Positive Technologies

Кибербезопасность 2021-2022. Тренды и прогнозы

Скачать в PDF

Кибербезопасность 2021-2022. Тренды и прогнозы

Скачать в PDF

2021—2022: что «сделало» рынок ИБ

Борис Симис заместитель генерального директора Positive Technologies по развитию бизнеса
Борис Симис, заместитель генерального директора Positive Technologies по развитию бизнеса

На рынке ИБ стало больше денег

По данным RiskBased Security, глобальные затраты на решение последствий от киберпреступности будут расти на 15% в год в течение следующих пяти лет, достигнув 10,5 трлн долларов ежегодно к 2025-му (по сравнению с тремя трлн долларов в 2015 году). Российский рынок информационной безопасности демонстрирует ежегодный рост и, по данным ряда аналитиков, в прошлом году составил 120—150 млрд. рублей. В том же году он стал по-настоящему заметным с точки зрения обращающейся на нем денежной массы, в том числе для представителей смежных отраслей (кредитно-финансовой, производственной и телекоммуникационной). Это был год активного обсуждения альянсов, создания совместных предприятий и слияний, часть которых сыграет в пользу наращивания объема рынка в следующем году, во многом за счет новых совместных идей.

Средства защиты и их импортозамещение

Результаты проектов по анализу защищенности, которые команда Positive Technologies проводила в течение года, показывают, что периметр отечественных вертикально интегрированных компаний с большим числом филиалов и дочерних организаций (включая государственный сектор и предприятия КИИ) неоднороден: в большинстве случаев каждая такая «дочка» или филиал подключаются к сети общего пользования самостоятельно в десятках тысячах точек с использованием зарубежных средств защиты. Однако здесь открываются и новые возможности для изменения структуры рынка. Во-первых, отечественные технологии кибербезопасности отличаются высокой конкурентоспособностью. Во-вторых, в прошлом году сформировался новый тренд — более осознанное использование средств защиты, нацеленное на снижение малоуправляемых рисков, связанных с уязвимостями зарубежного программного и аппаратного обеспечения. В ближайшие год-два это скажется на перераспределении соотношения долей между зарубежными и отечественными средствами защиты на российском рынке в пользу отечественных вендоров.

В ИБ приходят управленцы

Любая важная тема, затрагивающая и меняющая бизнес, связанная с финансовыми вложениями, требует руководителей новой формации. Так, некоторое время назад мы наблюдали изменение топ-менеджмента в сфере IT, когда профессиональных айтишников сменяли профессиональные управленцы, выпускники MBA. Сегодня этот путь проходит отечественная сфера информационной безопасности: во главу команд кибербезопасности все чаще встают менеджеры, которые больше управленцы, нежели безопасники-практики. Их сильная сторона в том, что они досконально знают бизнес и процессы вверенной им компании. Однако их не всегда можно считать экспертами в ИБ. Это в целом формирует новую задачу: экспресспогружение в специфику кибербезопасности топ-менеджмента компаний, далеких от ИБ, создание информационной безопасности, понятной и осознаваемой любым руководителем или владельцем компании.

Бизнес понял, что безопасность может быть с понятным результатом

Нынешний уровень защищенности ключевых отраслей чреват для общества драматическими последствиями: общее число инцидентов растет на десятки процентов ежеквартально, атаки усложняются, а их эффективность повышается. При этом еще пару лет назад многие воспринимали кибербезопасность как формальную задачу и не стремились построить реальную защиту информационных ресурсов. 2021 год показал концептуальное изменение подхода к защите: бизнес понял, что кибербезопасность может быть результативной и что ее результат должен быть измерим и понятен. Оценить его можно только путем реального моделирования действий злоумышленников на киберполигонах. Это, безусловно, подтверждают изменения в составе работ, ежегодно выполняемых Positive Technologies. Так, по итогам прошлого года мы реализовали более десятка крупных проектов, нацеленных на верификацию неприемлемых событий (рисков), которые бизнес считает абсолютно недопустимыми, за гарантированное недопущение которых должна нести ответственность информационная безопасность.

Кибербезопасность продается на бирже

В конце прошлого года отечественная кибербезопасность впервые стала торговаться на Московской бирже — 17 декабря Positive Technologies разместила акции в режиме прямого листинга. Это означает, что стоимость компании в прямом смысле слова определяет рынок. Суммарный объем торгов уже превысил показатель в 1,1 млрд рублей, количество сделок — около 90 тысяч.

Растущий рынок кибербезопасности, независимость от крупных зарубежных инвесторов и фондов, ориентация на внутренних частных инвесторов — все это позволяет выступать в роли защитного актива на фоне турбулентности на фондовом рынке. Таким образом, стоимость акций будет отражать траекторию стратегического и технологического развития компании, а также ее финансовых показателей.

Это событие — знаковое для индустрии, так как оно демонстрирует отечественному кибербезу, традиционно не пользующемуся такого рода финансовыми инструментами, новые инвестиционные возможности. Это может привести к тому, что в индустрию придут дополнительные деньги, которые компании смогут тратить на развитие, что впоследствии позитивно скажется на конкурентоспособности отечественных компаний ИБ и технологий.

Хакеры против компаний и людей

Екатерина Килюшева, руководитель исследовательской группы отдела
            аналитики информационной безопасности Positive Technologies
Екатерина Килюшева, руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies

Госучреждения чаще всего оказываются жертвами хакерских атак

Госучреждения традиционно находятся на первом месте по количеству атак – 15% от числа всех атак нацелено именно на них. В основном злоумышленники использовали методы социальной инженерии (50% атак), хакинг (около 25%) и эксплуатацию веб-уязвимостей (17%). По сравнению с прошлым годом заметно увеличилась доля атак, направленных на веб-ресурсы: если ранее они составляли 14%, то сейчас уже 25%. Вероятно, это связано с ростом числа услуг, которые предоставляются онлайн, и увеличивающимся объемом данных в государственных информационных системах.

Объем данных в государственных информационных системах постоянно растет, и в каждом втором случае злоумышленники преследовали цель получения данных. Одной из наиболее громких атак можно назвать взлом инфраструктуры правительства Аргентины, в ходе которого были украдены данные удостоверений личности всего населения страны.

Вредоносное ПО использовалось более чем в 60% атак, причем 2/3 из них составили шифровальщики, среди которых можно выделить Avos Locker, Avaddon, DoppelPaymer (PayOrGrief), Conti (Ryuk), Babuk, REvil. Помимо кражи информации, атаки вымогателей приводили к сбоям в работе государственных IT-систем и даже в инфраструктуре умного города, как, например, это было во время атаки на системы греческого города Салоники, когда была парализована работа электронного правительства, систем налогообложения и транспорта, или атаки на итальянский регион Лацио, когда хакеры прервали работу почти всей IT-инфраструктуры региона. По нашим данным, уже к августу 2021 года количество атак шифровальщиков превысило число атак за весь 2020 год. Жертвами вымогателей в 2021 году чаще всего становились госучреждения, медицинские учреждения, и промышленные компании.

Вымогатели настолько разбогатели на выкупах, что уже могут позволить себе покупку уязвимостей нулевого дня: уже сегодня половина всех премиум-объявлений на теневых форумах посвящена скупке таких уязвимостей под различные системы. Стоит отметить, что за последний год в дарквебе также увеличилось количество объявлений как о продаже доступов, так и о покупке. Растет и число пользователей, которые размещают объявления о покупке, продаже или сотрудничестве: например, относительно I квартала 2020 года в том же квартале 2021 года количество пользователей увеличилось в три раза. В начале года мы говорили, что рынок доступов наполнился новичками, которые преимущественно взламывали небольшие компании.

Помимо шифровальщиков злоумышленники на протяжении трех кварталов 2021 года активно использовали вредоносные программы для удаленного управления (23% атак), загрузчики (13%) и шпионское ПО (10%).

Прогнозы на 2022: будут атаковать государственные сервисы и продолжат похищать данные

С ростом информатизации и объема данных, которые обрабатываются в государственных информационных системах, ожидается дальнейшее увеличение числа атак на госучреждения.

Отдельные всплески нелегитимной активности в отношении государственных IT-ресурсов ожидаются в преддверии и во время значимых для страны событий, например в России мы прогнозируем рост в единый день голосования в сентябре. Это могут быть как попытки проникновения в сеть госучреждений и получение доступа к государственным системам, так и DDoS-атаки, атаки с использованием социальной инженерии.

Чаще всего хакеры перехватывают управление устройствами людей

На частных лиц было направлено примерно 15% атак. Преимущественно злоумышленники прибегали к методам социальной инженерии (88% атак), а основным мотивом было получение данных. Среди украденной у пользователей информации за три квартала 2021 года большую часть составили учетные данные (48% атак), персональные (20%) и данные платежных карт (10%).

За первые три квартала в 56% случаев преступники заражали устройства пользователей вредоносным ПО, преимущественно это были вредоносы для удаленного управления (38%), шпионское ПО (30%) и банковские трояны (30%). Чаще всего источником заражения становились электронная почта (30%) и сайты (33%). Злоумышленники использовали личные сетевые устройства пользователей для создания ботнетов и проведения атак.

В массовых фишинговых атаках эксплуатировалась актуальная повестка дня: к примеру, были зафиксированы множественные предложения о покупке поддельных сертификатов о вакцинации, фишинговые рассылки и создание мошеннических сайтов перед Чемпионатом Европы по футболу, премьерой нового эпизода сериала «Друзья», «Черной пятницей».

Прогнозы на 2022: фишинговых рассылок меньше не станет

В течение 2022 года традиционно стоит ожидать появления фишинговых атак, где в качестве приманки будут использоваться значимые общемировые события, например в спортивной тематике это Зимние Олимпийские игры, чемпионат мира по кольцевым гонкам «Формула-1», чемпионат мира по футболу «ФИФА». В связи с выпуском прототипа цифрового рубля злоумышленники могут создавать поддельные сайты и продавать фальшивую криптовалюту.

Кто и как атакует бизнес и государство

Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)
Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

За атакой может стоять любая страна, а атрибуция теперь невозможна

Около 75% всех атак в 2021 году носили целенаправленный характер, и за некоторыми из них стояли организованные АРТ-группировки. Исторически было принято относить их к той или иной стране. В частности, есть мнение, что уровень развития технологий и технической экспертизы ограничивает круг стран, представители которых могут формировать эффективные кибергруппировки. Сегодня это уже не так.

Во-первых, инструментарий (часто вместе с инструкцией по эксплуатации) сегодня может приобрести на соответствующих форумах в дарквебе практически кто угодно. Более того, наличие понятной инструкции и, в принципе, популярность продажи (покупки) взлома как услуги максимально снижает технический порог входа в киберпреступность и, соответственно, размывает привычную геолокацию АРТ-группировок. Сегодня киберпреступная группировка может оказаться резидентом любой страны.

Во-вторых, сформировался устойчивый тренд на переиспользование группировками инструментария друг друга, обмен, перепродажу и «шаринг» технологических наработок внутри преступного комьюнити. Нередко злоумышленники пользуются услугами «заказной разработки». В дополнение к этому уже есть случаи слияний/поглощений или разделения кибергруппировок, когда накопленная экспертиза и специфические тактики атак перестают использоваться лишь конкретной группой злоумышленников. Все это в совокупности приводит к тому, что традиционная атрибуция, основанная на используемых техниках и тактиках, становится все сложнее, а иногда практически невозможной.

В-третьих, существуют специализированные компании, которые занимаются разработкой инструментария для проникновения в различные информационные системы. Особенно это развито в тех странах, где такая работа не подпадает под ограничение законодательства. Соответственно, этот инструментарий широко доступен для покупки, и есть подтвержденные случаи, когда он использовался в атаках.

В России перестали работать группировки, нацеленные на банки, а большинство атак — ради шпионажа

Отраслевые интересы группировок, атаковавших в течение 2021 года российские организации, распределились между авиакосмической отраслью (31% случаев), государственными предприятиями и IT-компаниями (по 23%), военно-промышленным комплексом и ТЭК (15% и 8% соответственно). Что характерно не появилось новых крупных кибер-группировок, нацеленных на вывод денег со счетов в банках, а деятельность старых на территории России датируется первым кварталом 2021 года. Одна из причин — высокий уровень зрелости кредитно-финансового сектора России в части информационной безопасности и эффективном информационном обмене, выстроенном в отрасли силами регулятора (ФинЦЕРТ).

При этом число шпионских кампаний APT-группировок, в том числе нацеленных на предприятия промышленности и энергетики, возросло. Более того, чаще всего результатом атак становилось именно хищение конфиденциальной информации, нарушение основной деятельности компании (45% и 38% случаев соответственно). К сожалению, организации (особенно из госсектора) не всегда четко осознают ценность обрабатываемой ими информации и зачастую не относят ее потерю к числу недопустимых событий. Однако опыт Positive Technologies показывает, что утечка конфиденциальных данных входит в топ наиболее критичных, по версии руководителей и владельцев бизнеса, событий, наравне с остановкой производства (и/или бизнес-процессов) и кражей денег1.

Самые успешные инструменты: фишинг и ... уязвимости

В топе наиболее используемых и эффективных первоначальных способов проникновения в компанию по-прежнему остается фишинг с помощью электронной почты. При этом темы наиболее «открываемых» рассылок остаются неизменными год от года: изменения в выплатах заработной платы, премий, социальные программы, ДМС, резюме. Помимо этого, высочайший уровень «открываемости» показывают рассылки, содержащие информацию об актуальных для конкретной компании и (или) отдела событиях.

2021 год отличился еще и появлением достаточного числа критичных уязвимостей, актуальных для внешних сервисов и позволяющих злоумышленнику удаленно исполнять код. Например, уязвимости ProxyLogon (CVE-2021-26855), ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE2021-31207), Log4Shell (CVE-2021-44228), PrintNightmare (CVE-2021-34527), множественные уязвимости для Apache. Для этих уязвимостей были опубликованы эксплойты в открытых источниках, что естественно сыграло на руку хакерским группировкам — они сразу же использовали их в атаках. Данные уязвимости также использовались вне рамок APT-кампаний: например, для доставки шифровальщиков, стилеров, майнеров или инструментов удаленного доступа.

Прогнозы на 2022-й: supply chain, open source и cloud

Во-первых, нельзя забывать об атаках типа supply chain и trusted relationship, которые в прошлом году не обошли стороной даже компании в сфере ИБ. Для 2022-го продолжит оставаться актуальной тема supply chain, если речь идет об атаках на IT-компании, которые могут стать точками проникновения в корпоративные сети их клиентов. Например, благодаря появлению Log4Shell хакерские группы смогли проникнуть в крупные компании, занимающиеся разработкой ПО. Результатом таких атак зачастую является встраивание вредоносного кода в компоненты ПО, которым пользуется большое количество потребителей. В результате мы, возможно, будем наблюдать инциденты, аналогичные SolarWinds или WannaCry по масштабности.

Второй аспект, который стоит учитывать, тоже связан с supply chain — общий тренд на увеличение числа атак, связанных с компрометацией или подделкой open source ПО. Сложность таких инцидентов состоит еще и в том, что зачастую никто не знает, какие компоненты используются в информационных системах. Быстрое и оперативное обновление отдельных библиотек в рамках крупных информационных систем часто невозможно. Более того, использование библиотек из open source в коммерческих продуктах ставит под угрозы как сами продукты, так и компании, их использующие.

Одно из ярких направлений атак 2021 года — атаки на облачную инфраструктуру, — получит продолжение в 2022-м: следует ожидать появления новых методов атак и образцов вредоносного ПО, нацеленных на Linux-системы, средства виртуализации и оркестраторы. Как следствие, увеличится число атак на эти системы. В целом объектами атак все чаще становятся крупные хранилища данных – от сетевых накопителей, которые обычно используют организации, до облачных хранилищ и IT-компаний, предоставляющих облачные сервисы. Организации все больше полагаются на облачные сервисы, соответственно, киберустойчивость компаний зависит от надежности провайдеров этих сервисов, а также от умения ИБ-специалистов мониторить “облака” с точки зрения ИБ и эффективно реагировать на специфические атаки.

Уязвимости ради безопасности

Дмитрий Серебрянников, директор по анализу защищенности, Positive Technologies
Дмитрий Серебрянников, директор по анализу защищенности, Positive Technologies

Более 2,5 миллионов компаний по всему миру стали защищеннее

В 2021 году команда PT SWARM (эксперты Positive Technologies, исследующие безопасность всевозможных систем и устройств) помогли устранить более полусотни критически опасных уязвимостей в продуктах крупнейших мировых производителей, востребованных по всему миру в том числе в отраслях, являющихся критически значимыми для различных государств.

Среди выявленных и закрытых уязвимостей такие, как, к примеру, CVE-2021-21972 в VMware vCenter Server, CVE-2021-20026 в SonicWall NSM, CVE-2021-1497 в Cisco HyperFlex HX, CVE-2021-1445 в Cisco ASA, CVE-2021-34414 в Zoom.

Почти 40% всех выявленных и закрытых в 2021 году с помощью PT SWARM уязвимостей имела высокий уровень опасности (более 7,0 по шкале CVSS). Отдельное внимание в течение года команда PT SWARM уделяла изучению защищенности самих средств защиты информации: 12,5% всех уязвимостей было выявлено в софте, призванном обеспечивать защиту от хакерских атак. В конечном счете работа команды PT SWARM позволила сократить потенциальные возможности для успешной атаки более чем на 2,5 млн компаний по всему миру.

Пока вендоры думают, закрывать ли уязвимости, злоумышленники их используют

Тренд на переход к гибридному режиму работы крупных компаний и возросший спрос на системы удаленного подключения наглядно продемонстрировал роль эксплуатации злоумышленниками незакрытых уязвимостей в таких системах. И в данном случае роль играют два момента.

Первый связан со сроками закрытия уязвимостей: опыт Positive Technologies показывает, что срок закрытия уязвимостей вендорами может доходить до года (например, из всех выявленных и отправленных вендорам в 2021 году уязвимостей в промышленных системах, было исправлено меньше половины — 47%). Тогда как эксплуатация такой уязвимости злоумышленником позволяет ему за считанные минуты проникнуть внутрь периметра организации.

Второй момент касается того, насколько редко вендоры объявляют публичные коммерческие программы для поиска уязвимостей в своих продуктах — на крупных Bug Bounty площадках такие проекты исчисляются штуками (если речь не идет о поиске уязвимостей в веб-приложениях). Иными словами, частная исследовательская работа по поиску уязвимостей вендорами чаще игнорируется, тогда как на черном рынке уязвимости покупаются и продаются. Изменение взаимоотношений между частными исследователями и вендорами, вероятно, могло бы изменить и соотношение между спросом и покупкой уязвимостей на черном рынке.

Прогнозы на 2022: новая реальность responsible disclosure

Сегодня исследователи формируют новые сценарии уведомления вендоров и их клиентов о наличии проблем. В частности, когда информация о выявленных уязвимостях не регистрируется MITRE2, исследователи сообщают о найденных уязвимостях в международные CERT с тем, чтобы информация о проблеме дошла до конечного пользователя — компаний, оказывающихся в зоне риска. Некоторые вкладывают свою экспертизу непосредственно в средства защиты. PT SWARM, в частности, сотрудничает с командами разработки Positive Technologies и пополняет экспертизу продуктов компании данными о той или иной уязвимости. Среднее время доставки такой экспертизы на сторону клиентов, использующих продукты компании, в 2021 году составило несколько часов (иногда до часа) с момента появления публичной информации об уязвимости. Тренд на такой самоорганизованный этичный обмен данными об уязвимостях скорее всего будет набирать обороты в ближайшие год-два.

В 2022 году злоумышленники продолжат охотиться за уязвимостями нулевого дня, брать на вооружение новые эксплойты и информацию о только что найденных брешах в безопасности. Таким образом возникает своеобразная «гонка»: кто первый выявит уязвимость – исследователь или преступник, что первое будет опубликовано – эксплойт или патч, что выберут компании – как можно быстрее установить патч или быть взломанными и платить выкуп. Поэтому, чтобы выиграть в этой гонке разработчикам софта необходимо активно тестировать свои продукты на безопасность, в том числе в рамках программ BugBounty. Ведь пока за уязвимости в дарквебе будут платить больше и охотнее, чем сами разработчики, именно в дарквеб и будет уходить информация о новых уязвимостях.

Промышленность, производство и энергетика: защита «вслепую»

Дмитрий Даренский, руководитель практики промышленной кибербезопасности, Positive Technologies
Дмитрий Даренский, руководитель практики промышленной кибербезопасности, Positive Technologies

Критически опасные уязвимости, топ-3 по количеству атак и... нулевой мониторинг ИБ

С точки зрения противодействия потенциальному киберпреступнику ситуация в данных отраслях удручающая: 95% компаний имеют фрагментарное или нулевое покрытие инфраструктуры производственных систем управления средствами мониторинга безопасности (в случае привлечения коммерческих провайдеров услуг по мониторингу ситуация не меняется — коммерческие SOC также «не видят» IT-инфраструктуры систем технологического управления). Процессы управления кибербезопасностью, такие как управление уязвимостями и обновлениями компонентов технологических сетей, в подавляющем большинстве случаев (93%) тоже отсутствуют. Кроме того, технологические сети компаний имеют ряд проблем, чреватых инцидентами кибербезопасности: например, сети слабо сегментированы (а нередко не сегментированы вовсе), нет контроля периметра и доступа к технологической сети, зато на лицо не закрываемые сетевые сессии в корпоративную сеть и т.д.

С учетом этого даже удивительно, что в целом в 2021 году число атак на промышленные компании незначительно снизилось по сравнению с 2020-м. Тем не менее промышленность входит в топ-3 отраслей по количеству атак. Основными методами атак остались фишинговые рассылки (56%) и хакинг (35%), причем мы вновь отмечаем увеличение доли хакинга по сравнению с прошлым годом.

Вредоносное ПО применялось в 73% случаев, и львиная доля в общем числе случаев пришлась на шифровальщиков: 78% всех атак в первом полугодии и около половины – во втором. По всей вероятности, снижение динамики использования шифровальщиков в атаках на промышленные компании во втором полугодии 2021 года связано с тем, что громкие атаки вымогателей, в том числе атака на Colonial Pipeline, привлекли внимание со стороны правоохранительных органов, и многие операторы вымогателей предпочли направить усилия на менее критичные объекты.

Стабильное увеличение доли хакинга в атаках говорит о том, что эти методы успешны, а значит, свидетельствует о низком уровне защищенности промышленных организаций, наличии большого числа уязвимостей и недостатков защиты как на периметре сети, так и во внутренней инфраструктуре.

Кстати, именно в программных и аппаратных продуктах, предназначенных для сферы промышленности, в этом году были обнаружены и исправлены уязвимости наиболее критичного уровня — максимальные 10 баллов по системе CVSSv3 были присвоены уязвимостям в ПО CODESYS.

Такой же вывод следует из проектов по верификации недопустимых событий, которые проводились специалистами Positive Technologies. В сфере промышленности и топливной энергетики в рамках проектов по верификации было подтверждено 87% недопустимых событий. Возможность довести атаку до завершающего этапа отчасти связана с недостаточным контролем за соблюдением принятых политик информационной безопасности. К примеру, у 9 из 10 инженеров на компьютере в открытом виде хранится документ с перечнем используемых систем и их кратким описанием, IP-адресами и учетными данными для входа.

Прогнозы на 2022: роботизация и киберучения

Сегодня все промышленные компании без исключения испытывают кадровый голод в части специалистов по информационной безопасности: на предприятиях не хватает или совсем отсутствуют как специалисты управленческого уровня, так и инженеры, которые могут администрировать средства защиты или обеспечивать работу SOC. С учетом того, что общая кадровая ситуация в ИБ-отрасли не меняется долгие годы (и пока нет оснований ожидать, что изменится в ближайшем будущем), ключевую роль начнут играть технологии, позволяющие автоматизировать и роботизировать рутинные операции инженеров безопасности, а также так называемые humanless-технологии защиты, которые позволят реализовать эффективную защиту при наличии минимального числа ИБ-экспертов на борту.

Предприятия промышленности, энергетики и производства, с одной стороны, осознают, что доступ киберпреступников к АСУ ТП может привести к таким последствиям, как остановка производства, выход промышленного оборудования из строя, порча продукции или даже авария. С другой стороны, специфика отрасли не позволяет проверить достижимость рисков на реальной инфраструктуре из-за того, что это может негативно сказаться на технологических процессах. Поэтому закономерным является интерес таких организаций к киберполигонам, которые позволяют без какого бы то ни было нарушения реальных бизнес-процессов корректно определить перечень недопустимых событий и последствия их реализации, а также оценить возможный ущерб, узнать условия, при которых хакер сможет атаковать, и к чему это приведет. С этим связан второй тренд, который начал формироваться в последний год-полтора и сохранится в ближайшем будущем — расширение деятельности коммерческих киберполигонов. Отметим, что несмотря на общий низкий уровень защищенности компаний, само наличие интереса к киберполигонам говорит о том, что проблематика кибербезопасности в отрасли осознана, и отрасль ищет способы решить задачу защиты.

И еще один тренд, который становится все более явным, связан с включением проблематики защиты технологических сетей в общий скоуп ИБ любого предприятия. Иными словами, когда предприятие руководствуется идеей результативной кибербезопасности и нацелено на то, чтобы предотвратить недопустимые для него события, то защита технологических сетей как направление не может рассматриваться в отрыве от остальных направлений деятельности. То есть кибербезопасность уходит в сторону централизации управления защитой всего предприятия с активным включением в них специалистов производственных служб, совершенствования и расширения риск-менеджмента. При этом будут учитываться все аспекты безопасности предприятия — функциональная безопасность систем и оборудования, безопасность труда, кибербезопасность, экономическая безопасность, физическая безопасность сотрудников, объектов и инфраструктуры и т.д. В общем, на предприятиях безопасность начнет трансформироваться в некую единую экспертную и технологическую область, со все более условным делением на прикладные ИБ и не-ИБ сегменты в рамках единых процессов управления безопасностью.

Финансовая отрасль: адаптация к «пандемийным» условиям и мошенничество

Максим Костиков, руководитель группы исследований безопасности банковских систем, Positive Technologies
Максим Костиков, руководитель группы исследований безопасности банковских систем, Positive Technologies

За первые три квартала 2020 года мы зафиксировали 94 атаки на финансовые компании, что сопоставимо с уровнем прошлого года (за весь 2020 год было выявлено 126 атак). Основным методом проведения атак на такие организации остался фишинг — он использовался в 56% атак. Вредоносное ПО применялось в 41% атак, причем в 64% случаев это были программы-вымогатели. Высокий процент шифровальщиков среди ВПО был ожидаем: увеличение числа таких атак на финансовые компании мы прогнозировали в конце прошлого года. В качестве примеров последствий атак вымогателей можно вспомнить атаку на эквадорский банк Banco Pichincha, которая привела к нарушению функционирования его сервисов, в том числе сети банкоматов и онлайн-банкинга, или атаку на итальянский банк Banco di Credito Cooperativo, затронувшую 188 отделений банка.

Центральной темой кибербезопасности в уходящем году оставался COVID-19 и адаптация к «пандемийным» условиям: удаленная работа, денежные выплаты, цифровые пропуска, QR-коды... И киберпреступникам, и бизнесу пришлось приспосабливаться к новым условиям в последние полтора года. Для банков эта адаптация означала избавление от наличных, перевод бизнеса в онлайн и инвестиции в новые технологии (ПО для удаленного доступа, распознавание лиц и документов, внедрение антифрод-решений и многое другое), с которыми приходят новые риски. Хакеры, со своей стороны, следуют за деньгами и технологиями. Это выражается в том, что они меньше обращают внимание на платежные карты и банкоматы, но больше уходят в онлайн-мошенничество (кредитный фрод, обход онлайн-проверок, связанных с технологиями onboarding/KYC/AML). Во время пандемии и локдаунов государства массово выделяли средства бизнесу и безработным. Материальная поддержка производилась онлайн, и злоумышленники этим активно пользовались: получали кредиты на чужие имена, чужие фирмы и т.д., иногда на «мертвые души», иногда – на настоящих людей, которым эти кредиты теперь нужно выплачивать.

Очевидный ответ на угрозы — адаптация и внедрение технологий защиты соответственно угрозам. Многие банки и компании ужесточают проверки KYC, вводят системы машинного обучения для ускорения, упрощения и улучшения поиска информации. Появляются различные, связанные с KYC, сервисы, которые помогают банкам в оценке рисков для потенциальных клиентов. Это сервисы для проверки документов: видеозвонки с распознаванием документов, загрузка фото документов, сервисы для хранения всей этой информации, проверки их по базам данных и «скоринга» с устройства потенциального клиента — оценка его новизны, социальной активности его владельца для понимания, реальный ли человек скрывается за тем или иным аккаунтом.

Банковские приложения: удобно, но не безопасно

Александр Морозов, руководитель отдела тестирования на проникновение, Positive Technologies
Александр Морозов, руководитель отдела тестирования на проникновение, Positive Technologies

2021 год подтверждает наши прогнозы: продолжает уменьшаться количество стандартных веб-уязвимостей (XSS, SQLi, RCE), а логические уязвимости остаются популярной атакой на онлайн-банкинг. Сохранение количества логических уязвимостей связано с тем, что многие банки начинают строить большие экосистемы, которые интегрируются прямо в онлайн-банки. Сюда также можно отнести голосовые помощники и чат-боты, которые все больше появляются в онлайн-банкинге и не всегда их функционал полностью безопасен. В число ключевых угроз банковскому сектору, которые сохранились на текущий год, входят:

  • получение более выгодного курса обмена валют, кража денежных средств со счетов пользо- вателей, обман комиссии;

  • получение конфиденциальной информации о пользователе для использования ее в атаках при помощи социальной инженерии;

  • использование логических уязвимостей для увеличения нагрузки на систему, чтобы вызвать отказ в обслуживании у банка или провести атаки, которые повлекут за собой трудности ис- пользования личного кабинета для определенных пользователей.

Также стоить отметить, что все еще встречаются небезопасные реализации систем СБП, кото- рые позволяют красть деньги со счетов пользователей.

Прошедший год продемонстрировал рост популярности приложений для инвестиций. Согласно нашему опыту, такие приложения схожи по защищенности с банковскими – об- ладают защитой от стандартных атакующих векторов, но имеют недостатки безопасности в логических действиях системы. Атаки на них могут привести к незаконному обогащению злоумышленников не только за счет пользователей, но и за счет банков: ошибки реали- зации маржинальной торговли могут привести к выводу маржинальных средств на карту преступника.

Что для банков недопустимо, то ... возможно

Одной из ключевых тематик в области информационной безопасности в банковской сфере в 2021 году стала идея недопустимых событий и их гарантированная невозможность. В течение года эксперты Positive Technologies реализовывали проекты как связанные с анализом защищенности банков (внешние и внутренние тестирования, зачастую с необходимостью верификации рисков наступления недопустимых событий), так и работы с компаниями, не являющимися кредитно-финансовыми организациями, но которые заявляли в качестве недопустимых событий доступ к АРМ казначейства, демонстрацию возможности вывода денежных средств с корпоративных счетов.

Во всех проводимых работах заявленные цели были достигнуты. То есть в случае внешнего тестирования на проникновение у каждой организации выявлялись множественные уязвимости, дававшие возможность проникновения внешнего нарушителя во внутреннюю сеть компании. А если речь шла о внутренних работах, то была продемонстрирована возможность получения полного контроля над инфраструктурой – получение максимальных привилегий в Active Directory, возможность верификации заявленных недопустимых событий: доступ к критичным для банков системам, получение доступа к АРМ казначеев, серверам обмена платежными поручениями и т.д. Выполнить действия, нарушающие бизнес-процессы банка и влияющие на качество оказываемых услуг, можно было в каждом банке. Всего в рамках проведения верификации экспертам Positive Technologies удалось реализовать не менее 62% недопустимых событий в финансовой организации.

Прогнозы на 2022: пользователям онлайн-банкинга приготовиться

Вымогатели продолжат свою активность по отношению к банкам. Пока эти атаки проще в исполнении и в совокупности приносят больше прибыли, чем попытки вывести крупную сумму денег со счетов. Однако одной из основных целей злоумышленников будут клиенты банков, которые все чаще пользуются онлайн-банкингом. Например, в США в 2021 году доля использования онлайн-банкинга почти достигла отметки в 65% и будет расти в дальнейшем. По данным ЦБ РФ, в России еще в 2020 году доля использования онлайн-банкинга среди взрослого населения превысила 75%. Поэтому злоумышленники продолжат развивать инструменты для компрометации таких приложений, а именно банковские трояны, стилеры и RAT для мобильных устройств. Они будут предоставлять преступникам доступ к учетным данным и устройствам жертв, тем самым позволяя обходить многофакторную аутентификацию. Также в ходу останутся приемы социальной инженерии

Из 2021 в 2022: тенденции в развитии безопасности операционных систем

Александр Попов, ведущий специалист отдела исследований безопасности ОС и аппаратных решений, Positive Technologies
Александр Попов, ведущий специалист отдела исследований безопасности ОС и аппаратных решений, Positive Technologies

2021 год был богат на события в области разработки операционных систем. Это сложнейший вид программного обеспечения, поэтому безопасность операционных систем как зеркало, отражает главные тренды компьютерной безопасности в целом, и за исследованиями в этой области очень интересно наблюдать.

Безопасность цепочки поставки ОС: тема становится острее

Во-первых, существенное внимание в этом году уделялось безопасности цепочки поставки ПО (supply chain). Операционная система общего назначения – это большой комплексный проект, включающий множество компонентов, каждый из которых имеет свой жизненный цикл и влияет на общую цепочку поставки ОС. Без контроля над ней невозможно выстроить безопасность системы. Причем опыт в отрасли показывает, что это актуально и для проприетарных проектов, и для систем с открытым исходным кодом (open source). Нашумевшая уязвимость в Apache Log4j показала, какой беспорядок и паника возникает без четкого понимания, из каких компонентов состоит информационная система. Поэтому отрасль вкладывает существенные усилия в развитие инструментария для контроля цепочки поставки (пример – проект SLSA). И в ближайшем году этот тренд только усилится.

Программно-аппаратная безопасность

Другой интересный сдвиг в безопасности ОС — интеграция с аппаратными механизмами безопасности. Здесь наметилось два основных аспекта. Первый — операционные системы адаптируются для использования аппаратных средств контроля доступа к памяти. Речь идет о применении ARM Pointer Authentication Code (PAC), ARM Memory Tagging Extension (MTE), Intel Control-flow Enforcement Technology (CET) и других технологий. Это перспективное решение проблемы с уязвимостями повреждения памяти, которых год от года меньше не становится, несмотря на гигантские усилия по тестированию и фаззингу операционных систем. Ожидаемо, в 2022 году мы увидим новые исследования и разработки в этой области.

Еще один аспект в безопасности ОС, связанный с аппаратным обеспечением, — это внедрение цепочки доверенной загрузки, начиная от аппаратного корня доверия. Google ведет работу над чипом Titan M, на котором основывается безопасность ОС Android. У Apple есть свой чип T2, являющийся корнем доверия macOS. Разработчики операционных систем все больше используют возможности таких аппаратных средств для работы с криптографическими ключами. Это существенно затрудняет жизнь атакующим, которые пытаются поставить в систему руткит или ищут криптографические ключи в оперативной памяти.

Безопасность мобильных приложений и устройств: Android и iOS меняются местами, а защитой приложений заинтересовался бизнес

Николай Анисеня, руководитель группы исследований безопасности мобильных приложений, Positive Technologies
Николай Анисеня, руководитель группы исследований безопасности мобильных приложений, Positive Technologies

Актуальные векторы атак: небезопасное хранение данных

По данным наших проектов, самая популярная уязвимость мобильных приложений – хранение пользовательских данных в открытом (или легко обратимом) виде. Данная уязвимость уверенно сохраняет лидерство по сравнению с прошлым годом. Немного реже (относительно предыдущей уязвимости), но неизменно по сравнению с прошлым годом мы наблюдали сохранение важных данных в общедоступных директориях. Общая доля уязвимостей, связанных с небезопасным хранением данных, составила чуть больше трети всех найденных уязвимостей.

Многие знают, что мобильные приложения неплохо изолированы друг от друга средствами ОС, и получить доступ к хранимым данным не так-то просто. Однако эти данные могут быть похищены с использованием других уязвимостей. Например, в этом году мы чаще, чем в прошлом встречали возможность чтения файлов в Android-приложениях через различные уязвимости, что могло давать атакующему возможность доступа к пользовательским данным.

Каждое исследованное нами в 2021 году приложение (всего 20 пар Android / iOS) имело ту или иную проблему с хранением данных. То есть, если мы находим уязвимость, связанную с возможностью доступа к этим хранимым данным, ее эксплуатация почти всегда будет иметь смысл для атакующего. На наш взгляд, это связано с тем, что разработчики все еще чрезмерно полагаются на системные механизмы изоляции, не предполагая, что нужно выстраивать многоуровневую защиту, которая позволит защититься или снизить риски при возникновении уязвимостей в самом приложении, благодаря которым атакующий сможет действовать как бы в обход механизмов безопасности ОС.

Также можно отметить, что разработчики в большинстве своем по-прежнему проявляют малый интерес к защите своих приложений от несанкционированных исследований. Каждое приложение имеет хотя бы один из следующих недочетов, облегчающих задачу потенциальному злоумышленнику:

  • отсутствие обнаружения root/jailbreak;
  • отсутствие контроля целостности исполняемых файлов;
  • отсутствие обфускации 3.

Эти проблемы иногда пытаются решить фреймворки. Например, приложения, написанные на модном Flutter 4, гораздо более сложны для анализа, чем более традиционные приложения на Java, Kotlin, ObjectiveC, Swift.

Android и iOS: функционал vs безопасность

Android-приложения известны своей обширной поверхностью атаки. В случае с iOS всегда было наоборот: у разработчиков было не так много возможностей сделать ошибку и не прикрыть ненужные «двери». Но в последнее время мы наблюдаем смену этого тренда. Google потихоньку начинает ограничивать возможности приложений, заставляя разработчиков более явно указывать необходимую функциональность. В iOS, наоборот, приложениям становятся доступны новые способы взаимодействия с ОС и друг с другом. Таким образом, для Android-приложений уменьшается поверхность атаки (достаточно ознакомиться с нововведениями в последней версии Android 12), в то время как в iOS (а также в macOS, и, по всей видимости, во всей экосистеме Apple) приложениям добавляют новые возможности, что способствует расширению поверхности атаки (команды пришли уже и на macOS, браузерные расширения для мобильного Safari).

Пандемия как вызов для исследователей

Продолжающийся кризис микрочипов сдерживает рост в сфере мобильных технологий, и это не может не влиять на то, что и прикладное ПО – мобильные приложения – в ближайшее время будут развиваться не так стремительно, как могли бы. Как бы противоречиво это ни звучало, но параллельно всеобщему замедлению наблюдается рост интереса к безопасности мобильных приложений со стороны компаний-разработчиков: об этом свидетельствует наш собственный опыт, связанный с двукратным ростом проектов в 2021 году.

Искусственный интеллект и машинное обучение: чем запомнился 2021 год и чего ожидать в 2022-м

Александра Мурзина, специалист группы перспективных технологий отдела исследований по защите приложений, Positive Technologies
Александра Мурзина, специалист группы перспективных технологий отдела исследований по защите приложений, Positive Technologies

С точки зрения внедрения новых технологий, кажется, что 2021 год был достаточно насыщенным. С самого начала года нас уже ждали интересные события, связанные с искусственным интеллектом. Если раньше модные технологии использовались для развлечения и как концепты, которые не воспринимались всерьез, то сейчас эти технологии становятся нашей реальностью. И применение ИИ для задач кибербезопасности кажется уже обыденной темой: каждый вендор в меру своих сил внедряет техники, основанные на данных.

Да и тема безопасности ИИ стала как никогда актуальной: в этом году произошло много громких инцидентов, стоящих внимания. Пока что злоумышленников интересуют массовые атаки, которые не требуют больших затрат. К их удаче и нашему удобству, благодаря талантливым математикам и разработчикам, новые технологии стали использоваться практически в каждом девайсе.

Deepfake — ничего смешного

В начале года случился настоящий бум событий, связанных с технологией Deepfake (технология, основанная на нейронных сетях, позволяющая довольно реалистично подменять лица и мимику на видео). Если в предыдущие годы такое было возможно только при использовании больших вычислительных мощностей, то сегодня уже достаточно много приложений, готовых заменить чье-то лицо буквально на каждом смартфоне.

Если в 2018 был бум скорее шуточных замен изображений, то в 2021 шутки кончились, а начали случаться самые настоящие инциденты, приносящие злоумышленникам прибыль. Например, в январе злоумышленники с помощью технологии Deepfake сделали видеоролик, где Дмитрий Мацкевич, основатель Dbrain, приглашал всех на мастер-класс по заработку и предлагал перейти по ссылке, не относящейся к его компании. Цель мошенников была в завлечении новых клиентов на блокчейн-платформу.

А в марте появилась новость об обмане государственной сиcтемы Китая, которая принимала налоговые документы, подтвержденные биометрией. Говорят, что злоумышленники с 2018 года пользовались такой схемой: покупали фотографии жертв, подделывали личные данные. Обмануть китайскую систему было не так просто: она принимала видео с камеры смартфона для подтверждения личности. Злоумышленники же с помощью технологии Deepfake превращали фотографии, которые получали на черном рынке, в достаточно реалистично выглядящий видеопоток с камеры. Воспользовавшись устройствами с аппаратной уязвимостью, где фронтальная камера не включалась, мошенники предоставляли системе заранее подготовленное с помощью Deepfake видео. Ущерб от таких действий составил 76,2 млн. долларов США. После этого инцидента правительство Китая выпустило законопроект «Закон о защите личной информации», направленный на предотвращение утечек персональных данных и злоупотреблений с использованием персональных данных. В нем предлагается ввести штрафы за такие нарушения в размере до 50 миллионов юаней (около 8 млн. долл. США) или 5 процентов от годового дохода компании.

Другая история с подменой произошла в ОАЭ. Мошенники подделали голос директора крупной компании с помощью технологии Deepfake и заставили сотрудника банка перевести деньги на мошеннические счета, убедив его, что это новые счета его фирмы. Инцидент произошел год назад, но стал известен широкой аудитории только осенью этого года.

В России киберпреступники тоже, к сожалению, не отстают от прогресса: в апреле 2021 года случился инцидент, когда злоумышленники звонили жертвам, записывали голос, а потом пытались взять кредит в банках, где у клиентов была включена функция распознавания по биометрии для оформления кредитных услуг. А чуть позже в этом же месяце случился один из самых громких международных пранков года.

Биометрия пришла окончательно

В России в этом году случился настоящий бум повсеместного внедрения биометрии и сопутствующих этому казусов. Весной стали появляться новости о возможном разрешении сдавать биометрию через мобильные приложения для последующего использования при подтверждении получения различных услуг. Примерно тогда же в интернете стали выходить смешные ролики в сети, где люди не могут попасть домой, используя «умный домофон», который пускает по лицу. Пока серьезных инцидентов, связанных с безопасностью таких устройств не было, лишь бытовые проблемы, но кто знает, что будет дальше. Например, этой осенью в московском метро внедрили оплату проезда с помощью распознавания лиц. Об ИБ-инцидентах, связанных с этим, пока никто не слышал, но система, безусловно, очень интересная.

Не известно, что хуже — когда умные помощники сбоят или общаются

В этом году случился поистине бум умных ассистентов и многие, наверное, заметили наплыв «умного» спама, где с тобой общается голосовой помощник, а не человек, как раньше (многие в интернете умилялись забавным диалогам c такими умными автоответчиками). Однако, как оказалось, из-за логической уязвимости в такой системе можно потерять деньги. Так, к примеру, стала известной забавная история, в которой человек стал своего рода жертвой в диалоге двух умных ассистентов: после звонка от умного-робота мобильного оператора голосовой помощник произнес слово «Хорошо», чего боту оказалось достаточно, чтобы воспринять такой ответ как согласие на подключение платной услуги.

И иногда умные системы и вовсе сбоят. Так случилось и с системой распознавания лиц в Москве (не секрет, что использование таких систем для розыска преступников — уже давно реальность, а не фантазии киносценаристов), которая ошиблась и задержали не того. К счастью, вскоре все уладилось и невиновного отпустили.

Прогнозы на 2022:

Подобные умные сервисы активно внедряются в нашу повседневную жизнь. Госдума приняла закон о создании государственной системы биометрических данных. Использование биометрии станет возможным не только в метро, но и чуть ли ни в любом магазине у дома. Активно идут исследования и по изучению угроз при работе с такими системами. Пока сложно прогнозировать, к чему приведет такое обширное внедрение прогрессивных технологий на государственном уровне. Кажется, что такие системы должны войти в нашу жизнь и больше не ассоциироваться с громкими новостями, но вместе с этим нас ждут и интересные кейсы безопасности.

Чем удобнее становится мир в технологическом отношении, тем больше в нем оказывается проблем, маленьких и больших, явных и скрытых, с которыми нам еще наверняка предстоит столкнуться. Но это вовсе не означает, что нужно относиться с недоверием к прогрессу, противиться новым технологиям. Напротив, их нужно тщательно и всесторонне исследовать, тестировать, чтобы алгоритмы становились точнее, а продукты на их основе качественнее.

Время Metaverse: от Defi до NFT и GameFi

Арсений Реутов, руководитель отдела исследований безопасности приложений, Positive Technologies
Арсений Реутов, руководитель отдела исследований безопасности приложений, Positive Technologies

Сегодня мы видим, насколько активно строится Metaverse как концепт: Defi и NFT являются его неотъемлемыми частями. 2020 (и даже уже 2019) год был временем DeFi, когда мы все наблюдали попытку заменить традиционные финансовые институты на децентрализованные на основе блокчейн-технологий. А вот уже 2021-й можно назвать годом NFT. В первом случае мы получили возможность вести финансовую активность, основываясь на блокчейне, а во втором — владеть уникальными предметами.

DeFi — когда речь о деньгах, мошенники настойчивее

Благодаря тому, что DeFi уже некоторое время изучается исследователями, банальных уязвимостей эти протоколы уже не имеют — каждая из найденных в последнее время уникальна и нетривиальна, хотя ущерб от таких уязвимостей исчисляется миллиардами долларов убытков (только за 2021 год эта цифра превысила 1,3 млрд долларов, что более чем на 500 миллионов долларов превышает ущерб 2020 года). Все проблемы безопасности DeFi сегодня делятся на несколько категорий:

  • касающиеся технологий и инструментария — например:
    наблюдается явная нехватка технологий, которые предназначены для обслуживания разработки смарт-контрактов и своевременного поиска уязвимостей в коде. Сам язык (Solidity), на котором пишутся смарт-контракты в Ethereum, «by design» подвержен уязвимостям. Сейчас появляются новые блокчейны (Solana, Avalanche и разработка с отечественными основателями — NEAR Protocol), в которых эти ошибки исправлены на уровне архитектуры, но они пока не так популярны и распространены;
    в силу того, что отправка транзакции в Ethereum сейчас слишком дорогое удовольствие, развиваются альтернативные сети (те же Solana, Avalanche или NEAR Protocol), при этом для перехода с одной платформы на другие разработаны специальные «мосты». Однако на стыке платформ открываются дополнительные возможности для взлома. Например, самый известный взлом 2021 года как раз был в таком мосте – взлом Poly Network, когда злоумышленники похитили более 300 млн. долларов США, а потом их вернули;
  • математические, касающиеся ошибок в логике смарт-контрактов, в частности, так называемые Flash Loan-атаки. DeFi позволяет стать реальным миллионером на пять секунд — это значит, что злоумышленник может занять сколько угодно денег, использовать их в своих интересах (воздействовать с их помощью на другие смарт-контракты), но обязательно вернуть их в том же блоке (в течение 10 секунд). При этом при должной подготовке за 10 секунд можно успеть многое, например заработать денег на арбитраже (быстрой покупке-продаже с учетом разницы курсов на разных биржах), и этот процесс полностью автоматизируется (пишутся специальные торговые боты). В данном случае речь идет об использовании тех возможностей, которые предоставляет платформа (вне контекста поиска уязвимостей или какого бы то ни было взлома). А есть и настоящие хакерские истории, основанные на эксплуатации уязвимостей смарт-контрактов;
  • касающиеся пользователей, и в данном случае речь о фишинге, который очень эффективен в том числе и из-за того, что интерфейс самого криптокошелька далеко не user-friendly (пользователь не может понять, куда конкретно он отправляет средства). Злоумышленники создают правдоподобные сайты, используют уязвимости, и правила фишинга здесь те же, что активно применяются в любой сфере: подделка адресных строк, копирование дизайнов известных платформ, работа с эмоциями (провоцирование на скорую и необдуманную покупку) — все это очень эффективно (ущерб от таких атак в 2021 году доходил до 14 миллардов долларов США), и, в отличии от непосредственного взлома смарт-контрактов, легко для выполнения.

Можно ли предотвращать деятельность злоумышленников в DeFi? С одной стороны, когда мы говорим о блокчейне, речь идет и об анонимности (когда аккаунт — буквенно-цифровой ник, а во главу угла ставится идея децентрализованных сервисов). Тем не менее все же можно проследить, откуда появился баланс на том или ином кошельке – проследить цепочку до централизованной криптобиржи типа Binance, где, помимо использования реальной банковской карты, нужно пройти тщательную верификацию вплоть до изучения документов, удостоверяющих личность, и даже подтвержденных коммунальных счетов. Поэтому хакеры Binance не используют, обращаясь к специализированным сервисам (типа Tornado Cash), позволяющим скрывать историю получения денег. Однако и в этом случае возможны варианты: сейчас появились дополнительные сервисы, позволяющие определить, не проходили ли деньги, участвующие в транзакции, через Tornado Cash. Если такие признаки есть, транзакция блокируется.

От картин к торговле геймерским «шмотом»

2021 год стал годом NFT — второй составляющей web 3.0. На самом деле это оболочка для чего угодно – для токенизации аудио, видео, картин и прочего. Токенизировать можно практически что угодно, и в дальнейшем владеть этим в интернете. Сейчас пока токенизируют исключительно иллюстрации и предметы искусства. Что и не удивительно: в этой сфере наиболее применим формат коллекционирования, вокруг которого пока крутится идея NFT. Для художников это открывает новые возможности по продаже своих работ. Но и варианты для спекуляции и мошенничества данное прочтение технологий токенизации также дает (хотя и не так много в сравнении с DeFi): здесь также актуален фишинг, нацеленный на отдельных участников процесса, и использование уязвимостей в самих смарт-контрактах. Большинство уязвимостей в смарт-контрактах связано с генерацией новой коллекции: когда появляется новая коллекция, каждый ее предмет получает набор характеристик, и если получить возможность «предсказывать» такие характеристики, то появится возможность манипулировать и мошенничать, перехватывая самые редкие и дорогостоящие NFT вне правил ценообразования.

Одним из вариантов развития NFT в сторону применимых в жизни пользовательских кейсов может стать GameFi, который позволит геймерам (и разработчикам игр в том числе) сделать более регулируемой и прозрачной историю с правами собственности на цифровые игровые активы: владелец того или иного актива за счет использования блокчейн-технологий получит технологическую защиту своего права владения. Можно сказать, что это своего рода новое прочтение инвестиций в цифровые предметы и их коллекционирование.

Прогнозы на 2022: растущий интерес киберпреступности vs большее внимание кибербезопасности у разработчиков

Пока сложно прогнозировать развитие Metaverse в целом, однако уже сейчас понятно, что:

  • направление DeFi будет трансформироваться в более доступное для широких масс средство: должны появиться некие приложения, которые можно будет скачать и использовать как, скажем, привычные среднестатистическому пользователю банковские приложения. Технологически такая реализация возможна. Однако до тех пор, пока децентрализованные финансы не получат должного признания и соответствующего регулирования на уровне законодательств отдельных государств (или мирового финансового сообщества), этот процесс не имеет смысла. Хотя число частных пользователей технологии растет — только за 2021 год среднее количество активных пользователей кошелька Metamask в месяц составило 21 миллион, что в 38 раз больше 2020 года;

  • направление NFT продолжит искать новые сферы своей реализации (вплоть до того, чтобы обратить внимание, скажем, на регистрацию браков — впрочем, хотя технологические возможности для такой реализации есть уже сейчас, впишется ли этот концепт в правовое поле, пока совершенно не понятно);

  • история 2022 года – GameFi — имеет шанс стать крупным и заметным шагом в части применения блокчейн-технологий в реальном бизнесе.

С точки зрения кибербезопасности, нельзя не отметить растущую ориентированность разработчиков DeFi-протоколов на безопасность: аудит смарт-контрактов в их случае превращается в отдельную индустрию, активно развивается и направление специфического Bug Bounty: набирает обороты аналог HackerOne для блокчейна — сервис Immunefi, на котором уровень вознаграждений для исследователей уязвимостей блокчейн-технологий составляет до трех миллионов долларов США.

Киберпреступники же не обойдут стороной криптобиржи: атак на них станет больше, участятся случаи взлома смарт-контрактов. Не исключено и появление новых методов мошенничества, связанных с NFT-искусством.

Заключение

Главной темой кибербезопасности в 2021 году по-прежнему оставался COVID-19 и адаптация госучреждений, крупных компаний и граждан к затянувшимся «пандемийным» условиям. Тренд на гибридный режим работы укрепил спрос на системы удаленного подключения, что подстегнуло интерес экспертов по ИБ к изучению безопасности таких систем, тогда как злоумышленники пытались активно эксплуатировать найденные в них уязвимости. Примечательно, что из общего количества уязвимостей, выявленных экспертами Positive Technologies за год, 12,5% пришлось на те, что были обнаружены в программных средствах защиты.

Увеличилось число шпионских кампаний APT-группировок.

Шифровальщики тоже продолжают свою активность: их атаки в 2021 году приводили к сбоям в работе государственных IT-систем и систем в инфраструктуре умного города. Более того, финансовое состояние операторов вымогателей позволяет им приобретать уязвимости нулевого дня на теневых форумах.

Ключевую роль начинают играть так называемые humanless-технологии защиты, которые в условиях острого кадрового дефицита в части специалистов по ИБ позволяют реализовать эффективную защиту при наличии минимального числа экспертов в штате компании.

В 2021-м случился настоящий бум умных ассистентов, а также повсеместного внедрения биометрии. Кроме того, произошли первые киберинциденты с использованием технологии Deepfake. Многие пользователи попались на уловку мошенников, а значит, развитие этой технологии может стать подспорьем для злоумышленников

Также мы не исключаем появление новых методов мошенничества, связанных с NFT, который стал главным трендом 2021 года в блокчейне, но пока в сфере искусства, так как сейчас токенизируют исключительно картины.


  1. Данные основаны на результатах выполненных Positive Technologies в 2021 году проектов по верификации рисков и недопустимых событий.
  2. Некоммерческая американская организация, которая в числе прочего регистрирует уязвимости и присваивает им публичные уникальные идентификаторы – CVE.
  3. Запутывание кода.
  4. Фреймворк на языке Dart.