Fortinet: прогноз состояния киберугроз в ближайшем будущем

Компания Fortinet, разработчик интегрированных автоматизированных систем корпоративной информационной безопасности (ИБ), опубликовала составленный специалистами отдела исследования угроз FortiGuard Labs прогноз развития киберугроз в 2019 г. и последующие годы.

В прогнозе говорится о методах и технологиях, которыми, по мнению исследователей FortiGuard Labs, киберпреступники будут пользоваться в ближайшем будущем, а также о важных стратегических изменениях, которые помогут защититься от предстоящих кибератак.

По словам Дерека Мэнки (Derek Manky), директора по разработке глобальных программ обеспечения безопасности компании Fortinet, киберпреступники добились большого успеха в развитии своих сервисов и инструментов за счет использования автоматизации и прототипов искусственного интеллекта (ИИ).

Как следствие, компаниям, вместо того, чтобы участвовать в бесконечной войне «снаряда и брони», необходимо научиться использовать технологии автоматизации и ИИ для сокращения времени от момента вторжения до обнаружения и от обнаружения до устранения последствий угрозы. Для этого необходимо объединить все компоненты защиты в единую адаптивную систему сетевой безопасности, в которой налажен динамический обмен данными о киберугрозах. Такой подход обеспечивает комплексную ИБ-защиту и отслеживание каждого сегмента сети — от устройств IoT до гибридных многооблачных сред.

Интеллектуализация кибератак

Многие преступные организации оценивают технологии кибератак не только с точки зрения эффективности их воздействия, но и учитывают затраты на их разработку, модификацию и реализацию.

В складывающейся ситуации одним из возможных решений для компаний является внедрение новых стратегий и технологий, таких как машинное обучение и автоматизация выполнения утомительных и трудоемких задач, которые обычно требуют высокой степени контроля и участия человека. В свою очередь эти действия могут повлиять на стратегии киберпреступников, заставляя их модернизировать методы атак и прилагать больше усилий для их развития. Учитывая все более широкое использование машинного обучения и автоматизации, можно заявить о том, что киберпреступное сообщество скорее всего будет придерживаться описанных ниже стратегий и специалистам в сфере кибербезопасности тоже придется им следовать.

• Фаззинг искусственного интеллекта (AIF) и уязвимости. По мнению специалистов Fortinet, применение киберпреступниками к процессу фаззинга модели машинного обучения позволяет им ускорить обнаружение уязвимостей «нулевого дня» и, следовательно, увеличить число атак с использованием этих уязвимостей.
• Обнаружение уязвимостей «нулевого дня» с помощью AIF. Как только алгоритм AIF попадет в систему, его можно нацелить на код в контролируемой среде для обнаружения эксплойтов «нулевого дня». Благодаря этому можно значительно повысить скорость внедрения атак «нулевого дня». Как только в киберпреступной среде концепция «обнаружение уязвимостей „нулевого дня“ как услуга» станет доступна, организациям придется кардинально изменить свой подход к безопасности. Больше всего проблем возникнет с изолированными или устаревшими средствами безопасности (которые, к сожалению, используются во многих компаниях).
• Цена уязвимостей «нулевого дня». Цена эксплойтов «нулевого дня» всегда была довольно высокой, прежде всего из-за времени и квалификации, необходимых для их обнаружения. Однако по мере развития технологии ИИ эксплойты, использующие уязвимости «нулевого дня», перестают быть редким явлением и превращаются киберпреступниками в предмет широкой продажи. Быстрый рост количества и разнообразия доступных уязвимостей и эксплойтов, включая возможность быстрого обнаружения эксплойтов с уязвимостями «нулевого дня» и предоставление их в качестве услуги, может радикально повлиять на выбор и стоимость услуг, доступных в темном Интернете.
• Роевая сеть как услуга. Развитие изощренных кибератак на базе технологии роевого интеллекта приближает нас, как считают эксперты Fortinet, к реальности использования больших групп ботов, так называемых роевых сетей.

Это новое поколение угроз будет использоваться для создания широкомасштабных роевых сетей, состоящих из интеллектуальных ботов, которые могут работать как совместно, так и автономно. Такие роевые сети повысят требования к технологиям корпоративной защиты и, как в случае с обнаружением атак с использованием уязвимостей «нулевого дня», окажут существенное влияние на базовую бизнес-модель киберпреступников.

В настоящее время экосистема киберпреступности ориентирована главным образом на людей. За определенную плату профессиональные хакеры разрабатывают специальные эксплойты и даже новые бизнес-модели, например «программы-вымогатели как услуга». Для этого черным хакерам требуется поддерживать различные ресурсы, в том числе выполнять разработку и тестирование эксплойтов, а также управлять внутренними серверами со схемой аудита C2. В то же время при использовании автономных самообучающихся моделей «роевая сеть как услуга» объем непосредственного взаимодействия между заказчиком и хакером-разработчиком значительно уменьшается.

• Роевые сети на заказ. Возможность для достижения желаемого результата разделять роевую сеть на отдельные сегменты, выполняющие разные задачи, очень похожа на то, как мир переходил к виртуализации. В виртуализированных сетях можно ускорять и замедлять работу виртуальных машин, ориентируясь исключительно на необходимость решения конкретных задач, например связанных с пропускной способностью. Аналогичным образом в роевой сети можно распределять или перераспределять ресурсы для решения конкретных проблем, возникающих в цепочке атак. Черные хакеры-разработчики предварительно программируют роевую сеть с помощью различных инструментов анализа и эксплойтов, а также используют самообучающиеся сетевые протоколы, которые обеспечивают согласованную работу всех компонентов для оптимизации атаки на протоколы. В результате приобрести подходящую атаку для киберпреступников становится так же просто, как выбрать блюдо в меню.
• «Отравление» машинного обучения. Машинное обучение является одним из наиболее перспективных инструментов в наборе решений для кибербезопасности.

Устройства корпоративной системы ИБ могут обучаться для автономного выполнения конкретных ИБ-задач, таких как определение базового поведения, анализ поведения для выявления аномалий в изощренных атаках, а также отслеживание устройств и установка исправлений.

К сожалению, эти процессы могут быть использованы также и киберпреступниками. С помощью технологии машинного обучения они могут заставить устройства и системы не применять исправления и обновления, игнорировать отдельные типы приложений или поведения, не регистрировать определенный трафик для обхода механизмов обнаружения атак. Это значительно повлияет на будущее машинного обучения и развитие технологии ИИ.

Усложнение ИБ-систем

Для противодействия развитию упомянутых выше технологий кибератак компании вынуждены усложнять жизнь киберпреступникам. Ниже описаны стратегии ИБ, способные заставить киберпреступников менять тактику, модифицировать атаки, разрабатывать новые способы оценки возможностей атак, тем самым повышая стоимость атак.

• Продвинутые тактики введения злоумышленников в заблуждение. Интеграция технологий обмана в стратегии ИБ, использующих модификацию сетей на основе ложной информации, заставит злоумышленников постоянно проверять данные об уязвимостях и развитии атак, тратить ресурсы на обнаружение ложных срабатываний и перепроверять, действительно ли сетевые ресурсы, которые они отслеживают, являются подлинными. А поскольку любые атаки на ложные сетевые ресурсы могут быть обнаружены благодаря автоматизированному применению мер противодействия, злоумышленникам необходимо соблюдать осторожность даже при выполнении таких базовых тактик, как сканирование сети.
• Открытое сотрудничество. Один из самых простых для злоумышленников способов получить максимальную выгоду от вложений в кибератаку и зачастую обойти механизмы обнаружения — внести в нее незначительные изменения, например изменить IP-адрес.

Эффективным способом, позволяющим отследить такие изменения, является активный обмен данными об ИБ-угрозах. Благодаря постоянному обновлению данных об угрозах поставщики ИБ-решений и их клиенты всегда будут в курсе последних модификаций киберугроз.

Открытое сотрудничество между компаниями, занимающимися исследованием киберугроз, отраслевыми альянсами, производителями ИБ-решений и правоохранительными органами поможет существенно сократить время обнаружения новых угроз путем выявления тактики, используемой злоумышленниками в данной конкретной атаке.

Благодаря анализу поведения потоков данных в режиме реального времени, осуществляемому в рамках открытого сотрудничества, средства киберзащиты смогут не только реагировать, но и прогнозировать поведение вредоносных программ и таким образом обходить выбранную злоумышленниками в данный момент модель атаки. В результате злоумышленники не смогут повторно использовать те же вредоносы.

Скорость, интеграция и автоматизация — ключевые принципы кибербезопасности

У стратегии киберзащиты на основе автоматизации и машинного обучения, как считают эксперты компании Fortinet, нет будущего без комплексной системы сбора, обработки и применения данных об угрозах, использующей сложный механизм интеллектуального реагирования.

Чтобы противостоять становящимся все более изощренными угрозам, компаниям необходимо объединить средства защиты в адаптивную систему сетевой безопасности, которая обеспечивает оперативное обнаружение киберугроз и принятие мер реагирования с увеличением охвата векторов атак.

Автоматизация сбора данных о продвинутых киберугрозах и обмена ими между всеми компонентами корпоративной системы обеспечения ИБ позволяет быстрее выявлять угрозы и реагировать на них. Интеграция специализированных ИБ-решений, развернутых в распределенной сети, и стратегическая сегментация, существенно повышают эффективность борьбы с кибератаками, которые становятся все более интеллектуальными и автоматизированными.

СПЕЦПРОЕКТ КОМПАНИИ FORTINET