Денис Макрушин
Независимый эксперт
Развитие угроз
и технологий кибербезопасности
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Прогноз на 1 год
Прогноз развития угроз
Напоминаю: мы с вами строим технологии и процессы защиты в асимметричной среде. Асимметрия заключается в нашей прозрачности для атакующего. Как в дикой природе: хищника не видно, пока он изучает жертву и готовится напасть. Жертва изучает хищника только в момент нападения.
Сделаем прогноз о развитии киберугроз на горизонте одного года.
- Генеративные сети значительно ускорят time-to-market разработчикам вредоносного кода. С одной стороны, это приведет к росту случайных атак и повысит вероятность обнаружения антивирусным ПО, а с другой — усложнит атрибуцию авторов вредоносного кода.
- Вырастет количество фейковых «утечек», в которых для генерации синтетических данных использовались LLM. И в итоге в даркнете вырастет количество предложений о продаже фейковых данных.
- Увидим больше имплантов, написанных на Go и Rust. И, как следствие, будет больше атак с использованием кросс-платформенных вредоносов.
- Увеличится количество cloud-native ransomware: разработчики вредоносного кода будут внедрять функции инвентаризации storage-аккаунтов и поддержку API для манипуляции с облачным хранилищем данных.
- Увидим больше фишинговых email, сгенерированных LLM. Больше аналогичного фрода в мессенджерах. Например, мошенники уже синтезируют голосовые сообщения в «Телеграме».
Технологические тренды: оптимизация и гиперавтоматизация в средствах защиты
Теперь подумаем о трендах в технологиях защиты. Опишу их двумя терминами — гиперавтоматизация и оптимизация. Во всех аспектах. От выявления аномалий до последующего реагирования на инциденты. И необязательно с использованием алгоритмов машинного обучения.
Коротко про оптимизацию. Ресурс всегда ограничен. Кто эффективнее работает с имеющимся аппаратным ресурсом, тот обрабатывает больше данных, делает это быстрее и в конечном итоге предоставляет лучший пользовательский опыт.
А вот с гиперавтоматизацией нужно разобраться. Некоторые технологические гиганты определяют гиперавтоматизацию как «концепцию автоматизации всего, что возможно автоматизировать в организации». Другими словами: исключить человеческий фактор из всех бизнес-процессов.
Еще в 2021 году Gartner утверждал, что внедрение подхода гиперавтоматизации превращается «из опционального требования в необходимое условие для выживания бизнеса». Только Gartner не уточнял формальные критерии для реализации этого подхода. И отличия между автоматизацией и гиперавтоматизацией все еще четко не определены.
В 2025 году у нас по-прежнему есть возможность определить эти критерии самостоятельно.
- Описание абсолютно всех процессов жизненного цикла ИБ для заданной системы.
- Технологическая возможность автоматизации всех описанных процессов.
- При допустимой вариативности процесса система способна без участия человека определить эффективное решение (вариацию).
- Эффективность решения — метрика, которую система способна определять самостоятельно на основе бизнес-показателей.
В этом году мы увидим больше вендоров, которые используют подход гиперавтоматизации для задач ИБ. Например, в январе очередной раунд инвестиций поднял стартап Torq. Теперь последим за секцией Innovation Sandbox на RSA Conference 2024 и посчитаем количество компаний, которые что-то «гиперавтоматизируют с использованием AI».
Прогноз на 3 года
Развитие угроз и технологий кибербезопасности на горизонте трех лет
Угрозы cloud-native и платформы обеспечения безопасности в облаке
Уже сегодня 77% компаний-разработчиков обновляют код своих продуктов еженедельно, а 38% доставляют обновления каждый день. Частота этих обновлений растет. Развитие И И ускоряет процесс создания кода, а облака позволяют разработчикам моментально собирать и доставлять свои приложения. На горизонте трех-пяти лет разработка и развертывание приложений будет целиком и полностью производиться в облачной среде.
“
Рост скоростей продуктовых изменений требует от команд безопасности соответствующий темп. Разработчики, DevOps-инженеры, команды product security — все делят между собой ответственность за безопасность продукта
При этом на каждом этапе его жизненного цикла на эту скорость влияет не только качество используемых инструментов, но и эффективность кросс-командного взаимодействия.
Другой вызов для команд безопасности заключается в широкой поверхности атаки. Пока разбираешь результаты анализа безопасности кода, кто-то из DevOps-инженеров собирает окружение с зараженным образом контейнера. Или другой пример: научившись внимательно следить за runtime развернутого приложения, по-прежнему не видишь скомпрометированную среду разработки.
Подход к защите cloud-native приложения должен быть целостным и сфокусированным на четырех объектах:
- код приложения;
- инфраструктура разработки;
- продуктовое окружение (runtime);
- данные.
Реализация этого подхода возможна при наличии единого «источника истины» для команд разработки и безопасности
Источник истины — это точка, в которой собираются актуальные артефакты приложения и его окружения, сходятся процессы и результаты. Интеграция процессов, ролей и инструментов в единую платформу позволяет получить этот источник.
Ключевое действие: интеграция. Аналитики Gartner даже придумали концепцию Cloud-Native Application Protection Platform (CNAPP), в рамках которой представили жизненный цикл приложений и интегрированный подход по обеспечению их безопасности от «кода до облака».
Бизнес унифицирует производство ПО так, чтобы вместо множества продуктов, собирающих данные, была одна платформа, собирающая множество данных. И уже после на этом множестве будут эффективно тренировать ИИ и эволюционировать в автоматизации.
Автономные системы поиска и эксплуатации уязвимостей
Агенты LLM демонстрируют признаки автономной эксплуатации известных уязвимости. И делают это с вероятностью успеха 87%. Исследователи собрали набор из 15 известных уязвимостей и скормили их описание из CVE агенту на базе разных генеративных моделей. В результате агент с GPT-4 успешно построил последовательность шагов для эксплуатации уязвимостей. А для некоторых веб-уязвимостей (XSS, SQL-inj) успешно сделал это без описания из CVE.
При этом в настоящее время LLM стал более эффективным инструментом для помощи в процессе поиска уязвимостей. Но до состояния автономной системы пока еще далеко. Данное исследование подтверждает, что способности LLM подтолкнут развитие систем поиска уязвимостей, генерации эксплойтов, а также поспособствуют развитию автономных систем симуляции атак.
Развитие технологий, в которых ИБ появляется как неотъемлемая часть
Квантовые вычисления и квантовая криптография:
Существенное увеличение вычислительной мощности благодаря квантовым компьютерам, что позволит решать задачи, недоступные для классических компьютеров.
С развитием квантовых вычислений возникает необходимость в новых методах шифрования данных, которые будут устойчивы к взлому квантовыми компьютерами. Квантовая криптография предлагает такие решения, например квантовое распределение ключей.
Технологии нейроинтерфейсов:
Разработка интерфейсов, позволяющих прямое взаимодействие между мозгом и компьютером, что откроет новые возможности в медицине, обучении и развлечениях. А также возможности для киберфизической безопасности.
Появятся интерфейсы «мозг-компьютер» на базе ИИ. Исследования в области нейросетевых интерфейсов «мозг-компьютер» набирают обороты в этом десятилетии: с 2013 года DARPA финансирует эти технологии в рамках инициативы BRAIN. Существуют общественное восприятие, этические и законодательные барьеры, но использование ИИ в сочетании с BCI может привести к быстрому развитию этой технологии в период до 2030 года.
Разработка программного обеспечения с использованием low-code и zero-code технологий:
Сочетание AI-помощников для разработчика, low-code платформ, инфраструктуры как кода (IaC) и генеративных инструментов на основе искусственного интеллекта преобразует разработку программного обеспечения в том виде, в котором мы ее знаем, особенно по мере совершенствования этих программных инструментов.
Эти технологии позволят значительно сократить время и усилия, затрачиваемые на создание программных продуктов. Разработчики смогут быстрее переходить от идеи к готовому решению, а автоматизация рутинных задач освободит время для работы над более сложными и творческими аспектами проектов.
Кроме того, такие платформы сделают разработку доступной для широкой аудитории, включая людей без глубоких технических знаний, что приведет к появлению большего количества инновационных решений и стартапов.