Начальник аналитического центра ООО «Газинформсервис», к.т.н.
Битва за кибер-безопасность:
как изменятся атаки вирусов-шифровальщиков
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Прогноз на 1 год
В краткосрочной перспективе стоит ожидать не столько роста новых атак, сколько увеличения числа завершенных. Последние пару лет мы наблюдали рост утечек данных, рост хактивизма, а теперь мы станем зрителями кинопоказа «Топ самых интересных атак и топ самых незащищенных организаций в России». Тогда, когда мы видим информацию об утечке, мы уже можем предположить, что атакующий закрепился в инфраструктуре и проводит дальнейшую разведку по ней, выбирает внутренние важные узлы, базы данных, сервера. А может быть, что на самом деле киберпреступники уже все и зашифровали, но жертва устояла под натиском, и мир не увидел в новостях информации об убытках, только информация об утечках просочилась.
Если оглядываться на эволюцию шифровальщиков, то был период, примерно до 2015 года, когда основными жертвами становились чаще всего пользователи и выкуп был недорогим, или все лечилось антивирусами. Потом начался новый период — охота на крупную дичь, и до 2022 года количество атак возрастало, преступные группировки становились распределенными, набирала популярность услуга — шифровальщик как сервис.
С 2022 года мы столкнулись впервые с волной хактивизма, вдруг появились кибератаки, смысл которых не в вымогательстве денег у жертвы, а в разрушении инфраструктуры.
Но эта волна прошла, а теперь все сделали выводы. Также их сделали и преступные группировки, работающие по заказу государств или крупных оружейных корпораций
Поэтому меня пугает перспектива на ближайший год тем, что когда-то начнется новая волна «купленного хактивизма», только более мощная, за которой уже будут стоять не эмоции, а финансирование, и цель будет вымогательство, а потом, несмотря на выплаченный жертвой выкуп, — разрушение. Самая большая проблема в том, что не хватает осознанности степени угрозы.
Если мы говорим в формате «недопустимых событий», то давайте оценивать риски не для одной компании, а для целой отрасли. Например, мы посмотрели, что за 2022-й, 2023 годы утекло много данных из сферы доставок, ритейла, интернет-сервисов и образования. Что если мы увидим скоординированные атаки на несколько университетов одновременно, например, в период новой приемной кампании? А если на множество торговых сетей или сразу на все популярные логистические сервисы? Может ли тогда атака вируса-шифровальщика парализовать какой-то сегмент, отрасль и как оценить тогда убытки? Какой будет период восстановления?
“
Это пессимистичный сценарий, так как практика показала, что даже крупные компании к этому не готовы. И проблема не в обеспечении рынка ИБ средствами защиты, а в осознанности. Пока что ее не хватает руководителям
В тот момент, когда специалист по информационной безопасности озвучивает бюджет на закупку необходимого программного обеспечения, часто вопрос о тревогах и будущих опасностях уходит на четвертый план, «как-то дорого».
На самом деле, если дорого, значит, не всегда правильно выбран подход, возможно, стоит поискать альтернативный вариант или обратиться к другим специалистам. Развивается же услуга — SOC-центры, это ИБ на аутсорсинге. Почему бы не посмотреть в эту сторону?
Или же руководство в принципе не слышит от специалиста по информационной безопасности о возможных угрозах, а он не акцентирует внимание и не пытается обновить защиту инфраструктуры
Возможно специалист по информационной безопасности не хочет внедрять решения с расширенной аналитикой, с новыми технологиями, так как привык к экономии и что-то новое и незнакомое еще и пугает. Как быть руководителю уверенным в том, что его архитектор информационной безопасности, его киберзащитники действительно готовы к таким атакам?
Нужны тренировки и испытания, а это пока не носит массовый характер, пока что кибербитвы и киберучения, скорее, удел студентов или какой-то элиты кибербеза.
В общем, в краткосрочной перспективе я предполагаю, что мы будем наблюдать много новых, интересных событий, связанных с последствиями атак вирусов-шифровальщиков.
Оптимистический момент в этой истории — рост осознанности уровня опасности, пересмотр парадигмы «защита от бюджета» и выбор парадигмы «нулевого доверия». Экспертное сообщество в информационной безопасности в России сильное и действительно отлично себя зарекомендовало в последние несколько лет, мы справимся.
Прогноз на 3 года
Эволюция вредоносного ПО и вирусов-шифровальщиков
В среднесрочной перспективе (три года) стоит ожидать изменений и в самих подходах к защите от вирусов-шифровальщиков, и эволюции вредоносного программного обеспечения, и новых методов доставки. В начале хочу поделиться надеждами, мой оптимистический прогноз имеет под собой некоторые основания. Ведь разработки части решений уже идут. Оптимистический прогноз разделю на две части.
Возможное
Представим, что через три года мы в России имеем улучшенные технологии защиты, в которых используются искусственный интеллект и машинное обучение.
Имеющиеся в отрасли средства защиты обеспечивают эффективное выявление и предотвращение атак вирусов-шифровальщиков на ранних стадиях и способны блокировать процесс шифрования в любом месте IT-инфраструктуры.
Чудесное
Международные организации, правительства, частный сектор экономики объединились и вместе разработали более жесткие стандарты безопасности и рекомендации по внедрению комплексных программ для защиты и обучения сотрудников.
В образовательные программы на уровне государства внедрены модули по цифровой гигиене для представителей разных возрастных групп. Преступные группировки больше не могут найти заказы на целенаправленные атаки, и идет другая охота — на крупную дичь, где дичь — это уже киберперступники.
Если действующие вендоры информационной безопасности на момент 2024 года не собьются с пути, то возможное действительно появится. И это защитит цифровые платформы, сервисы и бизнес, но обычные люди, пользователи, останутся в группе риска.
Перейдем к пессимистическим прогнозам:
Уверена, что в ближайшие пять лет угрозы со стороны вирусов-шифровальщиков будут только усиливаться, мы станем свидетелями все более сложных и разрушительных скоординированных атак, в которых кибертеррористы используют вирусы-шифровальщики как инструмент для уничтожения цифровых платформ и нанесения значительного ущерба экономике государства.
При этом преступные группировки и финансируемые некоторыми государствами хакеры будут использовать передовые технологии, такие как искусственный интеллект, и будут создавать новые формы атак и новые методы шифрования. Атакующие будут усердно тренироваться и находить способы обходить существующие системы защиты.
Основные цели для «дорогих» атак останутся те же, продолжится «охота на крупную дичь»
Сюда можно относить такие цели, как энергетика, транспорт, здравоохранение и финансовый сектор. Однако, так как сами атаки шифровальщиков станут более масштабными и координированными, это будет приводить к длительным перебоям в работе жизненно важных систем, объектов критической инфраструктуры и к значительным экономическим потерям. А еще появятся и совершенно новые виды атак шифровальщиков, где жертвами становятся устройства одной корпорации — допустим, смартфоны, телевизоры, микроволновки, что угодно, главное — массовое и то, что в результате такой атаки теряет свою ценность для покупателя, а данные с некоторых абонентских устройств становятся сверхценными для компаний, которые готовы будут платить выкуп для сохранения репутации.
“
Хактивизм поменяется и станет инструментом доставки вредоносного программного обеспечения, где тому, кто запустил вирус в инфраструктуру, преступная группировка платит агентское вознаграждение
Если раньше все воспринимали внутреннего нарушителя как возможного участника в организации утечки данных, теперь всех больше всего будет волновать, как не пропустить вирус, который внутренний нарушитель может запустить, используя свои права на запуск скриптов, команд и на установку программного обеспечения.
Без значительных улучшений в кибербезопасности количество успешных атак шифровальщиков будет расти, приводя к серьезным последствиям для глобальной экономики и безопасности государства, общества и личности.
Обычные пользователи и малый бизнес также станут частыми жертвами атак, и это будет приводить к утрате важных цифровых данных и, конечно же, к финансовым убыткам.
Предположу также, что международное сотрудничество по борьбе с атаками шифровальщиков может оказаться недостаточно эффективным из-за политических и юридических барьеров, с которыми мы сталкиваемся с 2022 года. Мы готовимся к такому сценарию, и я вижу, как многие вендоры ИБ совершенствуют свои программные продукты, как тренируются киберзащитники, как меняются образовательные программы, и вижу, что у нас действительно может получиться выстроить отличную эшелонированную кибероборону.