Денис Баранов: «Люди людям доверяют, а технологии людям доверять не должны!»

Ситуация с кибербезопасностью в России кардинально изменилась за последние 3 года. О том, как защищаться от атак и почему российские компании оказались в эпицентре киберугроз, нашему корреспонденту рассказал Денис Баранов, генеральный директор Positive Technologies, одной из главных в нашей стране компаний по работе с киберугрозами.

---

– Денис, как изменился портрет типичной киберугрозы для российской компании за последние годы?

– Портрет злоумышленника в России за последние годы поменялся принципиально. Если проследить историю развития киберпреступлений, то первые криминальные действия – это некие формы хулиганства. Например, известная история с первым компьютерным вирусом, который был выпущен на волю в 1980-х годах. Изначально это была программа, написанная компьютерным хулиганом, который даже не думал, что ущерб окажется колоссальным.

В 1990-е, да и в начале 2000-х основной мотивацией было именно хулиганство – что-нибудь написать на сайте, взломать чат. Потом хакеры поняли, что при помощи кибератак можно зарабатывать неплохие деньги. Понятно, что за деньгами в первую очередь пошли к клиентам – воровать данные кредитных карточек. Потом уже начали срывать не только «низко висящие фрукты», но и пытаться атаковать сами банки. Это сильно повлияло на отрасль – сейчас банковская сфера, пожалуй, самая развитая с точки зрения противостояния хакерам. Когда ломать банки стало сложнее, снова стали атаковать пользователей банков – фишинговые атаки, разводки с целью заманить не на банковский сайт, а на свой, чтобы получить данные.

В какой-то момент квалификация хакеров выросла. Они научились ломать более защищённые банки, начали разбираться, как работают межбанковские платежи.

Был яркий инцидент, когда у банка в Бангладеш чуть не украли миллиард долларов. Разбили на две транзакции. Одной транзакцией украли с корсчёта 250 млн долларов, второй постарались утащить ещё 750, но ошиблись в платёжке и все деньги украсть не смогли. Но преступники прошли через все системы банка. Дошли до SWIFT-терминала и прочих, понятных только профессионалам банковской сферы вещей. Подобные атаки требуют высокой квалификации. Понятно, что не уровня спецслужб, но достаточно хорошего уровня технической грамотности со стороны атакующего.

В какой-то момент появилась отрасль вирусов-шифровальщиков. Хакеры поняли, что деньги можно получать не только путём хищения, но и путём вымогательства. Один из самых известных кейсов – взлом американской компании Colonial Pipeline, которая занимается доставкой нефтепродуктов. У них зашифровали систему учёта. То есть им было сложно разобраться, кому, сколько и чего ты должен отгрузить. Кто и сколько за отгруженное тебе должен заплатить. Ходили слухи, что в итоге выкуп они заплатили. Таким образом, эта тема стала очень прибыльной. Вам шифруют критически важные системы в компании – вы платите выкуп за то, что вам дают ключик для расшифровки.

– Как повлияла на общую картину смена геополитической ситуации?

– С 2022 года ситуация сильно изменилась с точки зрения развития систем защиты и угроз от атакующих. Дело в том, что примерно 60 % рынка средств защиты Российской Федерации принадлежало западным вендорам. Отечественных компаний, предоставлявших полный спектр защиты от хакерских атак, было не так уж много. Positive Technologies – одна из них.

В итоге международные вендоры в своём большинстве просто отозвали лицензии у российских партнёров. Представляете, вы руководитель среднего банка. У вас есть целый штат людей, которые должны смотреть в мониторы, где отображаются инциденты, сообщающие о кибератаках.

И вот в один день вы полностью ослепли. У вас нет инструментария, чтобы понять, атакуют вас или нет.

С другой стороны, поменялась мотивация атакующих. Если до этого основной мотивацией злоумышленников было хищение денег, то в 2022 году атакующие группировки начали работать на нанесение ущерба. Основной мотив – не украсть, а уничтожить данные и инфраструктуру. Россия неформально была объявлена «зоной свободной охоты». Любая группировка с Запада, с Востока, откуда угодно может атаковать любую цель на территории Российской Федерации, и ничего ей за это не будет.

Почему? Потому что поломались базовые международные связи, отношения с организациями а-ля Интерпол. Западные вендоры перестали слать обновления в Россию. Если в вашей сети используется какая-нибудь железка, оборудование или софт, который содержит уязвимость и об этой уязвимости весь мир знает, то мы не получаем легальный способ обновления для этой уязвимости. Соответственно, весь мир знает, что уязвимость есть и через неё можно атаковать Россию. Никто не будет наказан.

– За это время российские компании смогли перестроиться?

– Все оказались в ситуации шокового импортозамещения. Если раньше использовалось западное средство защиты, то возникла острая необходимость внедрять такое же российское. Соответственно, пользователи озаботились этой задачей.

С другой стороны, на вендоров и интеграторов, которые занимаются внед­рением, внезапно свалился огромный вал заявок: нам нужно было все эти сложные проекты внед­рения провести максимально быстро. Эта история напоминала тушение пожара или потоп. Нужно быстро внедрять свои решения в темпе, в котором отрасль вообще не привыкла это делать.

Ещё один фактор сыграл в нашу пользу с точки зрения возможности устоять при первом ударе. Все разномастные группировки одновременно ломанулись атаковать Россию. Проблема любого хакера, когда он работает параллельно с другими группировками, в том, что все начинают толкаться плечами. У вас есть квалифицированные команды, которые умеют тихонечко через замочную скважину просачиваться: взломать какое-нибудь веб-приложение на периметре и найти уязвимость. Потом тихо, незаметно для служб мониторинга проникнуть в демилитаризованную зону сети, потом пойти по бизнес-процессу аккуратно, не привлекая внимания, не подрываясь на антивирусах, и дойти до точки, где ты хочешь нанести ущерб.

Допустим, у вас есть команда с такой квалификацией. Она доходит до середины пути. При этом параллельно с ними какой-нибудь школьник в пат­риотическом или в хулиганском порыве тоже залетает в инфраструктуру и находит ту же уязвимость. Только он действует как слон в посудной лавке, начинает шуметь и палиться.

Соответственно, на это обращают внимание безопасники. Они исправляют уязвимость и заодно вычищают тех, кто двигался аккуратно…

В итоге сейчас атакующих группировок стало сильно меньше, потому что мотив, когда атакуешь на эмоциях, угасает. Ты не можешь этим заниматься долго. Остались только те, кто занимается дея­тельностью против России системно. Они постоянно накапливают багаж знаний о том, как работают бизнес-процессы в нашей стране, как работает цепочка поставок. Результаты каждого взлома складываются в единую базу данных.

Если у вас хакер на каком-нибудь ресурсе угнал пароль, будьте уверены, что этот пароль будет попробован ко всем остальным вашим ресурсам, чтобы получить доступ. Если вы используете один и тот же пароль на маркетплейсе и в почте, с ним зайдут в почту с целью восстановить пароль от того, что на эту почту завязано, и дальше как-то распространиться. Накопительный эффект у атакующего: знания о том, какие пароли граждане используют, где они работают, сотрудниками каких компаний являются, какие у них типичные паттерны.

Эти навыки у хакеров сейчас улучшаются, а мотивация к уничтожению остаётся. Если есть возможность нанести физический ущерб объекту или стереть инфраструктуру крупнейшей логистической, транспортной компании, ритейла, банка и т.д., то в первую очередь всё-таки сотрут.

В последнее время заметен такой тренд: атакующие, настроенные на ущерб, пытаются мимикрировать под тех, кто вымогает деньги. Вам говорят: «Ребята, я пошифровал вашу инфраструктуру. Если вы заплатите выкуп, я восстановлю».

В 80 % случаев тем, кто всё-таки идёт на переговоры с террористами и платит выкуп, ничего не восстанавливают. Систему стирают, а потом используют выкуп для провокации. «Ребята, мы взяли ваши деньги и вложили их в запрещённую организацию, поэтому давайте так...» То есть начинают раскручивать факт взаимодействия с вражескими структурами, чтобы продолжить шантажировать.

При этом большая часть атакующих – это всё ещё хактивисты. Группировки из бывших гражданских, которые чётко начали координировать действия между собой.

– Что делать обычному руководителю компании, который не хочет, чтобы его бизнес задели по касательной?

– История заденет не по касательной, а в любом случае напрямую, потому что приходят ко всем. Это часть новой реальности, которую нам нужно принять и поставить систему, которая будет работать правильно, позволит перестать волноваться и опять вернуться к своим текущим бизнес-задачам.

Что нужно делать? Не повторять ошибок прошлого. Наш подход в том, что достижение киберустойчивости невозможно без вовлечения топ-менеджмента и заинтересованных в устойчивом развитии бизнеса лиц. Это не та задача, которую можно бездумно отдать на аутсорс.

Если посмотреть на бюджеты, которые выделяются на кибербезопасность в крупных компаниях, то они большие. Их достаточно, чтобы решить задачу киберустойчивости. Но довольно часто эти деньги тратятся, мягко сказать, не совсем разумно.

Первое, что нужно сделать, – сформулировать недопустимое событие.

Что является недопустимым событием для компании Positive Technologies? Например, хищение денег от миллиарда рублей. Или внед­рение в результате кибер­атаки такой закладки в исходный код наших продуктов, что эта закладка доедет до наших клиентов. Ещё одним критическим моментом для нас является потеря наших потенциальных отчётов по расследованию киберинцидентов у заказчиков и по анализу защищённости наших заказчиков.

Для разных отраслей недопустимые события разные. Допустим, для городов-миллионников это возможность отключить весь город от света в результате кибератаки на время больше 4 часов.

– А как проверить, что система защиты работает?

– Чтобы проверять возможность нанесения недопустимого ущерба бизнесу, вам нужно привлекать настоящих хакеров, которые в состоянии это проверить в постановке. Это типичная услуга. К нам приходит клиент и говорит: «Слушайте, а можно ли у нас украсть миллиард рублей?»

Мы высаживаем команду хакеров. Они приходят к заказчику и говорят: «Мы смогли украсть у вас миллиард рублей вот таким способом, дойдя до системы дистанционного банковского обслуживания с учётной записью вашего главбуха.

Параллельно смогли взломать комп, с которого должно уходить уведомление антифрода, которое автоматически включается по вашей договорённости с банком при транзакциях на сумму от 100 млн и выше. Нашли один сценарий, который вы недосмотрели».

Есть более легковесный современный подход, который подходит для средних бизнесов. Он называется «непрерывные кибериспытания».

Есть платформы кибериспытаний, на которые можно вывести свою компанию и сказать: «Ребята, смотрите, мы платим любому публичному хакеру, гражданину Российской Федерации, определённую сумму денег за то, что он нам покажет, как реализовать недопустимые события». Комьюнити белых хакеров России одно из самых больших и квалифицированных в мире. У нас в стране хороший уровень экспертов в этой области. Ты обращаешься к этому комьюнити и прямо говоришь: «Ребята, я на первом этапе плачу 1  млн руб­лей тому, кто мне покажет, как у меня потенциально украсть 10 млн руб­лей со счёта».

По нашим меркам, 1 млн – это уровень квалификации школьника-старшеклассника. По статистике, 60–70 % компаний среднего бизнеса за 1 млн получают для себя демонстрацию недопустимого ущерба, который часто останавливает бизнес на миллиарды.

Если ты в течение полугода простоял и за миллион вас не сломало нужное количество атакующих, можно повышать планку до 10 или 20 млн.

После 20 млн к вам приходят более профессиональные команды. Это командная работа второго–третьего эшелона, когда сидят три–четыре специалиста, занимающиеся конкретно вашей компанией пару месяцев: пытаются туда пробраться менее заметным образом. Там уже базовой «гигиеной» не отделаешься.

– А что с человеческим фактором? Многие называют его основным риском.

– Он не основной, если честно. Но существенный. Дело в том, что большая часть последних кибератак происходила с использованием базовых банальных уязвимостей. Почему? Потому что хакеру это проще. Просканировать все системы в Российской Федерации на предмет наличия конкретных 10 уязвимостей и потом залезть в эти 10 систем, разобраться внутри, что и как у тебя работает, всегда проще, чем выйти в контакт с человеком, начать как-то его разводить, что-то ему говорить.

Однако же важно сделать так, чтобы у вас ключевые бизнес-процессы не зависели только от одного человека. Есть концепция Zero Trust – её суть в том, что люди людям в целом доверяют, но технологии людям доверять не должны.

В момент, когда человек делает что-то странное, у него меняется поведение. Нужно построить систему поведенческого контроля и анализа. Технологии, которые есть в компаниях, это позволяют.

Если до этого основной мотивацией злоумышленников было хищение денег, то в 2022 году атакующие группировки начали работать на нанесение ущерба. Основной мотив – не украсть, а уничтожить данные и инфраструктуру

– Какие кибервызовы ближайших лет самые тревожные?

– Кибербезопасность должна соответствовать общим темпам цифровизации. На примере нейросетей мы увидели, что любая новая технология начинает использоваться злоумышленниками.

В ближайшие 10 лет мы окажемся в мире, в котором автомобильное движение будет в основном осуществляться за счёт автопилотов. Дорожные сети будут управляться автоматически. Нужно, чтобы это развитие не было слишком рискованным для всей цивилизации.

Следующая угроза – всё большая открытость будущего мира. Сейчас злоумышленники начинают потихонечку накапливать общую базу знаний. На данный момент они в курсе значительной части ваших банковских транзакций и данных, которые касаются паспортов, объектов недвижимости и т.д. На основании предыдущих утечек они знают ваши пользовательские привычки, что и где вы покупаете. На этой основе будут разработаны новые методы мошенничества в отношении вас или ваших близких. Нейросетевые технологии будут использоваться с целью формирования вашего цифрового профиля: двойника для атак на ваших знакомых.

Сейчас очень популярна атака «фейк-босс». Мне самому недавно скидывали видеоролики, где моё лицо было наложено и сгенерировано при помощи нейросети. Со временем эти дипфейки станут гораздо более похожи не просто на живых людей, но конкретно на вас, потому что они будут обучены на большом количестве данных: ваших голосовых данных, видеороликах. Это очень опасно для публичных людей.

Если говорить о трендах ближайшего будущего, то атакующие начинают учиться атаковать «по площадям». Вместо того чтобы штурмовать одну большую компанию, проще атаковать большое количество маленьких и получить очень большой эффект. Ведь мир взаимосвязан, как большая паутина. Каждый является чьим-то подрядчиком, представляет какие-то технологические компоненты для других компаний.

Сейчас натренировать нейросети, которые в состоянии давать сценарий для хакера, можно уже просто «под столом», имея компьютер достаточной мощности с небольшим количеством памяти.

Ещё один вызов для нашей отрасли и, в частности, компании Positive Technologies состоит в том, чтобы вмешательство отрасли кибербезопасности в бизнес-процессы было минимальным и неинвазивным. Мы не хотим повторить подходы к обеспечению физической безопасности, когда всех обвешали заборами и рамками. Жизнь людям сильно усложнили, а уровень защищённости за счёт этого увеличился не сильно.

Мы понимаем, что скоро отрасль кибербезопасности придёт к автопилоту, потому что она похожа на развитие систем противовоздушной обороны. В Великую Отечественную войну на крышах стояли пулемётчики, которые могли сбивать всё подлетающее, но в какой-то момент ракеты стали летать так быстро, что человек уже был не в состоянии среагировать. Сейчас на ракеты эффективно может реагировать только полностью автоматическая система.

Сейчас отрасль переходит из состоя­ния, когда можно было просто смотреть в монитор и останавливать атаки, на необходимость обучения новым технологиям. Важно осознать одну вещь: вся эта история с нами навсегда. Пока это нельзя назвать полноценной кибервойной. Но сейчас, помимо хактивистов, всё больше активизируются профессионалы – сотрудники спецслужб. Проще нам точно не будет. Но предупреждён – значит вооружён.

---

Персоны, упоминаемые в этом материале:
Д. Баранов

---