Кендид Уест, Acronis: В бъдеще ще видим атаки с използването на изкуствен интелект

Кендид Уест, Acronis: В бъдеще ще видим атаки с използването на изкуствен интелект

Вицепрезидент по изследванията в Acronis разказва как са се променили заплахите през пандемията, какво да направи дадена компания за по-добрата си защита и какви заплахи очаква в следващите години.

Деница Дженева
1004 прочитания

Г-н Уест, как се промениха киберзаплахите от началото на пандемията?

Не бих казал, че самите заплахи се промениха много, но промениха значително начина на говорене. По време на пандемията буквално за ден хората трябваше да започнат работа от вкъщи. Много компании направиха прехода в спешен режим, което означава, че не всички го направиха правилно. Така че през първите 6 месеца от локдауна липсваха конфигурации и политики за сигурност. Нямаше време за тестове, наблюдение, преценка как да се осигури правилната защита. През тази година организациите започнаха да се връщат назад и да анализират какво е трябвало да направят по отношение на защитата.

Кой беше по-бърз в тази ситуация - лошите или добрите?

Лошите винаги са по-бързи. Пандемията дойде едновременно бързо и бавно. Първите случаи в Китай бяха регистрирани през декември, но по това време никой не знаеше как ще се развие ситуацията. Въпреки това още тогава вече имаше фишинг имейли, които говореха за COVID-19. Специалистите по сигурността наблюдаваме подобни случаи и при други събития, като земетресения или големи самолетни катастрофи. Обикновено отнема едва час или два, за да започнат да се появяват първите имейли със спам по темата. Тези съобщения са предварително направени, само чакат да се появи съдържанието, за да бъдат разпратени. Такива са примерно "Това е вашият Zoom акаунт, защото вече работите от вкъщи" или "Това е вашият Office 365 акаунт, който можете да достъпвате от дома си". Малуерът вече е подготвен, само трябва да се попълни историята за него.

С какви атаки се сблъскахте през последната година?

Наблюдавахме огромен ръст във фишинг имейл атаките, които се опитват да откраднат паролите. По време на пандемията много компании преминаха към облачни услуги, например Microsoft 365. Когато зловредни лица откраднат този акаунт обаче, автоматично получават и достъп до SharePoint, Teams и т.н. След като веднъж проникнат, те претърсват компютъра за интересна информация и атакуват контактите на дадения потребител. По този начин всички те получават имейл от доверен източник.

Видяхме и много опити за пробиви в инструментите за колаборация като Teams, Zoom, Webex. Там заплахите имат няколко аспекта едновременно. От една страна, много хора търсят слаби места в тези програми, защото знаят, че сега всички ги използват. И, разбира се, ги намират. Имаше такива и в Teams, и в Zoom, които позволяват да се изпрати зловреден код на всички участници в срещата. А в същото време използването на тези програми нарасна в пъти през последните месеци. Колкото по-голям е пазарният дял на дадена платформа, толкова е по-интересна за хакерите.
Опитите за пробиви, които наблюдавахме, бяха няколко вида. Някои хора се опитваха просто да се включат в разговорите, например часовете в училищата. Това бяха предимно младежи, които искат просто да попречат на учебния процес със силна музика или друг подобен дразнител. Това може да се нарече пасивно-агресивна атака, но не е зловредна. Видяхме обаче и опити за пробиви с цел достъп до чувствителни данни или друга интересна информация. Станахме свидетели и на DDos атаки, отново насочени към тези системи за видеоконференции, които целят да създадат неудобства на провеждащите онлайн срещи. Напълно отделно от всичко това виждаме постоянен ръст в рансъмуер атаките. Те се увеличават независимо от пандемията, защото са много печеливши.

По-насочени ли стават рансъмуер атаките?

Да, започнаха да стават по-насочени. Някои от групите атакуват големи компании, защото могат да получат повече пари от тях. Целят са компании като Garmin (производител на GPS тракери) - на тях им се наложи да платят 10 милиона долара, за да са сигурни, че данните им няма да изтекат. Colonial Pipeline в САЩ дадоха 4.4 млн. долара откуп. За сравнение - малките и средни компании могат да платят до едва 200 000 долара. Така че, дори да е по-трудно и времеемко да пробиеш голяма компанията, печалбата си заслужава. Втората тенденция, която наблюдаваме, е фокус върху доставчиците на услуги. Зловредните лица осъзнават, че ако успеят да пробият доставчик на услуги като Compucom (Канада) например, те могат да вземат данните на всички техни клиенти и да започнат да изнудват всеки един от тях. Така вместо еднократно 100 000 долара, те могат да получат от всеки клиент по 50 хиляди и накрая да спечелят повече пари. И за съжаление тази схема работи доста добре, тъй като доставчиците на услуги имат пълен достъп до системите на своите клиенти, за да инсталират софтуер, включително рансъмуер.
Това е нещо, което наблюдаваме в момента и ще продължим да наблюдаваме, защото някои групи правят милиони. Например Ryuk печелят по 5 милиона на месец от откупи. Някои хакери вече са арестувани, но има други хора, които искат също да правят милиони. Все повече хора навлизат в този бизнес и вече се оформя тенденцията за откуп-като-услуга. Дори хора, които не разбират от компютърни науки, могат да платят 1000 долара на някого за рансъмуер атака и да получат 70% от откупа, който той ще вземе. Това вкарва повече хора в играта.

Трудно ли се открива рансъмуер от специалистите?

За специалистите по сигурността рансъмуерът е твърде шумен и натрапчив. Той се опитва да криптира данните ви. И тъй като се сблъскваме с това от 8 години, знаем как данните могат да бъдат манипулирани, следим за сигналите и когато някой се опитва да криптира данните, можем да го блокираме и след това да възстановим данните, които може да са били променени. За нас рансъмуерът е много лесен за откриване, защото знаем как се опитва да манипулира данните. По-предизвикателни са атаките, които се опитват да бъдат по-незабележими, като атаките към бизнес процесите. Например имахме случай в Германия, в който зловредни лица бяха пробили в системата за издаване на фактури, бяха променили образеца и IBAN-а на сметката на компанията. Компанията продължаваше да изпраща истински фактури на своите клиенти, но с грешен номер на сметката. Отне им 6 седмици да го оправят, защото не получаваха никакви пари. В този случай не е замесен никакъв малуер, не се налага криптиране на данните, но все пак се правят милиони. И това са нещата, които очакваме да виждаме все по-често. Хакерите наистина познават своите мишени, те познават мрежите им по-добре сигурно дори от системните им администратори. И за съжаление правят пари от това.

Как тенденцията Bring your own cloud се отразява на сигурността?

Определено наблюдаваме ръст в тенденцията на използване на собствени устройства. Хората работят от вкъщи и не всяка организация има достатъчно на брой лаптопи. Компаниите изкупиха всички налични в мрежата преносими компютри и сега с проблемите във веригата от доставки все още има недостиг на устройства. Затова и хората използват старите си лаптопи вкъщи. Може би те не са достатъчно защитени, може би в домашната мрежа има други устройства, например тези, на които играят децата, и всичко това сега е в една и съща мрежа. Досега тенденцията беше Bring your own device на работа, сега е "вземи устройството си вкъщи". Всичко обаче е насочено към данните. Вече няма значение дали данните са в корпоративна среда, ако са на работния ви компютър или в облака, трябва да бъдат защитени. Виждаме промяна в начина на мислене. Допреди две години хората все още мислеха, че има големи стени около организацията и всичко вътре е защитено. Сега вашият телефон се свързва директно с облака. Преди две години за свързване с корпоративните данни имаше VPN клиент и след това с облака. Което не е правилният начин, защото забавя връзката, може да сте във ваканция в Мексико и през VPN-а данните отиват до България и после обратно до Северна Америка. Сега крайната точка се свързва директно с облака. Трябва да се настрои контролът на достъпа и контролът на данните. Да се вижда кой достъпва данните и какво прави с тази информация. Хората започват да се научават, ние сме вече много добри да правим това на лаптопи и настолни машини, но повечето компании все още не са толкова добри в облачна среда. За момента липсва знание и време, за да се направи правилно. Според нас новият периметър е идентификацията. В крайна сметка няма да има значение дали е конкретният служител на своя телефон или таблет, или на лаптопа, важното е, че неговата самоличност има достъп до тези данни без значение къде са те. Важна е идентичността на потребителя. Затова са нужни силни пароли, анализ на поведението - да се провери какво обикновено прави даденият потребител. Ако в определен момент започне да комуникира с Китай примерно, това може да е сигнал. Това е деликатно, защото не всеки иска да бъде наблюдаван, да каже, че използва лаптопа и за лични неща. В Европа това става все по-трудно. В САЩ просто се подписвате, че даденият лаптоп е собственост на компанията и не може да правите лични неща на него. Трябва да има баланс между наблюдението и пазенето на данните, съобщаването, когато има нещо подозрително, но не всяка дейност на потребителя.

Кога ще спрем да използваме пароли?

В нашата индустрия всяка година си казваме, че от догодина ще се отървем от паролите или поне ще намалим броя им, но това не се случва и няма да се случи през следващите 5 години. Затова препоръчвам да се използват password managers - софтуер, който може да пази вашите пароли, има добри приложения за мобилни телефони. Те помагат да запомняте различни пароли и да избягвате фишинг уебсайтове. Защото, ако ги имате интегрирани в своя браузър и отидете на сайта на вашата банка, обикновено има поле, в което да въведете паролата си. Ако сте на фишинг уебсайт, мениджърът ще каже, че не знае паролата за този домейн, защото е различен от познатите му. В този момент ще осъзнаете, че може би се намирате на грешен сайт. Можете да използвате и хардуерни токени и дори мобилния телефон, защото това също е още един фактор - нещо достатъчно лично, което притежавате. Има системи, които използват bluetooth за идентификация - ако вашият телефон е близо до лаптопа, той може да го отключи. Очакваме и някои стандарти скоро да се появят за силна автентикация на токените и на уебсайтовете. Не бихте искали да се логвате на всеки отделен уебсайт, ще предпочетете да го направите веднъж, например с Facebook профила си. Проблемът е, че хората не харесват Facebook по различни причини. Съществуват обаче стандарти, които могат да се използват за правилната автентикация. Например с използване на Майкрософт акаунта ви не е нужно да се вижда каква е паролата, а само да се потвърди, че това е правилният потребител. Мисля, че след три или четири години ще сме на това ниво. Но до 10 години все още ще имаме някои системи, които ще искат парола, и за съжаление това означава, че ще бъдат хаквани или хората ще измислят глупави и лесни пароли като Covid-19 и ще бъдат хаквани.

Да се върнем на корпоративната страна на сигурността. Преди години мениджърите проявяваха склонност да подценяват важността на информационната сигурност. Промени ли се това?

За съжаление не. Все още виждаме да се правят същите грешки като преди 10, 5 години или миналата година. Ако вземем за пример пачовете за уязвимости, всички знаят, че трябва да ги инсталират. Но не го правят навреме. Такъв беше случаят с WannaCry преди 5 години - голямата рансъмуер атака, вследствие на която здравната система на Великобритания беше свалена. Отчасти това се дължи на факта, че два месеца преди това е имало пач, но хората не са го инсталирали. Те си мислеха, че това е болница, тя е изолирана и няма външен достъп до нея. Тази година се случи с Exchange Server и отново отне 2 или 3 месеца на хората да го инсталират. Мисля, че все още не сме се научили. Въпросът е как да ги накараме да се научат. Мисля, че най-добрият начин, и така, както го правим в Acronis, е по най-простия и лесен начин - инсталирайте пачовете автоматично. Може да се прави бекъп преди пача, така че ако нещо се обърка, да има откъде да се възстанови. Трябва да заложим повече на автоматизацията. Много компании се страхуват от роботите, но затова има опции - при дадени събития може управлението да се поема от специалист по сигурността.

Вие като компания за защита сигурно сте се сблъсквали с опити за атаки. Как най-често се опитват да ви пробият?

Има всякакви опити, като започнем от традиционните Denial of Service (DoS) и Distributed Denial of Service (DDoS), които просто се опитват да сринат услугите ни за определен период от време. Това е нормално и се решава лесно - чрез филтриране на мрежовия трафик. По-интересните атаки са на тези, които се опитват да се логнат в облачните услуги на клиентите ни. Имаме облачна конзола и ако някой успее да се логне като наш служител, може да изтрие бекъпите или, както сме виждали при други компании, да създаде друг бекъп на вашия имейл сървър. По този начин може да се откраднат данни, защото,ако направя бекъп, вече имам вашите данни. За да се предпазим от това, използваме двуфакторна автентикация, но също така имаме ограничения - ако някой се опитва да отгатне вашата парола, го блокираме.
Освен това получаваме класическите фишинг имейли, например "Това е проучване на HR отдела", "Има грешка във вашата отпуска" и т.н. За мен няма проблем да идентифицирам тези имейли и дори да кликна на някой по погрешка, системата е защитена. Но атаки не липсват и трябва периодично да обучаваме служителите, за да знаят какво да очакват, къде да подадат сигнал за съмнителен имейл на отдела по сигурността. Когато получим фишинг имейл, той обикновено не е до един човек, може да е до 10, 100 души или повече. Когато го видим за първи път, можем да автоматизираме правилата, да кажем "нека да го блокираме" и да го премахнем от кутиите на останалите получатели. Ако има прикачен файл, част от работата на моя екип е да се уверим, че е засечен от нашия classical signature или друг механизъм, така че дори някой да кликне на него, няма да има щети за компанията. Това, което виждаме, са класически атаки, колкото по-разпознаваеми ставаме като компания за киберзащита, толкова повече ни атакуват. От една страна, за хакерите това е предизвикателство, те искат да пробият НАСА, Пентагона, сега на мода са компаниите за сигурност. От друга страна, ако някой успее да пробие нашата защита, това ще е опустошително за клиентите ни. Затова имаме дори допълнително ниво на сигурност в нашия софтуер, така че никой да не може да сложи задна врата. Това ще е много лошо, ако клиентите получат ъпдейт, за който им казваме, че е спешно да инсталират и с него да се сдобият със задна врата. Затова следваме класическия цикъл за разработване на софтуер, ако някой от програмистите промени код, това трябва да бъда подписано от други двама членове от различни локации, правим анализи. Дори в последната фаза имаме външни хора, които правят одити и се опитват да атакуват системата ни регулярно. Ако намерят уязвимости, ние им плащаме, защото трябва да сме сигурни, че имаме най-добрия и най-защитения софтуер. Става въпрос за доверие, потребителите трябва да имат доверие на доставчиците на услуги, а те - на Acronis. Смятаме, че могат, но това е процес на постоянно доказване.

Какво ще посъветвате една компания, която иска да бъде защитена?

Да започне с основните неща - да използва силни пароли, да има добро управление на пачовете и да разчита на решения за сигурност и бекъп. Това би бил добър фундамент. Ако не използвате най-добрите практики и основните неща по отношение на сигурността, няма смисъл да изграждате много скъпа система за защита от сложни заплахи. Това звучи много просто, но обикновено не е. Както казахте, с BYOD хората дори не знаят къде и колко са устройствата, които защитават. Разбира се, за малки компании това може да бъде прекалено, към тях съветът би бил: говорете с вашия доставчик на услуга да ви помогне. Ако сте по-големи или по-зрели, можете да следвате някой от наръчниците по сигурност. Като цяло не е толкова сложно, всеки е чувал за това, въпросът е да започне да го прилага.

Накрая, как ще изглеждат заплахите след, да речем, 5 години?

Мисля, че ще видим повече атаки, насочени към бизнес процесите, които променят адреса или банковата сметка във фактурите. Тук става въпрос за промяна на нещо в процеса, което нанася щети на клиентите, независимо дали променят IBAN-а или сриват системата - да не може да изпращате фактури, освен ако не платите откуп. Мисля, че ще видим много повече атаки и като честота, и мисля, че ще се използва изкуствен интелект. Защо да не използват ИИ? Вече виждаме някои от фишинг атаките - те изпращат имейли по различни теми, например: паролата на "Нетфликс" е сменена, моля, влезте тук; друг с Office 365; трети, Вашият Covid сертификат е тук, и след това на база на това къде хората кликват, получават обратна връзка колко е ефективно съдържанието на фишинг имейла. Това може да се автоматизира с machine learning (ML).

Това обаче означава, че трябва да инвестират в ML?

Така е, но за съжаление инвестицията не е никак голяма. Срещу 100 или 200 долара могат да получат скриптовете. Те вече са достъпни, не са много сложни и могат да се намерят на черния пазар. Тези скриптове съществуват и се продават. Ако някой кликне на имейла, той създава обратна връзка и може да се правят анализи на базата на това. На финала зловредните лица могат да направят разбор - "Нетфликс" има 80% кликове, значи работи и ще го задържа, за Covid само 20% са кликнали - не е успешен, затова ще използваме само "Нетфликс". След това алгоритъмът може да добави още ключови думи, да го оптимизира малко, така че сам да увеличи неговия success rate. Очаквам още много по-масирани атаки към местата с голямо количество данни като LinkedIn, Facebook, които са достъпни в интернет. Така могат да правят заплахите си по-персонализирани. Например: това е Кендид Уест, това е неговият имейл и той живее в Швейцария. След това могат да правят много по-персонализирани имейли. Създаването на подобно мемо е много работа, но може да бъде автоматизирано. Със сигурност ще продължи да има рансъмуер, защото е доходоносен, ще има повече фишинг атаки.

Но най-плашещата част е, че ще видим атаки срещу изкуствения интелект. В момента използваме ИИ за защита, за да засичаме подозрителни и неестествени действия и така ги блокираме. Но зловредните лица могат да анализират този модел и статистиките и да разберат параметрите, по които търсим заплахите. След това могат да променят кода си така, че да не попада в тези критерии. А може да направят и обратното - да създадат безопасен файл, който да бъде засечен като зловреден, да го направят да изглежда подозрителен и да наводнят мрежата с такива файлове. Така ще получите много съобщения и в един момент ще решите да изтриете всички. Никой няма да проверява всяка поотделно. Така че след 100 такива файла може спокойно да игнорирате истинската заплаха. Затова трябва да разчитаме повече на машините за подобни дейности, защото хората могат да пропуснат нещо. Машината ще каже "Това изглежда подобно, но има разлики, заради което трябва да бъде анализиран ръчно".

Също така покрай облака ще виждаме повече cloud-to-cloud атаки. С нарастването на броя на услугите в облака, ще има повече опити за атаки от облака към други облаци. Зловредните лица са креативни, ще намират все повече начини да ни държат ангажирани. Мисля, че най-важното е да не се отказвате да се опитвате да защитите данните си. Много компании допускат грешката да си мислят, че не са достатъчно интересни за хакерите. Дори само използването на адрес книгата ви, за да атакуват вашите приятели, това е достатъчно за хакерите. Освен това те също са мързеливи, те хвърлят мрежата в океана и гледат колко риба ще уловят. Трябва да се уверите, че няма да сте от тях.

Г-н Уест, как се промениха киберзаплахите от началото на пандемията?

Не бих казал, че самите заплахи се промениха много, но промениха значително начина на говорене. По време на пандемията буквално за ден хората трябваше да започнат работа от вкъщи. Много компании направиха прехода в спешен режим, което означава, че не всички го направиха правилно. Така че през първите 6 месеца от локдауна липсваха конфигурации и политики за сигурност. Нямаше време за тестове, наблюдение, преценка как да се осигури правилната защита. През тази година организациите започнаха да се връщат назад и да анализират какво е трябвало да направят по отношение на защитата.

Кой беше по-бърз в тази ситуация - лошите или добрите?

Лошите винаги са по-бързи. Пандемията дойде едновременно бързо и бавно. Първите случаи в Китай бяха регистрирани през декември, но по това време никой не знаеше как ще се развие ситуацията. Въпреки това още тогава вече имаше фишинг имейли, които говореха за COVID-19. Специалистите по сигурността наблюдаваме подобни случаи и при други събития, като земетресения или големи самолетни катастрофи. Обикновено отнема едва час или два, за да започнат да се появяват първите имейли със спам по темата. Тези съобщения са предварително направени, само чакат да се появи съдържанието, за да бъдат разпратени. Такива са примерно "Това е вашият Zoom акаунт, защото вече работите от вкъщи" или "Това е вашият Office 365 акаунт, който можете да достъпвате от дома си". Малуерът вече е подготвен, само трябва да се попълни историята за него.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК