Безопасное цифровое будущее возможно только с Zero Trust
Социальные сети, удаленная работа, беспечность пользователей — настоящая лавка сладостей для злоумышленников. И не надо быть продвинутым хакером, чтобы выкрасть чувствительную информацию или заразить компьютер жертвы вирусом-вымогателем. Такие атаки можно предотвратить, и средства для этого предлагают в том числе российские компании.
В социальной сети LinkedIn нашумела история Вики О’Ши-Фаулер, генерального директора компании DataSmart Consulting. У нее отличное резюме: история работы в компаниях по обработке данных и разработке программного обеспечения, высокие должности, связи с высокопоставленными сотрудниками Oracle, AWS, Visa, представителями правительств и администраций ряда стран, в основном США. Вики регулярно размещала публикации, которые выглядели вполне экспертно, а также активно развивала сеть друзей. Многие ее контакты говорят, что принимали запросы потому, что у них было много общих контактов в индустрии. Проблема только в том, что Вики не существует. Это фейковый аккаунт с уникальным фото, сгенерированным нейросетью. А все компании, перечисленные в резюме, находятся в самых разных странах и при этом либо не существуют, либо уже закрыты.
Зачем создавать в профессиональной социальной сети фейк и так старательно развивать аккаунт несуществующего персонажа? Именно ради сети контактов и определенного уровня доверия — в LinkedInнередко ищут сотрудников и партнеров. «Представление компании» или «преимущество сервисов» в личных сообщениях рассылалось в виде «презентации», которая на самом деле содержит или вирус-вымогатель, или взломщика, дающего доступ к компьютеру жертвы со всеми данными, паролями, подключениями к рабочим базам данных, личными документами, доступом к онлайн-банкингу и т. д.
И такую Вики во всех социальных сетях можно найти не одну. LinkedIn публично заявила, что только в 2020 году отфильтровала более 45 млн фейковых или дипфейковых аккаунтов при регистрации. О количестве пострадавших от такого использования технологий можно только догадываться.
В социальных сетях регистрация аккаунта и распространение дипфейка не составляет труда. А о системах, на входе отсекающих такого рода регистрации, компании не говорят. Инструменты для создания дипфейков — как голосовых, так и видео — становятся все доступнее. Раньше такого рода видео собирались покадрово из десятков часов исходного видео. Теперь же основанные на технологиях искусственного интеллекта движки выложены как открытый код в разных источниках, и любой желающий при небольшом наборе знаний в области программирования может создать дипфейк с любым лицом, голосом и сообщением. Более сложные системы, дающие крайне реалистичный результат, продаются в даркнете и могут быть использованы как угодно — например, чтобы обрушить определенный рынок, создав видео известного бизнесмена с нужным текстом, или в политической борьбе.
Все чаще дипфейки используются в социальных сетях как «охота на дурака»: создаются видео, обещающие какие-то выплаты или бонусы, от имени известных людей или доверенных каналов (совсем недавно по социальным сетям гуляли ролики «Тинькова на розовом диване», обещавшего удвоить выплаты всем вкладчикам, а также многочисленные видео якобы от федеральных телеканалов с сообщениями о несуществующих компенсациях, льготах и налоговых вычетах от государства). Все это либо схемы сбора денег через переводы, либо фишинговые ссылки.
Дипфейки стали орудием взлома корпоративных сетей через рекрутинг: удаленная работа и распределенность команд по всему миру часто делают очные встречи с кандидатами невозможными, HRприходится полагаться на собеседования онлайн, а работа ИТ в дистанционном формате стала привычной. Сейчас все чаще появляются сообщения о том, как хакеры использовали дипфейк, чтобы пройти собеседования на разные должности, дающие доступ к чувствительным данным, инфраструктуре компаний, конфиденциальной информации и коммерческой тайне. Для создания убедительного дипфейка используются фото и видео, которые пользователи щедро оставляют в соцсетях, а кадровым службам предоставляются украденные личные данные — номера документов, адреса, сведения о страховке и т. д. Иногда такое «трудоустройство» делается ради денег — от сравнительно небольших сумм зарплаты несуществующему сотруднику до значительных выкупов, если злоумышленник заразил сеть компании вирусом-вымогателем. А иногда целью являются именно находящиеся в системе компании данные, которые затем продаются на черном рынке или используются в других целях, тоже незаконных. Новости о такого рода атаках приходят из компаний по всему миру. И хотя в России такая проблема пока остро не стоит, это лишь вопрос времени.
Борьба с дипфейками — это гонка на опережение. Даже на сайте ФБР среди рекомендаций по определению дипфейков указаны лишь общие слова — как присматриваться к изображению, отслеживать несовпадение речи и мимики, обращать внимание, отображаются ли визуально кашель или чихание.
В реальности борьба с дипфейками подразумевает как минимум два уровня. В первую очередь уровень платформ, где они размещаются. Для эффективной фильтрации фейковых аккаунтов должны использоваться системы многофакторной аутентификации пользователя. Сейчас большинству сетей достаточно предоставить номер телефона или адрес электронной почты, но они легко подделываются, и именно это позволяет злоумышленникам плодить бесконечно много аккаунтов с фишинговым и вредоносным контентом. Специалисты в области защиты информации уже давно разработали системы многофакторной аутентификации пользователей, дающие высокую достоверность, и подход Zero Trust — отказ от безоговорочного доверия пользователю в системе и валидация каждого его действия внутри. Многие платформы не прибегают к этим методам, полагая, что они вызовут отток пользователей и, соответственно, доходы компаний. Но очевидно, что в будущем стремительный рост числа атак на пользователей неизбежно приведет к необходимости внедрения таких систем ради сохранения бизнеса. Шутка «в соцсетку по паспорту» перестает быть шуткой тогда, когда ваши личные данные и проприетарная информация компании через соцсеть оказываются у злоумышленника.
Второй уровень — это широкое образование в области кибербезопасности для пользователей всех уровней. Данные уже стали привычной средой и обычным инструментом. Теперь надо ввести привычки кибербезгигиены в обращении с ними: понимать, какие данные оставляет пользователь и где, как они хранятся, модифицируются, передаются, кто имеет к ним доступ, как его ограничить, какие средства должны быть на стороне платформ, а какие — в руках пользователей. Кибербезопасность должна стать не сложным и не понятным «чем-то для гиков», а такой же обыденной вещью, как страховка или регулярный медосмотр. Со стороны такой подход может казаться скучным, но это значительно увеличит защищенность как отдельного пользователя, так и систем в целом.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
В социальной сети LinkedIn нашумела история Вики О’Ши-Фаулер, генерального директора компании DataSmart Consulting. У нее отличное резюме: история работы в компаниях по обработке данных и разработке программного обеспечения, высокие должности, связи с высокопоставленными сотрудниками Oracle, AWS, Visa, представителями правительств и администраций ряда стран, в основном США. Вики регулярно размещала публикации, которые выглядели вполне экспертно, а также активно развивала сеть друзей. Многие ее контакты говорят, что принимали запросы потому, что у них было много общих контактов в индустрии. Проблема только в том, что Вики не существует. Это фейковый аккаунт с уникальным фото, сгенерированным нейросетью. А все компании, перечисленные в резюме, находятся в самых разных странах и при этом либо не существуют, либо уже закрыты.
Зачем создавать в профессиональной социальной сети фейк и так старательно развивать аккаунт несуществующего персонажа? Именно ради сети контактов и определенного уровня доверия — в LinkedInнередко ищут сотрудников и партнеров. «Представление компании» или «преимущество сервисов» в личных сообщениях рассылалось в виде «презентации», которая на самом деле содержит или вирус-вымогатель, или взломщика, дающего доступ к компьютеру жертвы со всеми данными, паролями, подключениями к рабочим базам данных, личными документами, доступом к онлайн-банкингу и т. д.
И такую Вики во всех социальных сетях можно найти не одну. LinkedIn публично заявила, что только в 2020 году отфильтровала более 45 млн фейковых или дипфейковых аккаунтов при регистрации. О количестве пострадавших от такого использования технологий можно только догадываться.
В социальных сетях регистрация аккаунта и распространение дипфейка не составляет труда. А о системах, на входе отсекающих такого рода регистрации, компании не говорят. Инструменты для создания дипфейков — как голосовых, так и видео — становятся все доступнее. Раньше такого рода видео собирались покадрово из десятков часов исходного видео. Теперь же основанные на технологиях искусственного интеллекта движки выложены как открытый код в разных источниках, и любой желающий при небольшом наборе знаний в области программирования может создать дипфейк с любым лицом, голосом и сообщением. Более сложные системы, дающие крайне реалистичный результат, продаются в даркнете и могут быть использованы как угодно — например, чтобы обрушить определенный рынок, создав видео известного бизнесмена с нужным текстом, или в политической борьбе.
Все чаще дипфейки используются в социальных сетях как «охота на дурака»: создаются видео, обещающие какие-то выплаты или бонусы, от имени известных людей или доверенных каналов (совсем недавно по социальным сетям гуляли ролики «Тинькова на розовом диване», обещавшего удвоить выплаты всем вкладчикам, а также многочисленные видео якобы от федеральных телеканалов с сообщениями о несуществующих компенсациях, льготах и налоговых вычетах от государства). Все это либо схемы сбора денег через переводы, либо фишинговые ссылки.
Дипфейки стали орудием взлома корпоративных сетей через рекрутинг: удаленная работа и распределенность команд по всему миру часто делают очные встречи с кандидатами невозможными, HRприходится полагаться на собеседования онлайн, а работа ИТ в дистанционном формате стала привычной. Сейчас все чаще появляются сообщения о том, как хакеры использовали дипфейк, чтобы пройти собеседования на разные должности, дающие доступ к чувствительным данным, инфраструктуре компаний, конфиденциальной информации и коммерческой тайне. Для создания убедительного дипфейка используются фото и видео, которые пользователи щедро оставляют в соцсетях, а кадровым службам предоставляются украденные личные данные — номера документов, адреса, сведения о страховке и т. д. Иногда такое «трудоустройство» делается ради денег — от сравнительно небольших сумм зарплаты несуществующему сотруднику до значительных выкупов, если злоумышленник заразил сеть компании вирусом-вымогателем. А иногда целью являются именно находящиеся в системе компании данные, которые затем продаются на черном рынке или используются в других целях, тоже незаконных. Новости о такого рода атаках приходят из компаний по всему миру. И хотя в России такая проблема пока остро не стоит, это лишь вопрос времени.
Борьба с дипфейками — это гонка на опережение. Даже на сайте ФБР среди рекомендаций по определению дипфейков указаны лишь общие слова — как присматриваться к изображению, отслеживать несовпадение речи и мимики, обращать внимание, отображаются ли визуально кашель или чихание.
В реальности борьба с дипфейками подразумевает как минимум два уровня. В первую очередь уровень платформ, где они размещаются. Для эффективной фильтрации фейковых аккаунтов должны использоваться системы многофакторной аутентификации пользователя. Сейчас большинству сетей достаточно предоставить номер телефона или адрес электронной почты, но они легко подделываются, и именно это позволяет злоумышленникам плодить бесконечно много аккаунтов с фишинговым и вредоносным контентом. Специалисты в области защиты информации уже давно разработали системы многофакторной аутентификации пользователей, дающие высокую достоверность, и подход Zero Trust — отказ от безоговорочного доверия пользователю в системе и валидация каждого его действия внутри. Многие платформы не прибегают к этим методам, полагая, что они вызовут отток пользователей и, соответственно, доходы компаний. Но очевидно, что в будущем стремительный рост числа атак на пользователей неизбежно приведет к необходимости внедрения таких систем ради сохранения бизнеса. Шутка «в соцсетку по паспорту» перестает быть шуткой тогда, когда ваши личные данные и проприетарная информация компании через соцсеть оказываются у злоумышленника.
Второй уровень — это широкое образование в области кибербезопасности для пользователей всех уровней. Данные уже стали привычной средой и обычным инструментом. Теперь надо ввести привычки кибербезгигиены в обращении с ними: понимать, какие данные оставляет пользователь и где, как они хранятся, модифицируются, передаются, кто имеет к ним доступ, как его ограничить, какие средства должны быть на стороне платформ, а какие — в руках пользователей. Кибербезопасность должна стать не сложным и не понятным «чем-то для гиков», а такой же обыденной вещью, как страховка или регулярный медосмотр. Со стороны такой подход может казаться скучным, но это значительно увеличит защищенность как отдельного пользователя, так и систем в целом.
