«В каком-то смысле вирусы-вымогатели стали благословением, поскольку они заставили улучшить кибербезопасность»: анализ руководителя Amazon
Новое исследование на этой неделе предупредило, что латиноамериканская финансовая индустрия по-прежнему страдает от определенного типа кибератак: ransomware . Это тип вредоносной программы ( malware ), которая шифрует информацию, делая ее недоступной для ее владельцев, а затем требует выкуп взамен. Это стало головной болью для компаний, государств и организаций по всему миру за последние пять лет.
У программ-вымогателей есть история. Хотя их истоки восходят к концу 1980-х годов, они стали киберпреступным бизнесом только в последнее десятилетие. Они настолько плодовиты, что у этих групп программ-вымогателей есть участники, которые занимаются шифрованием информации, финансами и даже тем, что они называют «технической поддержкой»: чатом, в котором ведутся переговоры, чтобы в лучшем случае для жертвы снизить запрашиваемую сумму. Они даже создали бренды с известными именами в отрасли.
Хотя в 2024 году произошло несколько крупных сбоев в работе, таких как группы LockBit и BlackCat (ALPHV) , он остается активной угрозой . Хотя он и исчез из поля зрения СМИ, в 2025 году уже произошло несколько случаев, некоторые из которых циркулировали в социальных сетях, а другие попали в заголовки газет.
Но, как и в случае с любым кризисом, программы-вымогатели также стали возможностью: «В некотором смысле программы-вымогатели стали благом , поскольку заставили пользователей лучше соблюдать кибергигиену ».
Это Марк Райланд , руководитель группы экспертов по безопасности облачных вычислений в Amazon Web Services (AWS), подразделении облачных вычислений Amazon . Он работает заместителем «CISO», должности, которую крупные компании и правительства начинают рассматривать для своих операций: директор по информационной безопасности, то есть человек, который реагирует на инциденты кибербезопасности, но также отвечает за разработку политики доступа, управление учетными записями и практики, которые в конечном итоге способствуют безопасности компании.
И именно эта карта имеет значение, когда речь идет о том, чтобы подвергнуться атаке или отреагировать на нее: понимание того, какие меры необходимо предпринять для предотвращения атак программ-вымогателей, четкое понимание того, что вы должны быть готовы к их возникновению, и наличие политики «безопасности по умолчанию», например, обеспечение того, чтобы система не позволяла выбирать «1234» в качестве пароля.
Райланд рассказал обо всем этом Clarín на re:Inforce , мероприятии AWS, посвященном кибербезопасности, в Филадельфии, США, чтобы объяснить, что происходит с текущими тенденциями в области кибератак.
Программы-вымогатели: шифрование данных и вымогательство. Фото: Shutterstock
─Как вам удаётся успевать за технологическим прогрессом, с какой скоростью он происходит?
─Я думаю, если у вас есть естественное любопытство, оно побуждает вас попытаться немного лучше понять, что происходит. Большая часть моей работы заключается в общении с нетехнической аудиторией о технологиях, поэтому я должен быть в курсе новых используемых инструментов, чтобы мне было комфортно обобщать или упрощать идеи. И я говорю это, потому что есть упрощения, которые вводят в заблуждение, и другие, которые хороши. Это тоже своего рода искусство.
─Не слишком ли преувеличены современные тенденции, например, искусственный интеллект?
─Ажиотаж Gartner всегда является фактором, который следует учитывать, когда появляется новая технология. Я склонен довольно скептически относиться к любой технологии, которая продается как решение всех наших проблем. На самом деле, я немного отвлекся, но я был скептически настроен по отношению к блокчейну . Я никогда не думал, что он решит все, что, как они говорили, он решит, например, отслеживание доставки товаров из одного конца страны в другой.
─На самом деле, да, потому что у нас уже были базы данных, которые очень хорошо для этого работали. Блокчейн был совсем не таким, каким он себя представлял . Он хорош для криптовалют, цифровой валюты, но не более того. Почти все варианты использования за пределами этого были чепухой, и я помню, как IBM, Accenture, Gartner говорили о блокчейне и продавали консалтинговые проекты компаниям, чтобы использовать блокчейн для того, что они могли бы сделать с помощью обычной базы данных.
─Последние несколько лет программы-вымогатели были темой номер один в индустрии кибербезопасности. Каково текущее положение дел?
─Сообщения показывают, что тенденция прекратила расти, но это ни в коем случае не решенная проблема . Общее ощущение — и цифры — таковы, что, по крайней мере, она не увеличивается.
─Чему, по вашему мнению, научили отрасль программы-вымогатели?
─Я собираюсь сказать что-то немного спорное. В некотором смысле, программы-вымогатели были благословением, потому что они заставляли пользователей практиковать лучшую кибергигиену . Основная проблема заключается в том, что на самом деле в течение многих лет мы работали с системами, которые было легко взломать; разница в том, что раньше не было индустрии киберпреступности, которая могла бы это монетизировать. Злоумышленник мог бы проникнуть, но зачем ему это делать, если не было способа монетизировать это?
─Но как вы думаете, изменилось ли что-нибудь после появления вируса-вымогателя?
─Ну, я думаю, что это был ужасный обряд посвящения, плата, которую пришлось заплатить отрасли . Это было болезненно, но я думаю, что — в целом — компании стали сильнее в улучшении основ, от работы над образованием с внутренним тестированием на фишинг, укрепления своих периметров и брандмауэров и создания лучших резервных копий. Все больше компаний и государственных учреждений узнали о проблеме и, например, начали ограничивать доступ пользователей, чтобы у них не было разрешения на удаление резервной копии, даже у самых привилегированных администраторов.
─Итак, как это ни парадоксально, это оказало положительное влияние на отрасль.
─И я думаю, что осведомленность растет. Руководители компаний также начали понимать, что кибербезопасность — это не вариант. Генеральные директора и старшие менеджеры начали спрашивать себя: «Что нам делать с программами-вымогателями?» Компании никогда не были хороши в исправлении систем (их обновлении) и обучении пользователей. И после случаев с программами-вымогателями дела начали улучшаться. Я признаю, что это было странным образом, но кризисы, которые создавали программы-вымогатели, также создавали возможности для улучшения практик и систем.
BlackCat Ransomware, одна из самых известных в мире киберпреступных группировок. Иллюстрация Midjourney (IA)
─ Два года назад мы обсуждали, как злоумышленники используют инфраструктуру AWS для проведения фишинговых кампаний. Как развивалась эта проблема и удалось ли вам ее решить?
─Ну, это все еще проблема, но мы научились лучше определять и блокировать такие аккаунты. Вот тут-то и вступают в дело ИИ и машинное обучение , помогая нам лучше различать законные и вредоносные кампании. Опасность есть всегда: я могу владеть магазином велосипедов и отправлять своим клиентам электронные письма с последними новостями, но всегда есть вероятность, что мой аккаунт может быть скомпрометирован, а мою платформу будут использовать для рассылки спама.
─В отрасли продвигается философия «безопасного проектирования». Что это значит?
─В нынешних условиях использование технологий, которые уже идут со встроенными стандартами безопасности, в идеале является наилучшим вариантом. Подумайте об этом так: если я стартап, производящий, скажем, умный тостер, я, скорее всего, не хочу — или не могу — вкладывать значительные средства в кибербезопасность. Но если поставщик дает мне решение, которое уже безопасно по своей сути, я буду его использовать. Я даже могу его рекламировать: «автоматические обновления», «надежные пароли» и т. д. Это повышает общую безопасность; именно это и означает «безопасно по своей сути». Принятие такого мышления всегда будет держать вас на шаг впереди в экосистеме, которая меняется день ото дня.
Вредоносное использование ИИ. Фото: Shutterstock
─Ранее вы говорили, что скептически относитесь к использованию и сфере применения блокчейна. Случалось ли с вами что-то подобное с ИИ?
─Сначала, да, мне кажется, что было много «ребрендинга» чего-то, что мы уже знали. Это определенно технология, которая приносит что-то новое, и мы только сейчас видим ее применение; это не тот же случай, что и блокчейн, о котором я вам рассказывал. Но мне действительно нужно различать, что полезно, а что нет. На этой неделе я встречался с представителями государственных регулирующих органов в Вашингтоне, и я всегда говорю им немного снизить свои ожидания относительно того, чего они ожидают от ИИ. Это определенно окажет большое влияние на наши рабочие места , но я думаю, что людям все еще нужно использовать здравый смысл, решая, полезен ли результат или нет.
─Ну, давайте рассмотрим пример. Если я попрошу ИИ написать мне маркетинговое предложение, но я никогда в жизни не работал в этой области, я вряд ли найду применение тому, что может мне дать ИИ. Если я не смогу судить, для чего это полезно, то у нас могут начать заканчиваться эксперты , которые могут решить, полезно что-то или нет. Есть риск в его использовании.
─Стивен Шмидт, главный специалист по безопасности Amazon, на прошлой неделе на другой конференции заявил, что киберпреступники используют ИИ для улучшения своих атак. «Нет никаких ботов, атакующих друг друга», — сказал он . Это верно?
─Это хорошее резюме ситуации, да. Я бы добавил, что те, кто защищает системы, также пользуются этим, чтобы программировать, проверять свой код, проводить тесты на проникновение в систему и улучшать время отклика. ИИ также очень полезен для сортировки информации, которая у вас уже есть, поэтому он помогает вам обнаруживать шаблоны или формы атак, которые вы могли не обнаружить. ИИ хорош в захвате семантики , поэтому он очень хорош в помощи не только злоумышленникам, но и тем, кто защищает системы. При правильном использовании это очень мощный инструмент.
─Подходит ли ИИ для анализа вредоносных программ (вирусов)?
─Если его использует эксперт , то да . Вот ответ. Наши команды используют его для анализа похожих семейств вредоносных программ; он помогает понять сходства и различия. И, честно говоря, они получают хорошие результаты.
─Сейчас в отрасли принято говорить об « агентах », то есть об ИИ, которые, помимо анализа, «принимают решения». Какое место в этой дискуссии занимает кибербезопасность?
─Это следующий шаг в использовании ИИ для анализа угроз: принятие мер. Если я запрограммирую ИИ для анализа, я могу попросить его исправить ошибку (баг в системе),
─Это в процессе. Конкретным примером является конкурс, организованный DARPA, Агентством перспективных исследовательских проектов Министерства обороны США. Они продвигают конкурс, который будет официально объявлен на Black Hat , со значительными призами (например, первое место выиграет полмиллиона долларов). Цель состоит в том, чтобы разработать систему, способную анализировать проекты с открытым исходным кодом, обнаруживать уязвимости и автоматически исправлять их. Интересно то, что после того, как команды представляют свою систему, DARPA тестирует ее на проектах, отличных от тех, которые использовались во время обучения, чтобы оценить ее возможности.
─Так что это хорошо для больших нагрузок.
─Определенно, например, для планирования утомительных задач, автоматического обновления и т. д. Это экономит время.
─Какие негативные или проблемные стороны вы видите в этих разработках искусственного интеллекта?
─Темная сторона, без сомнения, есть. Например, фишинговые мошенничества становятся все более изощренными . Одно из явлений, которое больше всего привлекает мое внимание, — это то, что называется « разделкой свиней »: продолжительные мошенничества, в которых злоумышленники выдают себя за заслуживающих доверия людей, чтобы получить доступ к деньгам или информации. Этот тип обмана растет с пугающей скоростью, и, конечно же, он работает на основе инструментов ИИ. Многие из этих преступников действуют из таких мест, как Малайзия или Филиппины, в почти рабских условиях, и благодаря ИИ они могут прекрасно общаться на английском языке, даже имитируя поддельные голоса и воспроизводя их.
─Клонирование голоса и дипфейки — это проблемы, у которых, похоже, нет решения.
─Да, без сомнения, сегодня уже возможно получить голосовое сообщение, которое звучит точь-в-точь как голос вашего босса, с просьбой перевести деньги или получить доступ к определенным системам. И если вы не обучены подозревать все это , вы можете легко попасться на эту аферу. Вот почему важно, чтобы пользователи получали гораздо более продвинутое обучение.
─Я думаю, недостаточно сказать «не нажимайте на подозрительные ссылки». Нам необходимо имитационное обучение, даже в виртуальной реальности, если это необходимо, чтобы люди знали, что им всегда нужно подтверждать по другому каналу любой запрос, который подразумевает изменение статуса системы или перевод денег.
─Какой совет вы бы дали среднестатистическому пользователю по соблюдению элементарных правил кибербезопасности?
─Даже если вы получили сообщение от человека, который выглядит точь-в-точь как ваш знакомый — будь то коллега, ваш начальник или ваша мама — всегда дважды подумайте и проверьте в другом месте, прежде чем действовать: прежде чем нажать «принять», прежде чем открыть ссылку или даже прежде чем добавить нового получателя в свою адресную книгу и нажать «передать». Всегда сомневайтесь.
Clarin
