Дмитрий Волков: «Мы сделали абсолютно новое решение, у которого нет аналогов»

Стартовавшая сегодня конференция CyberCrimeCon, которую сколковский резидент Group-IB организует уже в седьмой раз, проходит в онлайн-формате, и это только одно из очевидных последствий пандемии. В действительности масштабы непрямых последствий распространения коронавируса для индустрии кибербезопасности сопоставимы с тем, что происходит в офлайне.

Об этом заявил в интервью Sk.ru один из основателей, технический директор Group-IB Дмитрий Волков. Разумеется, коронавирус не распространяется через интернет – в отличие от компьютерных вирусов. Пандемию, как горячую тему, киберпреступники активно использовали в своих атаках, хотя с точки зрения развития инструментария сама по себе пандемия не сильно повлияла. Но она создала серьезные проблемы, с которыми человечество столкнется в ближайшем будущем, уверен Дмитрий Волков.

Но прежде – о собственно конференции CyberCrimeCon. Количество регистраций на это, одно из главных событий года в индустрии кибербезопасности, превысило 3 тысячи, а об уровне мероприятия говорит участие в нем, помимо видных отечественных и зарубежных экспертов, директора по расследованию киберпреступлений Интерпола Крейга Джонса.

В 2018 году основатель и гендиректор Group-IB Илья Сачков выдвинул на CyberCrimeCon лозунг: «Пора стать охотником, а не мишенью для атак». По прошествии двух лет компания серьезно продвинулась в этом направлении, о чем и рассказывает на нынешней конференции. Презентации продуктов и технологическим докладам будут посвящены первые два дня, а на третий состоятся киберучения.

Group-IB Threat Intelligence & Attribution (TI&A) — это решение для сбора данных о релевантных для конкретной организации угрозах, исследования атакующих и их инструментов с целью проактивной охоты за хакерскими группами и защиты сетевой инфраструктуры. Group-IB Threat Hunting Framework – сложная инженерная разработка, использующая собственные запатентованные технологии, не имеющие аналогов в мире. Она опровергает тезис о том, что детектирования и блокировки атаки сегодня достаточно. В THFзаложена интеллектуальная система выявления угроз, которая учитывает тактические и стратегические знания об атакующих, их мотивацию, инструменты и инфраструктуру.

Открывая конференцию, Илья Сачков объявил о том, что Group-IB проявляет нулевую толерантность к киберпреступности и пригласил всех единомышленников присоединиться к бескомпромиссной борьбе с ней. За 17 лет своего существования компания провела более 1200 успешных расследований совместно с различными правоохранительными органами разных стран, что позволило выявить и остановить реальных киберпреступников. «Многие люди и компании до сих пор играют в пинг-понг с киберпреступниками; для них борьба с киберпреступностью – это способ зарабатывать деньги. Они забыли о том, что преступность – не игра. Для нас, для нашего сообщества кибербезопасность – это война с врагом».

О том, что это за враг, каковы тренды киберугроз, проявившиеся в нынешнем году, и об угрозах дня завтрашнего шла речь в интервью с Дмитрием Волковым.

Расширение поверхности атаки

Первое серьезное последствие пандемии связано с тем, что теперь большая часть сотрудников находится на удаленке, и работодатель вынужден предоставлять им удаленный доступ к каким-то внутренним системам. «Это сильно увеличивает, как говорится, поверхность атаки, - говорит Дмитрий Волков. - Раньше надо было защищать концентрированный сегмент, корпоративную сеть, и, если это было сделано хорошо, можно было говорить, что уровень защищенности достаточно высокий. А теперь тысячи людей находятся у себе дома, их локальные домашние сети, конечно же, не защищены, и если атакующий будет их правильно атаковать, то, получив доступ к их домашним устройствам в незащищенных сетях, он сможет точно так же, как удаленные сотрудники, получить доступ к какой-то защищаемой компанией информации. Это достаточно большая проблема, имеющая всемирный характер.

Проблема еще в том, что многие крупные бизнесы пользуются аутсорсингом. Но теперь многочисленные сотрудники аутсорсинговых компаний, например, в Индии тоже ушли на удаленку. И это означает, что требования по безопасности к аутсорсинговым компаниям сильно размываются».

Это то, что касается сути проблем, чтобы не тратить время на обсуждение такие известных примеров, как, допустим, количество фишинговых писем, которое за время пандемии выросло в 5 тысяч раз. На самым деле есть гораздо более фундаментальные сдвиги.

Главные угрозы на 2021 год сильно варьируются по секторам экономики и в зависимости от географии. Самые большие угрозы представляют собой военные операции, которые проводятся с поддержкой кибератак в «горячих» регионах. Мало кто отдает себе отчет в том, например, как выросло количество атак в Иране на критическую инфраструктуру – речь идет о реальном саботаже с физическим уничтожением инфраструктуры, таких, как заводов по обогащению урана, энергетических объектов.

Происходили серьезные кибератаки в Индии, в результате одной из них были вынуждены остановить энергоблок АЭС. Совсем на днях, уже после окончания подготовки отчета Group-IB, Индия столкнулась с блэкаутом как следствием кибератаки. Проблемы были в Южной Корее. «Так что энергетика страдает очень сильно – от целенаправленных атак спецслужб, - замечает сооснователь компании. - В Израиле были кейсы, не связанные с энергетикой, а с системами водоснабжения и водоочистки. Там было минимум три попытки атаковать эти системы, в разных местах; все они не дали результата. Тем не менее атакующим удалось получить контроль, но они не смогли завершить финальную стадию атаки – службы безопасности Израиля отработали хорошо».

Производство больше не является безопасной нишей

Одним из новых трендов 2020 года стала уязвимость производства перед киберпреступностью.

«Раньше производство не сильно страдало, потому что большого интереса атаковать не было, - отмечает CTO Group-IB. - Но сейчас в связи со значительным ростом атак с целью вымогательства стали очень сильно атаковать любые компании, занимающиеся каким-либо производством. При этом характер производства не играет роли: самое важное, что атакующий имеет возможность нанести ущерб, и жертва становится более податливой для шантажа. Таким образом производство столкнулось с новой угрозой, к которой оно не было готово, и это связано с программами-шифровальщиками. Это сквозная тенденция всего 2020-го года».

В финансовом секторе, напротив, все не так плохо: атак становится меньше, хотя они делаются сложнее. В целом можно сказать, что финансовый сектор сейчас не очень сильно страдает. В настоящее время практически нет случаев, когда злоумышленники проникали бы в корпоративную сеть банков и выводили деньги через системы международных переводов либо взламывали всю сеть банкоматов и заражали их вредоносными программами, как это происходило еще недавно. «Даже владельцы банковских бот-сетей, которые раньше элементарно воровали деньги, сейчас предпочитают свою зараженную сеть компьютеров использовать для установки программ-шифровальщиков, шифровать данные в сетях и требовать выкуп. Самые простые схемы не требуют головоломных методов обналичивания или отмывания денежных средств, а жертвы шантажа, вынужденные платить выкуп в криптовалюте, не афишируют подобные истории».

E-commerce – еще одна сфера, в которой произошли важные изменения. Атаки ботов, перебор паролей – достаточно примитивные атаки, тем не менее они повсеместны, и все крупные онлайн-ритейлеры обязательно с ними сталкиваются практически ежедневно; атаки простые, и все хотят простого способа заработать, говорит собеседник Sk.ru.

Второй метод кибератак сложнее; они также использует вредоносные программы: «Либо вас целенаправленно ломают, чтобы использовать данные банковских карт, либо на ваш крупный портал вешают вредоносный код, который собирает в режиме реального времени данные о платежах, либо заражают физические точки приема платежей, как, например терминалы, подключенные к кассовому аппарату в ресторане. Все это приводит к тому, что рынок кардинга вырос вдвое. Третий кейс – целенаправленный взлом крупной организации, и прямо из базы данных забирают пусть и зашифрованные данные банковских карт, но злоумышленники воруют в том числе и ключи расшифровки, чтобы эти данные потом можно было перепродавать».

Наконец, телеком, который традиционно подвергался атакам с целью шпионажа. Здесь тренд не изменился, но появились новые инструменты, позволяющие перехватывать СМС-сообщения. В этой деятельности особую активность проявляют китайцы.

Международная экспансия

Когда Group-IB только начиналась 17 лет назад, она была пионером в области кибербезопасности в России.

«17 лет назад это была просто идея, которую сформулировал наш генеральный директор Илья Сачков, - вспоминает Дмитрий Волков. - Тогда он нашел несколько единомышленников, заразившихся этой идеей, а заключалась она в том, что в Росси не было ни одной компании, которая бы занималась компьютерной криминалистикой, исследованием того, как происходят атаки, реагированием на них и собственно расследованием с целью идентификации тех людей, которые за этой атакой стоят.

Создали компанию, начали учиться, как это делать. Так продолжалось где-то до 2008 года: в медленном режиме самообразования мы создавали с нуля в России все эти направления. Не было ни одной компании, ни одного специалиста, который бы знал, как проводить компьютерную криминалистику. Как правильно реагировать на инциденты, как расследовать; разумеется, такие функции были у правоохранительных органов, но коммерческие компании этим не занимались.

Года с 2012-го мы начали делать собственные продукты. Потому что всякий раз, когда мы приезжали на инциденты, обнаруживалось: продукты от хорошо узнаваемых вендоров – установлены; они работают, они настроены. Но инциденты все равно происходят. Мы увидели определенные недостатки у существовавших решений и начали делать свои продукты, которые эти недостатки устраняют. Чем и заняты до сих пор: реагируем, расследуем, делаем компьютерную криминалистику и параллельно защищаем, используя собственные технологии».

Сейчас компания находится на стадии международной экспансии. Из локальной компании с единственным продуктом, который активно экспортировался, Group-IB превратилась полноценного участника международного рынка. В прошлом году был открыт офис в Сингапуре. В нынешнем году, незадолго до начала CyberCrimeCon, открыли офис в Амстердаме; есть и другие представительства в разных странах.

«Мы очень выросли по людям, с учетом новых иностранных специалистов; выросли по финансам, и стали видеть гораздо больше интересных инцидентов, с которыми мы работаем, и знание о которых воплощаем в продукты и поставляем нашим клиентам», - говорит Д.Волков.

На этом пути важным этапом стало получения статуса участника «Сколково», считает сооснователь компании. «Сколково значительно помогло нам финансово, - отмечает он. – Мы получили грант, определенные льготы. Плюс ко всему Сколково нас всегда поддерживало с точки зрения пиара и маркетинга; благодаря Фонду мы участвовали в различных российских и международных конференциях. Сколково помогало нам налаживать отношения с клиентами, и это положительно влияет на то, как компания развивается».

Изначально Сколково давало Group-IB грант на продукт Secure Bank/Secure Portal; сейчас он эволюционировал во Fraud Hunting Platform.

Аналогичный подход в другом классе решений, который можно грубо назвать обнаружением целенаправленных атак, позволил компании охотиться за атакующим внутри корпоративной сети. Это позволяет делать продукт Threat Hunting Framework. Причем охота ведется не за мошенниками, а за спецслужбами, и очень прокаченным криминалом.

Еще один продукт, представленный на конференции, - обновленная версия Threat Intelligence; продукт, по оценке Дмитрия Волкова, переделан процентов на 80 и теперь называется Threat Intelligence & Attribution (TI&A). Речь идет о том, чтобы не только поставлять данные об угрозах, охотиться за ними, атрибутировать их, но и использовать совершенно другой набор технологий.

«Сейчас мы находимся не просто в классе решений, который называется класс киберразведки, класс Threat Intelligence; мы сделали абсолютно новое решение, которое попадает в новый класс, аналогов у которого нет. Это и есть Threat Intelligence & Attribution. Это абсолютно новое решение на рынке кибербезопасности, которое является на данный момент уникальным», - резюмирует технический директор компании.