer l'intégration (intégration) dans le système étatique de détection, de prévention et d'élimination des conséquences des attaques informatiques sur les ressources informatiques de la Fédération de Russie (GosSOPKA);
- prendre des mesures organisationnelles et techniques pour assurer la sécurité des objets KII.
Et la connexion à l'État SOPCA exige des sujets CII ce qui suit:
- informer le FSB de la Russie des incidents informatiques, ainsi que la Banque centrale de la Fédération de Russie, si l'organisation opère dans le secteur bancaire et dans d'autres domaines du marché financier;
- aider le FSB de Russie à détecter, prévenir et éliminer les conséquences des attaques informatiques, établir les causes et les conditions des incidents informatiques.
En outre, selon la décision individuelle du sujet de KII sur le territoire de l'objet KII, l'équipement du système national de protection sociale et de certification peut être placé. Mais dans un tel modèle, le sujet est en outre tenu d'assurer sa sécurité et son fonctionnement ininterrompu. En d'autres termes, le sujet de KII peut organiser son propre centre GosSOPKA.
Conclusion, si vous êtes un sujet de KII, peu importe la classe, vous êtes obligé de signaler tous les incidents à l'Etat SOPKA. La punition pour manquement ou non respect des exigences de la loi est sévère ici, voire pénale. Par conséquent, tous les sujets de KII, étatiques, commerciaux, jusqu'aux entrepreneurs privés (s'il fournit soudainement de tels services) doivent et mèneront des activités pour se conformer aux exigences de la loi.
Tendance n ° 7 des deux prochaines années - assurance cyber-risques
En général, le marché de l'assurance cyber-risque ne fait que gagner du terrain maintenant, mais d'ici 2023, selon les experts, le montant des primes d'assurance sur le marché russe s'élèvera à 1 milliard de roubles.
La politique gouvernementale en la matière est un facteur important pour décider en faveur d'une assurance contre les cyberrisques. Ainsi, le ministère des Finances a publié une lettre selon laquelle il permettait aux organisations de prendre en compte les pertes liées aux cyberattaques en tant que dépense et de réduire ainsi la base de calcul de l'impôt sur le revenu, mais pour cela, il est nécessaire de signaler une attaque aux services répressifs qui, s'il y a un avis d'expert, devraient engager une procédure pénale. . Cependant, si vous refusez d'engager une procédure pénale pour une raison quelconque, vous ne pourrez pas réduire l'assiette fiscale.
Par conséquent, toute attaque par des attaquants dans ce cas entraînera non seulement des pertes financières pour les organisations, mais également des risques de réputation supplémentaires. Et les clients et les contreparties pourront tirer la conclusion appropriée sur la fiabilité de l'organisation.
Dans le même temps, l’utilisation d’une police d’assurance contre les risques informatiques démontre au contraire la volonté de l’organisation de protéger et de sécuriser ses clients contre les actes malveillants.
Je tiens à souligner que les mesures préventives pour organiser la sécurité des données sont toujours l'outil le plus logique et le plus efficace pour réduire la probabilité et les dommages possibles des cyberattaques.
Une autre tendance prévisible, et c'est déjà le numéro 8 - la biométrie.
Le 1er juillet 2018, la loi n ° 482- relative à l'identification biométrique des citoyens est entrée en vigueur en Russie, prévoyant la création d'une base de données unique de données biométriques pour tous les résidents du pays. Par conséquent, toutes les organisations, d'une manière ou d'une autre liées à cette loi, devront utiliser le complexe logiciel et matériel spécialisé pour assurer la réception, le stockage et, surtout, la transmission sécurisée des données biométriques des utilisateurs.
À ce stade, la mise en œuvre du système biométrique facilitera grandement la vie des clients bancaires en simplifiant le processus de traitement des produits financiers. Maintenant, pour déterminer l'identité du client, il n'est pas nécessaire d'exiger un passeport - il suffit de comparer la voix et la personne avec les entrées de la base de données. Un client bancaire peut exécuter n'importe lequel de ses produits - par exemple, un dépôt ou un prêt - à tout moment et en tout lieu par téléphone ou dans la banque Internet. Les services bancaires deviendront plus accessibles aux personnes des régions éloignées, où le choix des banques est limité ou totalement absent.
Et pour les banques, à leur tour, la connexion à l'EBS contribuera à répondre aux exigences de la loi, en termes de sécurité des données transmises et reçues du Système Biométrique Unifié.
Tendance n ° 9. Formation et sensibilisation à l'IB
La sensibilisation n'est pas seulement une direction de la sécurité de l'information, mais aussi l'une de ses tendances éternelles. Si une entreprise ne forme pas ses employés aux règles de sécurité de l'information, alors une violation de ces règles est presque inévitable: même l'employé le plus consciencieux ne peut pas se conformer à ce qu'il ne sait pas. De plus, au cours des dernières décennies, les escrocs qui souhaitent obtenir des données précieuses utilisent activement l'ingénierie sociale. Dans des attaques de ce genre, une personne est manipulée, parasitée sur ses faiblesses - curiosité, crédulité, peur des sanctions de la part des autorités.
Des solutions techniques complexes s'éloignent en arrière-plan: pourquoi perdre du temps et des efforts à développer un virus, un cheval de Troie ou un logiciel espion si une personne peut vous fournir toutes les informations nécessaires? Il est clair qu'à la lumière de cette tendance, la formation devient un moyen de protection indispensable.
Si une entreprise veut rendre efficace la formation de ses employés, elle doit la mener régulièrement et s'assurer qu'elle est intéressante. Si le premier n'est généralement pas mauvais, le second pose le plus souvent des problèmes. Ici, les tendances viennent à la rescousse dans la sensibilisation elle-même. C’est:
- Accent sur l'apprentissage à distance - les supports de formation peuvent être consultés sur différents types d'appareils à un moment qui convient aux employés;
- Personnalisation - préparation de différents documents pour différents publics cibles;
- Micro-apprentissage - la fourniture d'informations de formation en petits blocs et la fixation de chaque bloc avec des tâches pratiques;
- Gamification - l'ajout d'éléments de jeu à la formation (récompenses et réalisations, complication progressive des tâches, utilisation d'histoires et de personnages fascinants).
La 10e tendance suivante est la sécurité de l'Internet des objets
La menace pour la sécurité des appareils IoT a été sérieusement discutée en 2016, après une attaque DDoS massive par le botnet Mirai, qui comprenait des centaines de milliers d'appareils infectés.
La capacité d'organiser un botnet de cette ampleur est associée à un faible niveau de sécurité pour de tels appareils: en plus des mots de passe initialement faibles, beaucoup d'entre eux présentent également des vulnérabilités critiques.
La liste des types d'appareils est constamment mise à jour: routeurs domestiques et caméras Web, divers capteurs et composants d'une maison intelligente, équipements médicaux et industriels.
Ces dernières années, l'intérêt pour les vulnérabilités des logiciels automobiles a également augmenté.
Étant donné que le nombre d'équipements connectés à Internet ne fait qu'augmenter chaque année, nous prévoyons une augmentation du nombre d'incidents liés à ce domaine.
Vient ensuite la tendance n ° 11, qui ne peut être ignorée du point de vue du développement de produits en cybersécurité.
Déjà maintenant, l'automatisation des processus de sécurité et des opérations de routine commence, la réponse aux cyberincidents et la détection se produisent aux points d'extrémité.
Les entreprises utilisent Honeypot, c'est-à-dire faux site / ressource, laissant un site astucieux déchiré par les pirates. Et dans le cadre des produits IB familiers, des modules d'apprentissage automatique sont déjà utilisés. Mais il y aura toujours des feutres de toiture.
En parlant de Machine Learning, c'est aussi l'une des tendances de la cybersécurité - sur notre liste de n ° 12.
L'apprentissage automatique est utilisé dans l'environnement des fabricants d'équipements de sécurité depuis longtemps, vous permettant de créer des méthodes plus flexibles et adaptatives pour détecter les menaces.
Actuellement, il existe des tendances pour développer cette compétence non seulement du côté des défenseurs, mais aussi chez les hackers.
La plupart des cybercriminels utilisent l'apprentissage automatique pour développer des logiciels malveillants qui contournent les méthodes de détection basées sur les signatures, créent des e-mails de phishing qui ne se distinguent presque pas du courrier ordinaire, et recherchent également des vulnérabilités dans le code d'application.
N'oubliez pas que l'apprentissage automatique peut également être utilisé pour travailler avec les algorithmes de l'entreprise. Dès que les fraudeurs auront compris comment l'algorithme a été formé, ils auront immédiatement le pouvoir de le manipuler.
Eh bien, la 13e tendance finale est un travail complet pour identifier et protéger l'entreprise contre les menaces.
Ici, nous nous concentrerons sur la surveillance de l'espace d'information, la surveillance des publications et des références aux organisations et à leurs représentants, ainsi que la protection de la marque.
Actuellement, les RP noirs et les stratagèmes frauduleux se déplacent de plus en plus dans le domaine de l'information, accessible à tous.
En diffusant un certain type d'informations sur une entreprise ou sa personne individuelle, les attaquants ont plusieurs objectifs:
- Marketing (image), à savoir la perte de réputation commerciale due au service client et à la perte de profits. Pour les sociétés Internet, même une perte partielle de réputation et de clients, un fond d'informations négatives menace de faire courir des risques importants jusqu'à la faillite.
- Financier - une réelle perte d'argent due au phishing et aux attaques d'informations. La vente d'informations sensibles à des concurrents ou des attaquants est également au premier plan.
- Personnel - déloyauté du personnel ou leurre des concurrents.
Compte tenu de ce qui précède, il est nécessaire de surveiller l'espace d'informations, de contrôler l'utilisation illégitime de la marque de l'entreprise, de rechercher et de vérifier les avis négatifs, ainsi que de surveiller les informations confidentielles pour détecter les fuites, en général, protéger l'entreprise.
Et quelles sont les tendances du futur proche pour la cybersécurité à votre avis? Peut-être pouvons-nous travailler ensemble pour étendre cette liste.