Компания Digital Security, специализирующаяся на анализе защищенности систем, представляет прогноз основных угроз и тенденций в сфере ИБ в 2015 году. Ведущие эксперты исследовательского центра компании предложили свое видение главных трендов и проблем безопасности по ключевым направлениям деятельности.

Уязвимости в ПО (комментирует Дмитрий Евдокимов, директор исследовательского центра Digital Security)

Конец 2014 года ознаменовался рядом громких уязвимостей (Heartbleed, Shellshock, POODLE) в распространенном и давно разрабатываемом программном обеспечении с открытым кодом. Значительная часть такого ПО создавалась в 80-90 годы без заботы о безопасности, поэтому содержит множество проблем. Сегодня подобные разработки используются как часть больших программных комплексов, что позволяет применять содержащиеся в них уязвимости при реализации многоуровневых атак. Такие атаки будут популярны в 2015 году.

Еще одной важной тенденцией в поиске проблем безопасности можно назватьиспользование вспомогательных аппаратных (цифровых и аналоговых) средств. Таким образом, мы еще больше приблизимся к обнаружению низкоуровневых уязвимостей и уязвимостей на уровне железа.

Безопасность мобильных устройств и приложений (комментирует Дмитрий Евдокимов)

В 2015 году станет актуальнее проблема безопасности фреймворков. Причем речь идет о фреймворках как для кроссплатформенной разработки, так и для решения конкретных задач. Аналогичная ситуация и с библиотеками – она сложилась уже в конце 2014 и в основном связана с передачей информации в открытом виде или с возможностью проведения MitM-атаки.

Большое количество нововведений для самых распространенных мобильных ОС (iOS, Android) повлечет за собой распространение новых проблем безопасности. Особо стоит отметить, что в iOS добавили опцию разработки программ на языке Swift, а в Android постепенно начинают переход на новое окружение выполнения – ART. Также в iOS 8 впервые появилась возможность (app extensions) достаточно гибко взаимодействовать с приложениями на устройстве. Сколько из-за этого было уязвимостей в Android-приложениях, мы все хорошо знаем, а вот как эту опцию будут использовать разработчики на iOS – интересно посмотреть.

Что касается операционной системы Windows Phone 8, то в конце 2014 появился jailbreak и для нее. По нашему мнению, данный факт упростит и ускорит появление вредоносного кода для WP8. Особое внимание: наверняка будет развиваться процесс изучения «внутренностей» этой ОС, а также процесс поиска уязвимостей в WP8 и в приложениях для нее.

Среди важных трендов 2015 г. в сфере мобильной безопасности стоит назвать растущийспрос на анализ исходного кода мобильных приложений для финансовых организаций. Это обусловлено тем, что изначально они создавались сторонними разработчиками, которые, возможно, не уделяли должного внимания безопасности. Сейчас финансовые организации хотят контролировать все, включая мобильные приложения.

Проблема встроенных сертификатов на мобильных устройствах и чрезмерная вера в защищенность при их использовании на мобильных устройствах станет еще острее. Показательной можно считать реальную атаку, при которой на iOS-устройство без jailbreak устанавливается вредоносное приложение. Также не стоит забывать о возможности реализации атаки MitM владельцами этих встроенных сертификатов.

Безопасность банков и организаций финансового сектора (комментирует Алексей Тюрин, директор департамента аудита защищенности Digital Security)

В наступившем году в банковской сфере сохранятся основные тенденции прошедшего. Во-первых, будет расти количество атак на внутрибанковские системы. То есть вектор атак продолжит расширяться с клиентов банков на сами банки. Основная причина – возможность сорвать сразу большой куш. Конечно, такие атаки трудно автоматизировать полностью, да и с выводом денег могут возникнуть проблемы. Но пока готовность банков противодействовать таким атакам не заметна ни на техническом уровне, ни на уровне понимания. А потому проводить их достаточно легко. И хотя ЦБ в этом году выпустил стандарт, посвященный жизненному циклу АБС и призванный повысить защищенность банковских систем, он является рекомендательным и «на местах» его внедряют неохотно.

Далее, будет расти количество и качество вредоносного кода, особенно кроссплатформенного. В первую очередь, речь идет о вирусах, которые могут распространяться в рамках одной ОС на несколько устройств. Так, нередки случаи заражения смартфонов через ПК или наоборот. Таким образом, «второй канал» уже не сможет спасти пользователя ДБО от хищения средств с его счетов в банке, поскольку злоумышленник сможет читать одноразовые пароли, приходящие по СМС на мобильное устройство, посредством зараженного ПК.

Следующая тенденция – реализация атак в отношении «непродвинутых» пользователей. Традиционные проблемы (некорректные настройки ПО, отсутствие обновлений, добровольное содействие «социальным инженерам» и несоблюдение правил ИБ при работе с Интернетом) остаются. Также наверняка будет зафиксировано большое количество инцидентов в сфере онлайн-платежей. К примеру, перехватив сведения о номере карты (PAN), сроке действия и CVV2 (и даже без него), злоумышленник уже может проводить различные транзакции по карте через онлайн-сервисы и, таким образом, выводить деньги.

Еще один тренд наступающего года – усиление активности злоумышленников в отношении электронной валюты BitCoin (и ее аналогов). Будет появляться все больше вирусов, нацеленных на кражу таких «денег», а также возрастет число таргетированных атак на ресурсы, где они «крутятся» (например, биржевые площадки).

Хорошие новости: поскольку все больше Интернет-клиентов (особенно для юридических лиц) работают теперь не только с браузером Internet Explorer и ОС Windows, а поддерживают и другие браузеры и ОС, это создает сложности для злоумышленников, стремящихся автоматизировать все процессы: от атак на клиентов и заражения их до определения ДБО банка и вывода денег. Помимо этого, растет и количество мобильных банк-клиентов, что еще затрудняет преступную деятельность. С практической точки зрения, захватить полный контроль над мобильным устройством или хотя бы установить на нем вредоносное приложение в разы труднее, чем произвести аналогичные действия на обычном компьютере. Другой положительной тенденцией является усиление функций безопасности на ПК. К примеру, все больше производителей ПО переходит на процесс автоматического и практически принудительного обновления ПО.

Безопасность ERP-систем (комментирует Дмитрий Частухин, директор департамента аудита SAP Digital Security)

В 2015 году количество внедряемых ERP-систем будет увеличиваться. Более того, существующие платформы будут активно обновляться ввиду растущих потребностей бизнеса. Так, например, мы наблюдаем увеличение количества SAP платформ версии 7.3 в 3,5 раза и снижение количества версий 6.4 примерно в полтора раза.

Параллельно с этим, сегодня все реже встречаются исключительно «внутренние» ERP-системы, поскольку развитие мобильных и облачных технологий затронуло и эту сферу. Доступность из Интернета в сочетании со снижением расценок на организацию таргетированных атак продолжит привлекать внимание злоумышленников к этой области. Итак, мы прогнозируем увеличение количества инцидентов ИБ, связанных с ERP-системами.

В этом году мы ожидаем рост критичных уязвимостей, приводящих к таким атакам, как удаленное выполнение кода, отказ в обслуживании и обход авторизации в новых решениях крупных игроков рынка (ERP SAP HANA, SAP Mobile). Проблемы с безопасностью продуктов менее популярных вендоров сделают возможными атаки на SCADA-системы через ERP-приложения.

Хорошие новости: с каждым годом компании все больше уделяют внимание безопасности ERP-систем, не ограничиваясь матрицей SoD. И мы можем отметить общую тенденцию к снижению количества уязвимостей в ERP-системах примерно на 10-15 % за прошедший год по отношению к позапрошлому. Это связано не только с тем фактом, что «дыры» становятся все более сложными и искать их все труднее, но и с тем, что вендоры стали внедрять процессы разработки, значительно уменьшающие шансы допустить ошибку, которая может повлиять на безопасность систем.

Безопасность АСУ ТП (комментирует Александр Большев, директор департамента аудита АСУ ТП Digital Security)

Маловероятно, что на западном рынке в области безопасности АСУ ТП что-либо кардинальным образом изменится в 2015 году. Что касается отечественного рынка, то 31-й приказ ФСТЭКа, несомненно, оказал и продолжает оказывать существенное влияние на индустрию, и можно надеяться, что уровень общей защищенности систем вырастет.

Очевидно, что наиболее интересным следующий год будет в области исследований. Уже сейчас их вектор постепенно смещается от традиционных SCADA-систем, к которым, зачастую, исследователю трудно получить доступ, в область систем, используемых в повседневности. Можно не сомневаться, что нас ждет множество новых данных о безопасности умных домов, систем управления движением, специфичных для городской среды радиопротоколов, транспортных сетей и т. д. Во всяком случае, тенденцию к увеличению заинтересованности такими системами можно было отметить уже на конференциях 2014 года.