PHDays: кибератаки с помощью бытовой техники уже реальность

PHDays: кибератаки с помощью бытовой техники уже реальность

PHDays: кибератаки с помощью бытовой техники уже реальность

Темой «Противостояние: враг внутри» озаботились на прошедшем в Москве форуме по кибербезопасности – Positive Hack Days – почти 5000 экспертов и исследователей в области информационной безопасности из самых различных стран мира: Америки, Израиля, Кореи, Италии, Франции, Германии, Казахстана, Белоруссии, Индии, Польши и др. 

Участники PHDays сосредоточились на самых актуальных историях: создании ботнет-сетей (все более набирающих обороты после появления ботнетов на базе Mirai), возможностях по взлому электроподстанций и аккаунтов WhatsApp, перехвату SMS и телефонных разговоров и др. Участники форума не смогли обойти вниманием и темы общего уровня защищенности корпоративных инфраструктур и заражения криптолокерами (особенно в свете нашумевшей истории о массовом заражении вирусом-шифровщиком WannaCry). Согласно исследованию Positive Technologies, в 55% случаев нарушитель с минимальными знаниями может преодолеть внешний периметр, а в 76% корпоративных систем есть возможность получить полный контроль над отдельными критически важными ресурсами. 

«Ключевым фактором обеспечения защищенности коммерческих компаний и государственных структур является, во-первых, качество и регулярность проведения профилактических мероприятий, направленных на повышение защищенности как технических систем и сетей, так и грамотности в вопросах безопасности персонала компаний, т.к. последние данные показывают, что рядовые сотрудники зачастую становятся целями атак со стороны хакеров, направленных на проникновение во внутренние системы. И во-вторых, это степень готовности внутренних служб компании к действию в условиях реализации атак, так называемая деятельность по реагированию на инциденты ИБ. В современных условиях абсолютно неуязвимых компаний нет, а оперативность реакции на инцидент часто напрямую определяет масштаб последствий от кибератаки», − комментирует ситуацию генеральный директор компании R-Vision, Александр Бондаренко.

Сергей Гордейчик («Лаборатория Касперского») уверен, что «своего периметра не знает никто» и чем крупнее корпорация, тем сложнее все охватить. Однако эксперт против перекладывания ответственности на пользователей».

«Все должны осознать, что гражданин не может самостоятельно обеспечить свою безопасность – ни цифровую, ни физическую. За карточный фрод должны отвечать банки, а защищенность электронного правительства и его пользователей должно контролировать государство» ‒ отметил он.

Одной из центральных тем всего мероприятия стала безопасность Интернета вещей. Тем не менее общий уровень защищенности IoT-устройств далек от удовлетворительного. В пятерку наиболее популярных устройств небезопасного Интернета вещей, которые уже сейчас многими используются, по мнению экспертов Positive Technologies, входят роутеры, камеры и видеорегистраторы, навигаторы, устройства беспроводного управления и всевозможные датчики. В среднем по миру ежемесячно в домашних сетевых устройствах — Wi-Fi- и 3G-роутерах обнаруживаются около 10 уязвимостей. При этом большинство разработчиков и поставщиков не придают должного значения безопасности таких устройств. Многие серьезные уязвимости остаются без обновлений, а если они и выходят, то пользователи не торопятся их применять. Так, в 87% систем, протестированных экспертами Positive Technologies, были найдены уязвимости, связанные с отсутствием обновлений. Тем не менее, надо понимать, что Интернет вещей сегодня уже гораздо более широк, чем банальное включение кофеварки со смартфона по утрам. IoT уже сейчас активно используется, скажем, в медицине. Да и вообще, проблема DDoS-атак ныне актуальна как никогда: результаты взлома устройств про чувствовали на себе Spotify, Twitter, Github, PayPal и др. – множество интеллектуальных термостатов и видеокамер с легкостью вывели из строя сайты этих гигантов интернет-индустрии. 

Наиболее увлекательная часть форума — кибербитва «Противостояние». Понятно, что противостояние ИБ-специалистов и сетевых злоумышленников выглядит эффектно только в кино. На деле же и реальные атаки и конкурсы по безопасности больше похожи на математические олимпиады, красота которых доступна немногим. В этом году на Positive Hack Days было сделано все возможное, чтобы состязание стало максимально приближенным к реальности, но при этом было понятным и зрелищным. В распоряжении участников оказался целый полигон с моделью мегаполиса с офисами, телеком-оператором, железной дорогой, ТЭЦ и т.п. И здесь, конечно же, не обошлось без IoT-устройств. К барьеру были приглашены команды «защитников» и команды «нападающих» (состоящие из профессиональных пентестеров и этичных хакеров). Всего за 30 часов им последним удалось продемонстрировать ряд успешных атак на мегаполис с использованием беспроводной связи, уязвимостей промышленных систем управления, подбора паролей и несколько сложных многоступенчатых схем вторжения. Например, одна из команд нападающих использовала специального робота, который снимал незначительные суммы (до 10 единиц игровой валюты) с множества скомпрометированных банковских карт жителей города. Или в результате успешной атаки на Wi-Fi нападающие смогли проникнуть в сеть промышленного предприятия и нарушить работу ТЭЦ и т.п. «Защитники» (эксперты отрасли – интеграторы, вендоры, специалисты по ИБ из различных компаний) же должны были обеспечивать жизнедеятельность инфраструктуры в условиях эмулированного кризисного сокращения расходов на безопасность (пользуясь ограниченным набором инструментов защиты).

По словам одной из команд со стороны защиты − S.P.A.N. (защитники, сборная компаний «Сервионика» и Palo Alto Networks), «Противостояние» можно сравнить с типовым проектом по построению комплексной системы защиты. «Как и в реальном проекте, мы прошли этапы аудита, проработки архитектуры, подбора необходимых методов и средств защиты информации, согласования всех изменений с организаторами, внедрения и настройки, тестирования и эксплуатации выбранных средств защиты в "боевых" условиях», ‒ уточняет представитель команды. «Мы в очередной раз убедились, что такой формат кибербитвы интересен как участникам, так и зрителям, − уточняет фронтмен "Противостояния", член оргкомитета Positive Hack Days Михаил Левин. – А самое главное, что мероприятие позволяет обратить внимание широкой общественности на насущные проблемы информационной безопасности».

Программа форума включила в себя более сотни тем для обсуждения, львиная доля которых отличаются практической применимостью, т.к. основное правило мероприятия – только реальные цели. Так, например, об особенностях вредоносного ПО для macOS, появившегося в 2016 году, и универсальных методах обнаружения атак, обеспечивающих безопасность macOS, рассказал бывший сотрудник АНБ, ныне директор по исследованиям компании Synack, Патрик Уордл.

Андрей Полковниченко (Check Point) поделился опытом борьбы с трояном HummingBad, который создала китайская группа хакеров Yingmob. Попав в мобильное устройство, троян позволяет злоумышленникам получать полный контроль над девайсом и использовать его для рекламного мошенничества.

Габриэль Бергель из Dreamlab Technologies рассказал об уязвимостях в протоколах POS-терминалов и возможных способах обмана: от использования считывателей карт, перехвата и изменения данных, установки стороннего ПО до аппаратного взлома терминала.

Брайан Горенк – представитель Trend Micro познакомил участников форума с результатами подробного анализа, проведенного на основе исследования более 200 уязвимостей SCADA/HMI.

Выступление Анто Джозефа из Intel было посвящено актуальной теме машинного обучения, также он показал пример развертывания систем обеспечения безопасности трубопровода, базирующихся на принципах машинного обучения.

Эльман Бейбутовов (IBM) рассказал о перспективах искусственного интеллекта. Кстати, содокладчиком эксперта в этом выступлении стала … Siri! По мнению эксперта, на сегодняшний день искусственный интеллект как технология находится «на уровне пчелы» и до человека ей не хватает еще трех ступеней. Эксперт полагает, что уже к 2040 году искусственный интеллект будет способен принимать решения, как человек. Уже сейчас есть предпосылки для того, чтобы через 7–10 лет боты заменили людей в техподдержке или других сферах, где нужно работать по инструкции.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Спрос на услуги по безопасности генеративного ИИ активно растет

По данным Swordfish Security, за услугами по безопасности больших языковых моделей (LLM Security) в 2024 году обращались 35% заказчиков. Спрос на такие услуги растет прямо пропорционально внедрению подобных инструментов в бизнес-практику.

В 2025 году такая практика будет только расширяться, поскольку генеративный интеллект, прежде всего, большие языковые модели, будут внедряться все более активно. В будущем году уровень проникновения генеративного ИИ составит не менее 40%, а к 2030 году может достигнуть и 90%.

Как отметил директор по развитию бизнеса ГК Swordfish Security Андрей Иванов, рост интереса к безопасности больших языковых моделей стал одной из главных тенденций 2024 года. Недооценка таких рисков чревата серьезными проблемами. Среди таких рисков Андрей Иванов инъекции вредоносного кода в промпт, уязвимости в цепочках поставок, выдача ошибочной информации за истину на этапе обучения модели и даже кража модели злоумышленниками.

«В бизнесе используют большие модели для распознавания текста, анализа данных, предиктивной аналитики, поиска, оценки ресурса механических узлов промышленных агрегатов и многого другого. Многие отрасли, та же ИТ, активно используют ИИ-помощников. Например, в DevSecOps мы обучили и применяем модель, которая может анализировать и приоритизировать большой объем уязвимостей кода, таким образом освобождая время для квалифицированных инженеров для других, более сложных и творческих задач, — комментирует Андрей Иванов. — Критичным может оказаться, например, некорректная работа виртуальных ассистентов, которые могут влиять на клиентские решения, аналитику, дающую ошибочную информацию в цепочке поставок. Существуют атаки, отравляющие данные или позволяющие получить конфиденциальную информацию, и так далее. К этому стоит относиться как к любой информационной системе, влияющей на бизнес-процесс и проводящей, в случае компрометации, к потерям репутации и убыткам».

Внедрение ИИ требует корректировки корпоративных политик ИБ. Важно делать акцент на безопасности, а разрабатывать модели необходимо в соответствие с практиками разработки безопасного ПО, анализируя исходный код и зависимости, ответственно относиться к контролю доступа к источникам данных и стараться использовать доверенные алгоритмы обучения, уверен Андрей Иванов. Также важно учитывать то, что многие большие языковые модели используют облачную архитектуру, а это создает угрозу утечки конфиденциальных данных.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru