Fortinet: Компании столкнутся с проблемой самообучающихся массированных кибератак в 2018 году

Безопасность
мобильная версия

Компания Fortinet обнародовала прогнозы, составленные специалистами отдела исследования угроз FortiGuard Labs и касающиеся развития угроз по всему миру в 2018 г. В этих прогнозах говорится о стратегиях и способах, которыми киберпреступники будут пользоваться в ближайшем будущем. Также охарактеризован масштаб потенциальных негативных последствий кибератак для мировой экономики. В подробностях ознакомиться с прогнозами на 2018 г. можно в блоге компании.

На протяжении ближайших нескольких лет количество направлений атак продолжит расти. В то же время возможности комплексного отслеживания и управления современными инфраструктурами снизятся. Наблюдаются такие тенденции, как распространение подключенных устройств, имеющих доступ к персональным и финансовым данным, и появление новых подключений между самыми разными объектами — от скоплений устройств IoT и важных инфраструктур автомобилей, домов и офисов до комплексов «интеллектуальных городов». Эти тенденции способствуют появлению новых возможностей для киберпреступников и других злоумышленников. Последние достижения в таких сферах, как разработка искусственного интеллекта, активно используются на рынке киберпреступности в целях создания более эффективных атак. Согласно прогнозу Fortinet, в 2018 г. эта тенденция усилится.

По результатам анализа таких изощренных атак, как Hajime, Devil’s Ivy и Reaper, специалисты Fortinet заявляют, что в будущем на смену ботнетам придут интеллектуальные скопления пораженных устройств — «роевые» сети. Это приведет к появлению более эффективных направлений атак. «Роевые» сети будут задействовать технологию самообучения в целях эффективного поражения уязвимых систем на беспрецедентном уровне. Устройства в составе этих сетей будут взаимодействовать друг с другом и согласованно принимать меры на основе обмена локальными данными. Помимо этого, интеллектуальные устройства-«зомби» будут самостоятельно выполнять команды без вмешательства оператора ботнета. Таким образом, количество устройств в составе «роевой» сети будет расти по экспоненте, как и в скоплениях роящихся насекомых. Эти устройства смогут одновременно атаковать множество целей, что существенно усложнит выявление и устранение угроз. Несмотря на то, что в настоящее время подобные атаки пока еще не проводятся по технологии «роя», так как их охват ограничен особенностями кода, злоумышленники могут внести изменения, направленные на повышение способности ботов к самообучению. Преступники будут использовать большие группы подконтрольных устройств (ботов) для одновременного выявления и поражения разных направлений атак. Высокая скорость осуществления этих массированных атак приведет к исчезновению момента предсказуемости, который необходим для противодействия атакам. В предыдущем квартале текущего года отдел FortiGuard Labs зафиксировал 2,9 млрд попыток установки связи между ботнетами. Это свидетельствует о серьезности потенциальных последствий распространения «роевых» сетей и больших групп ботов.

Количество атак при помощи червей-вымогателей и других типов программ за последний год увеличилось в 35 раз, однако это еще не предел. Вероятно, следующей целью программ-вымогателей станут поставщики облачных услуг и другие коммерческие организации, деятельность которых направлена на обеспечение регулярного поступления дохода. Поражение созданных поставщиками облачных услуг сложных гиперподключенных сетей может привести к нарушению деятельности сотен коммерческих организаций, государственных учреждений, важных инфраструктур и организаций здравоохранения. Согласно нашему прогнозу, киберпреступники начнут сочетать технологию искусственного интеллекта с методами атак, ориентированными на поиск, выявление и использование уязвимостей сред поставщиков облачных услуг по всем направлениям. Подобные атаки чреваты такими сокрушительными последствиями, как огромные убытки поставщиков облачных услуг в связи с уплатой выкупов преступникам и перерывы в обслуживании сотен и тысяч коммерческих организаций, а также десятков тысяч и даже миллионов их клиентов.

Представители Fortinet прогнозируют, что в скором времени, а возможно, и в следующем году будут столкновения с вредоносным ПО, от начала до конца разработанным при помощи машин. При создании такого ПО будут использоваться технологии автоматизированного выявления уязвимостей и комплексного анализа данных. Мир уже знаком с полиморфным вредоносным ПО, однако вскорости ситуация примет новый оборот: злоумышленники начнут применять технологию искусственного интеллекта для создания сложных кодов, способных скрываться от обнаружения при помощи написанных машинами процедур. Используя возможности естественного развития уже существующих средств, злоумышленники будут разрабатывать специализированные эксплойты, направленные на максимально эффективное поражение определенных уязвимостей. Вредоносное ПО уже применяет модели обучения в целях обхода систем безопасности. Кроме того, ежедневно появляется более миллиона вариаций вирусов. Однако на сегодняшний день разработка этих вариаций осуществляется в соответствии с алгоритмом, результат реализации которого не отличается сложностью и не поддается контролю. За один квартал 2017 г. в отделе FortiGuard Labs было зафиксировано 62 млн образцов вредоносного ПО. При помощи анализа миллионов экземпляров вредоносного ПО специалистам Fortinet удалось выявить 16 582 вариации, в основе которых лежат 2 534 семейства вредоносного ПО. Каждая пятая организация сообщила о выявлении вредоносного ПО, целью которого являлись мобильные устройства. В следующем году эта проблема станет еще более актуальной в связи с повышением степени автоматизации вредоносного ПО.

Поставщики важных инфраструктур по-прежнему подвергаются наиболее существенному риску в связи со стратегическими и экономическими угрозами. Речь идет об организациях, которые обеспечивают функционирование сетей высокого значения, предназначенных для защиты важнейших служб и данных. Известно, что важные инфраструктуры и сети на базе эксплуатационных технологий в большинстве своем отличаются уязвимостью, так как изначально они были изолированы от других сетей. В связи с распространением высокоскоростных цифровых подключений среди сотрудников и клиентов требования к этим сетям изменились. Появилась потребность в развертывании современных систем безопасности в сетях, рассчитанных на автономную работу. Такие факторы, как важность этих сетей и потенциально разрушительные последствия их поражения или отключения, вынуждают поставщиков важных инфраструктур вступать в своего рода гонку вооружений с государственными, преступными и террористическими организациями. В связи с высокой активностью злоумышленников, а также сближением эксплуатационных и информационных технологий обеспечение безопасности важных инфраструктур становится приоритетной задачей на 2018 г. и последующие годы.

Одновременно с развитием сферы киберпреступности происходит и расширение темной паутины. Согласно прогнозу, в связи с деятельностью организаций в составе инфраструктуры «Преступление как услуга», использующих передовые технологии автоматизации, в темной паутине станут доступными новые услуги. Уже зафиксированы случаи выставления на продажу на рынках темной паутины современных служб, разработанных на основе технологии машинного обучения. В состав некоторых предложений, к примеру, входит служба «полной невидимости» (Fully Undetectable, FUD). При помощи этой технологии разработчики угроз за определенную плату загружают коды атак и вредоносное ПО в службу анализа. Затем они получают отчет о возможности обнаружения угрозы средствами безопасности разных поставщиков. В будущем этот цикл сократится: коды угроз, которые были выявлены в лабораториях, будут оперативно изменяться при помощи машинного обучения, что усложнит обнаружение используемых киберпреступниками средств проникновения. «Песочницы», оснащенные технологией машинного обучения, поддерживают своевременное выявление ранее неизвестных угроз и оперативную разработку мер защиты. Безусловно, аналогичный подход может использоваться иным образом: для автоматизированного сопоставления сетей, поиска целей атак и выявления наименее защищенных из них, анализа цели с последующим проведением виртуального теста на проникновение и запуском специально разработанной атаки.