Суеверия — часть нашей жизни. Они встречаются и в цифровом мире. Но их необходимо развеивать, хотя бы раз в год. «Лаборатория Касперского» постаралась сделать это на своей пресс-конференции по итогам 2022 года.
- Введение
- Суеверия среди ИБ-команд
- Суеверия на массовом рынке
- Суеверия среди разработчиков и пользователей ПО
- Выводы
Введение
В середине декабря «Лаборатория Касперского» провела пресс-конференцию, посвящённую итогам ушедшего года и прогнозам на будущий год. Её ведущие постарались проявить оригинальность. Они рассказали о суевериях в ИБ, а также о том, как избавлялись от них в 2022 году.
Конференция была ориентирована на массовую аудиторию, поэтому мы решили немного подождать, когда появятся другие прогнозы от компании по более «тяжёлым» направлениям. Теперь настало время «объять необъятное».
Суеверия среди ИБ-команд
- Массированные кибератаки на российские компании в 2022 году удалось успешно отразить без серьёзных потерь. Самое сложное позади.
Обоснование: большинство крупных компаний прошли этот трудный период без катастрофических последствий. Отрасль ИБ сумела выстоять и перестроиться.
Опровержение: в целом это отражает отношение большинства российских ИБ-компаний к итогам года. В этом можно убедиться посмотрев эфир AM Live, посвящённый итогам 2022 года. В нём приняли участие представители ведущих отечественных ИБ-вендоров и интеграторов.
В то же время уже слышны предупреждения, что атаки 2022 года проводились в основном хакерами-любителями по типовым методикам. Самое сложное и трудное может быть впереди.
В своих прогнозах на 2023 год Евгений Гончаров, руководитель Kaspersky ICS CERT, отметил: «Не станем фантазировать по поводу тактик и техник атак, применяемых наиболее продвинутыми атакующими, такими как APT, связанные со спецслужбами ведущих государств, — тут нас могут поджидать любые сюрпризы. Не станем рассуждать и о тактиках и техниках, используемых наиболее многочисленными злоумышленниками из числа наименее квалифицированных — здесь, скорее всего, ничего нового и интересного нас не ждёт, и эффективно противостоять им способны, как правило, уже имеющиеся на большинстве предприятий средства и меры защиты.
Сейчас необходимо сосредоточиться на техниках и тактиках средней степени сложности, составляющих арсенал наиболее активных APT-групп, действия которых традиционно принято связывать с интересами восточных и ближневосточных стран, а также активно применяемых продвинутыми категориями киберкриминала, такими как вымогатели».
Рисунок 1. Пресс-конференция «Лаборатории Касперского» по итогам 2022 года
- Обновление имеющихся продуктов по ИБ гарантирует сохранение безопасности ИТ-инфраструктуры компании.
Обоснование: появление новых функций и совершенствование прежних повышают уровень защищённости.
Опровержение: формально это так, но фактически всё гораздо сложнее. Помимо роста уровня безопасности появляются IIoT и различные смарт-устройства, создаются новые системы управления и технического обслуживания, развиваются цифровые двойники. Растёт эффективность, но одновременно существенно увеличивается площадь атаки.
Об этом можно судить, например, по статистике атак на компьютеризированные системы управления техническим обслуживанием (Computerized Maintenance Management System, CMMS). Чтобы защищённость не падала, ИБ в компании должна расти опережающими темпами.
Рисунок 2. Топ-10 стран по доле CMMS, атакованных в первом полугодии 2022 года
- Будущие российские прикладные разработки не смогут конкурировать на равных с исчезнувшими западными аналогами.
Обоснование: в России наблюдается отток квалифицированных разработчиков.
Опровержение: как показывает практика, реализовать функциональные возможности пропавших аналогов возможно. Но поиск альтернативных прикладных систем может оказаться непростым. Прикладные отечественные продукты создаются местными программистами, чья культура безопасной разработки, как показывает опыт, часто уступает тому, что обеспечивают мировые лидеры. Поэтому локальные разработки ожидаемо могут содержать «глупые» ошибки конфигурации и лёгкие для эксплуатации уязвимости «нулевого дня», доступные киберкриминалу и хактивистам. Следует обращать на это внимание заранее.
- Для выстраивания карты угроз ИБ-службы компаний могут пользоваться только матрицей MITRE ATT&CK.
Обоснование: в ней собраны все встречающиеся в мире приёмы и тактики, находящиеся на вооружении хакерских группировок.
Опровержение: ФСТЭК России создаёт сейчас аналог матрицы MITRE ATT&CK. Эти работы ведутся в рамках проекта по импортозамещению. Ожидается, что новый набор правил ФСТЭК России будет отражать специализацию тех хакерских группировок, которые работают против российских компаний.
Охват российского аналога матрицы MITRE пока более краток, поэтому ИБ-службы в российских компаниях продолжают пользоваться последней. Но если закон обязывает компанию использовать данные ФСТЭК России, то выстроить базовую безопасность на этой базе возможно уже сегодня.
Рисунок 3. Даже среди ИТ-журналистов нет единого мнения
Суеверия на массовом рынке
- Нельзя говорить незнакомым людям по телефону слова «Да» или «Нет».
Обоснование: так считают 75 % пользователей. Ответы могут быть записаны и использованы в фейковом голосовом обращении в банк для снятия или перевода денег.
Опровержение: современные банковские системы рассматривают голос лишь как один из необходимых факторов идентификации. Для проведения операций по счёту требуются дополнительные проверки.
- При обращении к сайту по протоколу HTTPS гарантируется, что предоставлен доступ именно к официальному ресурсу.
Обоснование: в этом уверены 60 % пользователей. Протокол HTTPS называется безопасным, потому что он применяет шифрование трафика.
Опровержение: безопасность всегда многофакторна. Может быть скомпрометирован адрес сайта, перехвачено управление им, его данные могут быть украдены. Наличие сертификата для использования HTTPS — это только одна из ступеней защиты.
- Для полного удаления всех данных, хранящихся в смартфоне, достаточно откатить его до заводских настроек.
Обоснование: в этом уверены 57 % пользователей. После отката содержимое смартфона будет полностью удалено.
Опровержение: при перезаписи во время сброса настроек удаляются только метки данных, а физически сами данные остаются в памяти.
- Во время бот-опросов по телефону нельзя нажимать на кнопки «1» или «2», как просит бот. Это может привести к заражению телефона.
Обоснование: для заражения на компьютере иногда достаточно нажать на кнопку. В этом уверены 53 % пользователей.
Опровержение: мобильные ОС имеют встроенные средства защиты, поэтому по умолчанию загрузить вредоносную программу невозможно. Загрузка чего-то нежелательного может произойти только в том случае, если смартфон уже заражён.
- Получение на телефон или почту незапрошенных кодов подтверждения для авторизации означает, что аккаунт уже взломан.
Обоснование: 50 % пользователей думают, что это так, если человек ранее никому не давал реквизитов своего аккаунта.
Опровержение: злоумышленники могут узнать публично доступное имя аккаунта. Код служит для подтверждения его владельца. Пока система не получит запрошенный код, она не пустит незнакомца.
- Если устройство не подключено к сети, то его невозможно заразить.
Обоснование: вредоносная программа должна быть передана в систему. Так думают 50 % пользователей.
Опровержение: любое устройство имеет каналы доступа для управления, например для диагностики. Вирус может проникнуть через любой из них.
- Кактусы способны поглощать вредное для человека излучение от монитора.
Обоснование: как всё живое, кактусы могут иметь свою защитную ауру. Так думают 37 % пользователей.
Опровержение: научно подтверждённых доказательств такого влияния кактусов нет.
- Переход в браузере в режим приватности или инкогнито обеспечивает полную анонимность.
Обоснование: так думают 32 % пользователей, сообщает «Лаборатория Касперского».
Опровержение: отличие от обычного режима состоит только в том, что браузер не сохраняет историю посещений и данные авторизации.
Рисунок 4. Суеверия — часть мира цифровой природы
Суеверия среди разработчиков и пользователей ПО
- «Лаборатория Касперского» будет ограничена в своих будущих разработках только проблемами российского рынка.
Обоснование: замкнувшись в границах России, компания будет оценивать только отечественные реалии и утратит «международные» компетенции.
Опровержение: «Лаборатория Касперского» была и остаётся международной компанией — об этом заявляют все её руководители. У компании остаётся много клиентов по всему миру. Кроме того, у «Лаборатории Касперского» есть много экспертов, которые живут на территории разных стран мира (суммарно — более 20 государств). Это обеспечивает высокую степень видимости всех проблем, с которыми сталкивается глобальная компьютерная индустрия. Близость компании к разным рынкам позволяет сохранять актуальность и полноту разработок.
- Уход западных вендоров с российского рынка ведёт к проблемам с обновлениями используемых программ.
Обоснование: наложенные санкции и политическое давление могут заставить разработчиков пойти на такие шаги, как встраивание вредоносного кода и «закладок».
Опровержение: страхи об отключении обновлений (прежде всего — для программных разработок Microsoft), которые овладели многими российскими компаниями весной, не оправдались. Выпускаемые обновления продолжают работать так же, как и раньше. Отличие от прежнего времени для российских компаний, конечно, есть: возникает непродолжительная задержка. Но, как показывает практика, долгое отсутствие обновления любого продукта приводит к значительно более серьёзным рискам, чем страх перед тем, что разработчик захочет сам сделать «что-то плохое».
- Санкции приведут к падению уровня российских разработок, а также росту международного криминала.
Обоснование: произошедшая в марте деградация коммуникаций между правоохранительными органами РФ и разных стран, остановка программ международной кооперации российских ИБ-компаний развязывает руки киберкриминалу. Это позволяет киберпреступникам «работать» по целям в недружественных России странах и проводить атаки из подсанкционных государств без риска, что правоохранительные органы смогут координировать свои действия. Угроза поимки мошенников или пресечения их деятельности в этом случае пропадает.
Опровержение: главный эксперт «Лаборатории Касперского» Сергей Голованов подтвердил эти опасения, но только на период в начале 2022 года. Он рассказал, что в первые месяцы после февраля компания действительно столкнулась с деградацией коммуникаций с международными правоохранительными организациями, например с Интерполом. До этого «Лаборатория Касперского» могла запрашивать актуальную информацию о действующих кибератаках, обмениваться данными с Интерполом для выстраивания надёжной линии обороны. Но в феврале-марте Интерпол перестал отвечать на запросы «Лаборатории Касперского» и перекрыл доступ к актуальной информации. Суеверия оказались вещими.
Однако сейчас ситуация в целом восстановилась, отметил Сергей Голованов, хотя пока и не в полном объёме, как раньше. Интерпол рассматривает «Лабораторию Касперского» как доверенного международного разработчика и снова предоставляет ей доступ к последним сведениям о киберкриминальных угрозах. Поэтому домыслы о потере актуальной информационной базы «Лабораторией Касперского» явно преувеличены.
Рисунок 5. Пресс-конференция «Лаборатории Касперского» в новом формате
Выводы
Даже далёкие от программирования пользователи знают о суеверии относительно «пятницы, 13-го», которое бытует в компьютерной среде. Айтишники, особенно со стажем, суеверно относятся к любым сбоям, которые происходят в этот день.
Ещё когда компьютеры были в диковинку, айтишники советовали не включать в такую пятницу компьютер. Бытовало мнение, что хакеры специально создают вредоносные программы, срабатывающие только в этот день. Надо быть готовым к форматированию жёсткого диска.
Это суеверие связано с религией и восходит к Тайной вечере. Там присутствовали 13 человек — Иисус Христос и его 12 учеников. Встреча произошла в Великий четверг, в ночь перед распятием Христа римскими солдатами, которое случилось в Страстную пятницу, 13-го числа.
С тех пор так и повелось… Это суеверие носит религиозные корни. «Нельзя объять необъятное».