Эксперты Positive Technologies подвели киберитоги 2022 года и поделились прогнозами на 2023 год. В новом году ожидаются появление новых шифровальщиков и руткитов для атак на Linux-системы, рост числа коммерческих решений на базе опенсорсных ML-моделей и увеличение числа взломов децентрализованных криптобирж.
Безопасность операционных систем
Говоря о безопасности операционных систем, Александр Попов, главный исследователь безопасности открытых операционных систем Positive Technologies среди важных событий года отметил:
- совершенствование средств фаззинга для поиска уязвимостей,
- работы по защищенным ядерным аллокаторам для Linux и XNU в iOS 15,
- продолжение интеграции ОС с аппаратными механизмами безопасности,
- внедрение поддержки языка программирования Rust в ядро Linux 6.1, которое позволит писать код с меньшим количеством уязвимостей.
Работа по этим направлениям продолжится и дальше, подчеркнул эксперт.
В России в 2022 году особое внимание уделялось вопросам независимости и безопасности Linux-систем, поскольку западные производители ОС ушли с российского рынка. По данным Positive Technologies, доля атак на Linux-системы в III квартале 2022 года выросла до 30% от всех атак с использованием вредоносного ПО. Для GNU/Linux появляются новые шифровальщики, руткиты со средствами удаленного управления, шпионское ПО, майнеры.
«Перед разработчиками отечественных дистрибутивов GNU/Linux стоят важнейшие задачи, — отмечает Александр Попов. — Это повышение безопасности параметров по умолчанию, контроль цепочки поставки ПО и оперативный выпуск обновлений безопасности. При этом у эксплуатантов есть свои не менее сложные вызовы: им нужно настроить весь парк своих информационных систем по лучшим практикам безопасности Linux, так как риски очень велики».
Атаки на мобильные приложения
За 2022 год эксперты Positive Technologies обнаружили 216 уязвимостей в 25 парах исследованных приложений для Android и iOS. Наибольшая доля уязвимостей (14%) пришлась на хранение пользовательских данных в открытом виде. По мнению специалистов Positive Technologies, несмотря на усилия со стороны разработчиков операционных систем и сообществ по безопасной разработке приложений, этот класс уязвимостей продолжает уверенно сохранять лидерство несколько лет подряд и будет сохранять актуальность и в 2023 году.
Второе место поделили уязвимости, касающиеся контроля целостности приложений и хранения конфиденциальной информации в коде (по 9% на каждый класс).
Замыкает тройку лидеров класс уязвимостей, связанных с проверками на недоверенное окружение (8%). Наличие в приложениях вышеперечисленных уязвимостей свидетельствует о том, что разработчики недостаточно строго контролируют целостность приложений и среды их выполнения.
Также при отсутствии хорошей обфускации кода (такую комбинацию эксперты обнаружили в 36% приложений, исследованных в 2022 году), складывается благоприятная ситуация для злоумышленников: становится очень просто проводить качественный анализ приложений, что, в свою очередь, упрощает создание ботов, клонов и троянов, нацеленных на конкретные приложения.
Самым любопытным трендом 2022 года в Positive Technologies назвали отсутствие в приложениях некоторых классов уязвимостей. Например, разработчики теперь не хранят криптографические ключи в файловой системе и не допускают ошибок, открывающих возможность обхода директорий (path traversal). Уязвимость, связанная с небезопасной отправкой неявных межпроцессных сообщений, встретилась нам в исследованных приложениях в 2022 году всего лишь раз (в предыдущем году — шесть случаев). Эксперты ожидают, что эта позитивная тенденция будет расти в 2023 году.
Новые версии операционных систем тоже помогают разработчикам приложений: вводятся более гранулярные разрешения на выполнение системных операций, а для ряда разрешений появилась возможность запрашивать их каждый раз.
По мнению Артема Кулакова, старшего специалиста группы исследований безопасности мобильных приложений Positive Technologies, санкции и блокировки вывели проблему клонированных и поддельных приложений на новый уровень. Мобильные приложения многих компаний были удалены из официальных магазинов, из-за чего пользователям пришлось искать их на других площадках. Злоумышленники не преминули этим воспользоваться и стали активно размещать фальшивые приложения известных компаний.
Вынужденным трендом 2022 года стал запуск российских магазинов приложений, призванных заместить Google Play и App Store. В Positive Technologies отметили, что на пути к сердцу пользователя этим магазинам предстоит пройти непростой путь и сократить его помогут участие в программах bug bounty и сотрудничество с сообществами специалистов по ИБ.
Артем Кулаков отмечает, что в 2023 году не потеряет актуальности проблема нехватки специалистов по анализу защищенности мобильных приложений. В то же время развитие тематических сообществ, программ bug bounty, в том числе российских, и появление более продвинутого инструментария дадут толчок к увеличению числа специалистов этого профиля на рынке, а значит, и к повышению уровня безопасности мобильных приложений.
Интеллект искусственный, угрозы настоящие
Главной темой 2022 года был расширяющийся ландшафт киберугроз от применения ИИ: от кражи данных до эксплуатации уязвимостей инфраструктуры. В классической безопасности все большее внимание уделяется DevSecOps-направлениям. Умные технологии тоже не отстают, и сейчас начинает серьезно развиваться направление MLDevSecOps.
Если в предыдущие годы мы видели лишь концепты, то сегодня многие из них превратились в полноценные фреймворки, готовые к внедрению. Летом аналитическое агентство Gartner выпустило исследование об уровне внедрения ИИ и сопутствующих рисках безопасности. По результатам опроса оказалось, что 41% компаний столкнулись с нарушениями конфиденциальности ИИ или инцидентами безопасности. Из этих инцидентов 60% были компрометацией данных внутренними злоумышленниками, а 27% — злонамеренными атаками на инфраструктуру ИИ. При этом аналитики Gartner подчеркивают, что в настоящее время есть значительное расхождение между тем, что директора по информационной безопасности и разработчики решений ИИ считают существенным риском. Например, CISO уверены, что риск ИИ материализуется лишь в 26% случаев, тогда как специалисты, которые разрабатывают ИИ, заявляют о 54%-ной вероятности. Gartner рекомендует руководителям компаний подготовиться к такому развитию событий, внедрив модель управления доверительными рисками и безопасностью ИИ (AI TRiSM). Она позволит обеспечить надежность, достоверность, безопасность и конфиденциальность моделей ИИ.
В части применения ИИ для атак многие исследования 2022 года были посвящены тому, что сами модели машинного обучения могут быть вредоносным ПО. В частности, организовано несколько открытых конкурсов, один из которых прошел на крупной конференции по машинному обучению — NeurIPS 2022.
Александра Мурзина, руководитель отдела перспективных технологий Positive Technologies, выделила два ярких направления в развитии технологий машинного обучения в 2022 году — генерацию изображений по описанию и написание текстов чат-ботом ChatGPT компании OpenAI. Вопросы безопасности в данном случае касаются преимущественно приложений, в которые встраиваются данные технологии, так как сам факт генерации изображений (даже на основе реальных фотографий пользователей) не несет особой угрозы. Эксперты ожидают, что на основе ChatGPT и технологии, создающей изображения по описанию, в 2023 году будут выпущены приложения, которые изменят целые индустрии.
Ушедший год показал, что в ответ на платный доступ к моделям машинного обучения (например, OpenAI) техноэнтузиасты, используя собственные ресурсы, обучают большие модели и выводят их в опенсорс. В Positive Technologies предполагают, что в 2023-м этот тренд усилится и специалисты по ИИ будут разрабатывать коммерческие решения на базе опенсорсных моделей. Кроме того, в 2023 году, по мнению специалистов Positive Technologies, может ужесточиться регулирование в области применения алгоритмов машинного обучения, основанных на чувствительных данных, поскольку утечка такой информации или ошибка самой модели могут привести к серьезным последствиям.
Блокчейн-технологии под угрозой
Минувший год побил все рекорды по количеству взломанных криптопроектов и похищенных средств: составил составил более 3,5 млрд долларов. В первую очередь год запомнился атаками на блокчейн-мосты. Кроме того, зафиксирован первый случай успешного взлома криптомата. Велика вероятность, что криптовалютные банкоматы станут мишенью для киберпреступников в 2023 году.
Игорь Агиевич и Андрей Бачурин, специалисты Positive Technologies по безопасности распределенных реестров, отмечают интерес злоумышленников к криптобиржам и DeFi-протоколам: количество атак на блокчейн-проекты вдвое превысило число атак за 2021 год. Широкое распространение получило мошенничество с так называемыми эйрдропами: на электронную почту отправлялись фейковые сообщения о бесплатной раздаче криптовалюты, токенов или NFT: под видом бесплатных NFT-токенов и виртуальных коллекционных предметов злоумышленники рассылают вредоносное ПО.
В 2022 году эксперты вновь наблюдали устойчивую позитивную тенденцию проводить аудит смарт-контрактов, а также активное появление площадок bug bounty для криптопроектов. В мире продолжают появляться компании, специализирующиеся на проверке безопасности кода смарт-контрактов, расположенного в блокчейне, однако пока количество таких компаний и спектр их услуг недостаточны для покрытия всех потребностей в аудите защищенности криптопроектов, считают в Positive Technologies.
В ближайшем будущем эксперты прогнозируют строительство новых метавселенных, развитие концепции learn to earn (зарабатывание криптовалюты за изучение чего-либо), а в отношении кибербезопасности — учащение взломов децентрализованных криптобирж.
Обнаруженные новые и накопленные старые проблемы только подтвердили важность практического подхода к информационной безопасности, отметили в Positive Technologies. Работа предстоит большая, и она уже идет полным ходом: организации пересматривают свой взгляд на обеспечение защиты активов, делая ставку на результативную безопасность, создаются правительственные инициативы, направленные на обеспечение информационной защиты в российских компаниях. Стремительно развивающиеся новые технологии требуют повышенного внимания к информационной защите со стороны разработчиков и пользователей; соблюдение принципов безопасной разработки в организациях и основ пользовательской кибергигиены (использование сложных паролей, установка приложений из официальных магазинов, обновление ПО) позволят минимизировать риски кибератак, считают в компании.
Источник новости — ptsecurity.com