De 20 a 21 de junho, o
Congresso Internacional de Segurança Cibernética foi realizado em Moscou. Após o evento, os visitantes puderam tirar as seguintes conclusões:
- o analfabetismo digital está se espalhando entre os usuários e entre os próprios cibercriminosos;
- os primeiros continuam a se apaixonar por phishing, abrem links perigosos, trazem malware para redes pessoais de smartphones pessoais;
- entre os segundos, há cada vez mais novatos que buscam dinheiro fácil sem mergulhar na tecnologia - baixaram a botnet na web escura, configuraram a automação e monitoraram o saldo da carteira;
- os guardas de segurança precisam confiar em análises avançadas, sem as quais é muito fácil ver a ameaça no ruído das informações.
O congresso foi realizado no World Trade Center. A escolha do local é explicada pelo fato de que esta é uma das poucas instalações com aprovação do FOE para eventos com os mais altos escalões do país. Os visitantes do Congresso puderam ouvir discursos do ministro do Desenvolvimento Digital Konstantin Noskov, chefe do Banco Central Elvira Nabiullina, presidente do Sberbank German Gref. A audiência internacional foi representada pelo CEO da Huawei na Rússia, Aiden Wu, o diretor aposentado da Europol, Jürgen Storbeck, presidente do Conselho Alemão de Segurança Cibernética Hans-Wilhelm Dünn e outros especialistas seniores.
É provável que o paciente esteja vivo?
Os organizadores selecionaram tópicos adequados para discussões gerais e relatórios praticamente orientados sobre questões técnicas. A maioria dos discursos mencionou a inteligência artificial de uma maneira ou de outra - para crédito dos palestrantes, muitas vezes eles próprios admitiram que, na encarnação atual, isso é mais um "tópico de hype" do que uma pilha de tecnologia realmente funcional. Ao mesmo tempo, sem o aprendizado de máquina e a ciência de dados hoje, é difícil imaginar a proteção de uma grande infraestrutura corporativa.
É possível detectar um ataque em média três meses após a penetração na infraestrutura.
Porque uma assinatura não impede 300 mil novos malwares que aparecem na Web todos os dias (de acordo com a Kaspersky Lab). E, em média, a segurança cibernética leva três meses para detectar criminosos cibernéticos em sua rede. Durante esse período, os crackers conseguem se estabelecer na infra-estrutura, de modo que precisam ser expulsos três ou quatro vezes. Os armazenamentos foram limpos - o malware retornou através de uma conexão remota vulnerável. Eles estabeleceram a segurança da rede - os criminosos enviam uma carta a um funcionário com um cavalo de Troia, supostamente de um parceiro comercial de longa data, a quem eles também conseguiram comprometer. E assim, para o amargo fim, não importa quem acabe prevalecendo.
A e B construíram IB
Com base nisso, duas direções paralelas de segurança da informação estão crescendo rapidamente: controle onipresente sobre a infraestrutura baseada em centros de segurança cibernética (Security Operations Center, SOC) e detecção de atividades maliciosas por comportamento anormal. Muitos palestrantes, por exemplo, o vice-presidente da Trend Micro na Ásia-Pacífico, Oriente Médio e África, Dhanya Thakkar, instam os administradores a supor que eles foram invadidos para não perder eventos suspeitos, por mais insignificantes que possam parecer.
A IBM em um projeto SOC típico: “Primeiro, projete o modelo de serviço futuro, depois implemente-o e só então implemente os sistemas técnicos necessários.”
Daí a crescente popularidade dos SOCs, que cobrem todas as seções da infra-estrutura e informam pontualmente a atividade repentina de algum roteador esquecido. Segundo Gyorgy Racz, diretor da IBM Security Systems na Europa, nos últimos anos, a comunidade profissional desenvolveu uma certa idéia dessas estruturas regulatórias, percebendo que a tecnologia de segurança sozinha não pode ser alcançada. Os SOCs de hoje trazem o modelo de serviço de IS para a empresa, permitindo a integração dos sistemas de segurança nos processos existentes.
Com você minha espada e meu arco e meu machado
Os negócios existem em condições de escassez de pessoal - o mercado precisa de cerca de 2 milhões de especialistas em segurança da informação. Isso leva as empresas a terceirizarem o modelo. Mesmo as empresas preferem levar seus próprios especialistas a uma entidade legal separada - aqui você pode se lembrar da SberTech e de seu próprio integrador no aeroporto de Domodedovo, entre outros exemplos. Se você não é um gigante no seu setor, é mais provável que você entre em contato com alguém como a IBM para ajudá-lo a criar seu próprio serviço de segurança. Uma parte significativa do orçamento será gasta em processos de reestruturação para lançar a segurança da informação no formato de serviços corporativos.
Escândalos vazados do Facebook, Uber e Equifax, uma agência de crédito dos EUA, elevaram as questões de segurança de TI ao nível dos conselhos de administração. Portanto, o CISO se torna um participante frequente das reuniões e, em vez de uma abordagem tecnológica à segurança, as empresas usam um prisma comercial - para avaliar a lucratividade, reduzir riscos e colocar palha. Sim, e combater os criminosos cibernéticos está ganhando uma conotação econômica - é necessário tornar um ataque não rentável para que a organização, em princípio, não tenha interesse em crackers.
Existem nuances
Todas essas mudanças não foram aprovadas pelos atacantes que redirecionaram os esforços das empresas para usuários particulares. Os números falam por si: de acordo com BI.ZONE, em 2017-2018, as perdas dos bancos russos devido a ataques cibernéticos em seus sistemas diminuíram mais de 10 vezes. Por outro lado, os incidentes envolvendo o uso de engenharia social nos mesmos bancos aumentaram de 13% em 2014 para 79% em 2018.
Os criminosos encontraram um elo fraco no perímetro da segurança corporativa, que acabou sendo usuários particulares. Quando um dos palestrantes pediu para levantar as mãos de todos com software antivírus especializado em seus smartphones, três entre várias dúzias responderam.
Em 2018, usuários privados participaram de cada quinto incidente de segurança; 80% dos ataques a bancos foram realizados usando engenharia social.
Os usuários modernos são mimados por serviços intuitivos que os ensinam a avaliar a TI em termos de conveniência. Recursos de segurança que adicionam algumas etapas extras são uma distração. Como resultado, o serviço protegido perde para o concorrente com botões mais bonitos e os anexos aos e-mails de phishing são abertos sem leitura. Vale ressaltar que a nova geração não exibe a alfabetização digital atribuída a ela - as vítimas de ataques estão ficando mais jovens a cada ano, e o amor da geração do milênio por gadgets apenas expande o leque de possíveis vulnerabilidades.
Bata no homem
A segurança hoje está combatendo a preguiça humana. Pense se deseja abrir este arquivo? Preciso seguir este link? Deixe esse processo na caixa de areia e mais uma vez você apreciará tudo. As ferramentas de aprendizado de máquina constantemente coletam dados sobre o comportamento do usuário, a fim de desenvolver práticas seguras que não causem inconvenientes desnecessários.
Mas o que fazer com um cliente que convence um especialista antifraude a resolver uma transação suspeita, embora ele seja informado diretamente de que a conta do destinatário foi vista em transações fraudulentas (um caso real da prática do BI.ZONE)? Como proteger os usuários de intrusos que podem falsificar uma chamada do banco?
Oito em cada dez ataques de engenharia social são feitos por telefone.
São as chamadas telefônicas que se tornam o principal canal de engenharia social maliciosa - em 2018, a participação de tais ataques aumentou de 27% para 83%, superando em muito o SMS, as redes sociais e o email. Os criminosos criam call centers inteiros para telefonar com ofertas para ganhar dinheiro com a troca ou para participar de pesquisas. Muitas pessoas acham difícil receber informações criticamente quando são necessárias decisões imediatas, prometendo uma recompensa impressionante por isso.
A última tendência é a fraude com programas de fidelidade, que roubam as vítimas de milhas acumuladas ao longo dos anos, litros grátis de gasolina e outros bônus. Clássicos comprovados, assinatura paga de serviços móveis desnecessários, também não perdem relevância. Em um dos relatórios, havia um exemplo de usuário que diariamente perdia 8 mil rublos devido a esses serviços. Quando perguntado por que ele não se incomodava com o equilíbrio constantemente derretido, o homem respondeu que atribuiu tudo à ganância de seu provedor.
Hackers não russos
Os dispositivos móveis obscurecem a linha entre ataques a usuários privados e corporativos. Por exemplo, um funcionário pode procurar secretamente um novo emprego. Ele tropeça na Internet em um serviço para preparar um currículo, baixa um aplicativo ou modelo de documento para um smartphone. Assim, os invasores que lançaram o recurso on-line falso entram em um gadget pessoal, de onde podem se mudar para a rede corporativa.
De acordo com um orador do Grupo-IB, foi precisamente essa operação que o grupo avançado Lazarus realizou, que é chamado de unidade de inteligência norte-coreana. Esses são alguns dos criminosos cibernéticos mais produtivos dos últimos anos - eles foram responsáveis pelo roubo do
banco central do Bangladesh e
do maior banco FEIB de Taiwan ,
ataques à indústria de criptomoedas e até
à empresa de filmes Sony Pictures . Os grupos APT (do inglês Advanced persistent ameaça, "persistent advanced ameaça"), cujo número cresceu para várias dúzias nos últimos anos, entram na infraestrutura com seriedade e por um longo tempo, depois de estudar todas as suas características e fraquezas. É assim que eles conseguem descobrir sobre o lançamento de carreira de um funcionário que tem acesso ao sistema de informações necessário.
Hoje, as grandes organizações estão ameaçadas por 100 a 120 grupos cibernéticos especialmente perigosos, uma em cada cinco empresas de ataques na Rússia.
O chefe do departamento de pesquisa de ameaças da Kaspersky Lab, Timur Biyachuev, estimou o número dos grupos mais formidáveis em 100 a 120 comunidades, e agora existem várias centenas delas. As empresas russas estão ameaçadas em cerca de 20%. Uma proporção significativa de criminosos, especialmente de grupos recentemente emergidos, vive no sudeste da Ásia.
As comunidades do APT podem criar especificamente uma empresa de desenvolvimento de software para cobrir suas atividades ou
comprometer o serviço de atualização global da ASUS para atingir várias centenas de seus objetivos. Os especialistas monitoram constantemente esses grupos, reunindo evidências dispersas para determinar a identidade corporativa de cada um deles. Essa inteligência (inteligência de ameaças) continua sendo a melhor arma preventiva contra o cibercrime.
De quem você será?
Segundo especialistas, os criminosos podem facilmente mudar ferramentas e táticas, escrever novos malwares e descobrir novos vetores de ataque. O mesmo Lázaro em uma das campanhas colocou palavras em russo no código para direcionar a investigação em uma pista falsa. No entanto, o próprio padrão de comportamento é muito mais difícil de mudar; portanto, os especialistas podem, por características, assumir quem realizou esse ou aquele ataque. Aqui eles são novamente ajudados por tecnologias de big data e aprendizado de máquina que separam o grão do joio nas informações coletadas pelo monitoramento das informações.
Os palestrantes do congresso falaram sobre o problema de atribuição ou determinação da identidade dos atacantes, mais de uma ou duas vezes. Questões tecnológicas e legais estão associadas a essas tarefas. Digamos, os criminosos se enquadram na proteção da legislação de dados pessoais? Claro que sim, o que significa que o envio de informações sobre os organizadores da campanha é possível apenas de forma anônima. Isso impõe algumas restrições aos processos de troca de dados na comunidade de segurança da informação profissional.
Crianças em idade escolar e hooligans, clientes de lojas de hackers clandestinas, também complicam a investigação de incidentes. O limiar de entrada no setor de crimes cibernéticos diminuiu a tal ponto que as fileiras de atores mal-intencionados tendem ao infinito - você não conta todos eles.
Linda longe
É fácil cair em desespero com o pensamento de funcionários que, com as próprias mãos, abrem portas para o sistema financeiro, mas também há tendências positivas. A crescente popularidade do código aberto aumenta a transparência do software e simplifica a luta contra as injeções de código malicioso. Os especialistas em ciência de dados estão criando novos algoritmos que bloqueiam ações indesejadas quando mostram sinais de intenção maliciosa. Os especialistas estão tentando aproximar a mecânica dos sistemas de segurança do funcionamento do cérebro humano, para que o equipamento de proteção use a intuição junto com os métodos empíricos. As tecnologias de aprendizado profundo permitem que esses sistemas evoluam independentemente nos modelos de ataque cibernético.
Skoltech: “A inteligência artificial está na moda, e isso é bom. Na verdade, ainda falta muito tempo e é ainda melhor. "
Como lembrou Grigory Kabatyansky, assessora do reitor do Instituto de Ciência e Tecnologia Skolkovo, esses desenvolvimentos não podem ser chamados de inteligência artificial. A IA real pode não apenas aceitar tarefas de humanos, mas também defini-las de forma independente. Antes do advento de tais sistemas, que inevitavelmente ocuparão seu lugar entre os acionistas de grandes corporações, mais algumas décadas.
Enquanto isso, a humanidade está trabalhando com tecnologias de aprendizado de máquina e redes neurais, sobre as quais os acadêmicos falaram em meados do século passado. Os pesquisadores da Skoltech usam modelagem preditiva para trabalhar com a Internet de coisas, redes móveis e comunicações sem fio, soluções médicas e financeiras. Em algumas áreas, a análise avançada está enfrentando a ameaça de desastres tecnológicos e problemas de desempenho da rede. Em outros, sugere opções para solucionar problemas existentes e hipotéticos, resolve problemas como
revelar mensagens ocultas em operadoras aparentemente inofensivas.
Treinamento em gatos
Igor Lyapunov, vice-presidente de segurança da informação da Rostelecom PJSC, vê o problema fundamental do aprendizado de máquina em segurança da informação como uma falta de material para sistemas inteligentes. As redes neurais podem ser ensinadas a reconhecer um gato, mostrando milhares de fotos com este animal. Onde obter milhares de ataques cibernéticos como exemplo?
A proto-AI de hoje ajuda a procurar vestígios de criminosos na darknet e a analisar malware já detectado. Antifraude, lavagem de dinheiro, identificação parcial de vulnerabilidades no código - tudo isso também pode ser feito por meios automatizados. O restante pode ser atribuído aos projetos de marketing dos desenvolvedores de software, e isso não será alterado nos próximos 5 a 10 anos.