Тренды 2019. К чему готовиться российскому рынку ИБ?

Ожидаем, что в 2019 году взаимодействие между центрами кибербезопасности продолжится и даже выйдет на качественно новый уровень. Организации, в свою очередь, будут повышать гибкость и оперативность в отслеживании новейших угроз и методов атакующих, использовать более интеллектуальные средства защиты, обеспечивающие минимальное отставание от нападающих, как итог ожидается рост интереса к таким направлениям ИБ, как Threat Intelligence, Threat Hunting, Incident Response, глубокое расследование инцидентов, в том числе и ретроспективное.

Среди возможных "тонких мест", которые необходимо учитывать в следующем году, выстраивая безопасность, следует помнить о нижеследующих моментах.

• Инциденты с кибероружием. История, начавшаяся со Stuxnet и Industroyer, может получить продолжение. Так, в этом году были обнародованы детали атаки с использованием кибероружия Triton, которое заточено под специфическое оборудование Schneider Electric. Исходники попали в сеть и в следующем году, возможно, будут использованы для различных атак.
• Банкоматы могут начать взламывать серийно. В Даркнете сегодня можно купить не только сам инструмент и инструкцию по эксплуатации, но и техническую поддержку. Стоимость такого ВПО начинается от $1500. По данным Positive Technologies, до 69% банкоматов уязвимы для атак Black Box, до 85% для атак на сетевом уровне и до 76% - для выхода из режима киоска.
• Скрытый майнинг может остановить завод. Пять лет назад продажа доступа к 1000 взломанных ПК приносила злоумышленнику до $20, теперь же, имея доступ к этим же 1000 ПК, он может заработать до $600 ежемесячно на майнинге криптовалюты, несмотря на падение курса. Страдают даже коммунальные службы: в феврале на серверах некоторых европейских водоочистительных сооружений был обнаружен майнер криптовалюты Monero. Такая паразитная нагрузка для промышленных систем чрезмерна и может достаточно быстро нарушить технологический процесс.
• Хакеры могут повлиять на курсы акций и валют. Согласно исследованию Positive Technologies, cлабая защищенность трейдинговых приложений может привести к тому, что атаки на пользователей бирж станут массовыми в ближайшие год-полтора.
• Перехват СМС-сообщений продолжает сохранять актуальность. Массовые атаки с использованием уязвимостей мобильной связи начнутся, если кибергруппировки окажутся быстрее операторов мобильной связи, предпринимающих усилия по нейтрализации угроз. В настоящее время уязвимы около 78% сетей, и перехват СМС возможен в 9 из 10 случаев. При этом в Даркнете уже можно купить подписку на получение и подделку чужих СМС в реальном времени всего за $20 в месяц.
• Процессоры могут выдать информацию о своих владельцах. Есть области, в которых меры безопасности реализованы максимально жестко и фишинг не работает, поэтому эксплойты под процессорные уязвимости могут создаваться продвинутыми кибергруппировками уже сейчас. Сделать процессорные атаки массовыми могут либо новый способ их монетизации, либо утечка готового инструментария, как это было в случае с EternalBlue.
• Города могут остаться без Интернета. Власти Великобритании выпустили руководство по обеспечению защиты Интернета вещей от распространенных кибератак, закон об IoT вышел в Калифорнии. Однако сегодня в мире существует множество так называемых End-of-Life-устройств, производство которых завершено, вендор прекратил выпуск обновлений ПО, а значит и обнаруженные позже уязвимости никогда не будут закрыты. В случае с End-of-Life-роутерами атакующие могут блокировать доступ к Интернету сотням тысяч пользователей, перенаправлять пользователей на поддельные страницы онлайн-банков и интернет-магазинов для перехвата паролей.
• Многим придется отключить Bluetooth. В сентябре 2018 года во всем мире оставалось около 2 млрд устройств, подверженных уязвимостям BlueBorne, которые позволяют красть данные на устройствах, заражать их вирусами-вымогателями или создавать ботнеты. Уязвимы 734 млн устройств на базе Android 5.1 и более ранних версий, свыше 260 млн устройств на Android 6.0 и 50 млн iOS-устройств на базе версий 9.3.5 и ниже.
• Тайные APT могут стать явными. По итогам прошлого года эксперты компании отметили, что так или иначе с целевыми атаками столкнулась практически каждая вторая организация. В 2018 году ситуация сохранилась. Благодаря давлению регуляторов объекты КИИ обратят внимание на собственную инфраструктуру и с большой долей вероятности увидят, что уже были атакованы какое-то время назад.