22
Пт, нояб

По мере того, как киберпреступность растет нужно сосредоточиться на критических воздействиях

Киберпреступность набирает обороты, а глобальная политическая напряженность усложняет и без того сложную среду кибербезопасности.

В то время как большинство отраслей промышленности пытаются противостоять волнам политической нестабильности, экономических ограничений, нестабильности торговли, регуляторных изменений и нехватки кадров, одна отрасль, по-видимому, быстро поднялась над всем этим - это мир киберпреступности.

По оценкам S & P Global Market Intelligence, киберпреступники ежегодно получают около 1,5 трлн долларов, что в пять раз превышает приблизительную стоимость стихийных бедствий в 2017 году и на 500 млрд долларов больше, чем чистые премии страховой индустрии США, написанные в 2017 году.

Лидеры бизнеса видят кибератаки в качестве своей самой большой угрозы - большей, чем терроризм, угроза финансового кризиса или изменения климата. Это индустрия киберпреступности хорошо поставлена. Darknet демократизировал преступность, позволяя процветать киберпреступности как услуге. Нехакеры могут нанять криминальных экспертов почти так же легко, как выбрать сантехника из справочника. Для потенциальных преступников с менталитетом «сделай сам» у Darknet есть удобные наборы, наполненные всем, что нужно начинающему преступнику, чтобы начать прибыльную карьеру.

«Существует так много ресурсов для киберпреступников», - сказал Дэн Фрушиано, старший вице-президент IronPro. «Вы можете купить наборы вредоносных программ на черном рынке за пару тысяч долларов. Для этого есть огромный рынок».

И, несмотря на быстрое развитие технологий и стратегий безопасности, киберзащитники по-прежнему относительно отстают по сравнению с масштабом угрозы.

Бешеная скорость роста связанных с безопасностью технологий определенно не помогла. Организации более уязвимы, чем когда-либо, отчасти благодаря постоянно расширяющемуся ландшафту атаки. К 2025 году число взаимосвязанных устройств в мире, по прогнозам, превысит 75 миллиардов, открывая для преступников практически бесконечные возможности для атак.

Хуже того, многие из этих устройств «срочно отправляются на рынок, где безопасность - это немного запоздалая мысль», - сказал Гарин Пейс, лидер по киберпродуктам Financial Lines & Property для AIG. «И я думаю, что это тревожная тенденция».

А потенциальные вознаграждения делают киберпреступность неотразимой притягательной силой.

«Финансовая мотивация киберпреступников, например, к совершению атаки с целью вымогательства, экспоненциально больше, чем любая финансовая мотивация, с помощью которой мы могли бы попытаться от нее защититься», - сказала Келли Гири, управляющий директор и лидер киберпрактики в США в EPIC Страховые брокеры & Консультанты. На самом деле, в отчете 2015 года окупаемость инвестиций в операции вымогателей составила около 1425%.

По словам Гири, эти факторы в сочетании с относительно низким риском делают киберпреступность наихудшим видом для идеального шторма. «По сути, это анонимный преступный акт. У него нет географических ограничений. У него очень сильная финансовая мотивация. И с другой стороны, говорите ли вы о правоохранительных органах, об ИТ-специалистах, о больших или малых организациях - у них просто нет ресурсов или навыков для реагирования. И я думаю, что это будет большой проблемой в будущем».

«К сожалению, бизнес не учится достаточно быстро, чтобы заставить преступников делать что-то другое», - сказал Пейс. «Они все еще используют фишинг и вредоносные программы, а также используют украденные учетные данные. Между тем есть предприятия, которые по-прежнему оставляют много данных незащищенными».

Новые повороты старых стратегий

Обладая опытом и передовыми технологиями, преступники нашли способы улучшить и без того эффективные методы атак, такие как социальная инженерия, и сделали так, что от них все труднее защищаться.

Эксперты сообщили о всплеске схем социальной инженерии, когда злоумышленники включаются в законные транзакции между компаниями и их клиентами или поставщиками.

«Мы наблюдаем это в некоторых из наших направлений бизнеса, особенно в сфере недвижимости, где они ориентируются на время закрытия», - сказал Пейс. Злоумышленники могут просочиться в ветку электронной почты об авансовом платеже и сообщить покупателю, что банк, предусмотренный для получения авансового платежа, изменился, и ни одна из сторон ничего не заподозрит».

Даже для внимательных сотрудников подделанные коммуникаций труднее чем когда-либо отличить от реальной переписки. Искусственный интеллект, машинное обучение и обработка естественного языка открыли новую эру, когда электронные письма могут идеально имитировать манеры письма цели, и даже телефонный звонок, который может быть подделан достаточно хорошо, чтобы убедить скептически настроенного сотрудника бухгалтерии, что он или она принимает заказы на электронные переводы от босса.

Технологии на основе искусственного интеллекта, такие как Deepfake Video, могут обмануть кого-то, думая, что он разговаривает с боссом лицом к лицу. Хотя это еще не было использовано в успешной социальной афере, это, вероятно, только вопрос времени.

«ИИ, безусловно, является мощной возможностью, которая позволяет атакующим организациям обрабатывать намного больше данных и получать интересующие их сведения более лучшим образом», - сказал Офер Исраэль, генеральный директор Illusive Networks. «Я думаю, что ИИ используется довольно широко».

«ИИ и некоторые другие появляющиеся технологии создают уравнение« риск-вознаграждение» для киберпреступников, которое для них гораздо выгоднее, чем когда-либо», - добавила Гири.

Высокая уверенность в появлении подлинности побуждает преступников стремиться к еще более высоким достижениям. Под видом завершения иностранного приобретения в ноябре прошлого года злоумышленники украли 18,6 миллионов долларов из индийской компании Tecnimont SpA, занимающейся исследованиями в области энергетики, химии и техники.

Злоумышленники-вымогатели также переключаются, чтобы максимизировать свою прибыльность, анализируя цели и устанавливая суммы выкупа на основе характеристик компании.

«Они изучают сеть, чтобы определить, какой должна быть сумма выкупа», - пояснил Пейс. «Вы знаете, что «эта компания не имеет хороших резервных копий. Мы можем сказать, что они получают доход XYZ в день. Мы собираемся попросить у них 1,2 миллиона долларов, «хотя, может быть, в прошлом это могло быть 25 тысяч долларов».

«Мы увидели, что спрос растет, - согласился Джереми Гиллеспи, вице-президент по региону, руководитель группы кибербезопасности Gallagher на Среднем Западе, упомянув случай с клиентом, получившим запрос на выкуп в размере 700 000 долларов», и это произошло после того, как они обратились в специализированную компанию для проведения переговоров по вопросам кибербезопасности. Таким образом, спрос был, вероятно, еще выше в какой-то момент. Мы слышали истории о сумме выкупа более миллиона долларов».

По мере того, как требования растут, ставки тоже возрастают. Возросшая зависимость от IoT и систем автоматизации и промышленного управления открыла новые двери для того, что преступники могут достичь, используя более или менее старые методы.

В 2017 году гости роскошного отеля в Австрии обнаружили, что их ключи больше не работают. Хакеры проникли в систему карточек с ключами, потребовав оплаты, чтобы разблокировать ее. Когда в начале лыжного сезона отель был полностью загружен, ему потребовалось всего 90 минут, чтобы заплатить киберпреступникам.

«Теперь киберпреступники оказывают различное воздействие», - сказал Пейс. «Раньше мы беспокоились о том, что «о, они украдут мои данные или выкупят мои данные, чтобы заработать немного денег». Теперь преступники думают: «зачем искать ваши данные, когда мы можем требовать выкуп за всю вашу систему» - систему, в которой вы должны создавать виджеты или управлять своим бизнесом».

Другие варианты подхода к вымогательству, по-видимому, призваны извлечь выгоду из растущей чувствительности компаний к репутации. Тип атаки, причудливо названный «посадка сорняков», не требует вредоносных программ или шифрования. Вместо этого атака включает размещение компрометирующих материалов, таких как электронные письма, фотографии или видео, где-нибудь на ПК и серверах компании, а также выдвижение требований в обмен на удаление файлов. Даже если компрометирующий материал сфальсифицирован, жертвы все еще сталкиваются со значительным риском репутации.

Если вы смотрите на это с точки зрения страхования или анализа рисков, как вы защищаетесь от этого?

Геополитические угрозы растут

В то время как прибыль остается основной движущей силой большинства злоумышленников, некоторые из самых драматических инцидентов в последние годы были предназначены для наведения хаоса.

Вирус NotPetya, первоначально предполагавшийся для целей вымогательства, разрушил все от банков до судоходных компаний и ядерных установок во многих странах.

Атака кибервымогателей WannaCry, поразила компьютерные системы по всему миру, распространяя хаос от Национальной службы здравоохранения Великобритании до больниц США и российских банков.

Известно, что Россия, Китай, Северная Корея и Иран располагают киберарсеналами, которые представляют все большую угрозу для Запада. Представители разведки США сообщили в январе 2017 года, что более 30 стран развивают возможности наступательных кибератак, увеличивая риск прерывания бизнеса, а также физического ущерба для критически важной инфраструктуры, включая энергетику, транспорт, здравоохранение и многое другое.

«В течение следующих пяти лет технологические изменения будут только ускорять совмещение кибер и физических устройств, создавая новые риски», - пишут чиновники.

«Сегодня мы видим все больше действующих лиц, которые, по нашему мнению, обладают способностью или развивают способность по-настоящему понимать некоторые из этих киберфизических интерфейсов, взаимодействовать с ними и вызывать сбои в реальном мире», - сказал Гарин Пейс, лидер по киберпродуктам - Financial Lines & Property, AIG.

«И вы видите меньше норм, ограничивающих их от этого. Были некоторые случаи, когда критическая инфраструктура была целью атаки. Власть была мишенью на Украине. Была предпринята попытка атаки, где единственным возможным мотивом для проведения атаки было массовое разрушение на объекте нефтехимической переработки. Это становится приемлемым для подобных атак».

Более того, развитие технологий повышает вероятность «утечки» информации из национальных государств киберпреступникам, считает израильская компания Illusive Networks.

«Во многих странах есть киберкоманда и целая киберстратегия… это означает, что эти страны вкладывают много ресурсов в обеспечение очень сложных угроз, связанных с опасностью «нулевого дня» и тому подобными вещами. Часть проблемы, с которой сталкивается мир в киберсреде, заключается в том, что если что-то отсутствует, оно отсутствует, и его может довольно легко использовать другой субъект угрозы. Так что, если я киберпреступник и мне досталось что-то, что разработал Иран, я могу очень быстро вооружиться этим и использовать это.
«Определенно, существует опасность утечки из-за большого количества действующих лиц, поэтому довольно продвинутые технологии находятся в руках многих разных людей».

Сосредоточьтесь на том, что управляемо

Страховщики внимательно следят за всеми этими рисками, в том числе за возможностью серьезной атаки на поставщика облачных услуг и влиянием агрегационного риска в своих собственных портфелях.

«С нашей точки зрения, наибольшую озабоченность вызывает агрегация», - сказал Мэтью Хонеа, директор по кибераналитике в руководстве по проводным рискам Guidewire Cyence. «Никто не хочет, чтобы киберураган, киберземлетрясение застали врасплох. Это вопрос понимания, где находятся линии разломов, где пути ураганов? Уязвимости будут расти с каждым годом.

«Поэтому компаниям нужно определить, где находится программное обеспечение, на каких поставщиков услуг они полагаются и диверсифицировать свой риск, потому что для того, чтобы действительно нанести большой ущерб портфелю страховщика, требуется всего одна уязвимость, один сбой», - сказал Хонеа.

Тем не менее, страховщики хотят, чтобы менеджеры по управлению рисками имели представление о растущем уровне киберугроз и сосредоточились на воздействии, которое они могут оказать.

«В большинстве случаев злоумышленники хотят заработать немного денег», - сказал Пейс. «Они даже не обязательно ищут конкретно вашу компанию, они ищут того, кто уязвим».

«То, что происходит в киберпространстве всегда будет битвой между субъектами угрозы и компаниями, которые пытаются отразить атаки, обнаружить и остановить их», - сказал Пейс. «Но общая точка зрения, которая никогда не исчезнет, независимо от того, получаете ли вы лучшую доступную защиту или нет, всегда будет состоять в том, что виноват будет человеческий фактор. В системе всегда есть уязвимости из-за допущенных ошибок, атак социальной инженерии, фишинга.

Что важно, так это найти способы устранения этих недостатков путем обучения, осознания, двухфакторной аутентификации, выполнения всего этого. Это лучшее, что вы можете сделать, чтобы остановить атаки».

Начинать надо с того, что важно для вашего бизнеса. Каковы критические факторы риска для вашего бизнеса конкретно? Какие типы субъектов угроз будут характерны для этого типа бизнес-данных или системы, а затем для конкретного риска нужно понять, как и каким образом вы будете измерять этот риск, и что применимо к этим конкретным угрозам?

«Мы видим в этом огромный пробел, который многие организации не устранили. Компании смотрят на риски в большей степени от того, что сейчас это в тренде, говоря: «Давайте защитим все это, на 360 градусов, 365 дней в году», и , честно говоря, что это на самом деле не работает.»

Подготовлено порталом Allinsurance.kz