ЛАС-ВЕГАС — Растёт количество уязвимостей нулевого дня — всего 97 за последний год. Кибервымогательство эволюционирует, включая физические угрозы и продвинутое принуждение. Всё больше злоумышленников «живут за счёт земли».
По словам руководителей компании Mandiant, которая теперь является дочерней компанией Google Cloud, это лишь некоторые из главных проблем, которые не дают спать по ночам руководителям служб информационной безопасности.
Выступая на пресс-конференции в рамках технологической конференции Google Cloud Next на этой неделе, генеральный директор Mandiant Кевин Мандия пригласил Сандру Джойс, вице-президента Mandiant Intelligence, и Юргена Кутчера, вице-президента Mandiant Consulting, чтобы поделиться своими взглядами на ландшафт угроз и его развитие.
«Всего плохого стало больше», — сказал Мандия о ландшафте киберугроз, хотя, по его мнению, «это не значит, что за последние пару лет мы находимся на самом дне в плане кибербезопасности.
«Мы повышаем осведомленность о проблемах», и сфера кибербезопасности добилась «множества улучшений», — сказал он.
Тем не менее, «стало больше вредоносных программ, больше субъектов угроз, они лучше справляются со своей задачей и оказывают большее влияние, когда добиваются успеха», — пояснил Мандия.
Компания CyberScoop составила список основных проблем, с которыми, по мнению руководителей Mandiant, сегодня сталкиваются директора по информационной безопасности.
«Если честно, если оглянуться на последние пару лет, то можно увидеть множество интересных тенденций в сфере кибербезопасности, с которыми сталкиваются руководители служб информационной безопасности. Одна из них, конечно же, — это количество уязвимостей нулевого дня, которые мы наблюдали за последние пару лет», — сказал он. «И это дало злоумышленникам новый способ поддерживать свою активность».
В частности, хакеры нацелены на устройства безопасности и периметральные сетевые устройства, чтобы получить долгосрочный доступ, сказал Кутчер, добавив, что традиционные технологии безопасности недостаточно развиты, чтобы обнаружить вторжение на эти устройства.
«Это очень, очень затрудняет обнаружение», — сказал он.
«Таким образом, мы всё ещё находимся в своего рода экспериментальной фазе, когда речь идёт о том, как злоумышленники используют ИИ», — сказала она. «И это даёт возможность… специалистам по защите серьёзно в этом разобраться».
Джойс отметил, что, поскольку субъекты угроз на самом деле не заняли выгодную позицию в сфере ИИ, «такая возможность появилась сейчас».
И она, и Кутчер считают, что в условиях прямого соперничества ИИ в настоящее время отдает предпочтение способности защищаться от атак.
«Совершенно очевидно, что это даёт нам преимущество», — сказал Кучер. «Я не могу предсказать, когда злоумышленники начнут больше использовать ИИ — очевидно, это ещё предстоит увидеть. Но, как сказала Сандра, сейчас у нас есть преимущество. Это выгода».
Так называемые методы «жизни за счёт земли» приводят к тому, что «невозможно легко отличить злоумышленника от источника угрозы. И это проблема, поскольку атаки не обнаруживаются, и они становятся гораздо более скрытными», — сказал он.
«Это одно из самых крупных изменений, которое я видел с 2023 года по настоящее время», — сказал Мандия. Оно привело к тому, что нарушения стали оказывать гораздо более сильное воздействие на жертв, поскольку злоумышленник остается незамеченным в течение более длительного периода времени.
«Агрессивность, с которой действуют киберпреступники, особенно те группировки, которые мы отслеживаем в последнее время, в некоторых случаях превращает работу руководителя службы информационной безопасности в настоящий кошмар, который им приходится переживать, поскольку им приходится думать не только об украденных данных, но и о благополучии работающих на них людей», — сказал Джойс.
По ее словам, много лет назад кибератаки носили скорее характер «крайнего нападения», когда «киберпреступники просили, знаете ли, небольшую сумму криптовалюты, а затем возвращали мне доступ к фотографиям ваших бабушек и дедушек».
Но в последние годы в случае программ-вымогателей «то, на что сейчас обращают внимание руководители служб информационной безопасности, — это не просто кража данных, не просто уничтожение их операций, но и угрозы их личности, угрозы членам их семей, очень жестокое принуждение», — сказал Джойс.
«Мы наблюдаем гораздо больше внимания к облачной инфраструктуре, что неудивительно, учитывая, что многие организации используют её, верно? Мы определённо видим, что злоумышленники уделяют ей гораздо больше внимания», — сказал он. «Мы также видим, что они гораздо эффективнее обходят многофакторную аутентификацию, особенно устаревшие технологии многофакторной аутентификации, например, отправку SMS с шестизначным кодом и т. д. Мы видим, как злоумышленники действительно преуспели в обходе подобных средств защиты».
Кучер пояснил: «Во многих организациях до сих пор используются устаревшие технологии многофакторной аутентификации, и теперь мы думаем, что нам нужно сделать, чтобы снизить связанные с этим риски? Ведь мы видим, что злоумышленники очень эффективно обходят их, чтобы получить доступ к облачной инфраструктуре, а также просто получить доступ к любой среде».
«Если говорить об использовании уязвимостей нулевого дня, то дело не только в их использовании», — сказала Джойс. «Подумайте о рабочих процессах, которые необходимо выполнить для исправления уязвимости и определения её критичности для конкретной организации. Это требует резкого роста активности. И когда мы доходим до уровня прошлого года, то имеем более 90 уязвимостей нулевого дня».
«Новые методы подразумевают, что защитникам нужно быть начеку», — сказала она. «А теперь ставки должны быть гораздо выше, и это должно быть частью защиты в конфликте. Допустим, вы на Украине — в этом случае это становится ещё более обременительным».
На Украине Джойс стала свидетельницей того, как Россия применила передовые кибертехнологии одновременно с ракетным ударом по электростанции. По ее словам, эта тактика «напугала» украинских граждан, «потому что теперь нет света, и у них сложилось ощущение, что правительство не может их защитить».
«Но всё это тесно переплетено с этими передовыми методами, о которых мы говорим. Так что, независимо от того, задумываетесь ли вы об этом как руководитель службы информационной безопасности, или как украинский защитник, или как граждане Украины, эти методы имеют очень далеко идущие последствия», — сказала Джойс.
«Пытаться отследить это, понять, откуда пришли злоумышленники, крайне сложно», — сказал Кучер. Одно дело обнаружить их в своей среде, добавил он, «но как исключить их из своей среды, понимая, откуда они на самом деле взялись и как туда попали? Это крайне сложно».
По словам Мандиа, растущий объем атак нулевого дня и смена целей (традиционно хакеры атаковали крупные технологические компании, такие как Apple, Google и Microsoft, а теперь — более мелких поставщиков программного обеспечения) свидетельствует о том, что киберпреступники стремятся воспользоваться слабыми цепочками поставок.
«Это скорее касается компаний, разрабатывающих корпоративное ПО, и других компаний, предоставляющих услуги кому-то другому. Так что мы наблюдаем некий перекос в чаше весов», — сказал он. «Цепочка поставок — это серьёзная проблема, и руководители служб информационной безопасности этим обеспокоены. Поскольку все небольшие компании, которые сегодня разрабатывают инновационное ПО, многие из этих стартапов не имеют сотрудников службы безопасности… Так что это создаёт своего рода уязвимость, скрытую от посторонних глаз».
По словам руководителей компании Mandiant, которая теперь является дочерней компанией Google Cloud, это лишь некоторые из главных проблем, которые не дают спать по ночам руководителям служб информационной безопасности.
Выступая на пресс-конференции в рамках технологической конференции Google Cloud Next на этой неделе, генеральный директор Mandiant Кевин Мандия пригласил Сандру Джойс, вице-президента Mandiant Intelligence, и Юргена Кутчера, вице-президента Mandiant Consulting, чтобы поделиться своими взглядами на ландшафт угроз и его развитие.
«Всего плохого стало больше», — сказал Мандия о ландшафте киберугроз, хотя, по его мнению, «это не значит, что за последние пару лет мы находимся на самом дне в плане кибербезопасности.
«Мы повышаем осведомленность о проблемах», и сфера кибербезопасности добилась «множества улучшений», — сказал он.
Тем не менее, «стало больше вредоносных программ, больше субъектов угроз, они лучше справляются со своей задачей и оказывают большее влияние, когда добиваются успеха», — пояснил Мандия.
Компания CyberScoop составила список основных проблем, с которыми, по мнению руководителей Mandiant, сегодня сталкиваются директора по информационной безопасности.
Больше нулевых дней
По словам Кутчера, количество и сложность уязвимостей нулевого дня растут, и это большая проблема для специалистов по безопасности, которые хотят хорошо выспаться по ночам.«Если честно, если оглянуться на последние пару лет, то можно увидеть множество интересных тенденций в сфере кибербезопасности, с которыми сталкиваются руководители служб информационной безопасности. Одна из них, конечно же, — это количество уязвимостей нулевого дня, которые мы наблюдали за последние пару лет», — сказал он. «И это дало злоумышленникам новый способ поддерживать свою активность».
В частности, хакеры нацелены на устройства безопасности и периметральные сетевые устройства, чтобы получить долгосрочный доступ, сказал Кутчер, добавив, что традиционные технологии безопасности недостаточно развиты, чтобы обнаружить вторжение на эти устройства.
«Это очень, очень затрудняет обнаружение», — сказал он.
Искусственный интеллект способствует обороне
В то время как вся шумиха в технологической отрасли сосредоточена вокруг огромного потенциала и основных рисков, связанных с новыми возможностями искусственного интеллекта, Джойс отметил, что по поводу более чем 1000 инцидентов, на которые Mandiant реагирует в год, «ни в одном из них ИИ пока не является основным или существенным компонентом».«Таким образом, мы всё ещё находимся в своего рода экспериментальной фазе, когда речь идёт о том, как злоумышленники используют ИИ», — сказала она. «И это даёт возможность… специалистам по защите серьёзно в этом разобраться».
Джойс отметил, что, поскольку субъекты угроз на самом деле не заняли выгодную позицию в сфере ИИ, «такая возможность появилась сейчас».
И она, и Кутчер считают, что в условиях прямого соперничества ИИ в настоящее время отдает предпочтение способности защищаться от атак.
«Совершенно очевидно, что это даёт нам преимущество», — сказал Кучер. «Я не могу предсказать, когда злоумышленники начнут больше использовать ИИ — очевидно, это ещё предстоит увидеть. Но, как сказала Сандра, сейчас у нас есть преимущество. Это выгода».
Жизнь за счет земли
Мандия заявил, что злоумышленники очень хорошо научились имитировать действия пользователей с учётными данными. «Злоумышленники используют более эффективные методы обеспечения безопасности», — сказал он.Так называемые методы «жизни за счёт земли» приводят к тому, что «невозможно легко отличить злоумышленника от источника угрозы. И это проблема, поскольку атаки не обнаруживаются, и они становятся гораздо более скрытными», — сказал он.
«Это одно из самых крупных изменений, которое я видел с 2023 года по настоящее время», — сказал Мандия. Оно привело к тому, что нарушения стали оказывать гораздо более сильное воздействие на жертв, поскольку злоумышленник остается незамеченным в течение более длительного периода времени.
Киберугрозы выходят за рамки кибербезопасности
Джойс указал на растущий уровень вымогательства, который Mandiant считает одной из самых больших проблем в этой сфере в последние годы.«Агрессивность, с которой действуют киберпреступники, особенно те группировки, которые мы отслеживаем в последнее время, в некоторых случаях превращает работу руководителя службы информационной безопасности в настоящий кошмар, который им приходится переживать, поскольку им приходится думать не только об украденных данных, но и о благополучии работающих на них людей», — сказал Джойс.
По ее словам, много лет назад кибератаки носили скорее характер «крайнего нападения», когда «киберпреступники просили, знаете ли, небольшую сумму криптовалюты, а затем возвращали мне доступ к фотографиям ваших бабушек и дедушек».
Но в последние годы в случае программ-вымогателей «то, на что сейчас обращают внимание руководители служб информационной безопасности, — это не просто кража данных, не просто уничтожение их операций, но и угрозы их личности, угрозы членам их семей, очень жестокое принуждение», — сказал Джойс.
Устаревшая многофакторная аутентификация
По словам Кутчера, по мере того, как киберпреступники становятся всё более изощрёнными, они всё чаще атакуют облачную инфраструктуру. Ситуация усугубляется, когда организации используют устаревшие инструменты многофакторной аутентификации.«Мы наблюдаем гораздо больше внимания к облачной инфраструктуре, что неудивительно, учитывая, что многие организации используют её, верно? Мы определённо видим, что злоумышленники уделяют ей гораздо больше внимания», — сказал он. «Мы также видим, что они гораздо эффективнее обходят многофакторную аутентификацию, особенно устаревшие технологии многофакторной аутентификации, например, отправку SMS с шестизначным кодом и т. д. Мы видим, как злоумышленники действительно преуспели в обходе подобных средств защиты».
Кучер пояснил: «Во многих организациях до сих пор используются устаревшие технологии многофакторной аутентификации, и теперь мы думаем, что нам нужно сделать, чтобы снизить связанные с этим риски? Ведь мы видим, что злоумышленники очень эффективно обходят их, чтобы получить доступ к облачной инфраструктуре, а также просто получить доступ к любой среде».
Выгорание
Одним из главных выводов Джойс из недавней поездки на Украину стал уровень выгорания, испытываемого киберзащитниками страны, который может распространяться и на население в целом. По её словам, это прямой результат возросшей сложности атак и растущего количества уязвимостей нулевого дня, с которыми приходится сталкиваться и среднестатистическому руководителю службы информационной безопасности (CISO).«Если говорить об использовании уязвимостей нулевого дня, то дело не только в их использовании», — сказала Джойс. «Подумайте о рабочих процессах, которые необходимо выполнить для исправления уязвимости и определения её критичности для конкретной организации. Это требует резкого роста активности. И когда мы доходим до уровня прошлого года, то имеем более 90 уязвимостей нулевого дня».
«Новые методы подразумевают, что защитникам нужно быть начеку», — сказала она. «А теперь ставки должны быть гораздо выше, и это должно быть частью защиты в конфликте. Допустим, вы на Украине — в этом случае это становится ещё более обременительным».
На Украине Джойс стала свидетельницей того, как Россия применила передовые кибертехнологии одновременно с ракетным ударом по электростанции. По ее словам, эта тактика «напугала» украинских граждан, «потому что теперь нет света, и у них сложилось ощущение, что правительство не может их защитить».
«Но всё это тесно переплетено с этими передовыми методами, о которых мы говорим. Так что, независимо от того, задумываетесь ли вы об этом как руководитель службы информационной безопасности, или как украинский защитник, или как граждане Украины, эти методы имеют очень далеко идущие последствия», — сказала Джойс.
Цепочка поставок
Атаки на цепочки поставок не являются чем-то новым, но их изощренность растет, и некоторые злоумышленники теперь проходят через несколько уровней цепочки поставок, прежде чем предпринять действия против жертвы.«Пытаться отследить это, понять, откуда пришли злоумышленники, крайне сложно», — сказал Кучер. Одно дело обнаружить их в своей среде, добавил он, «но как исключить их из своей среды, понимая, откуда они на самом деле взялись и как туда попали? Это крайне сложно».
По словам Мандиа, растущий объем атак нулевого дня и смена целей (традиционно хакеры атаковали крупные технологические компании, такие как Apple, Google и Microsoft, а теперь — более мелких поставщиков программного обеспечения) свидетельствует о том, что киберпреступники стремятся воспользоваться слабыми цепочками поставок.
«Это скорее касается компаний, разрабатывающих корпоративное ПО, и других компаний, предоставляющих услуги кому-то другому. Так что мы наблюдаем некий перекос в чаше весов», — сказал он. «Цепочка поставок — это серьёзная проблема, и руководители служб информационной безопасности этим обеспокоены. Поскольку все небольшие компании, которые сегодня разрабатывают инновационное ПО, многие из этих стартапов не имеют сотрудников службы безопасности… Так что это создаёт своего рода уязвимость, скрытую от посторонних глаз».
