Уходящий год оказался богат на инциденты информационной безопасности. Кибертерроризм, шпионаж, массовые и таргетированные атаки — это неполный перечень тех проблем, с которыми столкнулись в 2015 году государственные и частные структуры.
Злоумышленники всячески старались дискредитировать усилия специалистов по безопасности, чтобы доказать, что кибербезопасности не существует. И если раньше многие организации не рассматривали деятельность киберпреступников как угрозу, то события этого года заставили их изменить мнение. Тенденции области говорят о том, что жертвой кибератаки может стать и небольшая компания, и крупное промышленное предприятие. Ведущие эксперты Positive Technologies рассказали о направлениях, которые наметились в информационной безопасности в 2015 году, а также поделились прогнозами на следующий год.
4. Тенденции киберпреступлений
Тенденции рынка ИБ
Важным трендом этого года можно назвать пристальное внимание государства к вопросам практической безопасности и увеличение инвестиций в защиту государственных ресурсов. Начали работать принятые в 2013 году приказы ФСТЭК № 17 и № 21, в которых тема практической безопасности затрагивается напрямую. Кроме того, появился банк данных угроз безопасности информации. Борис Симис, заместитель генерального директора компании Positive Technologies по развитию бизнеса, комментирует перемены: «Принятые приказы возымели свое действие. ФСТЭК сделал серьезный шаг по усилению мер в области реальной безопасности. Я думаю, что это только начало и впереди еще много изменений».
Одним из значимых событий 2015 года можно назвать начало работ по созданию Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), согласно утвержденной 12 декабря 2014 года концепции. Создание системы вызвало большой резонанс среди экспертов ИБ. Многие отмечают серьезные перемены со стороны государства в подходе к построению системы безопасности.
«ГосСОПКА — это первый опыт системного подхода к защите от хакерских атак на государственном уровне. Создается практически новый сегмент рынка и новое направление для специалистов по ИБ — экспертная работа, связанная с реагированием на компьютерные атаки. Раньше такие задачи выполнялись лишь в нескольких организациях, а сейчас они будут решаться повсеместно. Я считаю, что это даст мощный толчок к развитию рынка и новых продуктов, что в свою очередь приведет к появлению новых специальностей и повышению спроса на услуги, а также накоплению базы знаний, которую смогут использовать другие отрасли», — считает Дмитрий Кузнецов, директор Positive Technologies по методологии и стандартизации.
Среди тенденций этого года можно также отметить возросший интерес к облачным решениям. По словам Александра Анисимова, заместителя генерального директора Positive Technologies по исследовательской работе, в следующем году все больше производителей будут предлагать продукты и услуги, связанные с этим направлением. Александр убежден, что станут востребованными и средства по управлению, объединению и унификации данных различных систем ИБ: «Уже сейчас крупные вендоры, в том числе и Positive Technologies, предлагают свои продукты для решения этой проблемы. Со следующего года компании начнут массово выпускать новые средства, облегчающее управление и обработку данных различных ИБ-систем».
В связи с отраслевым планом импортозамещения ПО наметились значительные изменения рынка в сторону развития российских ИБ-продуктов.
«Российские компании могут конкурировать наравне с зарубежными во многих сегментах рынка ИБ. Например, с производителями SIEM-продуктов, решений для сетевой безопасности (WAF, DPI, NGFW) и защиты от таргетированных атак высокой сложности (Anti-APT), с поставщиками средств анализа исходных кодов и поддержки безопасной разработки (SDLC), в потребительских сегментах ИБ, в области endpoint-защиты», — считает Александр Анисимов.
В целом эксперты Positive Technologies отмечают увеличение спроса на услуги ИБ. Алексей Качалин, руководитель Expert Security Center компании Positive Technologies, поделился своими прогнозами: «В 2016 году мы ожидаем увеличения спроса на наши продукты и услуги. Компании выказывают интерес как к превентивным мерам, так и реагированию: пентесты, аудит все чаще дополняются работами по выявлению инцидентов и расследованию. Услуги экспертного уровня все более востребованы и необходимы организациям не только с базовым, но и с высоким уровнем защищенности».
Банки
Среди основных тенденций в банковской сфере эксперты Positive Technologies отметили рост случаев мошенничества по безналичным операциям (покупки в интернет-магазинах и т. п.) и атак на процессинг с обналичиваем украденных средств через банкоматы (потери в каждом из ставших известными случаев варьируются от 3 млн до 14 млн долл.). Также выросло количество физических атак на банкоматы: от традиционных ухищрений типа «ливанской петли» до вирусов GreenDispenser, позволяющих хакерам извлекать банкноты из кассет банкоматов.
По оценке экспертов Positive Technologies, общемировой объем потерь в 2014 году только по мошенничествам с пластиковыми картами составил около 16 млрд долл. По итогам 2015 года ожидается, что эта цифра увеличится на 25% и приблизится к 20 млрд. Это обусловлено ростом объема банковских операций, а не хорошей подготовкой преступников. При этом за последние 20 лет наблюдений доля случаев мошенничества в общем объеме операций практически не менялась: мошенники зарабатывают примерно 6 центов с каждых 100 долларов, проходящих через банки, и эта цифра из года в год меняется всего на плюс-минус полцента с сохранением среднего значения.
С 2006 года, с момента внедрения международного стандарта для операций по банковским картам с чипом EMV, неуклонно снижается объем потерь, связных со скиммингом (кража данных карты при помощи специального считывающего устройства — скиммера). И хотя уровень потерь по-прежнему высок, по итогам следующего года эксперты ожидают значительное снижение. Это связано с тем, что в октябре 2015 к общемировой практике присоединились США, на которых приходится примерно две трети общемировых потерь.
Телекомы
Эксперты Positive Technologies отмечают тенденцию к усложнению телекоммуникационных сетей. В связи с развитием сервисов Skype, WhatsApp, Google сократились доходы мобильных операторов. Актуальной проблемой для них стал поиск новых возможностей для получения прибыли: компании предлагают не только сотовую связь, но и домашний интернет, IP-телевидение и собственные приложения. Все это приводит к усложнению сети: раньше для телефонии, интернета и кабельного телевидения были свои отдельные сети — теперь они интегрированы в одну общую сеть. Из-за тесной интеграции возникают риски нарушения информационной безопасности.
Работы Positive Technologies по тестированию защиты сетей мобильной связи показали, что уязвимости сетей сотовой связи на основе технологии SS7 позволяют злоумышленнику даже с невысокой квалификацией реализовать атаки, такие как раскрытие местоположения абонента, нарушение доступности абонента, перехват SMS-сообщений, подделка USSD-запросов и перевод средств с их помощью, перенаправление голосовых вызовов, подслушивание разговоров, нарушение доступности мобильного коммутатора. По данным Positive Technologies, большинство телеком-операторов не защищены от подобных атак. Однако наметилась положительная динамика: теперь операторы связи заинтересованы в мониторинге безопасности своих сетей. В следующем году эксперты прогнозируют увеличение с их стороны спроса на ИБ-услуги.
«Операторы начали понимать, что из-за тесной интеграции с другими сервисами и сильного усложнения их систем нужно обеспечить защищу от всех возможных рисков. Если раньше вопрос безопасности сетей был на втором плане, то сейчас это станет одним из измерений качества услуг. В этом году крупные российские операторы уже провели аудит своих сетей. В 2016 году мы ожидаем увеличение спроса на наши услуги по анализу защищенности», — рассказал Дмитрий Курбатов, руководитель отдела безопасности телекоммуникационных систем Positive Technologies.
Тенденции киберпреступлений
Среди основных тенденции киберпреступлений текущего года эксперты Positive Technologies отмечают рост атак, направленных на взлом определенного лица, группы лиц или конкретных компаний. В 30% случаев это были атаки на корпоративные ресурсы (почтовые серверы, серверы баз данных, внутренние веб-сервисы). Увеличилось количество атак с применением социальной инженерии совместно с технологическими методами. Также эксперты отмечают использование целенаправленных атак высокой сложности типа Watering Hole, позволяющих маскировать целевые атаки под массовые.
Вырос интерес со стороны злоумышленников к технике, подключенной к интернету, — к так называемому интернету вещей. Преступники пользуются тем, что пользователи редко устанавливают на такие устройства обновления, что делает их уязвимыми для атак. Злоумышленники используют их в качестве инструмента для DDoS-атак или создания ботнетов.
Согласно данным, полученным специалистами Positive Technologies в результате проведения аудита безопасности и исходных кодов приложений и мониторинга в 2014—2015 годах, в 44% случаев можно получить полный контроль над всеми системами корпоративной структуры извне, а в 33% случаев — привилегии администратора в критически важных системах. Злоумышленник с низкой квалификации может получить полный контроль над критически важными ресурсами в 58% систем, в 26% — сложность доступа к ресурсам была средней и только в 16% не удалось проникнуть в корпоративную сеть. Исследования Positive Technologies показали, что всего лишь 20% анализируемых атак использовали уязвимости нулевого дня, таким образом в 80% случаев у жертв была возможность эффективно защищаться, но ею не воспользовались.
Позитивные тенденции
В 2015 году компания Positive Technologies отпраздновала свое 13-летие. Среди ключевых событий: компания стала первым российским вендором в рейтинге Magic Quadrant for Web Application Firewalls аналитического агентства Gartner, получив статус визионера. Кроме того, PT Application Firewall на данный момент единственный файрвол, имеющий сертификат ФСТЭК России. Однако главное достижение состоит в том, что компании сумела обратить внимание бизнеса и государства на важность проблемы безопасности приложений. Как результат, более 30 завершенных проектов, более 100 пилотных внедрений, а число крупных клиентов, использующих защитный экран прикладного уровня PT Application Firewall, продолжает расти. По итогам года общий объем продаж по направлению Application Security составил около 250 млн руб.
В мае компания объявила о выпуске нового продукта — MaxPatrol SIEM, предназначенного для мониторинга событий безопасности и выявления хакерских атак. К августу компания обучила почти 100 специалистов компаний — партнеров по внедрению SIEM собственной разработки. «SIEM — новая область для Positive Technologies. На рынке давно присутствуют крупные игроки, владеющие большей долей, но нам есть, что сказать, и мы предлагаем новые и востребованные решения. После нас даже наметился тренд по созданию SIEM-систем», — отметил Александр Анисимов.
В 2015 году многие компании сообщили о создании собственных центров мониторинга и реагирования SOC. В ноябре Positive Technologies так же анонсировала открытие экспертного центра безопасности — Expert Security Center. Уже в 2016 году мы предоставим экспертные сервисы для информационной безопасности и расследования инцидентов, которые помогут компаниям усилить собственную экспертизу и решать задачи по защите IТ-инфраструктуры.
«Изменилась парадигма построения системы безопасности. Появилось понимание, что взлом внешнего периметра — вполне реальная угроза. Единственный правильный выход в такой ситуации — научиться это видеть, расследовать и минимизировать ущерб. С одной стороны, SOC поможет обнаруживать и предотвращать угрозы, расследовать инциденты, с другой — снимет необходимость держать собственный раздутый штат ИБ-специалистов, и экспертов узкой направленности можно будет привлекать со стороны», — считает Алексей Качалин.
В этом году Positive Technologies продолжила разработку решений для защиты АСУ ТП, в частности выпустила систему для обеспечения защиты железнодорожного транспорта. В ближайших планах завершение разработки АСУ ТП для энергетики.
Помимо этого, компания выпустила решение по обнаружению вторжений в мобильные сети SS7 — SS7 Attack Discovery.
«Значимым для нас стало создание технологий против таргетированных атак высокой сложности, которые мы уже успешно внедрили в этом году в свои новые продукты. Мы выпустили первую версию MultiScanner и провели несколько пилотов. В следующем году планируются новые версии продукта со значительными изменениями и новой ключевой функциональностью. В наших планах выпустить улучшенную версию подсистемы для динамического анализа приложений на предмет зловредности с использованием разработанной нами технологии анализа действий приложений и их изоляции», — добавил Александр Анисимов.
Нельзя не отметить прошедший в мае юбилейный форум практической безопасности PHDays, который собрал рекордное количество участников — 3500 человек. На одной площадке собрались хакеры и ИБ-специалисты, представители ФСБ, ФСТЭК, МИД, Госдумы и крупного бизнеса.
Максим Филиппов, директор по развитию бизнеса в России компании Positive Technologies подводит итоги: «Несмотря на непростую рыночную ситуацию для Positive Technologies 2015 год стал одним из самых успешных за время существования компании. У нас открылись три новых офиса: в Новосибирске, Томске и Нижнем Новгороде. Количество сотрудников увеличилось более чем на треть: сейчас нас уже больше 500 человек. В России наш бизнес вырос на 30%. Опережающими темпами растут и зарубежные продажи. Такой темп возможен только за счет технологического развития — расширения и совершенствования продуктового портфеля компании. В 2015-м объем бизнеса по новым продуктовым направлениям (Application Security и MaxPatrol SIEM) составляет более 400 млн руб. И этих показателей мы достигли практически с нуля. Мы ставим себе цель быть лидерами — лучшими по технологиям и функциональным характеристикам наших продуктов. Только такой подход может быть конвертирован в рост и развитие. И мы не собираемся сбавлять темп: 2016 году выведем на рынок ряд высокотехнологичных продуктов в новых для нас сегментах. Но всему свое время. Подробнее об этом мы расскажем на PHDays VI, который пройдет 17 и 18 мая будущего года в Москве».