Les 20 et 21 juin, le
Congrès international sur la cybersécurité s'est tenu à Moscou. Après l'événement, les visiteurs ont pu tirer les conclusions suivantes:
- l'analphabétisme numérique se répand à la fois parmi les utilisateurs et parmi les cybercriminels eux-mêmes;
- les premiers continuent de craquer pour le phishing, ouvrent des liens dangereux, introduisent des logiciels malveillants sur les réseaux personnels à partir de smartphones personnels;
- parmi les seconds, il y a de plus en plus de nouveaux arrivants qui cherchent de l'argent facile sans plonger dans la technologie - ils ont téléchargé le botnet dans le darkweb, mis en place une automatisation et surveillé l'équilibre du portefeuille;
- les agents de sécurité doivent s'appuyer sur des analyses avancées, sans lesquelles il est très facile de voir la menace dans le bruit de l'information.
Le congrès s'est tenu au World Trade Center. Le choix du site s'explique par le fait qu'il s'agit de l'une des rares installations agréées par le FSO pour les événements les plus prestigieux du pays. Les visiteurs du Congrès ont pu entendre les discours du ministre du Développement numérique, Konstantin Noskov, à la tête de la banque centrale Elvira Nabiullina, présidente de la Sberbank German Gref. Le public international était représenté par le PDG de Huawei en Russie, Aiden Wu, le directeur à la retraite d'Europol Jürgen Storbeck, le président du Conseil allemand de la cybersécurité Hans-Wilhelm Dünn et d'autres experts de haut niveau.
Le patient est-il plus susceptible de vivre?
Les organisateurs ont sélectionné des sujets qui convenaient à la fois à des discussions générales et à des rapports pratiques sur des questions techniques. La plupart des discours ont mentionné l'intelligence artificielle d'une manière ou d'une autre - au crédit des conférenciers, ils ont souvent reconnu eux-mêmes que dans l'incarnation actuelle, il s'agit davantage d'un «sujet de battage médiatique» que d'une pile technologique réellement fonctionnelle. Dans le même temps, sans le machine learning et la Data Science aujourd'hui, il est difficile d'imaginer la protection d'une grande infrastructure d'entreprise.
Il est possible de détecter une attaque en moyenne trois mois après avoir pénétré l'infrastructure.
Car une signature n'arrête pas 300 000 nouveaux malwares qui apparaissent chaque jour sur le Web (selon Kaspersky Lab). Et en moyenne, la cybersécurité prend trois mois pour détecter les cybercriminels sur leur réseau. Pendant ce temps, les crackers parviennent à prendre pied dans l'infrastructure de sorte qu'ils doivent être expulsés trois ou quatre fois. Les stockages ont été nettoyés - le malware est retourné via une connexion à distance vulnérable. Ils ont établi la sécurité du réseau - des criminels envoient à un employé une lettre avec un cheval de Troie, prétendument d'un partenaire commercial de longue date, qu'ils ont également réussi à compromettre. Et donc jusqu'au bout, peu importe qui finit par l'emporter.
A et B construits IB
Sur cette base, deux directions parallèles de la sécurité de l'information sont en plein essor: un contrôle généralisé de l'infrastructure basé sur les centres de cybersécurité (Security Operations Center, SOC) et la détection d'activités malveillantes par des comportements anormaux. De nombreux orateurs, par exemple, le vice-président de Trend Micro pour l'Asie-Pacifique, le Moyen-Orient et l'Afrique, Dhanya Thakkar, exhortent les administrateurs à supposer qu'ils ont été piratés afin de ne pas manquer des événements suspects, aussi insignifiants soient-ils.
IBM sur un projet SOC typique: «Concevez d'abord le futur modèle de service, puis implémentez-le, puis déployez les systèmes techniques nécessaires.»
D'où la popularité croissante des SOC, qui couvrent toutes les sections de l'infrastructure et rendent compte à temps de l'activité soudaine d'un routeur oublié. Selon Gyorgy Racz, directeur d'IBM Security Systems en Europe, ces dernières années, la communauté professionnelle a développé une certaine idée de ces structures de contrôle, se rendant compte que la technologie de sécurité à elle seule ne peut pas être réalisée. Les SOC d'aujourd'hui apportent le modèle de service SI à l'entreprise, permettant aux systèmes de sécurité de s'intégrer dans les processus existants.
Avec toi mon épée et mon arc et ma hache
Les affaires existent dans des conditions de pénurie de personnel - le marché a besoin d'environ 2 millions de spécialistes de la sécurité de l'information. Cela pousse les entreprises à externaliser le modèle. Même les entreprises préfèrent souvent amener leurs propres spécialistes dans une entité juridique distincte - ici, vous pouvez rappeler SberTech, et son propre intégrateur à l'aéroport de Domodedovo, et d'autres exemples. Si vous n'êtes pas un géant de votre secteur, vous êtes plus susceptible de contacter quelqu'un comme IBM pour vous aider à créer votre propre service de sécurité. Une part importante du budget sera consacrée à la restructuration des processus de lancement de la sécurité de l'information sous la forme de services aux entreprises.
Des fuites de scandales de Facebook, Uber et Equifax, un bureau de crédit américain, ont soulevé des problèmes de sécurité informatique au niveau des conseils d'administration. Par conséquent, CISO devient un participant fréquent aux réunions et, au lieu d'une approche technologique de la sécurité, les entreprises utilisent un prisme commercial - pour évaluer la rentabilité, réduire les risques et jeter les pailles. Oui, et la lutte contre les cybercriminels acquiert une connotation économique - il est nécessaire de rendre une attaque non rentable afin que l'organisation, en principe, n'intéresse pas les crackers.
Il y a des nuances
Tous ces changements ne sont pas passés par les attaquants qui ont redirigé les efforts des entreprises vers les utilisateurs privés. Les chiffres parlent d'eux-mêmes: selon BI.ZONE, en 2017-2018, les pertes des banques russes dues aux cyberattaques sur leurs systèmes ont diminué de plus de 10 fois. En revanche, les incidents impliquant le recours à l'ingénierie sociale dans les mêmes banques sont passés de 13% en 2014 à 79% en 2018.
Les criminels ont trouvé un maillon faible dans le périmètre de la sécurité des entreprises, qui s'est avéré être des utilisateurs privés. Lorsque l'un des intervenants a demandé de lever la main de tout le monde avec un logiciel antivirus spécialisé sur son smartphone, trois sur plusieurs dizaines ont répondu.
En 2018, des utilisateurs privés ont participé à un incident de sécurité sur cinq; 80% des attaques contre les banques ont été menées à l'aide de l'ingénierie sociale.
Les utilisateurs modernes sont gâtés par des services intuitifs qui leur apprennent à évaluer l'informatique en termes de commodité. Les fonctionnalités de sécurité qui ajoutent quelques étapes supplémentaires sont une distraction. En conséquence, le service protégé perd pour le concurrent avec des boutons plus jolis et des pièces jointes aux e-mails de phishing ouvertes sans lecture. Il convient de noter que la nouvelle génération n'affiche pas l'alphabétisation numérique qui lui est attribuée - chaque année, les victimes d'attaques deviennent plus jeunes, et l'amour des milléniaux pour les gadgets ne fait qu'élargir l'éventail des vulnérabilités possibles.
Frapper l'homme
Aujourd'hui, la sécurité combat la paresse humaine. Pensez à ouvrir ce fichier? Dois-je suivre ce lien? Laissez ce processus reposer dans le bac à sable, et encore une fois, vous apprécierez tout. Les outils d'apprentissage automatique collectent en permanence des données sur le comportement des utilisateurs afin de développer des pratiques sûres qui ne causeront pas de désagréments inutiles.
Mais que faire d'un client qui convainc un spécialiste de la lutte contre la fraude de résoudre une transaction suspecte, bien qu'il lui soit directement dit que le compte du destinataire a été vu dans des transactions frauduleuses (un cas réel de la pratique BI.ZONE)? Comment protéger les utilisateurs contre les intrus qui peuvent truquer un appel de la banque?
Huit des dix attaques d'ingénierie sociale sont effectuées par téléphone.
Ce sont les appels téléphoniques qui deviennent le principal canal de l'ingénierie sociale malveillante - en 2018, la part de ces attaques est passée de 27% à 83%, dépassant de loin les SMS, les réseaux sociaux et les e-mails. Les criminels créent des centres d'appels complets pour téléphoner avec des offres pour gagner de l'argent sur l'échange ou obtenir de l'argent pour participer à des enquêtes. Beaucoup de gens ont du mal à prendre des informations de manière critique lorsque des décisions immédiates sont requises de leur part, ce qui promet une récompense impressionnante.
La dernière tendance est la fraude aux programmes de fidélisation, qui prive la victime des miles accumulés au fil des ans, des litres d'essence gratuits et d'autres bonus. Des classiques éprouvés, un abonnement payant à des services mobiles inutiles, ne perd pas non plus leur pertinence. Dans l'un des rapports, il y avait un exemple d'un utilisateur qui perdait quotidiennement 8 000 roubles à cause de ces services. Lorsqu'on lui a demandé pourquoi il n'était pas dérangé par l'équilibre en constante fusion, l'homme a répondu qu'il attribuait tout à la cupidité de son fournisseur.
Pirates informatiques non russes
Les appareils mobiles brouillent la frontière entre les attaques contre les utilisateurs privés et les entreprises. Par exemple, un employé peut secrètement rechercher un nouvel emploi. Il trébuche sur Internet sur un service de préparation d'un CV, télécharge une application ou un modèle de document sur un smartphone. Ainsi, les attaquants qui ont lancé la fausse ressource en ligne utilisent un gadget personnel, d'où ils peuvent se déplacer vers le réseau d'entreprise.
Selon un intervenant du groupe IB, c'est précisément une telle opération que le groupe avancé Lazarus a menée, qui est considérée comme une unité de renseignement nord-coréenne. Ce sont quelques-uns des cybercriminels les plus productifs de ces dernières années - ils ont été responsables du vol de la
banque centrale du Bangladesh et de
la plus grande banque FEIB de Taïwan , des
attaques contre l'industrie de la crypto-monnaie et même
la société de cinéma Sony Pictures . Les groupes APT (de la menace persistante avancée anglaise, «menace avancée persistante»), dont le nombre est passé à plusieurs dizaines ces dernières années, pénètrent dans l'infrastructure sérieusement et pendant longtemps, après avoir étudié toutes ses caractéristiques et ses faiblesses. C'est ainsi qu'ils parviennent à s'informer sur le parcours professionnel d'un collaborateur qui a accès au système d'information nécessaire.
Les grandes organisations sont aujourd'hui menacées par 100 à 120 cyber-groupes particulièrement dangereux, une personne sur cinq attaque des entreprises en Russie.
Le chef du département de recherche sur les menaces du Kaspersky Lab, Timur Biyachuev, a estimé le nombre des groupes les plus redoutables dans 100 à 120 communautés, et il y en a maintenant plusieurs centaines. Les entreprises russes sont menacées d'environ 20%. Une proportion importante de criminels, en particulier de groupes récemment apparus, vivent en Asie du Sud-Est.
Les communautés APT peuvent spécifiquement créer une société de développement de logiciels pour couvrir leurs activités ou
compromettre le service de mise à
jour mondial d'ASUS pour atteindre plusieurs centaines de leurs objectifs. Les experts surveillent constamment ces groupes, rassemblant des preuves éparses pour déterminer l'identité de chacun d'entre eux. Ces renseignements (renseignements sur les menaces) restent la meilleure arme préventive contre la cybercriminalité.
À qui seras-tu?
Selon les experts, les criminels peuvent facilement changer d'outils et de tactiques, écrire de nouveaux logiciels malveillants et découvrir de nouveaux vecteurs d'attaque. Le même Lazare dans l'une des campagnes a placé des mots russophones dans le code afin de diriger l'enquête sur une fausse piste. Cependant, le comportement lui-même est beaucoup plus difficile à changer; par conséquent, les spécialistes peuvent, par caractéristiques, supposer qui a effectué telle ou telle attaque. Ici, ils sont à nouveau aidés par les mégadonnées et les technologies d'apprentissage automatique qui séparent le grain de l'ivraie dans les informations recueillies par la surveillance des informations.
Les orateurs du Congrès ont évoqué le problème de l'attribution ou de la détermination de l'identité des agresseurs, plus d'une ou deux fois. Les questions technologiques et juridiques sont associées à ces tâches. Disons, les criminels sont-ils soumis à la législation sur la protection des données personnelles? Bien sûr, oui, ce qui signifie que l'envoi d'informations sur les organisateurs de campagne n'est possible que sous forme anonyme. Cela impose certaines restrictions sur les processus d'échange de données au sein de la communauté professionnelle de la sécurité de l'information.
Des écoliers et des hooligans, clients de magasins de hackers clandestins, compliquent également l'enquête sur les incidents. Le seuil d'entrée dans l'industrie de la cybercriminalité a baissé à un point tel que les rangs des acteurs malveillants tendent à l'infini - vous ne les compterez pas tous.
Belle loin
Il est facile de tomber dans le désespoir à la pensée des employés qui, de leurs propres mains, mettent une porte dérobée au système financier, mais il y a aussi des tendances positives. La popularité croissante de l'open source augmente la transparence des logiciels et simplifie la lutte contre les injections de codes malveillants. Les experts en science des données créent de nouveaux algorithmes qui bloquent les actions indésirables lorsqu'ils montrent des signes d'intention malveillante. Les experts tentent de rapprocher la mécanique des systèmes de sécurité du fonctionnement du cerveau humain, afin que les équipements de protection utilisent l'intuition ainsi que des méthodes empiriques. Les technologies d'apprentissage en profondeur permettent à ces systèmes d'évoluer indépendamment sur des modèles de cyberattaque.
Skoltech: «L'intelligence artificielle est à la mode, et c'est bien. En fait, c'est encore très long à parcourir, et c'est encore mieux.
Comme Grigory Kabatyansky, conseiller du recteur de l'Institut des sciences et technologies de Skolkovo, l'a rappelé au public, de tels développements ne peuvent pas être qualifiés d'intelligence artificielle. La véritable IA peut non seulement accepter des tâches humaines, mais également les définir indépendamment. Avant l'avènement de tels systèmes, qui prendront inévitablement leur place parmi les actionnaires des grandes entreprises, encore quelques décennies.
En attendant, l'humanité travaille avec les technologies d'apprentissage automatique et les réseaux de neurones, dont les universitaires ont parlé au milieu du siècle dernier. Les chercheurs de Skoltech utilisent la modélisation prédictive pour travailler avec l'Internet des objets, les réseaux mobiles et les communications sans fil, les solutions médicales et financières. Dans certains domaines, l'analyse avancée est confrontée à la menace de catastrophes technologiques et de problèmes de performances réseau. Dans d'autres, il suggère des options pour résoudre des problèmes existants et hypothétiques, résout des problèmes tels que la
révélation de messages cachés dans des supports apparemment inoffensifs.
Formation sur les chats
Igor Lyapunov, vice-président pour la sécurité de l'information à Rostelecom PJSC, voit le problème fondamental de l'apprentissage automatique dans la sécurité de l'information comme un manque de matériel pour les systèmes intelligents. Les réseaux de neurones peuvent apprendre à reconnaître un chat en montrant des milliers de photos avec cet animal. Où citer des milliers de cyberattaques à titre d'exemple?
La proto-IA d'aujourd'hui permet de rechercher des traces de criminels dans le darknet et d'analyser les logiciels malveillants déjà détectés. Anti-fraude, anti-blanchiment d'argent, identification partielle des vulnérabilités du code - tout cela peut également être fait par des moyens automatisés. Le reste peut être attribué aux projets marketing des développeurs de logiciels, et cela ne changera pas dans les 5 à 10 prochaines années.