Fortinet випустила прогноз ландшафту загроз на 2020 рік
Fortinet випустила прогноз ландшафту загроз на 2020 р.
Fortinet випустила прогноз ландшафту загроз на 2020 і наступні роки, підготовлений командою експертів FortiGuard Labs. Дослідження розкриває напрямки, за якими діятимуть кіберзлочинці у найближчому майбутньому. Крім цього, були позначені прийоми, які допоможуть організаціям захиститися від майбутніх атак. Для більш детального ознайомлення з прогнозами та ключовими висновками дослідження відвідайте блог.
Керівник відділу безпеки та аналізу глобальних загроз Fortinet зазначає: «Досі успіх у дії зловмисників був пов'язаний багато в чому з розширенням поверхні кібератак і утворених в результаті цього прогалин у безпеці, викликаних цифровою трансформацією. Останнім часом їх методики проведення атак стали ще більш витонченими завдяки інтеграції початкових форм ІІ та swarm technology. На щастя, можна відновити колишній рівень безпеки, якщо багато компаній дотримуватимуться однакових стратегій для захисту своїх мереж, через які злочинці організовують напади. Це вимагатиме уніфікованого підходу з використанням широкоформатних, інтегрованих і автоматизованих рішень для забезпечення захисту та підконтрольності всіх сегментів мережі, а також різних периферійних пристроїв, від IoT до хмар, що динамічно підключаються».За останні роки методики проведення кібератак ставали все більш витонченими, що призвело до зростання їхньої ефективності та швидкості. Цей тренд, найімовірніше, збережеться, поки на ринку не з'явиться достатньо організацій, які змінять свій підхід до стратегій захисту. Враховуючи масштаби нинішнього ландшафту глобальних загроз, швидкість і складність кібератак, організаціям доведеться реагувати на виникаючі загрози в реальному часі, не відставаючи від роботи машин, щоб ефективно протистояти агресивним діям. В цій боротьбі стане життєво необхідним застосовувати останні досягнення в області штучного інтелекту (ІІ) та дослідження загроз.
Однією з довгострокових цілей у розробці ІІ для забезпечення безпеки є створення адаптивної системи несприйнятливості до загроз, що працює аналогічно імунній системі людини. Розробка такого ІІ першого покоління була спрямована на використання різних моделей машинного навчання. Вони навчалися, коригувалися та пропонували певний план дій для відображення атаки. У системах ІІ другого покоління акцент було зроблено на створення механізму інтелектуального аналізу. Його рівень значно зріс до цього часу і дозволяв виявляти патерни, що істотно покращували роботу різних функцій, таких як управління доступом, шляхом розміщення вузлів, що навчаються, за всіма напрямами захисту. Розвиток систем ІІ третього покоління йде шляхом відмови від використання монолітного центру обробки на користь створення системи регіональних вузлів, що навчаються. Дані накопичуються локально і використовуються для розподіленого порівняння, корекції та аналізу. Це буде мати вкрай важливе значення для компаній, які шукають шляхи захисту своїх периферійних сегментів, що розростаються.
Окрім застосування традиційних форм аналізу загроз з використанням даних з відкритих джерел або після вивчення внутрішнього трафіку і накопиченої інформації, майбутні системи машинного навчання почнуть з часом активно застосовувати дані, що збираються з периферійних пристроїв нового покоління і передаються на локальні вузли, що навчаються. Відслідковуючи та зіставляючи інформацію в реальному часі, ІІ-система зможе мати більш повне уявлення про поточний стан загроз. Вона також зможе коригувати роботу локальних пристроїв, задаючи їм правила для відповідної реакції на інциденти. Це дозволить майбутнім ІІ-системам безпеки розпізнавати загрози, коригувати свої дії, відслідковувати і бути готовими до відповідних заходів, обмінюючись інформацією в межах мережі. Зрештою, розподілена система навчання дозволить об'єднати набори даних, щоб адаптуватися до змінних умов, тенденцій та подій. Таким Таким чином, кожна подія покращуватиме якість всієї системи. В результаті, інформація про інцидент, отримана в одному місці, підвищуватиме обізнаність про поточні загрози для всієї системи.
Впровадження ІІ дозволяє компаніям не тільки автоматизувати виконання завдань, але і відкриває можливість створення автоматизованої системи пошуку і виявлення кібератак як після появи ознак, так і до реалізації сценарію. Завдяки спільному використанню машинного навчання та статистичного аналізу, організації можуть розробити індивідуальний план дій з опорою на ІІ для поліпшення розкриття загроз і реагування. Підготовлені сценарії реагування (playbooks) повинні навчитися виявляти закономірності (патерни), за допомогою яких ІІ прогнозуватиме дії атакуючої сторони, підказати час ймовірного початку наступної атаки і навіть виявляти підозрюваних, які стоять за загрозою. Якщо ці дані можна надати системі навчання ІІ, то¦віддалені навчальні ноди зможуть підтримати ефективний і запобіжний захист, не обмежений лише виявленням загроз, але що дозволяє також передбачати наступні дії, проактивно втручатися в процес і координувати дії з іншими нодами .Одним із найважливіших факторів боротьби проти шпигунства є ефективна контррозвідка. Це справедливо і для кібератак або захисту, де всі дії ретельно відстежуються. Сторона, що захищається, має явну перевагу в доступі до різного роду інформації про загрози. Кіберзлочинці зазвичай не мають такі можливості, до яких тепер додалися засоби машинного навчання та ІІ. Однак застосування хитромудрих хитрощів може призвести до відповідних заходів зі сторони зловмисників. Вони вчаться відрізняти легітимний трафік від хитрощів і намагаються робити це непомітно, щоб не розкрити себе під час атаки. Щоб ефективно протистояти такій стратегії, організаціям потрібно додати в свій арсенал сценарії реагування та покращені алгоритми ІІ. Це допоможе не тільки виявляти порушників, зайнятих розбором легітимного трафіку, але і поліпшить технологію прийомів, що унеможливить їхню відмінність від легітимних повідомлень. У майбутньому організації повинні навчитися реагувати на будь-які шпигунські прийоми до активних дій, зберігаючи за собою перевагу. в контролі.
Діяльність організацій, пов'язана з кібербезпекою, надає їм ряд унікальних привілеїв, що стосуються доступу до персональної інформації; представники злочинного світу не мають такого права. Це дозволяє правоохоронним органам створювати власні командні центри з глобальним охопленням і поширювати свої дії на приватних осіб, маючи можливість спостерігати за кіберзлочинцями в реальному часі і реагувати на їхні дії. Існуюча система законних дій, а також зв'язку з громадськими та приватними службами також може бути корисна для виявлення порушників і відповідної реакції. Можна очікувати появи ініціатив щодо формування єдиного підходу для зв'язків між правоохоронними органами міжнародного та місцевого рівнів, урядовими організаціями, корпоративним сектором та експертами в області безпеки. Це сприятиме розвитку системи своєчасного та безпечного обміну інформацією для вибудовування захисту критично важливої інфраструктури та посилення боротьби з кіберзлочинами.
Нові можливості, що вносяться організаціями в свою стратегію захисту, навряд чи залишаться поза увагою зі сторони супротивника і матимуть реакцію у відповідь. Впровадження покращених методів виявлення та протидії кібератакам призведе до спроб кіберзлочинців зробити щось інше, ще серйозніше. На тлі появи більш досконалих методів атаки, розширення напрямків потенційних атак, впровадження розумніших ІІ-систем, винахідливість представників кіберзлочинного світу також не знижується.
У нещодавньому звіті Fortinet Threat Landscape відзначалося зростання популярності різних удосконалених методик ухилення. Їх розробка спрямована спеціально на те, щоб уникати виявлення, відключати функції захисту та пристрою контролю, завдавати шкоди, працюючи «під прицілом» систем захисту і застосовуючи тактику LoTL («Living off The Land») - використання легітимного встановленого ПЗ і маскування шкідливого трафіку законний. Багато сучасних шкідників вже містять у собі функції, що дозволяють ухилятися від виявлення антивірусними програмами або іншими засобами протидії загрозам. Але зловмисники продовжують застосовувати все більш витончені способи заплутування та протидії аналізу. При використанні таких стратегій зростання значно підвищується значення «слабких місць», які можуть залишатися в засобах безпеки та з'являтися в результаті помилок персоналу.
Останні кілька років на ринку спостерігалося зростання популярності swarm technology, пов'язаного з виконанням поставленого завдання за рахунок масованих, скоординованих, однотипних дій. Застосування засобів машинного навчання та ІІ в атаках проти легітимних мереж і пристроїв призвело до появи ще одного способу застосування цієї технології. З одного боку, її досягнення мають важливе значення для вирішення прикладних завдань в галузі медицини, транспорту, машинобудування, автоматизації. Однак при зловмисному використанні в умовах, коли організації не вносять змін до своєї стратегії захисту, паритет може порушитися на користь зловмисників. Кіберзлочинці можуть застосовувати Swarm-технологію в бот-атаках для проникнення в мережу, придушення внутрішніх засобів оборони, підвищення ефективності пошуку та крадіжки даних. Очікується, що з часом з'являться спеціалізовані боти, наділені певними функціями, які обмінюватимуться даними в реальному часі і зіставляти їх. В результаті зросте швидкість відбору цілей, а тактика проведення атаки стане більш різноманітною. Кіберзлочинці зможуть атакувати вже не тільки одну, а й відразу безліч цілей одночасно.Проникнення мереж 5G може з часом стати каталізатором для розвитку функціональних Swarm-атак. В їхній основі буде лежати можливість вибудовування локальних спеціальних мереж, які здатні швидко обмінюватися і обробляти дані, а також запускати в роботу програми. При цьому неналежне використання 5G і периферійних Edge обчислень каналом для поширення шкідливого коду можуть стати зламані пристрої. Якщо зібрати їх у групу, то стане можливим проведення скоординованих атак на швидкості 5G. Беручи до уваги швидкодію, ступінь інтелектуальності, а також локальний характер проведення таких атак, під загрозою можуть опинитися застарілі технології захисту, що змусить задуматися про пошук шляхів для ефективного протистояння таким загрозам.
Досі на пошуки вразливості нульового дня і розробку експлойту йшло традиційно багато сил і часу. Тому кіберзлочинці не поспішали з їх застосуванням, дотримуючись у своєму арсеналі, поки залишалися інші варіанти для атаки. Нинішня ситуація характерна зростанням можливих напрямів для загроз, а також спрощенням завдання виявлення вразливостей. Це призвело до загрози потенційного зростання кількості вразливостей нульового дня. Застосування технологій фаззингу та планомірний пошук («майнінг») уразливостей нульового дня з використанням ІІ також сприяють експоненційному зростанню числа подібних кібератак. Тому необхідно завчасно вживати заходів для захисту, щоб протистояти цьому тренду.
