Анонимность, обучение и бессерверные технологии: девять трендов кибербезопасности
В 2018 году популярность набрали кибератаки, связанные со взломами облачных хранилищ, майнингом на ПК жертв, целевым фишингом с помощью искусственного интеллекта. Весь этот набор хакеры будут применять и в 2019 году, но мы прогнозируем появление новых угроз из-за активного развития биометрии, систем быстрых платежей и бессерверных технологий.
Биометрия
Разблокировать смартфон отпечатком пальца или получить документы, просканировав радужку глаза, — биометрия укрепляется в качестве одного из основных способов аутентификации личности. С появлением новых средств биометрии ожидаемо будут развиваться и способы обхода таких систем. Уже сейчас злоумышленники способны «похитить» голос, позвонив человеку по телефону и сделав запись разговора. Чтобы получить доступ к iPhone по технологии Face ID, мошенники могут сделать ЗD-маску, имитирующую лицо владельца.
Уже в будущем году банки начинают собирать данные своих клиентов в Единую биометрическую систему. Эта система должна соответствовать всем мерам безопасности, однако существуют и возможные угрозы. При компрометации привычного пароля впоследствии его можно оперативно изменить. Если же будет скомпрометирован отпечаток пальца, то, во-первых, он навсегда останется у злоумышленника, а во-вторых, заменить его будет намного сложнее.
Бессерверные технологии
Бессерверные вычисления позволяют создавать и запускать сервисы без установки и обслуживания серверов, что экономит ресурсы разработчиков и деньги компаний. Приложения выполняются не на устройстве пользователя, а на инфраструктуре провайдера. Примером бессерверной технологии служит сервис AWS Lambda. «Бессерверный» подход только начинает внедряться и активно использоваться, в том числе и в финансовом секторе. Поэтому главный риск технологии — ее новизна. В плане безопасности в 2019 году можно ожидать высокую вероятность обнаружения уязвимостей, утечек и взломов, связанных с бессерверными вычислениями.
Новые банковские системы
В будущем году можно прогнозировать рост мошенничества, направленного на пользователей новых банковских сервисов. Так, в России планируется введение Системы быстрых платежей (СБП), которая дает возможность физическим лицам делать межбанковские переводы по номеру телефона. Новый тип услуг зачастую приводит к повышенному интересу со стороны злоумышленников. Сохранится также тренд на фишинговые атаки с рассылкой писем, звонками и SMS-сообщениями. Такой тип атак относительно прост в реализации и рассчитан охватить большое количество людей. Кроме того, преступные группировки по-прежнему будут применять методы социальной инженерии для атак на сотрудников банков с целью проникновения внутрь банковской сети. Данная схема сложнее в исполнении, но приносит значительно большую выгоду.
Многофакторная аутентификация
В 2019 году должна произойти эволюция двухфакторной аутентификации. Сейчас многие сервисы позволяют улучшать защиту логинов за счет необходимости получения SMS с кодом на смартфон. Инновации следующего года сделают многофакторную аутентификацию на веб-сайтах и онлайн-сервисах удобнее и проще.
Уже началось распространение аппаратных ключей защиты — карт флеш-памяти и сим-карт, которые необходимо вставить в компьютер, чтобы авторизоваться на сайте. Такой вариант может быть безопаснее отправки сообщения на сотовый телефон, потому что все чаще злоумышленники перехватывают SMS или сотрудничают с недобросовестными сотовыми операторами, которые передают персональные данные пользователей третьим лицам.
Аппаратный ключ можно потерять точно так же, как и сим-карту или телефон, но воспользоваться им без пароля нельзя, что обеспечивает дополнительный уровень безопасности.
Интернет вещей
По подсчетам экспертов, к 2025 году будет насчитываться до 75 млрд подключенных к интернету устройств IoT. Устройства IoT считаются легкими целями для злоумышленников, поскольку многие из них имеют большие проблемы с безопасностью, в первую очередь из-за общих нарушений принципов разработки, например применения одинаковых либо предсказуемых ключей и пин-кодов.
С каждым годом список доступных инструментов для взлома пополняется технологиями для автоматического поиска и удаленного взлома уязвимых IoT-устройств в сети, таких как AutoSploit. Одним из трендов взлома IoT-устройств в 2019 году может стать атака с помощью вирусов-вымогателей. Например, мошенники могут потребовать выкуп за разблокировку Smart TV или автомобиля.
Развитие SOC
Security Operation Center, или Центр мониторинга и реагирования на инциденты информационной безопасности, выявляет атаки или подозрительные активности систем и исправляет их последствия. У ряда крупных компаний либо есть собственный Центр мониторинга, либо его задачу выполняет фирма на аутсорсе.
После нескольких лет существования подобных центров до сих пор не разработана единая концепция оценки эффективности SOC. В 2019 году это будет новой задачей специалистов по информационной безопасности. Центр, в котором корректно функционирует агрегатор, контролирующий сеть, а также квалифицированный персонал, способный вовремя реагировать на подозрительные инциденты, позволит избежать значительных финансовых потерь в компании.
Разработки, направленные на приватность и анонимность
Прежде всего, это mesh-сети, децентрализованный интернет, защищенные телефоны. Государственная политика многих стран направлена на ограничение доступа к информации: слежка, повышенная ответственность за публикации в социальных сетях, штрафы за отказ от сотрудничества.
История с многочисленными блокировками соцсетей показала, что за приватностью своей информации хотят следить не только хакеры, но и обычные люди. «ВКонтакте» и Facebook хранят личные данные миллионов пользователей. Но, как оказалось, они их не только хранят, но и могут передавать правоохранительным органам. В такой ситуации технологии защиты личности становятся максимально востребованными. Сейчас специальные программы и анонимайзеры, такие как браузер для безопасной и анонимной работы в сети Tor, в основном используют специалисты, но совсем скоро подобные программы будут применяться более широкой аудиторией.
Браузеры
Недавно Microsoft объявила об отказе от собственного браузера Edge в пользу нового продукта на движке Chromium, находящемуся в открытой разработке. Корпорация совершает этот переход для улучшения стабильности его работы и упрощения процесса разработки, но по-прежнему остается вопрос безопасности. Если раньше атакующему необходимо было заранее знать, какой браузер стоит у пользователя, то теперь угадать браузерный движок и использовать имеющиеся в нем уязвимости станет значительно легче.
Обучение информационной безопасности
В 2018 году тема практической кибербезопасности активно обсуждалась не только на профильных конференциях, но и в СМИ. Крупные IT-компании, такие как Microsoft, Symantec, «Яндекс», уже запустили обучающие сервисы на частных и корпоративных уровнях. Кроме курсов для студентов и школьников формируется спрос на дополнительное корпоративное обучение специалистов внутри компании. Развитие онлайн- и офлайн-образования по информационной безопасности станет еще одним трендом 2019 года и поможет компенсировать дефицит в специалистах по безопасности.