Школьник со смартфоном
Групповые и массовые компьютерные атаки на промышленные предприятия — уже давно не редкость. Многие помнят инцидент 2012 года в одной из крупнейших нефтедобывающих компаний мира Saudi Aramco в Саудовской Аравии: зараженное сообщение пришло на один из адресов корпоративной электронной почты и парализовало работу 35 тыс. компьютеров. В результате атаки отгрузки нефти внутри страны были приостановлены, а компания вернулась к нормальной работе лишь спустя 10 дней.
Впервые хакеры внесли изменения в прошивку оборудования в декабре 2015-го, когда саботировали работу украинской энергокомпании «Прикарпатьеоблэнерго»: жители нескольких областей оставались без электричества около шести часов. На подготовку этой кибератаки у злоумышленников ушло несколько месяцев.
Из-за WannaCry в прошлом году злоумышленники обогатились более, чем на $200 тыс. Пострадали несколько крупных международных компаний, правительственные учреждения и операторы связи. В том числе под удар попали компании «Мегафон», «Билайн» и «Yota». Атаки были зарегистрированы в 150 странах мира, но самое большое количество заражений пришлось на Россию, Украину и Индию.
«Защитники» практически всегда уступают «захватчикам». В конце 2017 года в городской инфраструктуре Иннополиса мы зафиксировали увеличение случаев угрозы информационной безопасности на 30%. При этом каждый пятый оказывался критичным.
Любой подросток со смартфоном сегодня может заблокировать работу учреждений государственной важности, повлиять на функционирование всех городских служб и инфраструктур: телекома, транспорта, ЖКХ, промышленных предприятий, финансовых компаний. Специальной подготовки и каких-то секретных знаний в этой сфере не нужно.
Каждый день происходит 65 — 150 тыс. небольших кибератак. Целевые кибератаки и низкоинтенсивные DDOS и вовсе не прекращаются.
С 45% атак мы знакомы, а остальные 55% еще не научились даже обнаруживать, не то что предотвращать. В целом специалисты различают четыре основных вида киберпреступлений: вредоносное ПО, DDoS—атаки, целевые атаки (APT) и атаки, которые задействуют скрытые каналы управления (например функции полицейских).
Это как угнать автомобиль
Сегодня киберпреступления разделились на два основных направления: техническое и социальное. В 2018 году количество удаленных уязвимостей в сетевом ПО снизилось, уступив место проблемам с браузерами и офисным ПО. Соотношение примерно 70% на 30% в пользу уязвимостей приложений и браузеров первой десятки: Internet Explorer, Google Chrome и других. Их самые слабые места — в плагинах и интерфейсных модулях.
Социальные сети и мессенджеры оказались раем для кибермошенников. Даже лояльные к web-серфингу своих сотрудников работодатели стали адекватно относиться к требованиям служб безопасности и полностью блокировать социальные сети на офисных компьютерах.
Мы отмечаем рост сканирований и попыток подбора паролей к различным информационным системам организаций. Как минимум в 75% случаев злоумышленникам это удается. Правда, следы взлома не всегда остаются.
Одна атака — это часть более серьезного плана по нанесению ущерба. Как правило, хакеры хотят не просто продемонстрировать свою силу, а получить деньги или влияние на процесс работы. Их интересует «бескомпроматное» проникновение, захват управления и переход в «спящий» режим.
Банк России утверждает, что в год он сталкивается с 20-25 инцидентами в компьютерной безопасности, другие российские экономические компании и вовсе говорят, что у них все хорошо, все атаки обнаружены и нейтрализованы. На самом деле это не так: минимум 20-30% систем критической информационной инфраструктуры уже захвачены киберпреступниками. Просто службы безопасности могут об этом не знать до часа X.
Продукты компаний Microsoft и Adobe по-прежнему лидируют по количеству атак на ПО: в первую очередь ломают то, что популярно и востребовано. Так же, как в случае с угоном автомобилей.
Хакеров все больше интересуют маршрутизаторы, DSL-модемы, DHCP-серверы. Сразу для нескольких семейств маршрутизаторов и модемов, работающих под управлением одного из клонов Linux, разработали атаку, в результате которой можно получить полный контроль над устройством и использовать его для распространения этого же кода. Сейчас идет расследование, после завершения которого мы надеемся узнать подробности.
SkyNet против хакеров
Государство и бизнес должны объединить свои усилия и создать эффективную систему обеспечения информационной безопасности. Кибератаки невозможно остановить, но, по крайней мере, есть шанс существенно ускорить процесс их обнаружения, предупреждения и нейтрализации последствий.
Ни одной структуре, даже самой мощной, не по силам противостоять угрозам кибертеррористических групп. У большинства организаций просто не хватает ни опыта, ни времени, ни ресурсов.
Существующие методы не способны предупредить планирование террористических актов, массовых (DDOS) и целевых компьютерных атаках (APT) на критическую инфраструктуру. Для этого просто необходима помощь со стороны интеллектуальных информационных систем. Искусственный интеллект на основе сбора и обработки больших данных (Big Data) — это, конечно, не SkyNet Терминатора, но высокоэффективные и высокопроизводительные интеллектуальные системы поддержки принятия решений, способные обобщать и порождать новые знания о кибербезопасности, прогнозировать и своевременно оповещать о надвигающейся атаке.