Вообще-то выпущенный Лабораторией кибербезопасности «Сбера» под занавес 2022 г. аналитический (а лучше сказать — «прогнозтический») отчет адресован профессиональным борцам с киберпреступностью в компаниях. Но, думается, «полистать» его полезно всякому, кто грезит мечтами о высокотехнологичном будущем. Ведь, как верно замечает Заместитель Председателя Правления ПАО Сбербанк Станислав Кузнецов, такое будущее «расширяет наши возможности, открывая при этом дорогу одновременно и для хорошего, и для плохого».
Так что — про плохое, причем недалекое. Спецы «Сбера» разбили рассмотренные ими технологии по степени влияния на ландшафт угроз кибербезопасности на три группы — высокое, среднее, низкое, а также по срокам вероятной реализации их опасений — 1—5, 5—10 и 10+ лет. Начнем рассказ, конечно, с самого опасного и самого близкого.
Управление рисками человеческого фактора (Human Risk Management)
Аналитики «Сбера» информируют в отчете, что, согласно исследованию Стэнфордского университета и компании Tessian, причиной 88% кибератак и утечек данных является человеческий фактор. Похожие цифры (85%) называет и Verizon в своем 2021 Data Breach Investigation Report. При этом данные показатели не меняются на протяжении многих лет, несмотря на значительные усилия и ресурсы, затрачиваемые на повышение осведомленности сотрудников об угрозах кибербезопасности. Именно поэтому, подчеркивают авторы исследования, текущий рынок решений класса Security Awareness начинает постепенный переход от предложения своим клиентам тренингов для сотрудников и фишинговых учений к комплексному решению по управлению рисками человеческого фактора – Human Risk Management Platform. Определение и составные элементы подобного решения пока не сформированы окончательно и каждый вендор видит их несколько по-своему, но в целом важными элементами подобной платформы специалисты «Сбера» видят следующие:
-оценка осведомленности сотрудника до начала обучения и выявление «слабых мест» для формирования индивидуальной программы обучения;
- регулярное персонализированное обучение небольшими порциями информации (micro learning) — отдельный сеанс обучения не должен занимать более 5 мин. времени, при этом само обучение должно происходить часто, до нескольких раз в неделю;
- оценка подверженности тем или иным рискам по результатам обучения, тестов и различных симуляций (не только фишинг, но и вишинг, смишинг и другие виды атак) — по результатам такой оценки для каждого сотрудника строится и регулярно обновляется профиль подверженности различным типам рисков кибербезопасности;
- использование принципов поведенческой психологии для формирования кибербезопасного поведения, а не только знаний о нем. В том числе важным видится использование теории подталкивания (nudge theory) для уведомления пользователя о возможном риске в момент его возникновения;
- оценка вероятности возникновения того или иного риска кибербезопасности для сотрудника в зависимости от профиля и характера его рабочей деятельности;
- использование элементов и механик геймификации для вовлечения пользователя в обучающий процесс и поддержания интереса;
- подобное решение, считают аналитики «Сбера», позволит комплексно оценивать риски человеческого фактора на уровне каждого отдельного сотрудника и формировать у сотрудников устойчивые поведенческие паттерны, направленные на минимизацию этих рисков.
DeepFake
Речь о методике синтеза изображения, видео, аудио или другой информации с помощью технологии искусственного интеллекта. Например, обучив нейронную сеть на фото или видео лица человека, можно создать крайне реалистичное видео с участием этого человека, где он говорит то, что в реальности никогда не говорил или совершает действия, которые никогда не совершал. Авторы исследования отмечают, что изначально данная технология использовалась для генерации развлекательного контента, но на сегодняшний день уже зафиксирован целый ряд случаев, где дипфейки используются для мошенничества и других противоправных действий. Помимо этого Лабораторией кибербезопасности был проведен ряд исследований, демонстрирующих возможность обхода систем лицевой и голосовой биометрической аутентификации с использованием видео и аудио дипфейков. Аналитики «Сбера» уверены, что по мере развития технологии и появления простых в использовании инструментов для создания дипфейков количество подобных случаев будет только расти, в связи с чем влияние данной технологии на ландшафт киберугроз они оценивают как высокое.
Продвинутые виртуальные ассистенты (Advanced Virtual Assistants)
Данная технология является естественным развитием технологии виртуальных ассистентов и чат-ботов, уже широко используемых сегодня, и подразумевает применение технологий искусственного интеллекта, в частности обработки естественного языка (Natural Language Processing) и глубоких нейросетей для понимания смысла запросов пользователей, ведения диалога, формирования прогнозов и помощи в принятии решений. Продвинутый виртуальный ассистент, по определению Gartner, также должен включать возможность мультимодального взаимодействия с пользователями (голос, текст, графический интерфейс и т. д.). Уже сейчас виртуальные ассистенты Салют используются в большом количестве приложений как для клиентов, так и для внутреннего пользователя. По мере развития их возможностей, для которых потребуется доступ к различным системам и информации, масштаб угроз будет расти и виртуальный ассистент может стать важным вектором атаки на человека или информационную систему, считают авторы отчета.
Они оценивают потенциальное влияние данной технологии на ландшафт киберугроз как высокое в силу широких возможностей применения в различных сферах деятельности и бизнес-процессах, что открывает новые возможности для атаки на бизнес и людей. Помимо этого, продвинутые виртуальные ассистенты могут быть использованы и в интересах кибербезопасности как удобный способ взаимодействия с сервисами и как канал оперативного информирования о состоянии различных аспектов кибербезопасности.
Поведенческая биометрия (Behavioral Biometrics)
Технологии биометрической аутентификации, использующие в качестве фактора поведенческие характеристики человека, например голос, походку, рукописный или клавиатурный почерк. В отличие от статической биометрии данные факторы могут оцениваться не только при входе в систему или приложение, но и на протяжении всего сеанса взаимодействия и при этом не требуют от пользователя совершения дополнительных действий для аутентификации. Система может непрерывно оценивать соответствие поведения пользователя поведенческому биометрическому слепку и в случае существенного отклонения сигнализирует о возможной компрометации службе безопасности и/или блокирует доступ, что делает проблематичным перехват сессии пользователя злоумышленником.
Подделка или компрометация поведенческих факторов и их использование без участия владельца на сегодняшний день специалистам «Сбера» по кибербезопасности представляется крайне сложной задачей. На данный момент промышленное применение поведенческой биометрии еще не получило широкого распространения, и ее используют в отдельных случаях, когда нужны дополнительные уровни аутентификации, например, при проведении крупных транзакций или допуске к особо важным данным, но технология развивается и в ближайшем будущем такие методы смогут значительно сократить риски в сфере безопасности, считают авторы исследования.
Технологии удаленной работы (Remote Work Solutions)
Из-за пандемии COVID-19 существенно выросло количество сотрудников, работающих удаленно, что сильно стимулирует развитие решений и технологий удаленной работы. При этом существенно меняется ландшафт угроз кибербезопасности, так как сотрудник уже не находится в пределах периметра с многослойной защитой, но при этом для выполнения своих рабочих обязанностей ему, как правило, требуется доступ к корпоративным системам и данным разной степени конфиденциальности.
Эксперты «Сбера» полагают, что, скорее всего, развитие тренда на удаленную работу также подстегнет кибербезопасность компаний к переходу от модели защиты периметра, внутри которого все доверяют всем, к модели нулевого доверия (Zero Trust), где доверие конкретному пользователю и устройству оценивается каждый раз при инициации соединения и на протяжении всего сеанса взаимодействия. Помимо этого, ожидают авторы отчета, возрастает риск атаки с использованием имперсонации при удаленном взаимодействии. Поэтому влияние данного набора технологий на ландшафт киберугроз они оценивают как высокое.
Bring Your Own Identity (BYOI)
Концепция, упрощающая регистрацию и вход пользователей в новые сервисы, за счет аутентификации через другой сервис, где пользователь уже зарегистрирован (например, Login with Google, Facebook, Apple ID, Сбер ID). С одной стороны такой подход существенно упрощает жизнь пользователям и улучшает пользовательский опыт, а также существенно уменьшает поверхность атаки на пользовательские данные, которые хранятся централизованно у одного identity провайдера (IdP), а не в сотнях различных сервисов. Но, с другой стороны, IdP превращается в единую точку отказа, и компрометация IdP дает злоумышленнику доступ сразу к десяткам, если не сотням, а в будущем, возможно, даже тысячам различных сервисов, вход в которые реализован через данного IdP (кража данных, кража личности, имперсонация). Также данный подход открывает возможность для кражи данных пользователя через мошеннический сервис или фишинговую атаку. Помимо этого, использование BYOI может упростить процесс создания реалистичных синтетических личностей с цифровым присутствием в множестве сервисов. По названным причинам, влияние данной технологии на ландшафт угроз кибербезопасности аналитики «Сбера» также оценивают как высокое.
Беспилотные транспортные средства (Autonomous Vehicles)
Транспортные средства, управляемые искусственным интеллектом без участия живого водителя, уже давно тестируются на дорогах общего пользования, а в ряде стран и регионов, в том числе и в некоторых регионах России, уже используются в режиме пилотной коммерческой эксплуатации. При этом массовое внедрение БПТС в коммерческую эксплуатацию существенно влияет на ландшафт угроз и открывает злоумышленникам новые возможности для атаки, например:
- взлом БПТС с целью угона, совершения преступлений или терактов — «ИИ-камикадзе»;
- получения несанкционированного доступа к системам управления интеллектуальной транспортной инфраструктурой или внесение нарушений в ее работу может приводить к печальным последствиям — ДТП, нарушение работы общественного транспорта, нарушение регулирования дорожного движения вплоть до полного транспортного коллапса, совершение терактов;
- также в связи с распространением применения беспилотных транспортных средств в военных целях возникает угроза их компрометации или перехвата. Это несет в себе большую угрозу, чем атаки на гражданские беспилотники, так как злоумышленник получает доступ в том числе и к вооружению беспилотника.
В свете вышеперечисленного влияние технологий беспилотных ТС на ландшафт кибербезопасности авторы исследования тоже оценивают как высокое.
Управление цифровым следом (Digital Footprint Management)
Количество времени, проводимого человеком онлайн, как и среднее количество используемых им онлайн-сервисов, стабильно растет из года в год и, по мнению экспертов "Сбера", скорее всего, продолжит расти и далее. Каждый пользователь оставляет все больше и больше различной информации о себе, своих действиях и предпочтениях в посещаемых сервисах. При этом среднестатистический пользователь зачастую даже не представляет, какая информация о нем и в каком объеме хранится в том или ином сервисе. Более того, существенная часть этой информации может собираться и использоваться без его ведома и информированного согласия. Это открывает огромные возможности для злоупотребления этой информацией как со стороны недобросовестных сервисов, так и со стороны злоумышленников, получивших несанкционированный доступ к ней. Что в свою очередь упрощает проведение атак на человека с использованием методов социальной инженерии, так как позволяет быстро завоевать доверие пользователя при атаке. Даже при наличии возможности управлять информацией о себе в отдельно взятом сервисе, общее количество используемых сервисов и разрозненность хранимой информации делает эту задачу крайне сложной. Что создает необходимость в разработке решений по управлению цифровым следом пользователя в сети Интернет, которые могут помочь в решении следующих задач:
- контроль и ограничение сбора информации о пользователе со стороны различных сервисов; - централизованное хранение согласий на обработку информации о пользователе от различных сервисов с возможностью их отзыва;
- выявление источника утечки информации и своевременное уведомление пользователя о факте утечки.
Влияние и данной технологии на ландшафт угроз кибербезопасности аналитики «Сбера» оценивают как высокое.
Таковы главные, по их мнению, ближайшие угрозы в киберпространстве. Думается, впечатлительным людям рассказ, как злоумышленники могут воспользоваться представленными технологиями, нервы пощекотал.