Что означает «кибербезопасность» и как устроены технологии в этой области?

На модерации Отложенный

Многим людям хотя бы раз приходилось иметь дело с компьютерными вирусами. Вы заходите на вроде бы знакомый сайт, кликаете мышкой и… что-то идет не так. Курсор не двигается, все зависает. Для таких случаев есть защитные программы, однако схемы злоумышленников постоянно меняются, а количество киберугроз только растет. Вспомнить, например, о телефонном мошенничестве: по данным Kaspersky Who Calls, в первом полугодии 2024 года доля россиян, столкнувшихся с потенциальными злоумышленниками, выросла на 20 процентных пунктов по сравнению с аналогичным периодом прошлого года. Что означает «кибербезопасность»? Как устроены технологии в этой области? И зачем искать светофоры на картинках? Разбираемся в нашем материале.

История вируса

Кибербезопасность — это совокупность процессов и методов защиты устройств, сетей, программ и данных от атак киберзлоумышленников. В эту область входит не только сохранность личных данных на компьютере, но и защита от несанкционированного доступа, безопасная разработка (например, приложений), устойчивость процессов на производстве и другие важные направления.

С какого события началось развитие этой сферы, сказать сложно. По мнению руководителя Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») в России Дмитрия Галова, появление кибербезопасности неразрывно связано с первыми кибератаками.



Одной из наиболее крупных считается червь Морриса, поразивший сеть ARPANET в 1988 году. Как это произошло? Аспирант Корнельского университета и сын эксперта по криптографии Агентства национальной безопасности США Роберт Моррис создал программу, которая заразила более 6 000 компьютеров. Подбирая пароли и используя уязвимости в сетевых сервисах, червь пересылал свои копии на все доступные компьютеры, маскируясь под другие программы. Как позже выяснилось, молодой разработчик не планировал навредить, а лишь хотел оценить масштабы сети, сканируя подключенные устройства. Но из-за ошибки в алгоритмах распространение червя перегрузило работу компьютеров.

Эта история широко освещалась в СМИ и изменила представление людей о безопасности в интернете. Примерно в это же время начали появляться первые антивирусы.

Технологии в сфере кибератак и киберзащиты развивались во всем мире очень быстро. Уже в 2010 году впервые стали говорить о появлении кибероружия — речь о черве Stuxnet, который использовался в кибератаке на ядерную программу Ирана. В 2017 году произошло массовое распространение червя-вымогателя WannaCry: по разным данным, за короткое время от этого шифровальщика пострадало 500 тысяч устройств, приостановили работу компании и заводы.«Что касается „Лаборатории Касперского“, можно сказать, что все началось в далеком 1989 году. Тогда Евгений Касперский столкнулся с одним из первых зловредов, то есть вредоносных программ — Cascade. Заставляя символы на экране осыпаться, он не давал работать на зараженном компьютере. Евгений написал программу, которая позволяла его удалить. По сути, можно сказать, что это предопределило появление нашей компании», — рассказывает Дмитрий Галов.
Доксинг, фишинг, сталкинг
Киберугрозы бывают разных видов. Их можно систематизировать в зависимости от того, например, какие инструменты используют злоумышленники или какая цель у атакующих.
Весь ландшафт киберугроз, по словам эксперта, можно представить в виде пирамиды. В ее основании — массовые, занимающие примерно 90% от общего объема, киберугрозы. Это может быть скам*, фишинг*, телефонное мошенничество.

Недоброжелатели рассылают большое количество сообщений, обзванивают как можно больше людей, чтобы получить деньги и данные пользователей. В середине пирамиды находятся целенаправленные атаки на организации. Для их реализации злоумышленники могут использовать сложные программы, например те, которые шифруют корпоративные данные и требуют выкуп за их расшифровку, либо стилеры*. Последствия таких атак могут дорого обойтись бизнесу.

Вершину пирамиды занимают продвинутые таргетированные атаки. Обычно они направлены на конкретные объекты — высокопоставленных лиц, компании или государственные организации. Как правило, для этого используют дорогостоящее и сложное шпионское программное обеспечение (ПО) и так называемые уязвимости нулевого дня — ошибки в коде приложений, которые не обнаружили их разработчики (то есть у специалистов, по сути, есть 0 дней для закрытия уязвимости, поэтому она так называется).
Кроме того, киберугрозы можно поделить на файловые и нефайловые. К первым относится вредоносное и нежелательное ПО: троянцы (например, стилеры и шифровальщики), рекламные программы. Нефайловые — это фишинг, телефонное мошенничество, доксинг* и киберсталкинг*.

С глаз долой
Сегодня вирусы встречаются реже, им на смену пришли другие вредоносные программы: скам-приложения, стилеры, шифровальщики, банковские троянцы, шпионские программы и нежелательное рекламное ПО. Опасность еще и в том, что большинство из них умеют хорошо скрываться.
«Часто люди думают, что могут легко распознать зараженный смартфон или компьютер: будто устройство непременно начнет мигать, перегреваться или как-то еще странно себя вести. Но это правда лишь в том случае, если речь идет о зловредном ПО, побуждающем человека как можно скорее выполнить какое-либо действие: такие приложения сами себя проявляют. Однако для многих зловредов важно как можно дольше оставаться незамеченными. Понять, что не так, можно лишь по косвенным признакам, а точно определить, заражено ли устройство, получится только с помощью защитного решения», — объясняет Дмитрий Галов.
От смартфонов до автомобилей
Эксперты предупреждают: сегодня взломать можно практически любое устройство (особенно если оно подключено к интернету) — от смартфонов и компьютеров до кофемашин и автомобилей.
Это доказывают не только различные инциденты, но и лабораторные исследования. Несколько лет назад специалисты выяснили, что перед потенциальными киберугрозами на тот момент была уязвима определенная медицинская техника, а именно нейростимуляторы — имплантируемые генераторы импульсов, посылающие электрические сигналы в различные зоны мозга. Их применяют для облегчения симптомов некоторых заболеваний.
«Несмотря на то, что мы не видели ни одной реальной атаки на нейростимуляторы, в теории их слабые места могут использовать злоумышленники. Поэтому обращать внимание на проблемы в областях передовых технологий и продумать способы их решения следует уже сейчас», — отмечает Дмитрий Галов.
Недавно исследователи нашли ряд уязвимостей в популярной умной кормушке для домашних животных. Если злоумышленники их используют, то потенциально смогут превратить умное устройство в инструмент слежки.
«Стоит оговориться, что реалистичность самых разных сценариев кибератак зависит во многом от того, видят ли атакующие в них для себя выгоду. Дорогостоящие кибератаки с минимальным эффектом вряд ли будут проводить из интереса», — добавляет эксперт.
Охотники за ошибками
Итак, с киберугрозами разобрались. Как убедиться, что устройство или приложение достаточно защищено? Для этого есть несколько подходов. Например, провести пентест: смоделировать атаку на компьютерную систему или сеть. Специалисты по информационной безопасности — пентестеры — занимаются поиском уязвимостей и оценивают ущерб от потенциальной кибератаки.
Кроме того, компании-разработчики ПО могут реализовывать свои Bug Bounty-программы. В таких проектах участвуют как независимые эксперты, так и специалисты других компаний, которые получают вознаграждение, если найдут в коде разработчика ПО ошибку.
«Обычно исследователи не публикуют информацию об уязвимости до выхода ее исправления. Но в индустрии есть правило: если производитель ПО сильно задерживает выпуск исправления, то исследователи могу публично разглашать информацию об уязвимости. Это делается, чтобы побудить компанию быстрее выпустить патч, то есть закрыть уязвимость», — говорит Дмитрий Галов.
Но полагаться только на пентесты и программы Bug Bounty не стоит. Компаниям необходимо регулярно проводить внутренний аудит и обучать персонал основам цифровой грамотности.
Что касается защиты аккаунтов пользователей в разных сервисах, в том числе в соцсетях, здесь одним из самых эффективных способов до сих пор считается многофакторная аутентификация. По сути, она сводится к тому, что человек должен дважды (иногда и больше) подтвердить разными способами, что он — это он.

Первым фактором может быть пароль и логин. Вторым — код подтверждения: он может приходить по СМС, в виде push-уведомления, из специального приложения, или вовсе быть биометрическим (например, отпечатком пальца).
«Желательно сделать так, чтобы код подтверждения приходил на другое устройство, на котором человек не вводил пароль. Таким образом, даже если злоумышленник узнает пароль, он не сможет пройти второй этап проверки», — рекомендует специалист.
Найти все светофоры
Один из популярных способов защитить сайт — так называемая капча*.

Этот тест позволяет отличить человека от робота (бота), способного использовать веб-страницу для спама.
Чаще всего для такой проверки нужно ввести текст с изображения, определить объект или решить математический пример. Капча анализирует поведение пользователей и позволяет отличить людей от ботов. Дело в том, что человек обычно медленнее анализирует изображение и вводит текст. Учитываются движения мыши, порядок и скорость кликов.
С появлением искусственного интеллекта все, конечно, становится сложнее. Чтобы понять, могут ли нейросети обходить CAPTCHA, специалисты проводят исследования. В одном из таких экспериментов ChatGPT все же удалось обмануть тест, «притворившись» человеком, у которого есть проблемы со зрением.
Но не у всех сайтов есть капча, чем пользуются злоумышленники. Они могут заходить на веб-страницы с формой для обратной связи, регистрации пользователей или контакта с техподдержкой, которые не требуют верификации. В строку для логина или имени пользователя злоумышленники могут ввести короткое сообщение, например: «Вы выиграли! Пройдите по ссылке», или развернутый текст с картинками в поле обращения. Затем в раздел «Контакты для связи» добавляют почтовые адреса потенциальных жертв. В результате человеку приходит автоматически сформированное письмо якобы от организации: с благодарностью за регистрацию, или уведомление о том, что его обращение принято, а также информация, которую ввели злоумышленники. Отсутствие капчи позволяет сделать такие рассылки массовыми.
Знай своего клиента
Отличить человека от робота или выяснить, не выдает ли он себя за кого-то другого, можно иначе. Например, в компаниях существует принцип работы KYC*.

Обычно этот принцип используют финансовые организации для верификации личности клиентов. Для подобных проверок просят дополнительную информацию, например документ, удостоверяющий личность, или селфи с ним.
Но и здесь есть свои риски. Зачастую пользователи не знают, как работают те или иные проверки, и этим пользуются мошенники.
«Недавно наши специалисты обнаружили схему кражи Telegram-аккаунтов и криптовалюты у русскоязычных пользователей. Фишеры искали людей, которые хотели совершить финансовые сделки с криптовалютой в мессенджере. Выходили с ними на связь под предлогом проведения транзакции. Сначала они сообщали, что для повышения уровня безопасности якобы необходимо пройти KYC-верификацию, иначе криптокошелек будет заморожен. Сделать это предлагали через специальный сервис для „авторизации“, на который присылали ссылку. На самом деле таким образом они заманивали человека в фишинговый бот и выманивали данные от входа в его аккаунт в мессенджере», — приводит пример Дмитрий Галов.
Нейросети против хакеров
С учетом стремительного развития технологий закономерным будет вопрос: а что с искусственным интеллектом, как он повлиял на сферу кибербезопасности?
По словам Дмитрия Галова, разные ИИ-технологии уже применяются в мошеннических схемах: злоумышленники научились генерировать поддельные видео с известными людьми и использовать голосовые дипфейки — чтобы якобы от имени коллег или знакомых убеждать по телефону людей перевести деньги на «безопасный» счет.
«На сегодняшний день мы не видим случаев, когда нейросети используются для сложных кибератак (за исключением онлайн- и телефонного мошенничества). Потенциально злоумышленники их могут применять, чтобы автоматизировать и повысить эффективность своих действий, но это вряд ли кардинально изменит ландшафт киберугроз», — делится эксперт.
К тому же языковые модели, вероятно, будут активнее применять и специалисты по кибербезопасности. Это позволит сделать защиту эффективнее в условиях усложняющихся кибератак.
Цифровая грамотность
К сожалению, самым слабым звеном в киберзащите до сих пор остается человек. Нередки случаи, когда сотрудники какой-нибудь компании попадаются на фишинговые письма и сознательно могут нарушать требования по кибербезопасности. При этом техники злоумышленников постоянно совершенствуются.
«Сегодня организациям нужно одновременно внедрять эшелонированную киберзащиту, применять современные технологии защиты, а также обучать сотрудников, повышая их уровень цифровой грамотности», — подчеркивает руководитель Kaspersky GReAT в России.
По данным «Лаборатории Касперского», в первом полугодии 2024 года в России и СНГ количество критичных киберинцидентов выросло на 39% по сравнению с аналогичным периодом прошлого года. С наибольшим числом инцидентов столкнулись организации в сфере телекоммуникаций, строительства и информационных технологий. По общему числу всех зафиксированных инцидентов в лидерах телекомы, СМИ и здравоохранение.
Это не значит, что какие-то отрасли лучше защищены, и им можно уделять меньше внимания. Технологии становятся сложнее по обе стороны баррикад. По мнению специалистов, сегодня кибербезопасность должна лежать в основе всех сфер нашей жизни, которые так или иначе затронуты цифровизацией.
Востребованная профессия
По оценкам экспертов МФТИ, годовая потребность в специалистах по кибербезопасности в стране составляет не менее 6 000 человек. Пока спрос превышает предложение: российские вузы в год выпускают около 3 500 бакалавров и магистров.
«Любая информационная система должна быть защищена. У компании для получения соответствующих лицензий должно быть не менее трех сотрудников с профильным образованием. Специалистов по этому профилю среди безработных нет и не будет. Уровень зарплат существенно выше среднего», — говорит заведующий кафедрой защиты информации МФТИ, доктор технических наук Валерий Конявский.
С ускорением цифровизации спрос на таких специалистов будет только увеличиваться, подчеркивает руководитель образовательных программ факультета информационных технологий Московского Политеха Александр Гневшев.
«Ежегодно наблюдается рост числа и сложности кибератак. Современные передовые технологии, такие как облачные вычисления, искусственный интеллект и машинное обучение, расширяют поверхность атаки. Для них нужны новые подходы в области кибербезопасности. Кроме того, усиливаются регуляторные требования в сфере защиты данных, что увеличивает потребность в специалистах», — считает эксперт.
Что входит в учебную программу? В первую очередь, математика, радиоэлектроника и импульсная техника, криптография, доверенные системы искусственного интеллекта, проектирование информационных систем в защищенном исполнении, а также курсы по профессиональной риторике и «Основы научного исследования» — эти и другие области знаний студенту МФТИ предстоит освоить за шесть лет.

Заведующий кафедрой защиты информации МФТИ Валерий Конявский«Вычислительная техника меняется очень быстро, как меняются и информационные системы — на смену корпоративным приходят открытые, появляются системы искусственного интеллекта. Все прежнее, соответственно, устаревает, а вместе с ним средства защиты информации. Поэтому разработчики средств защиты тоже нужны постоянно. Причем новые, чтобы средства защиты не тащили назад защищаемые вычислительную технику и информационные системы. Если специалист не ошибся с выбором профессии, он точно найдет применение своим способностям и навыкам», — объясняет заведующий кафедрой защиты информации МФТИ Валерий Конявский.
В Московском Политехе студенты образовательных программ по информационной безопасности начинают профильное обучение с первого курса. Помимо специализированных дисциплин, первые два года студенты интенсивно изучают языки программирования, компьютерные сети и системы, базы данных и математику.
«Специалист в области кибербезопасности должен обладать знаниями в области архитектуры безопасности, проектирования высоконагруженных и распределенных систем, облачных технологий, методологий DevSecOps, нормативных требований, а также навыками управления инцидентами и реагирования на угрозы, работы с криптографическими средствами, форензики (цифровой криминалистики), проведения анализа безопасности, мониторинга и других компетенций», — добавляет Александр Гневшев.
Чтобы поступить на факультет по направлению «Кибербезопасность», нужно сдать ЕГЭ по математике, русскому языку, а также физике или информатике. Лучше выбрать физику, подсказывает завкафедрой защиты информации МФТИ Валерий Конявский. Так будет легче учиться на младших курсах, да и в профессиональной жизни эти знания неоценимы.
Анна Шиховец