С точки зрения общих трендов
1. Облачный и гибридный SOC в противовес on-premise
То время, когда иметь SOC было просто модно, уже прошло. Спрос на услуги коммерческих SOC растет прямо пропорционально повышению ИБ-зрелости российского бизнеса. Как следствие, повышается число сервисных провайдеров, оказывающих услуги по подключению и сопровождению Центров мониторинга и реагирования на инциденты. Однако основываясь на статистике по проектам текущего года пользователи все больше и больше выбирают облачный сервис или “гибридную” схему на базе существующего у заказчика SIEM-решения. Тренд перехода к облачным сервисам SOC из года в год продолжает набирать обороты.
2. Увеличение доли сервисов, оказываемых по модели MSSP
Все больше крупных и средних организаций открывают для себя управляемые услуги, оказываемые сервис-провайдерами, по предоставлению сервисов информационной безопасности на коммерческой основе.
В России модель MSSP еще только начинает набирать обороты, хотя до мировых показателей, конечно, еще далеко. Все больше заказчиков начинают доверять сервис провайдерами, передавать на аутсорсинг ключевые IT и ИБ процессы.
3. 187 ФЗ получит новый виток в развитии
За последние несколько лет законодательство РФ в области ИБ заметно ужесточилось. Внедрение средств защиты информации в государственных организациях регламентируется приказами ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Данная нормативная база будет нуждаться в обновлении: в обоих документах содержится конкретный перечень рекомендуемых для внедрения решений, однако часть из них уже технологически устаревает и не способна должным образом защитить информационные системы от современных внешних угроз. Выходит, что учреждения формально выполняют все требования по обеспечению информационной безопасности, а на деле их инфраструктура остается уязвимой.
4. Увеличение расходов на кибербезопасность, ориентированных на соблюдение требований
Ожидаемо что все больше организаций начнут увеличивать объем инвестиций в свою кибербезопасность и защиту данных, чтобы избежать санкций со стороны регулирующих органов в сочетании с дорогостоящими коллективными и индивидуальными судебными исками от клиентов, данные которых были украдены или скомпрометированы. Существенное увеличение расходов на нужды кибербезопасности, главным образом для того, чтобы избежать непредсказуемых, но потенциально больших юридических и репутационных потерь, вероятнее всего, станут отличительной чертой многих бюджетов на 2021 год.
5. Кадровый голод
Все больше молодых специалистов сразу после института хотят “все и сразу” не имея в своем багаже какого-либо существенного опыта. Им не интересно проходить долгий и сложный путь обучения и развития, набирая опыт и компетенции. Квалифицированные же специалисты в свою очередь, давно и успешно трудоустроены. Особенно остро такая проблема характерна для регионов с традиционно меньшим уровнем зарплат.
С точки зрения атакующих
1. Изощренные атаки программ-вымогателей стремительно увеличиваются
Для всех, кто способен покупать биткойны или другие цифровые валюты станут легко доступны программы-вымогатели как услуга (RaaS). В отличие от огромного количества убыточных стартапов, сегодняшняя сцена киберпреступности характеризуется зрелостью, высокой производительностью труда и прибыльностью: одни группы разрабатывают сложные вредоносные программы, другие готовят масштабные атаки или предоставляют многоязычную поддержку по телефону для жертв, чтобы упростить выплату выкупа в биткойнах.
2. Устаревшее программное обеспечение с открытым исходным кодом для снижения киберустойчивости
Множество недокументированного программного обеспечения с открытым исходным кодом (OSS) — это бомба замедленного действия, готовая внезапно взорваться во многих компаниях малого, среднего и крупного бизнеса. В период пандемии большинство сильно пострадавших предприятий отдавало предпочтение недорогим предложениям по разработке программного обеспечения по всем другим критериям. Как следствие, они получили соответствующее качество кода и безопасность своего программного обеспечения, в том числе, с введенными недокументированными компонентами OSS и фреймворками для экономии времени программирования. Занятые феноменом WFH, команды по кибербезопасности не имеют достаточно времени для тестирования недавно разработанного программного обеспечения, которое в конечном итоге развертывается в производственной среде в условиях хаоса.
3. Bug Bounties, чтобы продолжить преобразование в тестирование на проникновение
Основоположник коммерческих платформ bug bounty продолжают изобретать себя заново, предлагая тестирование на проникновение нового поколения, red teaming и другие услуги, по подписке или разовые услуги. Примечательно, что при этом они обычно платя своим «охотникам за ошибками» за успех. Мировой рынок массового тестирования безопасности и раскрытия уязвимостей также нарушен бесчисленными стартапами, управляемыми сообществами и бесплатными проектами, такими как Open Bug Bounty, с более чем 1000 программами вознаграждения за ошибки на сегодняшний день.
4. Варианты атак с повторным использованием паролей, нацеленных на третьих лиц для Snowball
Несмотря на то, что 2020 год стал рекордным по количеству украденных данных и учетных данных, большинство взломанных логинов и паролей можно легко купить или найти в Dark Web и других хакерских ресурсах. Современные киберпреступники проницательны и прагматичны: они предпочитают безопасные и недорогие операции перед проведением изощренных хакерских кампаний с сопутствующим риском быть обнаруженными и привлеченными к ответственности.
В этом году мы стали свидетелями впечатляющего количества очень успешных атак с повторным использованием паролей, нацеленных на третьих лиц, и мы ожидаем, что в 2021 году их число станет еще выше.
5. Увеличенная внешняя поверхность атаки для упрощения и ускорения кибератак.
Работа из дома привела к рекордному количеству открытых ИТ-ресурсов и облачных ресурсов, от открытых серверов RDP и VPN до устройств IoT и консолей администрирования устройств безопасности, таких как защищенные шлюзы электронной почты или межсетевые экраны веб-приложений. Бесчисленные организации бросились хаотично оцифровывать свои критически важные бизнес-процессы, не предпринимая никаких мер по обеспечению кибербезопасности и защиты данных. При переходе к поставщикам общедоступных облаков и использованию широкого спектра преимуществ, связанных с новыми технологиями, включая Docker и Kubernetes, большинство организаций не инвестировали в необходимое обучение безопасности для своего ИТ-персонала.
Ожидается, что в 2021 году злоумышленники начнут свои APT-кампании с поиска таких неприхотливых плодов, прежде чем использовать дорогостоящие нулевые дни и проводить трудоемкие целевые фишинговые атаки.
6. Работа из дома, чтобы помешать и замедлить внедрение DevSecOps
DevSecOps приобрел большую популярность в последние несколько лет. Совместные усилия разработчиков программного обеспечения, ИТ-людей и кибербезопасности команд бесспорно приносят ловкость, эффективность затрат, а также позволят убедительно сократить количество данных нарушений и инцидентов в области ИБ. Хаос и серьезные разрушения пандемии COVID-19 свели на нет большую часть усилий: теперь люди работают изолированно от дома и имеют большее количество задач, что сокращает сотрудничество и общение с другими командами. Обучение внутренней безопасности также не всегда хорошо работает.
7. Киберпреступники все чаще используют машинное обучение и искусственный интеллект при разработки более эффективных атак
Уже несколько лет киберпреступники используют машинное обучение для автоматизации и оптимизации всевозможных задач и процессов: от профилирования жертв до более быстрого обнаружения устаревших систем. Однако враждебное использование ИИ сегодня преувеличено: мы все еще очень далеки от сильного ИИ в 2020 году, а с существующими системами машинного обучения и искусственного интеллекта не учитываются принципиально новые методы взлома.
Практическое использование ML/AI просто ускорит, усилит и разнообразит векторы эксплуатации и повысит эффективность полезной нагрузки эксплойтов, что в конечном итоге затронет большее количество жертв за более короткий период времени. Растущая доступность фреймворков машинного обучения и специальных аппаратных возможностей, доступных для почасовой или ежемесячной аренды, будет способствовать дальнейшему распространению злонамеренного использования ИИ киберпреступниками. Скорее всего, в 2021 году злоумышленники станут еще более эффективными, быстрыми и организованными благодаря состязательному ML/AI.
https://habr.com/ru/company/softline/blog/556184/