07 ноября 2014
Искусственный интеллект на страже информационной безопасности
8 октября в Москве прошла конференция «Искусственный интеллект против кибератак: новые технологии защиты бизнес-приложений», посвященную тенденциям средств защиты корпоративных приложений и интернет-порталов.
На конференции были представлены:
-
результаты исследований, посвященных безопасности информационных инфраструктур и приложений крупных компаний и государственных организаций;
-
обзор ключевых мировых тенденций в области безопасности приложений;
-
результаты анализа эффективности систем анализа исходных кодов и специализированных межсетевых экранов прикладного уровня;
-
продукты нового поколения, разработанные компанией «Positive Technologies» с использованием решений в области искусственного интеллекта.
Согласно данным Positive Technologies среди сервисов интернет-банкинга и порталов государственных услуг, за 9 месяцев 2014 года, 77% сайтов содержат критические уязвимости, а в случае использования технологии PHP этот показатель достигает 100%. Среди них уязвимости среднего уровня опасности содержат 92% сайтов, а 88% – уязвимости с низким риском реализации.
Среди распространенных уязвимостей именуется «межсайтовый скриптинг». Она характеризуется степенью средней опасности и заключается во внедрении в веб-страницу вредоносного кода. Пользователь получает ссылку, при переходе по которой запускается вредоносный код. Межсайтовому скриптингу подвержены 72% ресурсов.
Последние несколько лет увеличиваются число SQL-инъекций – атак осуществляемых с целью извлечения данных или захвата удаленного хоста. Они позволяют злоумышленникам прочитать, удалить, изменить или добавить информацию веб-ресурса. Такой опасности подвержены 62% сайтов, что на 19% больше чем в предыдущем году. Среди наиболее распространенных уязвимостей это единственная, имеющая уровень «критическая».
Вторая по популярности критическая уязвимость XML eXternal Entity, которая в этом году не попала в топ 10 из-за роста других проблем в безопасности. В этом году такие уязвимости были обнаружены на 18% сайтов. В данном случае злоумышленники получают доступ к защищенным файлам за счет уязвимостей языка разметки XML, широко применяемого в веб-приложениях.
Не стоит забывать, что комбинации уязвимостей не самого высокого уровня могут носить критический характер. В практике дистанционного банковского обслуживания был случай, когда злоумышленники воспользовались уязвимостью класса XSS для рассылки ссылок клиентам. Ошибка позволяла не отправлять ответное сообщение с SMS-кодом. В результате хакеры сформировали ссылку, при переходе по которой со счета пользователя автоматически списывались средства.
В первой группе риска находится банковский сектор, которому необходимо защитить финансовые данные клиентов и обеспечить безопасность онлайн транзакций. Финансовые компании осознают опасность, но далеко не всегда могут обеспечить защиту. Согласно данным Positive Technologies при тестировании на проникновение финансовых систем 67% имеют критические уязвимости, а в 30% обнаружены ошибки кода среднего уровня риска.
Ко второй группе относятся учреждения государственного сектора. Здесь статистика не столь печальная и определяется тем, что чиновники только в крайнем случае привлекают специалистов по информационной безопасности. Кроме того, законодательно не закреплены требования по проверке приложений на государственных предприятиях.
Третью группу риска составляют предприятия топливно-энергетического сектора. Системы таких компаний носят информативный характер, а отношения с клиентами и партнерами осуществляются в режиме офлайн. И все же часто публикуется информация о поставщиках и клиентах, обрабатываемая системами управления взаимоотношениями с поставщиками и клиентами. Кроме того, примерно в 30% случаев через сайт можно проникнуть во внутреннюю сеть предприятия и получить доступ к автоматизированным средствам управления технологическим оборудованием на промышленных предприятиях.
Актуальность информационной безопасности в государственном секторе, банковской сфере и топливно-энергетическом секторе усиливается проблемой импортозамещения. Системное программное и аппаратное обеспечение может содержать незадекларированные возможности для проведения атак. Таким образом, перед специалистами по информационной безопасности возникает дилемма – как собрать защищенную систему из небезопасных элементов?
На сегодняшний день основное направление разработки средств информационной безопасности, который отмечают в Positive Technologies, – это создание автоматически работающих продуктов, которые сводят к минимуму участие человека.
