Прогноз развития киберугроз и средств защиты информации 2021

Известные эксперты отметили основные тенденции на рынке информационной безопасности в России и сделали свои прогнозы о развитии киберугроз и средств защиты информации на будущий 2021 год. Особо отмечены темы удалённой работы и рисков от неё, утечек данных, машинного обучения и искусственного интеллекта, безопасности как сервиса. Ожидается рост киберпреступности и количества атак, в том числе на критические инфраструктуры. В таких условиях особенно важно использовать защитные продукты и решения, отвечающие требованиям времени, внедрять автоматизацию обеспечения информационной безопасности, усиливать аутентификацию удалённых пользователей.

Введение

Вопрос, который мы разослали в середине декабря, остался прежним:

Чего можно ожидать в наступающем 2021 году в области развития киберугроз и эволюции средств защиты от них?

Зная, что в предпраздничные хлопотные дни время особенно дорого, в этот раз мы начнём с обобщения: расскажем своими словами, какие тренды, потенциальные проблемы и вероятные достижения упоминались в мнениях наших партнёров чаще всего. Впрочем, просим не переживать: привычная и традиционная прямая речь экспертов во всём её богатстве и многообразии зазвучит сразу же после нашего резюме.

Основные результаты опроса

В этом году мы получили мнения 27 экспертов из 26 компаний, работающих на российском рынке информационной безопасности.

В качестве центральной проблемы — своего рода красной нити, которая прослеживается в доброй половине ответов — обозначим то, что формируется более широкий фронт атаки за счёт распределённых и разрозненных инфраструктур. Это — неизбежный атрибут дистанционного режима, в котором многие из нас прожили почти весь 2020 год. Сюда относится, в частности, и большая тема защиты «домашних офисов» — рабочих мест людей, трудящихся удалённо.

Кстати, некоторые из экспертов по этому поводу сказали, что стоит ожидать развития технологий поведенческого анализа: если в офисе можно было убедиться, что на работу пришёл именно тот человек, которого ждали, то через внешнее подключение вполне может действовать и злоумышленник, укравший учётные данные. Выявить такой инцидент как раз и поможет анализ образцов и схем (паттернов) поведения.

Впрочем, есть и другие подходы. Часть полученных нами мнений посвящена, например, управлению доступом (в том числе привилегированным) и улучшению аутентификации удалённых пользователей. Можно ожидать, что вырастет популярность многофакторной аутентификации и одноразовых паролей (OTP). Корпорация Microsoft, например, прогнозирует скорый всеобщий переход на беспарольные методы удостоверения личности.

Ещё одной часто упоминаемой темой в комментариях наших партнёров стали утечки данных: каждый четвёртый представитель вендоров и интеграторов так или иначе говорил об этом. Трудно удивляться такому раскладу: можно сказать, что весь год прошёл под знаком утечек. Все мы экстренно переходили на удалённую работу, и спешно налаживаемые механизмы работы из дома создавали бреши в защите, которыми злоумышленники охотно пользовались.

С этим резонирует ещё одна популярная тема: каждый пятый эксперт упоминал рост психологических атак наподобие фишинга и социальной инженерии. Чем больше данных утекает и оказывается в руках киберпреступников, тем эффективнее последним удаётся составлять убедительные письма и сообщения в адрес жертв. Если к вам обращаются по имени-отчеству и знают, где вы работаете, то возникает ощутимый риск принять злоумышленника за настоящего партнёра или контрагента.

В эту же условную группу зачислим риски государственного и промышленного шпионажа. Они звучали реже, но тоже заслуживают того, чтобы их отметили. В конце концов, если растут утечки даже обычных данных, которые не всегда удаётся монетизировать, то атак на особо ценные сведения можно ожидать со всей возможной смелостью.

Другой горячей глобальной темой прогнозов были машинное обучение и искусственный интеллект. Эксперты говорили о них во всех возможных контекстах: эти технологии привлекательны для злоумышленников и важны для защитников информации. Если сложить данную проблематику с вопросами автоматизации ИБ, то вообще получится, что более трети участников нашей инициативы сфокусировали на них внимание. Удивляться опять же не приходится: атак всё больше, людей не хватает, а следовательно, нужно больше роботов. Машины сделают рутинную работу, а живые аналитики займутся только самыми важными задачами.

Кстати, рост количества атак и киберпреступности в целом, равно как и прогресс финансовых преступлений, тоже предсказывают многие наши партнёры. Уходящий год, увы, располагает к этому — в том числе потому, что изоляционные меры создают нагрузку на бизнес, сильно зависящие от людей и неспособные уйти в онлайн предприятия разоряются, граждане разных государств остаются без работы. У криминала, что характерно, «вакансии» есть всегда.

К финансовой преступности примыкает область шифровальщиков и вымогателей — единственного вида изо всей когорты вредоносных программ, упомянутого сразу несколькими комментаторами. Действительно, эти инструменты не сдают позиций, в публичном поле появляются всё новые громкие инциденты с их участием, и вряд ли в ближайшем году подобная активность пойдёт на спад.

Четвёртая большая тема — это безопасность как сервис и, в частности, рост сектора MSSP (поставщиков услуг управляемой защиты). Эксперты полагают, что этому способствуют последствия карантинов и «удалёнки» в виде размытия периметров и падения доходов. Компаниям-клиентам сейчас особо нужны и экспертная квалификация, которую не всегда можно найти внутри, и доступные цены, которые смотрятся выигрышно на фоне локальных инсталляций (on-premise). Аутсорсинг в разных формах и раньше был популярен, а сейчас для него настают особо удачные времена.

Добавим по этому поводу, что относительно облаков в целом тоже прозвучало немало идей. Кто-то из комментаторов говорил об атаках на облака, кто-то, напротив, акцентировал внимание на их защите. Можно предположить, что распределённые вычисления станут ещё популярнее, в том числе и в вопросах обеспечения ИБ.

Кроме этого заметим к слову, что с вопросами аутсорсинга перекликается проблема кадрового голода и подготовки собственных команд специалистов; она также фигурировала в нескольких ответах.

В качестве пятой большой темы назовём атаки на инфраструктуру, в том числе на критическую. Заметное место здесь занимают ожидаемые попытки использовать бреши в новых технологиях мобильной связи, составляющих новое её поколение — 5G. В этом смысле мало кто может чувствовать себя в безопасности: наши партнёры ждут атак на самые разные инфраструктуры, от портовых до телекоммуникационных. Несколько раз упоминались и непрямые нападения через цепочку поставок (supply chain).

Рисунок 1. Основные темы по частоте их упоминания

В обобщении мы представили те мысли, которые фигурировали в разных комментариях более двух раз — т. е. дают основания считать себя тенденциями, а не совпадениями. Однако наряду с этим эксперты высказали множество индивидуальных, неповторяющихся идей, которые столь же важны и ценны. Поэтому далее мы возвращаемся к формату прошлого года и приводим прямую речь с минимальными изменениями. Мнения комментаторов даны в алфавитном порядке в соответствии с названиями компаний, которые они представляют.

Прямая речь экспертов

Cisco Systems

Алексей Лукацкий, бизнес-консультант по безопасности Cisco:

Если смотреть на угрозы не с точки зрения появления каких-то совсем новых подходов и направлений (что, безусловно, будет появляться, но не будет носить массовый характер), а с точки зрения возможности монетизации, я бы поставил на первое место шифровальщики, которые в последнее время получили своё второе рождение. С одной стороны, число атак этого типа вредоносного ПО на рядовых пользователей сократилось, а с другой — возросло число атак вымогателей на предприятия, которые рассматривают вопрос выплаты выкупа не с эмоциональной точки зрения, а как очередную статью затрат, которую ещё и можно компенсировать за счёт страхования киберрисков. И так как почти четверть жертв действительно платила вымогателям суммы измеряемые миллионами долларов, то у киберпреступников разыгрался аппетит и в 2021-м году мы увидим ещё большее число успешных заражений, сопровождаемых выплатами или выкладыванием украденной у несговорчивых жертв информации в открытый доступ или на биржи, торгующие конфиденциальной информацией.

А вот за программами-вымогателями, которые продолжат оставаться основной проблемой для большинства компаний, я бы поставил целый набор угроз, с которыми мы столкнёмся в год быка — первые атаки на инфраструктуру 5G (да, пока не в России), более активные атаки на машинное обучение и биометрию (дипфейки начнут всерьёз монетизировать), рост атак на критическую инфраструктуру, промышленный шпионаж, в том числе и в интересах различных государств и компаний (попытка кражи военных секретов и результатов медицинских исследований в 2020-м году — только верхушка айсберга), выведение из строя облачных сервисов, к нормальному обеспечению безопасности которых пока готовы далеко не все пользователи облаков.

Наконец, не стоит забывать, что неуёмное стремление, иногда навязанное извне, к цифровой трансформации и внедрение прорывных технологий во все, ранее плохо автоматизированные процессы могут привести к недооценке их безопасности, уязвимым конфигурациям, низкой квалификации персонала, которые вместо пользы будут нести только вред компаниям, их клиентам и гражданам страны, как это уже происходило в ушедшем году с данными систем видеонаблюдения, списками заражённых COVID-19 и т. п.

Одной из ключевых проблем при построении системы защиты мы видим ориентацию многих компаний на отдельные её компоненты, а не взгляд на систему целиком.

Это же подтверждает и проведённый нами опрос среди почти 5 тысяч руководителей ИБ и ИТ по всему миру: самыми сложными задачами в ИБ на 2021-й год они видят разработку архитектуры ИБ для своего предприятия, которая позволит им иметь целостную картину ИБ, увязанную с целями компании, а также выстраивание процесса мониторинга и реагирования на инциденты (SecOps), которые позволяют объединить разрозненные элементы системы защиты в единый организм, работающий в соответствии с поставленными задачами и оперативно реагирующий на все угрозы и аномалии, фиксируемые в инфраструктуре предприятия и за его пределами.

С точки зрения технологической, в качестве приоритетов для российских компаний я бы назвал следующие: любые технологии мониторинга вредоносной и аномальной активности на уровне сети, приложений, пользователей, облаков, интернета и т. п.; технологии динамической и микросегментации на уровне сети и приложений; средства многофакторной аутентификации, сопряжённые с инструментами анализа защищённости оконечных устройств, как, например, те, что помогли идентифицировать атаку на компанию FireEye в конце 2020 года; защита и мониторинг облачных сред; средства автоматизации и управления ИБ (от SIEM до SOAR).

Fortinet

Алексей Андрияшин, технический директор Fortinet в России и странах СНГ:

— События уходящего года показали, что киберпреступники способны использовать драматические изменения, происходящие в нашей повседневной жизни, в качестве новых возможностей для атак беспрецедентного масштаба. В ближайшей и среднесрочной перспективе мы можем столкнуться с волной новых и сложных угроз. Эта ситуация неизбежна, и в первую очередь она обусловлена развитием технологий — киберпреступники будут использовать возможности, открывающиеся по мере повсеместного распространения стандарта 5G, роста вычислительной мощности устройств, развития нового продвинутого периметра сети (Intelligent Edge).

Для специалистов по безопасности критически важным станет использование возможностей искусственного интеллекта (AI) и машинного обучения (ML) — для ускорения предотвращения, обнаружения угроз и реагирования на них.

Эффективный и интегрированный анализ угроз также будет важен для улучшения способности организации защищаться в реальном времени, поскольку скорость атак будет расти.

Group-IB

Дмитрий Волков, технический директор Group-IB и глава Threat Intelligence & Attribution:

— В 2020 году мир столкнулся с серьёзным вызовом: пандемия коронавирусной инфекции, обострение противостояния между крупнейшими государствами, нестабильность на финансовых рынках. Паралич целых отраслей экономики, массовый перевод сотрудников на удалённый режим работы, массовые сокращения привели к всплеску компьютерной̆ преступности.

В этом году подавляющее большинство преступных групп переключилось на работу с шифровальщиками: с их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение — значительно проще. Набирает обороты Big Game Hunting — атаки на крупные компании с целью получения значительного выкупа, к которым присоединяются новые группировки, появляются коллаборации с другими представителями киберкриминального мира. Преступные группы Cobalt и Silence, основной целью которых раньше были банки, переключились на использование шифровальщиков и стали участниками приватных партнёрских программ.

В целом, суммарный ущерб от нападений программ-шифровальщиков составил $1 млрд. Основными их целями были США, Великобритания, Канада, Франция и Германия. В топ-5 наиболее пострадавших от шифровальщиков отраслей вошли производство (94 жертвы), ритейл (51), госучреждения (39), здравоохранение (38), строительство (30).

Ещё одним трендом 2020 года стал расцвет рынка продажи доступов в скомпрометированные сети компаний. В 2,6 раза выросло количество продаж доступов в корпоративные сети.

Явные последствия пандемии — долгосрочный рост киберпреступности. Самоизоляция привела к тому, что многие люди оказались без работы и вынуждены искать новые источники дохода. Повторяется ситуация 90-х годов, только она в десятки раз хуже: сильно увеличилось проникновение цифровых сервисов. В период ближайших 3–5 лет мы увидим стремительный рост IT-преступности: во многих регионах сложилась сложная экономическая ситуация, которая побуждает людей переходить на тёмную сторону.

Финансово мотивированная преступность будет наиболее развитой и часто встречающейся. Но нельзя сбрасывать со счетов и шпионаж: политический, межгосударственный и корпоративный.

Мы ожидаем появления групп, которые будут специализироваться на атаках именно на промышленные предприятия, получать доступ к SCADA-системам, чтобы манипулировать процессом производства. Из-за обострения обстановки на Ближнем Востоке, возможно, будут проведены первые атаки на системы управления транспортными судами в Персидском заливе. Ожидается увеличение количества диверсионных операций на объектах критической инфраструктуры Ирана, особенно связанных с ядерной программой.

Учитывая нарастающие противостояния между государствами, ожидается, что будут зафиксированы первые атаки на операторов связи с целью вызова логической перегрузки сети, что приведёт к каскадному эффекту и повлияет на множество секторов экономики. Нападения на энергетический сектор с целью саботажа будут проводиться на Ближнем Востоке или в странах с новыми военными конфликтами. Хакерские группы, использующие JS-снифферы, будут представлять основную угрозу для онлайн-ритейла, особенно в США. При этом основные риски бизнеса будут связаны со штрафами за нарушение безопасности, а не с возмещением ущерба клиентам или репутационными потерями. В следующем году не ожидается большого количества традиционных атак на банки с целью хищений. Редкие инциденты возможны, но широкой практики, как раньше, не будет.

Infosecurity a Softline Company

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity (ГК «Софтлайн»):

— С точки зрения общих трендов можно сделать следующие прогнозы:

1. Облачный и гибридный SOC в противовес on-premise. То время, когда иметь SOC было просто модно, уже прошло. Спрос на услуги коммерческих SOC растёт прямо пропорционально повышению ИБ-зрелости российского бизнеса. Однако если основываться на статистике по проектам текущего года, то пользователи всё больше и больше выбирают облачный сервис или «гибридную» схему на базе существующего у заказчика SIEM-решения.

2. Увеличение доли сервисов, оказываемых по модели MSSP. Всё больше крупных и средних организаций открывают для себя оказываемые сервис-провайдерами управляемые услуги по предоставлению сервисов информационной безопасности на коммерческой основе. В России модель MSSP ещё только начинает набирать обороты, хотя до мировых показателей, конечно, ещё далеко. Всё больше заказчиков начинают доверять сервис-провайдерам, передавать на аутсорсинг ключевые IT- и ИБ-процессы.

3. 187-ФЗ получит новый виток в развитии. За последние несколько лет законодательство РФ в области ИБ заметно ужесточилось. Нормативная база по средствам защиты информации в государственных организациях, регламентированная приказами ФСТЭК России, будет нуждаться в обновлении: в обоих документах содержится конкретный перечень рекомендуемых для внедрения решений, однако часть из них уже технологически устаревает и неспособна должным образом защитить информационные системы от современных внешних угроз.

4. Увеличение расходов на кибербезопасность, ориентированных на соблюдение требований. Ожидаем, что всё больше организаций начнут увеличивать объём инвестиций в свою кибербезопасность и защиту данных, чтобы избежать санкций со стороны регулирующих органов в сочетании с дорогостоящими коллективными и индивидуальными судебными исками от клиентов, данные которых были украдены или скомпрометированы.

5. Кадровый голод. Всё больше молодых специалистов сразу после института хотят «всё и сразу», не имея в своём багаже какого-либо существенного опыта. Им неинтересно проходить долгий и сложный путь обучения и развития, набирая опыт и компетенции. Квалифицированные же специалисты, в свою очередь, давно и успешно трудоустроены. Особенно остро такая проблема характерна для регионов с традиционно меньшим уровнем зарплат.

Если же говорить с точки зрения атакующих, то видится следующее:

1. Изощрённые атаки программ-вымогателей стремительно разрастаются. Для всех, кто способен покупать биткоины или другие цифровые валюты, станут легко доступны программы-вымогатели как услуга (RaaS).

В отличие от огромного количества убыточных стартапов, сегодняшняя сцена киберпреступности характеризуется зрелостью, высокой производительностью труда и прибыльностью: одни группы разрабатывают сложные вредоносные программы, другие готовят масштабные атаки или предоставляют многоязычную поддержку по телефону для жертв, чтобы упростить выплату выкупа в биткоинах.

2. Устаревшее программное обеспечение с открытым исходным кодом, снижающее киберустойчивость. В период пандемии большинство сильно пострадавших предприятий отдавало предпочтение недорогим предложениям по разработке программного обеспечения по всем другим критериям. Как следствие, они получили соответствующее качество кода и соответствующую безопасность своего программного обеспечения, в том числе с введёнными недокументированными компонентами OSS и фреймворками для экономии времени программирования.

3. Bug Bounties, продолжающие преобразование в тестировании на проникновение. Основоположники коммерческих платформ bug bounty продолжают изобретать себя заново, предлагая тестирование на проникновение нового поколения, red teaming и другие услуги, по подписке или разовые. Примечательно, что при этом они обычно платят своим «охотникам на ошибки» за успех.

4. Варианты атак с повторным использованием паролей, нацеленные на третьих лиц для Snowball. В то время как 2020 год стал рекордным по количеству украденных данных, включая учётные, большинство взломанных логинов и паролей можно легко купить или найти в дарквебе и на других хакерских ресурсах. Современные киберпреступники проницательны и прагматичны: они предпочитают безопасные и недорогие операции проведению изощрённых хакерских кампаний с сопутствующим риском быть обнаруженными и привлечёнными к ответственности.

5. Увеличенная внешняя поверхность атаки для упрощения и ускорения кибератак. Работа из дома привела к рекордному количеству открытых ИТ-ресурсов и облачных ресурсов, от открытых серверов RDP и VPN до устройств IoT и консолей администрирования устройств безопасности, таких как защищённые шлюзы электронной почты или межсетевые экраны веб-приложений. Бесчисленные организации бросились хаотично оцифровывать свои критически важные бизнес-процессы, не предпринимая никаких мер по обеспечению защиты данных.

6. Работа из дома, мешающая внедрению DevSecOps и замедляющая его. DevSecOps приобрёл большую популярность в последние несколько лет. Совместные усилия разработчиков программного обеспечения, ИТ-персонала и команд кибербезопасности, бесспорно, приносят гибкость, эффективность затрат, а также позволяют существенно сократить количество нарушений и инцидентов в области ИБ. Хаос и серьёзные разрушения из-за пандемии COVID-19 свели на нет большую часть усилий: теперь люди работают изолированно дома и имеют большее количество задач, что сокращает сотрудничество и общение с другими командами.

7. Киберпреступники всё чаще используют машинное обучение и искусственный интеллект при разработке более эффективных атак. Уже несколько лет киберпреступники применяют машинное обучение для автоматизации и оптимизации всевозможных задач и процессов: от профилирования жертв до более быстрого обнаружения устаревших систем. Растущая доступность фреймворков машинного обучения и специальных аппаратных возможностей, доступных для почасовой или ежемесячной аренды, будет способствовать дальнейшему распространению злонамеренного использования ИИ киберпреступниками.

One Identity

Олег Шабуров, региональный менеджер One Identity:

— На протяжении всего 2020 года исследователи по информационной безопасности находили на общедоступных ресурсах всё больше новых выгрузок пользовательских данных. Под конец года всё это дополнилось серьёзной утечкой инструментов, которые могут быть использованы как для выполнения тестов на проникновение, так и для проведения атак.

Очевидно, что в 2021 году стоит ожидать результатов от происходящего в 2020-м. Поэтому с уверенностью можно сказать, что в следующем году:

1. Продолжит расти количество атак, использующих базовые, но до сих пор весьма эффективные методы, — начинающихся с фишинговых рассылок и социальной инженерии. Это связано с наличием большого количества информации о пользователях, находящейся в руках у злоумышленников.

2. Перевод на «удалёнку» во многих компаниях проводился в спешке. Логично предположить, что это позволило злоумышленникам проникнуть в инфраструктуры компаний и закрепиться там, оставшись незамеченными. В следующем году стоит ожидать, что злоумышленники будут активно использовать эти наработки.

Данные атаки будет труднее обнаружить, так как стадии атаки будут существенно растянуты по времени и их будет более сложно детектировать средствами защиты.

3. Постоянно развивающиеся технологии нападения, дополненные инструментарием, украденным у одного из ведущих производителей по ИБ, не позволят компаниям по всему миру расслабиться. Поэтому стоит ожидать новостей о новых громких инцидентах, связанных с ранее неизвестными векторами атаки.

Всё это подтолкнёт компании по всему миру уделять больше внимания управлению доступом в целом и привилегированным доступом в частности.

Яков Фишелев, руководитель представительства One Identity в России и СНГ:

— Новые условия работы в 2020 году подтолкнули компании активнее внедрять системы управления доступом. Количество новых IdM-проектов One Identity в России и СНГ в 2020-м примерно в два раза выросло по сравнению с 2019 годом.

Пример типичного сценария в условиях пандемии — необходимость массово запросить новые доступы всему отделу, всему департаменту или на всю компанию; с помощью IdM это можно сделать в один клик.

Другой пример — это возможность самостоятельно удалённо сменить пароль (с применением дополнительного фактора аутентификации).

В целом, по нашему прогнозу, функции самообслуживания (заявки / согласования доступа и ролей, делегирования, аттестации владельцами ресурсов) продолжат развиваться в 2021-м, т. к. это — безусловная необходимость в условиях удалённой работы сотрудников.

В этих условиях понятность, эргономика и гибкость портала IdM приобретают особую важность.

R-Vision

Александр Бондаренко, генеральный директор R-Vision:

— В предстоящем 2021 году продолжат набирать силу тенденции, которые задал уходящий 2020-ый. До полной победы над пандемией пока ещё далеко, а значит, по-прежнему будет актуальна потребность в удалённом режиме работы, будет сохраняться непростая экономическая ситуация в мире и, как следствие, продолжится рост и количества, и уровня изощрённости кибератак.

Массовый переход на «удалёнку» только обнажил все имевшиеся проблемы в безопасности крупных компаний. Очень многие базовые вопросы либо не закрыты, либо не реализованы на достаточном уровне. Так что 2021-ый потребует проведения серьёзной работы над ошибками, но при этом в жёстких боевых условиях. Именно поэтому я думаю, что основной интерес специалистов по информационной безопасности в больших компаниях будет направлен в сторону эффективного использования текущих решений за счёт автоматизации, аутсорсинга и профессиональной «прокачки» собственной команды реагирования на инциденты.

Что же касается небольших организаций, то для них переход на облачные технологии, в том числе и в вопросах информационной безопасности, — это уже данность.

В непростых экономических реалиях важен каждый рубль, и поэтому получение необходимых технологий / сервисов по операционной модели будет выглядеть максимально привлекательным.

Надо сказать, что и крупные предприятия также начнут всё большее предпочтение отдавать сервисной модели получения услуг и технологий, т. к. с финансами у всех всё достаточно напряженно.

Если говорить про развитие киберугроз, то следует ожидать дальнейшего роста количества фишинговых атак на пользователей, что в конечном итоге будет приводить к утечкам информации и громким инцидентам. Также я бы ожидал роста количества публичных инцидентов, связанных с компрометацией так называемой цепочки поставки (supply chain), наподобие того, что под конец года произошёл с компанией SolarWinds.

Thales

Сергей Кузнецов, региональный директор Thales по решениям для управления доступом и защиты данных:

— Первый тренд: OTP вытесняет и дополняет PKI. Очевидно, что в будущем PKI останется в виде виртуального токена, дополненного биометрией и / или одноразовыми паролями. В мире и в России мы видим быстрый рост OTP, потому что это очень удобно и при этом почти так же безопасно, как PKI.

Всё равно у каждой технологии есть свои слабые места, а главный критерий для выбора — всё-таки цена: сколько готов заплатить заказчик за базовый уровень защиты, и тут по сочетанию «стойкость-удобство-цена» OTP вне конкуренции.

Второй тренд: аутентификация становится сервисом по подписке. Такой подход, во-первых, позволяет заказчикам перевести свои расходы на многофакторную аутентификацию из капитальных в операционные, а во-вторых, снизить сами эти расходы за счёт эффекта масштаба. При локальном внедрении его могут добиться только крупные заказчики, а благодаря провайдерам услуг аутентификации решение становится экономичным и для небольших компаний.

И, наконец, третий: получает распространение контекстно зависимая аутентификация, при которой принимается во внимание уровень доверия к устройству и к среде, а также уровень запрашиваемых полномочий. Именно такой подход обеспечивает баланс между удобством для пользователей и администраторов и степенью защиты приложений и данных.

UserGate

Дмитрий Курашев, директор UserGate:

— Все угрозы, связанные с деятельностью различных хакерских группировок, были, есть и будут. Но сейчас мы сталкиваемся с совершенно новым видом угроз. Они связаны с тем, что мир сейчас сильно сегментируется.

Есть решения, которые подконтрольны правительствам той или иной страны, есть те, которые не подконтрольны. Главная угроза состоит в возможном злонамеренном использовании сторонних решений с подачи спецслужб иностранных государств.

И самое страшное состоит в том, что мы не знаем об этих уязвимостях до того момента, как ими кто-либо захочет воспользоваться.

Varonis

Даниэль Гутман, глава Varonis в России:

— В наступающем году развитие мирового и российского рынка кибербезопасности будут определять два главных фактора. Первый — это рост киберпреступности, который обусловлен изменением ИТ-ландшафта и размыванием периметра компаний. Более того, ухудшение экономической обстановки в 2020 году мотивировало киберпреступников к повышенной активности. И эта тенденция будет сохраняться в следующем году.

Второй фактор — это перераспределение ИТ-бюджетов в пользу информационной безопасности, то есть доля расходов на ИБ в общей структуре ИТ-бюджета повысится. Это связано с тем, что сложность защиты бизнес-процессов с переходом на удалённую работу увеличилась на порядок. Если раньше компаниям приходилось защищать всего одно рабочее пространство, то с переводом сотрудников на «удалёнку» стало необходимо защищать несколько сотен или тысяч маленьких домашних офисов. Если раньше сотрудник физически находился на работе и можно было легко отследить, что именно он входит в информационную систему, то теперь всё изменилось. При входе в системы компании видна только учётная запись, за которой может скрываться кто угодно, и отличить злоумышленника от легитимного сотрудника можно, как правило, только по его поведению.

Всё это уже привело (и эта тенденция продолжится) к децентрализации инфраструктуры и активному использованию систем коллаборации сотрудников, например Microsoft Teams.

К сожалению, пока мало кто понимает, что вместе с удобством коллаборации и командной работы приходят новые ИБ-риски и угрозы, которые нужно будет формализовать и быть готовыми защищаться от них.

Уровень зрелости информационной безопасности будет продолжать расти, поэтому увеличится спрос на системы поведенческого анализа, которые являются относительно новым классом решений как для российского, так и для мирового рынка. Главная задача, которую придется решать средствам поведенческого анализа, — генерация минимального числа качественных оповещений о потенциальных инцидентах.

Для этого требуется применение продвинутой технологии машинного обучения, которая обеспечит интеллектуальный сбор, нормализацию, фильтрацию и обогащение событий контекстом. Это станет для многих игроков рынка серьёзным вызовом.

Web Control

Андрей Акинин, CEO и основатель Web Control:

— Уходящий год сильно изменил бизнес-ландшафт, по сути дела произошёл тектонический сдвиг в сторону удалённой работы, и сомнительно, что в новом году в офис вернётся большинство сотрудников. Соответственно, останутся по-прежнему актуальными средства контроля удалённых пользователей и управления ими, а также удалённой поддержки сотрудников. Офис стал распределённым, и тема защиты периметра окончательно канула в Лету. Новый формат организации труда вынуждает сфокусироваться на защите и контроле не периметра и не привилегированных пользователей, а каждого отдельного пользователя, от которого зависит реализация бизнес-функций компании. Распределённый офис занимает доминирующее положение сегодня, и эта ситуация вряд ли изменится, что даёт огромные возможности для злоумышленников. Таким образом, контроль пользователей и удалённого доступа останется одним из трендов в 2021 году.

Основным трендом станет DevSecOps. В этом году для всех стало очевидным, что недостаточно сканировать готовый продукт на уязвимости. Возможности внедрения уязвимостей в ПО нельзя исключить на всех этапах его поставки.

Последний инцидент с компрометацией дистрибутива уже после финальных проверок — это яркий пример необходимости обеспечения безопасного процесса создания ПО, а не только кода. И чем раньше будет обнаружена потенциальная угроза, тем проще и дешевле её изолировать и устранить. Девизом следующего года станет «Shift left» — думай о безопасности у истоков процесса создания ПО.

Zyxel

Натан Йен (Nathan Yen), заместитель вице-президента Zyxel по направлению межсетевых экранов и шлюзов безопасности (Senior AVP of Zyxel’s Gateway Business Unit):

— Вот как я вижу рейтинг угроз в 2021 году: 1) использование уязвимостей в сетевых устройствах, 2) атаки на встраиваемые устройства, работающие в сетях 5G, 3) вирусы-вымогатели.

Лишь незначительная часть киберпреступников стремится создавать вирусы, троянские программы и т. п. Это потеря времени и денег, так как для этого нужно обладать высокой квалификацией. Конечно, среди хакеров есть и высокие профессионалы, способные на это, так что новые вирусы мы с вами по-любому увидим. Однако я считаю, что главная киберугроза 2021 года будет другой. Найти уязвимость в устройстве и использовать её для проникновения — вот что приносит плоды значительно быстрее. Злоумышленники будут стараться выяснить, какие устройства и программы используются в сети, найдут их уязвимости и перехватят контроль над атакуемыми системами и сетями.

На свете не существует 100 % защищённых сетевых устройств. У всех есть уязвимости. Таким образом, чрезвычайно важно, чтобы производитель уделял приоритетное внимание своевременному устранению уязвимостей.

Например, в Zyxel мы расширили специализированный департамент PSIRT (Product Security Incident Response Team), отвечающий как раз за это. Персонал департамента использует проактивные способы поиска источников возникновения угроз, тем самым выстраивая и воплощая в жизнь детальный план устранения уязвимостей. Мы не просто отвечаем на уже появившуюся проблему, мы анализируем поведение злоумышленников, защищая не только устройства безопасности, но все устройства в конкретной сети.

Что касается второй части вашего вопроса, то тут я бы разделил свой ответ на 2 части:

1. Защита за периметром сети — облачные технологии защиты. В то время как сотрудники работают удалённо, жизненно необходимо иметь унифицированную и последовательную политику безопасности по отношению к ним. В этом случае для защиты сети следует использовать централизованный подход. И он базируется на использовании облака. Бизнесу следует применять такую политику, которая бы работала для всех филиалов компании, всех устройств и пользователей, где бы они ни находились. Администратору необходимо управлять несколькими разделёнными сетями, к которым присоединяются множество удалённых клиентов, и защищать эти сети. И централизованная система управления сетью не только значительно облегчает эту задачу, но и демонстрирует высокую эффективность.

Почему облако? Его можно настроить для контроля распределённых сетей любого размера при постоянном добавлении новых пользователей и их постоянном географическом перемещении.

2. Защита внутри периметра сети — сетевая структура Zero Trust. Специалисты дали терминологическое название Zero Trust («никому не доверяй») сетевой архитектуре, которая в последнее время завоёвывает всё большую популярность. Её суть заключается в том, что киберзащита переходит из статической фазы, основанной на известных параметрах сети, в стадию фокусировки на пользователях, активах и ресурсах. Архитектура Zero Trust способствует эффективной защите пользователей, работающих из дома на своих устройствах (BYOD), и интеллектуальных активов компании, расположенных в облаках.

Выводы

Подводя итог, напомним вкратце основные тезисы нашего обобщения.

Главные тематические области, которые привлекли внимание экспертов, — это расширение фронта атак за счёт массового перехода на удалённую работу, повсеместное возникновение распределённых и разрозненных инфраструктур, безопасность «домашнего офиса», высокая вероятность атак на критические информационные системы и на новые технологии вроде 5G, а также утечки данных с последующим использованием полученных сведений в фишинге, социальной инженерии и прочих подобных формах вредоносной активности.

Кроме того, эксперты отметили тенденции внедрения машинного обучения и искусственного интеллекта (как защитных, так и вредоносных), рост количества атак и киберпреступности в целом, аутсорсинг информационных технологий и предоставление услуг по обеспечению безопасности взамен локальных проектов (on-premise).

Теперь, когда все мнения высказаны, осталось сделать лишь одно: вернуться к прошлогоднему обещанию и выбрать лучшего прорицателя. Несомненно, что этот выбор в любом случае будет носить условный характер, потому что события 2020 года определялись таким фактором, который невозможно было учесть. Тем не менее, дал слово — держись.

Редакционный аналитик внимательно изучил все мнения наших партнёров, прозвучавшие в конце 2019 года, и вынес следующий вердикт. Ближе всего к действительности оказались прогнозы от BI.ZONE, где говорилось о главном тренде в виде утечек данных, и от «Аладдин Р.Д.», где предлагалось ожидать много новых нормативных правовых актов, идущих в ногу с развитием технологий. Действительно, основными явлениями в 2020 году были утечки и изменение отношения к ИТ / ИБ со стороны государства (от послабления в налогах до отслеживания перемещения граждан и пр.), породившее изрядное количество документов.

Источник: https://www.anti-malware.ru/analytics/Threats_Analysis/2021-Cyber-Threats-and-Information-Security-Forecast