Прощаясь с 2023 годом, специалисты Tenable выделяют основные тенденции, которые повлияли на профессионалов в области кибербезопасности за последние 12 месяцев. Узнайте, как изменился кибермир в таких областях, как искусственный интеллект, CNAPP, безопасность IAM, государственный надзор и безопасность OT.
1 – Волнение по поводу использования GenAI для киберзащиты
Искусственный интеллект, и в частности генеративный ИИ (GenAI), захватил воображение всего мира в 2023 году, и все мы восхищались потенциалом этой технологии на благо и во зло. Команды кибербезопасности не стали исключением.
Да, киберзлоумышленники быстро использовали GenAI в злонамеренных целях, например, для создания лучших фишинговых сообщений, создания более умного вредоносного ПО, быстрого создания и распространения дезинформации.
Но киберзащитники также отметили, что эта мощная технология начала входить в их арсенал инструментов, расширяя широкий спектр кибервозможностей, включая обнаружение уязвимостей, управление идентификацией и доступом (IAM), реагирование на инциденты, анализ вредоносных программ и операции по обеспечению безопасности.
Одним словом, оптимизм по поводу перспектив ИИ в области киберзащиты в этом году был ощутимым.
Среди 3800 руководителей высшего звена, опрошенных в рамках отчета PwC «2024 Global Digital Trust Insights«, 69 % заявили, что их организации планируют использовать GenAI для киберзащиты в ближайшие 12 месяцев, а 47 % уже применяют его для обнаружения и снижения киберрисков.
Отчет «State of Cybersecurity 2024” Ассоциации индустрии компьютерных технологий (CompTIA), в котором опрошено 511 американских бизнесменов и ИТ-специалистов, занимающихся кибербезопасностью, показывает, как респонденты планируют использовать ИИ.
Компания Tenable, чьи продукты уже давно используют технологию искусственного интеллекта, оказалась в самом центре этой тенденции, поскольку в 2023 году она интегрировала возможности GenAI в платформу Tenable One Exposure Management Platform.
«ИИ способен изменить методы поиска закономерностей специалистами по кибербезопасности, способы объяснения найденного на максимально простом языке, а также способы принятия решений о том, какие действия необходимо предпринять для снижения киберрисков», – написал бывший генеральный директор Tenable Нико Попп в блоге «AI Is About To Take Cybersecurity By Storm«.
Для получения дополнительной информации об использовании искусственного интеллекта для обеспечения кибербезопасности ознакомьтесь с этими ресурсами Tenable:
- «Как генеративный ИИ меняет исследования в области безопасности» (отчет)
- «GenAI способствует более широкому использованию технологий искусственного интеллекта для кибербезопасности» (блог).
ВИДЕО
Генеральный директор Tenable Амит Йоран обсуждает ИИ и превентивную безопасность на CNBC
Как генеративный ИИ меняет исследования в области безопасности: Разработка инструмента G-3PO
Упрощение принятия решений с помощью искусственного интеллекта
2 – И проблема ИИ: безопасное и ответственное использование
Вот еще один способ, с помощью которого ИИ повлияет на киберкоманды в 2023 году: поскольку организации спешат внедрить ИИ для повышения эффективности бизнес-операций, киберкоманды – наряду с другими подразделениями, такими как ИТ, GRC и юридические – получили задание обеспечить безопасность, соответствие требованиям и ответственность при использовании ИИ.
Задача не из легких. Глобальное регулирование ИИ находится в процессе изменения, и организации в спешном порядке разрабатывают политики использования. В этом году мы стали свидетелями громких инцидентов, когда сотрудники по неосторожности вводили конфиденциальную корпоративную информацию в ChatGPT.
Компания McKinsey & Co. в своем исследовании «The state of AI in 2023: Generative AI’s breakout year» опросила 1684 организации, из которых 913 используют ИИ хотя бы в одной бизнес-функции. Среди них 548 используют GenAI.
Исследование показало, что только у 21 % есть политики использования GenAI; только 38 % активно снижают риски кибербезопасности; и 28 % снижают риски соответствия нормативным требованиям.
Особый интерес для киберкоманд представляет вопрос защиты корпоративных систем искусственного интеллекта от кибератак, о чем говорится в докладе Стэнфордского университета и Джорджтаунского университета «Adversarial Machine Learning and Cybersecurity: Risks, Challenges, and Legal Implications.»
Вот небольшая выборка советов и рекомендаций, выпущенных в 2023 году:
- ISACA «Соображения по внедрению политики генеративного искусственного интеллекта«.
- McKinsey & Co. «Что каждый генеральный директор должен знать о генеративном искусственном интеллекте«.
- OWASP «Топ-10 критических уязвимостей для приложений с большими языковыми моделями«.
- Статья Team8 «Руководство для CISOs: Генеративный ИИ и корпоративные риски ChatGPT«
- «Руководство по безопасной разработке систем искусственного интеллекта» от правительств США и Великобритании
- «Последствия ChatGPT для безопасности» от The Cloud Security Alliance.
3 – CNAPP занимает центральное место в сфере облачной безопасности
В обширном ландшафте облачной безопасности выделяется одна тенденция: ускоренное внедрение платформ защиты приложений для облачных сред (CNAPP), поскольку команды кибербезопасности борются с растущей сложностью облачных сред.
Вот несколько показательных данных из отчета Cloud Security Alliance «Cloud Native Application Protection Platform Survey Report», который был опубликован в августе и в котором было опрошено 1200 специалистов по ИТ и безопасности:
- 85 % организаций либо внедрили, либо планируют внедрить CNAPP в своих облачных средах, что отчасти обусловлено использованием нескольких облаков.
- Менее 30 % организаций интегрировали CSPM, CWP и CIEM в многооблачные среды.
- На просьбу назвать основное ценностное предложение CNAPP респонденты ответили следующим образом:
— всеобъемлющая видимость состояния безопасности (25 %)
— понимание состояния данных и их защита (16 %)
— защита от угроз в мультиоблачных средах (13 %)
(Источник: Отчет Cloud Security Alliance «Cloud Native Application Protection Platform Survey Report, August 2023»).
Чтобы узнать больше об облачной безопасности и CNAPP, ознакомьтесь с этими ресурсами от Tenable:
- «Расшифровка CNAPP: Переход от аббревиатур и аналитического жаргона к единому подходу к облачной безопасности» (блог).
- «Navigating Cloud Security Challenges: Ключевые проблемы для специалистов по кибербезопасности» (блог)
- «Пять основных принципов безопасности гибридного облака» (блог)
- «Мастер-класс по безопасности в облаке» (вебинар по требованию)
- «Holistic Security for AWS, Azure and GCP: комплексная защита облачных приложений для мультиоблачных сред» (white paper)
ВИДЕО
Что такое платформа защиты облачных приложений?
4 – Внедрение облачных технологий еще больше усложняет безопасность IAM
Обеспечение безопасности систем управления идентификацией и доступом (IAM), являющееся извечной проблемой, в 2023 году остается сложной задачей, во многом благодаря росту внедрения облачных технологий.
Вот показательная статистика: примерно с середины 2022 года до середины 2023 года 90 % организаций пострадали хотя бы от одной утечки персональных данных. Это следует из отчета Identity Defined Security Alliance «2023 Trends in Identity Security», в котором было опрошено 529 респондентов, отвечающих за ИТ-безопасность или идентификацию.
Почему так сложно защитить цифровые идентификационные данные? Респонденты назвали следующие причины:
- Рост числа идентификационных данных, вызванный в первую очередь внедрением облачных приложений.
- Препятствия, вызванные сложными системами идентификации и сложными техническими средами.
Тем временем американский Совет по проверке кибербезопасности (CSRB) обратил внимание на безопасность IAM в своем августовском отчете о группе кибервымогателей Lapsus$. «Слабые места IAM были постоянной темой атак на все целевые организации и представляют собой возможности для постоянного совершенствования», – говорится в отчете.
Недавно технический директор Tenable Глен Пендли подчеркнул важность защиты облачных идентификаторов в своей статье Dark Reading «Securing Cloud Identities to Protect Assets and Minimize Risk«.
«Большинство атак, которые мы наблюдаем сегодня, – это атаки на стороне клиента, когда злоумышленники взламывают чью-то учетную запись и используют свои привилегии для бокового перемещения и доступа к конфиденциальным данным и ресурсам. Чтобы предотвратить это, необходима видимость инфраструктуры идентификации в облаке», – пишет он.
Руководство по укреплению безопасности IAM см. на сайте:
- Передовой опыт IDSA «Результаты и подходы к обеспечению безопасности, определяемые идентичностью«.
- Блог компании Tenable «Идентификация: Соединительная ткань для безопасности в облаке» и вебинар по требованию «Повышение эффективности вашей программы безопасности идентификации с помощью Zero Trust Maturity«.
- CISA «Управление идентификацией и доступом: Проблемы разработчиков и поставщиков» и «Руководство по управлению идентификацией и доступом, рекомендованное администраторами как передовой опыт«.
- Блоги Cloud Security Alliance «Navigating the Top 10 Challenges in Cloud Identity and Access Management» и «Configuration and Monitoring of IAM«.
5 – Известные уязвимости: Все старое – снова новое
И в 2023 году мы вновь убедились, что удручающий сценарий продолжает развиваться: Злоумышленники широко используют известные уязвимости, для которых уже давно существуют исправления.
Таков главный вывод, сделанный в докладе Tenable Research «2022 Threat Landscape Report (TLR)«, опубликованном в феврале. Tenable Research сочла эту проблему настолько распространенной, что поставила известные уязвимости на первое место в списке главных уязвимостей 2022 года.
(Источник: «Отчет о ландшафте угроз» от Tenable Research, февраль 2023 года)
«Однако возлагать всю вину за отсутствие исправлений на команды безопасности было бы наивно и упрощенно», – предупреждает генеральный директор и руководитель отдела исследований Tenable Роберт Хьюбер (Robert Huber).
«Урок заключается в том, что широкий набор изолированных инструментов и систем кибербезопасности, которыми располагают организации, не способствует снижению рисков», – пишет Хьюбер. » Вместо этого киберкомандам необходимо иметь целостное представление об атаках на организацию, чтобы правильно управлять рисками и воздействиями», – добавил он.
В июне CISA раскрыла инцидент, который является примером этой проблемы: Несколько злоумышленников взломали веб-сервер неназванного федерального агентства США, используя известные уязвимости многолетней давности.
Еще одной иллюстрацией проблемы приоритетного устранения уязвимостей является то, что в сентябре каталог известных эксплуатируемых уязвимостей (KEV) CISA достиг 1 000 позиций. Отслеживая известные ошибки, эксплуатируемые повсеместно, он призван помочь командам по устранению уязвимостей определить приоритеты. CISA отметила это событие в своем блоге и ответила на вопрос о том, как теперь определять приоритеты «в рамках KEV».
Дополнительную информацию об обнаружении, определении приоритетов и устранении уязвимостей можно найти в блогах Tenable:
- «Вы не можете исправить все: как использовать подход к устранению уязвимостей с учетом риска«.
- «CVSSv4 на подходе: Что нужно знать специалистам по безопасности«.
- «Mind the Gap: Как ожидание NVD подвергает вашу организацию риску«.
- «Что такое VPR и чем он отличается от CVSS?«
- «Отчет Tenable 2022 Threat Landscape Report: Уменьшение риска путем устранения известных уязвимостей«.
- «AA23-215A: лучшие регулярно эксплуатируемые уязвимости 2022 года«.
6 – Ставки на безопасность ОТ в критической инфраструктуре становятся все выше
В 2023 году возросла актуальность проблемы кибербезопасности критической инфраструктуры. Угрозы множились, а атаки усиливались, особенно со стороны государственных субъектов, поскольку поверхность атаки для этих организаций расширялась благодаря таким факторам, как конвергенция ИТ- и ОТ-систем и внедрение облачных технологий.
С точки зрения количества, кибератаки на критическую инфраструктуру, судя по многочисленным отчетам, в которых собрана статистика по отдельным государствам, странам, отраслям и методам атак, находятся на подъеме во всем мире.
Приведенная ниже диаграмма, в которой указаны фактические и прогнозируемые глобальные атаки, стоившие жертвам более 1 млн долларов, взята из исследования «Воздействие, уязвимости и стратегии смягчения последствий для кибербезопасности критической инфраструктуры«, опубликованного в апреле исследователями из Международного университета Флориды и Университета Юты Вэлли.
(Источник: Исследование «Воздействие, уязвимости и стратегии смягчения последствий для кибербезопасной критической инфраструктуры», проведенное Международным университетом Флориды и Университетом Юты Вэлли, апрель 2023 г.)
Правительства, обеспокоенные судьбой этих объектов, чьи услуги важны для общества и национальной безопасности, приняли меры по повышению их кибербезопасности.
Вот, например, некоторые инициативы CISA:
- В марте она запустила пилотную программу «Предупреждение об уязвимости к Ransomware«, чтобы помочь объектам критической инфраструктуры противостоять атакам вымогательского ПО.
- Совсем недавно была запущена пилотная программа по предоставлению бесплатных управляемых услуг в области кибербезопасности.
- В октябре CISA и другие агентства опубликовали руководство по повышению безопасности программного обеспечения с открытым исходным кодом в OT-средах.
- В ноябре была запущена кампания «Shields Ready«, направленная на повышение безопасности и устойчивости критической инфраструктуры.
Руководство по кибербезопасности критической инфраструктуры:
- «Critical Infrastructure and the Cloud: Политика в отношении возникающих рисков» (Атлантический совет).
- «Как решить проблемы OT: Инвентаризация активов и оценка уязвимостей» (Tenable)
- «7 ключевых передовых методов обеспечения безопасности ОТ» (TechTarget)
- «Руководство по безопасности операционных технологий (OT)» (NIST)
- «Эффективная защита ИТ- и ОТ-среды» (IANS Research)
- «Практический способ снизить риск в производственном помещении» (Tenable)
ВИДЕО
Tenable.ot Security Spotlight — Экосистема Ransomware
Tenable.ot Security Spotlight — Ransomware в OT-системах
И бонусная статья!
В этом блоге освещаются шесть кибертрендов, но сейчас сезон подарков, поэтому вот еще один: новые правила раскрытия информации о кибербезопасности от Комиссии по ценным бумагам и биржам США, которые только что вступили в силу.
Принятые в июле и утвержденные с некоторыми поправками в сентябре, эти правила устанавливают новые требования к компаниям, торгующимся на бирже, в отношении раскрытия информации об инцидентах, связанных с кибербезопасностью, управлении рисками, стратегии и руководстве.
Их цель? “Сделать раскрытие информации о кибербезопасности более последовательным, сопоставимым и полезным для принятия решений, что принесет пользу компаниям, их инвесторам и рынкам”, – говорится в заявлении агентства.
Например, за некоторыми исключениями, компании должны раскрывать информацию о киберинцидентах через четыре рабочих дня после того, как сочтут их существенными, и описывать их характер, масштабы и сроки, а также их фактическое или потенциальное влияние на бизнес. (В качестве странной тактики давления одна из банд, занимающихся распространением выкупного ПО, подала жалобу в Комиссию по ценным бумагам и биржам США на свою жертву, утверждая, что она не соблюдает новые правила раскрытия информации).
«В течение долгого времени крупнейшие и наиболее влиятельные американские компании относились к кибербезопасности как к приятной мелочи, а не как к обязательному условию. Теперь совершенно очевидно, что корпоративные лидеры должны повысить уровень кибербезопасности в своих организациях», – заявил председатель совета директоров и генеральный директор Tenable Амит Йоран в интервью Associated Press в июле. Он поделился своими соображениями в этом посте на LinkedIn.
Новые правила SEC являются частью более широкой тенденции правительств по всему миру, направленной на повышение ответственности за кибер-инциденты как поставщиков технологий, так и руководителей служб кибербезопасности.
Для получения более подробной информации о новых правилах ознакомьтесь с июльским FAQ от Tenable, заявлением директора Отдела корпоративных финансов SEC и руководством ФБР и Министерства юстиции.
Также ознакомьтесь с материалами и аналитическими материалами от CyberScoop, The National Law Review, TechCrunch, SANS Institute и SecurityWeek.
