Отчет McAfee Labs по прогнозируемым угрозам в 2020 году

24 Декабря 2019
24.12.2019, г. Москва -- Подходит к концу 2019 год, в течение которого СМИ довольно часто сообщали о вымогательских кампаниях, новом вредоносном ПО и RDP-атаках. Настало время переключить внимание на киберугрозы, ожидающие нас в будущем. Хакеры продолжают увеличивать сложность и объемы своих атак и кампаний и стремятся оставаться на шаг впереди стратегий по кибербезопасности. Они все чаще используют против нас новейшие мировые технологии.

Постоянное совершенствование искусственного интеллекта и машинного обучения приносит бесценные преимущества, но злоумышленники также учатся применять ИИ и МО для совершения самых дерзких преступлений. Создание убедительных deepfake-видео теперь доступно хакерам без специальных навыков, и они могут использовать эту ИИ-технологию, чтобы манипулировать мнением отдельных людей и общества в целом. Компьютерное распознавание лиц, набирающее популярность средство обеспечения безопасности, также может применяться для создания deepfake-контента и обмана людей и машин.

Исследователи McAfee прогнозируют увеличение числа целевых атак на корпоративные сети. Чтобы добыть конфиденциальную информацию, хакеры будут проводить двухэтапные вымогательские кампании.

Все больше предприятий переходят на облачные сервисы для ускорения бизнес-операций и развития совместной работы, поэтому необходимость обеспечения безопасности облака как никогда велика. По этой причине в 2020 году число организаций, активно внедряющих контейнерные технологии, продолжит расти.

Широкое распространение роботизации и растущая потребность в защите системных учетных записей, которые используются для автоматизации, ставят вопрос о надежности интерфейсов прикладного программирования (API), задействующих значительные объемы персональных данных.

Прогнозы

1. Технология deepfake станет доступнее для злоумышленников без специальных навыков
Возможность создания поддельного контента существует давно. Обработанные снимки использовались еще во время Второй мировой войны, чтобы заставить людей поверить в то, чего на самом деле не было. Что изменилось с развитием искусственного интеллекта? Сегодня злоумышленники могут создавать очень убедительные фальшивки, даже не являясь экспертами в области технологий. В интернете есть сайты, на которые можно загрузить видео, а обратно скачать deepfake. Эти очень привлекательные функции находятся в свободном доступе, и они дают возможность производить реалистичные поддельные аудио- и видеозаписи сотням тысяч потенциальных преступников.
Фальшивки, созданные по технологии deepfake, могут стать оружием в информационной войне. Чтобы создать видеоролик, в котором из уст одного человека будут звучать слова, сказанные другим человеком, достаточно применить модель машинного обучения к выложенным в интернете записями публичных выступлений. Сегодня хакеры могут автоматически генерировать необходимый им контент, который повысит вероятность успешной атаки на отдельных людей или целые группы. Результат такого совместного использования возможностей ИИ и машинного обучения? Массовая неразбериха.
В целом, злоумышленники выбирают технологию, наиболее отвечающую их целям. Например, чтобы обмануть общественность и повлиять на результаты выборов, недружественные государства могут публиковать в сети deepfake-видео. Помимо попыток вызвать разногласия в обществе, киберпреступники могут вложить в уста генерального директора заявление о том, что доходы компании упали или что в ее продукции имеется существенный недостаток, который потребует массового отзыва. Возможная цель распространения такого видео — манипуляция ценой акций или совершение других финансовых преступлений.
McAfee прогнозирует, что увеличение доступности технологии deepfake для людей без специального образования приведет к увеличению объемов дезинформации.

2. Злоумышленники будут использовать технологию deepfake для обмана систем распознавания лиц
Ранние формы компьютерного распознавания лиц появились в середине 60-х гг. Хотя с тех пор произошло немало значительных перемен, основная идея осталась прежней: с помощью этой технологии компьютер может установить или подтвердить личность человека. Распознавание лиц применяется во многих сферах, в основном, для аутентификации и ответа на простой вопрос: тот ли это человек, за которого он себя выдает?
С течением времени, благодаря увеличению вычислительной мощности, ресурсов памяти и хранения эта технология получила большое развитие. В современных инновационных решениях распознавание лиц применяется, чтобы упростить повседневные операции — например, для разблокировки смартфона, прохождения паспортного контроля в аэропорту или даже для узнавания преступников на улице (этой возможностью пользуются сотрудники правоохранительных органов).
Большую роль в совершенствовании распознавания лиц играет искусственный интеллект (ИИ). Один из недавних примеров — ИИ-технология deepfake, которая позволяет создавать чрезвычайно реалистичные поддельные тексты, изображения и видеоролики, которые людям трудно отличить от оригинала. В основном, deepfake используется для распространения ложной информации всеми возможными способами. Еще одна инновационная аналитическая технология, с помощью которой злоумышленники могут создавать поддельные, но очень убедительные изображения, тексты и видео, — генеративно-состязательная сеть (Generative Adversarial Network, GAN). Современные компьютеры способны быстро обрабатывать различные биометрические данные и выполнять математическое моделирование или классификацию черт лица человека. Хотя возможности и преимущества этой технологии по-настоящему впечатляют, в каждой модели распознавания лиц имеются изначальные недостатки, которыми могут воспользоваться киберпреступники.
McAfee ожидает, что вслед за широким принятием таких решений в ближайшие годы, возникнет новый реальный вектор угроз. В частности, злоумышленники начнут применять deepfake для обмана систем распознавания лиц. Компаниям необходимо хорошо понимать риски для безопасности, которые связаны с этими и другими биометрическими системами, и вложить средства в обучение по данной теме и укрепление защит критически важных объектов.
3. Атаки с помощью программ-вымогателей трансформируются в двухэтапные кампании
В предыдущем отчете McAfee по прогнозируемым угрозам предсказывали, что в 2019 году киберпреступники начнут теснее сотрудничать между собой, чтобы повысить эффективность атак. Этот прогноз оказался верным. В качестве отправной точки своих кампаний распространители программ-вымогателей использовали машины, ранее зараженные другим вредоносным ПО, или протоколы удаленного рабочего стола (RDP). Для атак такого типа требуется взаимодействие между различными хакерскими группами. Такое сотрудничество позволило провести ряд эффективных целевых кампаний, получить больше прибыли и причинить более заметный экономический ущерб. В отчете Европола «Оценка угрозы организованной преступности»  (IOCTA) программы-вымогатели названы главной угрозой, с которой компании, потребители и государственный сектор столкнулись в 2019 году.
По данным наблюдений команды по исследованию продвинутых угроз (ATR) McAfee за теневым интернетом, в будущем вымогатели постараются выжать из своих жертв еще больше. Популярность целевых кампаний с использованием программ-вымогателей — причина растущего спроса на скомпрометированные корпоративные сети. Этот спрос удовлетворяют хакеры, специализирующиеся на проникновении в такие сети. Они предлагают полный доступ к корпоративным системам за одну попытку.
В 2020 году McAfee ожидает, что число таргетированных взломов корпоративных сетей продолжит расти. В конечном итоге на смену им придут двухэтапные вымогательские кампании. Первый этап — мощная атака с применением программ-вымогателей. Киберпреступники вымогают у жертв деньги в обмен на возвращение файлов. Второй этап — повторное обращение к пострадавшим пользователям. На этот раз хакеры просят выкуп под угрозой раскрытия содержание конфиденциальных данных, похищенных накануне первой атаки.
Исследуя инциденты с вымогателем Sodinobiki, McAfee зафиксировали подобные двухэтапные кампании: перед тем, как заблокировать файлы и потребовать выкуп, злоумышленники устанавливали на компьютерах майнеры криптовалют. Прогноз McAfee на 2020 год заключается в том, что киберпреступники начнут чаще похищать конфиденциальную корпоративную информацию перед целевой вымогательской атакой, чтобы затем продать эти данные в интернете или шантажировать жертву, тем самым увеличивая монетизацию.

4. Интерфейсы прикладного программирования (API) окажутся самым слабым звеном для нативных облачных угроз

По данным недавнего исследования, в 75% компаний безопасность API обеспечивается иначе, чем безопасность веб-приложений. Это говорит о том, что по сравнению с другими компонентами API менее защищены от угроз. В исследовании также говорится о том, что более двух третей организаций предоставляют публичный доступ к API, чтобы их партнеры и внешние разработчики могли подключиться к их программным платформам и экосистемам приложений.
API — важнейший инструмент любых современных облачных сред, сред IoT, микросервисов, мобильных сервисов и веб-клиентов. Зависимость от API еще более усилится вслед за развитием экосистем облачных приложений, которые создаются как компоненты повторного использования для автоматизации бэк-офиса (например, роботизации процессов), и приложений, задействующих API облачных сервисов, например Office 365 и Salesforce.
Злоумышленники следят за тем, какие организации устанавливают приложения с API, поскольку уязвимые интерфейсы прикладного программирования до сих пор позволяют легко и просто получить доступ к хранилищу ценных конфиденциальных данных. Несмотря на крупномасштабные хищения данных и актуальные угрозы, API часто не включены в инфраструктуру безопасности приложений и соответствующие процессы, а специалисты по обеспечению защиты не обращают на них должного внимания. Ошибки авторизации и аутентификации, незащищенность данных и неспособность распознавать атаки, связанные с ограничением скорости и ресурсов — вот основные недостатки API, которые сохранятся и в будущем. Самыми уязвимыми среди них являются интерфейсы с незащищенным потреблением, без строгих лимитов по скорости.
Новости о взломе с использованием API продолжат появляться и в 2020 году. Мишенями таких атак станут популярные приложения социальных сетей, одноранговые (P2P) сети, мессенджеры, финансовые процессы и другие объекты. За последние два года хакеры похитили данные сотен миллионов транзакций и учетных записей — это число будет расти и дальше. Из-за увеличения потребности в API и их широкого использования в приложениях компаний в 2020 году интерфейсы прикладного программирования будут признаны самым слабым звеном в системе защиты от нативных облачных угроз. Чтобы устранить риски для конфиденциальности и данных пользователей, необходимо совершенствовать стратегии безопасности.
Организациям, которые хотят решить эту задачу, необходимо обеспечить комплексное понимание работы API своих облачных сервисов в средах SaaS, PaaS и IaaS, внедрить авторизацию на основе политик и технологию анализа поведения пользователей и субъектов (UEBA) для выявления аномальных схем доступа.

5. Из-за увеличения объема контейнерных рабочих нагрузок и перехода на стратегию безопасности «Shift Left» ожидается рост популярности DevSecOps
Команды DevOps способны выпускать микросервисы и взаимодействующие компоненты многократного использования в виде приложений в непрерывном режиме. По этой причине в 2020 году число организаций, активно внедряющих контейнерные технологии, продолжит расти. По прогнозу Gartner, «к 2022 году более 75% международных компаний будут использовать контейнерные приложения в производстве; сейчас этот показатель составляет менее 30%». 1 Контейнерные технологии помогут организациям модернизировать устаревшие программы и создать новые нативно облачные приложения, которые отличаются масштабируемостью и адаптивностью.
Контейнерные приложения конструируются из компонентов многократного использования по модели «инфраструктура-как-код» (IaC). Эта программно-определяемая платформа развертывается в облачных средах. Инструменты непрерывной интеграции и развёртывания (CI/CD) позволяют автоматизировать разработку и развертывание таких приложений и IaC, что затрудняет профилактическое и непрерывное обнаружение программных уязвимостей и ошибок конфигурации платформы. Чтобы адаптироваться к более активному использованию контейнерных приложений, работающих по модели CI/CD, специалисты по безопасности должны выполнять оценку рисков на этапе создания кода, перед его внедрением. Такой подход к жизненному циклу разработки (подход «shift left») позволит интегрировать безопасность в процесс DevOps. Более распространенное название этой модели — DevSecOps.
Кроме ошибок в конфигурации IaC и программных уязвимостей, угрозу для контейнерных приложений также представляет злоупотребление сетевыми привилегиями, из-за которого атака может распространяться в горизонтальном направлении. Чтобы устранить указанные угрозы, возникающие в режиме выполнения, организации все чаще обращаются к нативно-облачным инструментам безопасности, разработанным специально для контейнерных сред.


1 Статья «Gartner Best Practices for Running Containers and Kubernetes in Production» о передовых практиках применения контейнеров и системы Kubernetes в производстве, автор Арун Чандрасекаран (Arun Chandrasekaran), 25 февраля 2019 года


О компании:
McAfee — компания, обеспечивающая киберзащиту в пространстве (от устройства до облака). Опираясь на принципы сотрудничества и взаимодействия, специалисты McAfee создают корпоративные и потребительские решения, которые делают мир безопаснее.
Наша целостная, автоматизированная и открытая платформа безопасности и "облачный" подход к созданию решений безопасности позволят всем вашим продуктам сосуществовать и обмениваться информацией об угрозах в любой точке цифрового ландшафта. Здесь автоматизация сочетается с человеческим разумом, что позволяет более эффективно оптимизировать рабочие процессы. Ваша команда освободится от ненужной оперативной нагрузки. Мы поможем организовать безопасность на территории и в облаке с помощью единой системы управления. Все ваши продукты по безопасности адаптируются к новым угрозам и будут работать в синергии, в целях повышения защиты на протяжении всего жизненного цикла угроз.