Хакеры, злоумышленники, программы-вымогатели, уязвимости нулевого дня. Эти угрозы доминируют в заголовках новостей о безопасности, создавая впечатление, что корпоративная и личная кибербезопасность строится на отражении сложных атак. Но в действительности большинство инцидентов начинается с чего-то гораздо менее драматичного: небольших, постепенных изменений в коде, вносимых разработчиками программного обеспечения каждый день. Прошли те времена, когда отдельные хакеры собирались в подвалах и кафе, чтобы разрабатывать разовые фишинговые схемы.
Как и любая другая отрасль, киберпространство претерпело цифровую трансформацию, в результате которой поставщики получили возможность продвигать свои продукты, основанные на автоматизации и искусственном интеллекте, чтобы клиенты могли использовать их в качестве шаблонов для массового создания «цифрового оружия». Масштабы, доступность и изощрённость схем мошенничества/взлома/обмана развиваются быстрее, чем специалисты по противодействию угрозам (и жертвы) успевают их отследить. Среднестатистический начинающий хакер теперь может купить в даркнете что угодно — от украденных учётных данных до инструментов считывания карт, средств отслеживания нажатия клавиш компьютера (противодействовать такому способу могут только защищённые ноутбуки и компьютеры, оборудованные средствами от перехвата через каналы побочных электромагнитных излучений и наводок ПЭМИН) и чат-ботов, заточенных на социальную инженерию.
Все эти факторы значительно снижают барьер для входа новичков для участия в преступных действиях. В сочетании с технологиями автоматизации даже наименее опытные потенциальные злоумышленники легко могут осуществлять многократные и успешные атаки. Ко всему этому добавляется использование искусственного интеллекта для написания кода компьютерных программ. Изменения в коде необходимы — они обеспечивают исправление ошибок, повышение производительности и выпуск обновлений безопасности. Но они же могут создавать незаметные, но серьёзные уязвимости в безопасности ПО, если их не тестировать должным образом.
Генеративный ИИ делает процесс разработки кода быстрее и проще. Однако, по оценкам специалистов, 45% кода, сгенерированного алгоритмами нейросетей, содержит уязвимости. К сожалению, этот показатель не улучшился даже в более новых моделях ИИ. Для компаний, и без того испытывающих конкурентное давление, требуется быстрая реакция на вызовы современной рыночной модели всеобщей цифровизации. Но появление генеративного ИИ открыло шлюзы и для команд хакеров. Командам разработчиков боссы постоянно говорят, что нужно делать больше с меньшими ресурсами и делать это быстрее. Но когда скорость ставится выше качества, то рискуют не только компании, но в первую очередь потребители их приложений.
Давайте разберёмся всего в нескольких современных угрозах, с которыми могут столкнуться не только компании, но и обычные обыватели:
1. Кардинг: считается начальным этапом киберпреступности, который приводит к краже и продаже данных платежных карт. На рынке в даркнете, украденные учетные данные финансовых инструментов (как и персональные данные), легко становятся доступными в так называемых «дампах» (что символично), где украденные материалы продаются партиями.
2. ClickFix: эти атаки обманом заставляют предполагаемую жертву скопировать команду или скрипт, потом ввести его в командную строку, что приводит к загрузке вредоносного ПО, похищающего информацию. Фактически, такая тактика относится к социальной инженерии и составляет почти половину всех методов первоначального несанкционированного доступа в аккаунты пользователей. Она доказала свою эффективность, потому, что не проявляется — вместо этого она скрывается в естественной активности на просторах интернета, создавая вредоносные страницы. Иногда также принимает форму прямых сообщений и комментариев в социальных сетях — пользователь может с удивлением узнать от компетентных органов, что с его устройства размещались самые разнообразные посты на различных запрещённых ресурсах.
3. Использование уязвимостей «кибернедель» и «Чёрных пятниц»: эти всемирные акции знаменует собой неофициальное открытие сезона зимних праздничных покупок, а поэтому мошенники отметили эту дату в своих календарях. Злоумышленники знают, что многие люди впадут в покупательскую лихорадку и будут использовать подход «сначала кликни, потом подумай» в поисках онлайн-скидок. Это значительно упрощает маскировку вредоносных ловушек под легитимный трафик. Кроме того, мошенники тоже обожают подарочные карты — они покупают их в больших количествах на скрытых форумах даркнета, а затем совершают покупки, требующие минимального объёма денег и персональных данных, что значительно затрудняет обнаружение мошенничества. Ежегодный всплеск сезонных афер демонстрирует, насколько искусно подполье умеет сопоставлять угрозы с предсказуемым поведением в реальном мире, чтобы максимизировать эффект.
4. Квишинг: новая разновидность фишинга, но уже с использованием QR-кодов. Этот метод порой используется очень изощрённо, частично переходя из онлайна в офлайн — известны случаи, когда злоумышленники подкладывали в пачку с рекламными буклетами аналогичные, но с поддельными кодами, переходя по которым обычные люди попадают на поддельные страницы от якобы известного бренда. Дальше всё по классической схеме обмана.
Вся эта незаконная деятельность стремительно развивается благодаря постоянно расширяющейся инфраструктуре возможностей. Вместо того чтобы создавать рекламные кампании с нуля, злоумышленники платят за готовые шаблоны мошеннических схем, которые они могут использовать неограниченно долго. Подобные события свидетельствуют о том, что подполье позволило своим обитателям сформировать хорошо структурированные и весьма продуктивные синдикаты. Но в гонке за прибылью хакерам теперь помогают сами разработчики программ и даже искусственный интеллект. Большинство (63%) компаний (включая сервисы финтеха) выпускают изменения в коде без полного тестирования, ссылаясь на необходимость ускорения релизов. Хотя они убеждаются в прохождении основных функциональных тестов перед выпуском релиза, более тщательные тесты на уязвимости и обеспечение безопасности часто пропускаются, что не позволяет выявить такие проблемы, как сбои в изоляции данных или неправильные конфигурации.
Хотя, на первый взгляд, тестирование программного обеспечения может показаться вопросом, связанным с клиентским опытом, оно имеет фундаментальное значение для безопасности, доверия клиентов и репутации компании. Без надлежащего тестирования и соответствующих процессов даже незначительные ошибки могут привести к сбоям в работе программного обеспечения, кражей данных, взломом устройств пользователей, превращая небрежность в проблему для всех.
Наиболее ярким примером может служить недавний случай, когда компания, занимающаяся вопросами соответствия нормативным требованиям, скомпрометировали данные сотен своих клиентов, которые не были раскрыты злоумышленником, а произошли из-за ошибочного изменения кода, который был сгенерирован с помощью ИИ. Проявили ли они чрезмерную самоуверенность или просто безрассудство, но от компании, продающей миру услуги по обеспечению соответствия нормативным требованиям безопасности, клиенты ожидали более высоких инженерных стандартов. Ожидания клиентов высоки, особенно когда речь идёт о конфиденциальности и безопасности. Предприятия, которые заботятся о своей репутации, не могут позволить себе упускать из виду важность тестирования.