Дмитрий Волков, CTO Group-IB:
«Киберразведка всегда работает на опережение»
Пятнадцать лет назад две американские компании, iSIGHT Partners и iDefense, занимавшиеся сбором и анализом информации о методах и инструментах, используемых хакерским сообществом, стали продавать свои услуги как Threat Intelligence (киберразведка). По аналогии с милитаристским понятием, TI – это совокупность мероприятий по сбору сведений и изучению данных о противнике, необходимых для анализа и прогнозирования его действий, а также других целей, стоящих перед командой разведчиков.
Сервис стал востребованным, поскольку помогал оказывать реальное противодействие кибератакам еще на этапе их подготовки. Направление киберразведки начали развивать ИБ-компании в других странах мира. В России киберразведка, как бизнес, начала формироваться в 2012 году. Первым поставщиком услуг киберразведки в России стала компания Group-IB. Она же первой вошла в отчет Gartner, а затем была признана одним из лучших мировых поставщиков TI-услуг по версии IDC и Forrester. Главой направления киберразведки с момента основания компании был Дмитрий Волков. Сейчас он является CTO Group-IB, однако по-прежнему руководит командой киберразведчиков, с которой все начиналось. Мы поговорили с Дмитрием о том, какие задачи решает киберразведка для бизнеса и кто пользуется это услугой в России и на международных рынках.
Дмитрий, давайте начнем с базисных вещей: зачем бизнесу киберразведка и может ли он обойтись без TI?
Дмитрий Волков: Наверно может, но мне сложно понять как именно. Бизнес заинтересован в том, чтобы заработать деньги и не заинтересован в том, чтобы их потерять. Кибератака – на что бы она ни была направлена – это потери. Денежные, репутационные, любые. Но защищаться от всего подряд – глупо, дорого и не нужно. TI позволяет выстроить свою стратегию кибербезопасности на основании тех угроз, которые актуальны именно для конкретного бизнеса, конкретной отрасли, в конкретном регионе. Именно TI позволяет вам максимизировать отдачу от инвестиций в систему безопасности и выстроить свою защиту на основании экспертных прогнозов.
Киберразведка – это данные. Данные о появлении новых вредоносных программ, нацеленных на ваш бизнес и на ваших клиентов. Это данные об утечках, продажах баз данных, поиске инсайдеров в вашей же компании и обсуждениях уязвимости ее систем.
Если у бизнеса есть задача предотвратить прямые денежные потери (особенно, если это банк), предотвратить шпионаж за сотрудниками или партнерами, фиксировать подозрительную активность в своей же сети – такому бизнесу нужна TI.
Объясните, в чем разница между расследованиями компьютерных преступлений и киберразведкой?
Дмитрий Волков: Расследование компьютерных преступлений обычно начинается, когда инцидент уже произошел — у банка украли деньги, у госучреждения — важные документы, или, допустим, зашифровали компьютеры на производстве. Начинается расследование, которое должно восстановить ход атаки от начала до конца, собрать все цифровые доказательства и установить подозреваемых. Конечная цель расследования — найти конкретных людей, которые совершили киберпреступление, чтобы правоохранительные органы затем смогли их задержать.
У Threat Intelligence задача иная. Разведка – это «вылазка» на сторону противника. Наша задача — сбор данных из различных источников, их изучение и анализ с целью прогнозирования кибератак, подготовки к ним и защиты клиентов от вероятной угрозы. Киберразведка агрегирует информацию об актуальных киберугрозах, следит за тем, как меняется география действий, тактика и инструменты хакерских групп. Это оперативные данные, к которым могут относится сведения о скомпрометированных банковских картах, учетных записях, зараженных мобильных телефонах, новых вредоносных программах, их продаже или модификации, это сведения о серверах управления бот-сетями, о DDos- или Deface-атака и многие другие. Все это собирается и анализируется для того, чтобы проактивно предотвращать новые кибератаки. В отличие от расследований киберразведка всегда работает на опережение.
Gartner назвал Group-IB одним из 7 лучших поставщиков данных киберразведки в мире. Какие источники использует киберразведка?
Дмитрий Волков: 95% данных мы получаем из закрытых источников. Это специализированных андеграундные площадки, даркнет-форумы, различные закрытые каналы в мессенджерах и многие другие. Участие наших соседних подразделение в расследовании особо сложных высокотехнологичных преступлений позволяет нам получать эксклюзивную информацию о киберпреступниках, их взаимосвязях и другие разведданые. Не менее важную роль играют мероприятия по реагированию на инциденты кибербезопасности – Incident Response, которые проводит наша Лаборатория компьютерной криминалистики — одна из крупнейших в Восточной Европе. В процессе реагирования криминалисты Group-IB восстанавливают полную картину произошедшего — как развивалась атака и кто за ней может стоять. Это позволяет нам увидеть «работу» того или иного ВПО в живой среде и зафиксировать его особенности, что поможет в будущем качественно атрибутировать инцидент.
Надо понимать, что данные TI являются частью каждого нашего продукта. Например, аппаратный комплекс Threat Detection System (TDS), который мы устанавливаем у наших клиентов и партнеров, позволяет оперативно обнаружить кибератаку и связать ее с действиями определенных групп атакующих, благодаря тем индикаторам и оперативным данным, которые, в том числе, получает разведка.
В чем технологическая уникальность TI Group-IB? Вы умеете делать графовый анализ, например?
Дмитрий Волков: Достаточно много производителей умеют строить граф. Вопрос в том, как они его строят и какие данные получают. Мы начали использовать граф для построения связей достаточно давно. В основном мы имеем дело с фишингом, бот-сетями, псевдонимами, мошенническими транзакциями, APT-группами и другим киберкриминалом. Для графа в каждом случае используются свои массивы данных, разные алгоритмы выявления связей и разные интерфейсы, заточенные под конкретные задачи. Все эти инструменты всегда были внутренней разработкой Group-IB и были доступны только для нас самих. При этом важнейшим для киберразведки Group-IB был графовый анализ сетевой инфраструктуры. Именно этот внутренний инструмент анализа графов мы первыми встроили во все продукты компании, что сделало возможным его использование всеми нашими клиентам. Другие системы графового анализа также будут постепенно встраиваться в наши продукты, однако этот тип построения графа пока уникален на рынке. Он позволяет «вскрывать» и связывать инфраструктурные элементы, задействованные атакующими. На этой основе – выявлять масштаб, географию и связи в их деятельности.
Представьте, что у вас есть данные о некоем эпизоде хищения некой группой. Знания об используемой инфраструктуре позволят вам выявить все эпизоды хищений в разных локациях, например, за 10 лет.
В каких еще странах, кроме России, вы предоставляете сервисы киберразведки? С насколько существенной конкуренцией вы сталкиваетесь на других рынках?
Дмитрий Волков: Чем больше мы видим, тем лучше можем защитить своих клиентов. Компании, пользующиеся услугами Group-IB TI, помимо России и стран СНГ, находятся в Европе, Северной Америке, Австралии, на Ближнем Востоке, в Африке и в Юго-Восточной Азии — Малайзии, Вьетнаме, Сингапуре.
На какие отрасли приходится основная часть ваших клиентов в области услуг киберразведки?
Дмитрий Волков: Основная доля клиентов Threat Intelligence — это финансовые учреждения, телеком-операторы, промышленность. Почему финансовый сектор оказался на первом месте, думаю, понятно: банки и их клиенты находятся в группе риска из-за того, что большинство киберпреступников интересует только одно — деньги.
Если мы говорим про телеком и промышленность, главные риски для этих отраслей связаны с кибершпионажем и саботажем. Проникнув в сеть атакуемого объекта, хакеры стараются как можно дольше оставаться незамеченными, поэтому компании часто даже не знают о том, что они были атакованы. Понимание серьезности киберрисков пришло к ним немного позже, чем в финсекторе, но сейчас мы замечаем, как промышленные предприятия и телеком-компании уделяют все больше и больше внимания кибербезопасности.
Как изменился ландшафт и специфика киберугроз и киберпреступлений за последние годы?
Дмитрий Волков: Мы видим несколько корневых тенденций. Значительно выросло число целенаправленных атак с целью шпионажа и получения прямой финансовой выгоды. Активно используется так называемое «цифровое оружие» или кибероружие, способное останавливать производственные процессы и выводить из строя сети объектов критической инфраструктуры и крупных коммерческих предприятий. Это серьезная проблема. Арсенал прогосударственных хакеров сейчас периодически публикуется в открытом доступе, и любой желающий может все это скачать, настроить под себя и начать использовать. Число кибератак будет увеличиваться и все сложнее будет атрибутировать эти атаки. В качестве примеров назову три волны вирусов-шифровальщиков в 2017 году, кибератаки на энергосистемы Украины, атаки на Ближнем Востоке на предприятиях ТЭК, диверсию на Олимпийских играх в Южной Корее, атаки на государственные банки и тд.
Используемые инструменты стали совершеннее — несмотря на развитие средств защиты и применения новых алгоритмов обнаружения атак, атакующим всегда удается обойти их и достигнуть цели. Злоумышленники используют бестелесные вредоносные программы, которые работают только в оперативной памяти и не хранят файлы на жестком диске, что делает сканирование антивирусами в этом случае бесполезным.
Если говорить о традиционной компьютерной преступности, то их атаки становятся, с одной стороны, более технически простыми, а с другой — более масштабными. Активно используются вредоносные программы для заражения плохо защищенных iOT-устройств — видеокамер, видеорегистраторов, роутеров — такие ботсети используются для DDoS-атак, рассылки спама и вредоносных программ.
Насколько, по вашему мнению, российские организации успевают совершенствовать свои средства защиты и наращивать экспертизу в области ИБ вслед за ростом числа и сложности угроз?
Дмитрий Волков: Безопасность по-прежнему не поспевает за атакующими. Однако мы видим, что если раньше крупные компании инвестировали по большей части в выстраивание процессов по соблюдению требований регуляторов, то сейчас начинают внедрять более совершенные технологи — средства обнаружения сложных целенаправленных атак, системы обнаружения аномалий, системы хантинга за неизвестными угрозами в сетях организаций, проведения удаленного исследования и реагирования.
Каким образом у государственных организаций крадут данные?
Дмитрий Волков: В большинстве случаев для проникновения в ИТ-инфраструктуру госучреждений используются фишинговые письма, они могут быть направлены от лица регуляторов, партнеров и субподрядчиков. Второй популярный метод атаки — распространение вредоносных программ через взломанные сайты регуляторов, которые посещают гослужащие. Злоумышленники заражают их компьютеры и устройства вредоносным кодом, который не детектируется системами защиты и антивирусами, закрепляются, проводят разведку, устанавливают контроль над системой и по скрытым каналам передают данные на удаленные серверы в разных странах мира.
Киберразведка пока остается нишевым рынком, но на нем появляются новые игроки. Насколько более заметной для вас стала конкуренция в области услуг и решений для киберразведки в России?
Дмитрий Волков: Пока никаких значимых конкурентов в области киберразведки в России у нас не появилось. Здесь мы в основном сталкиваемся с российскими и некоторыми западными антивирусными вендорами. Антивирусные вендоры предоставляют клиентам технические индикаторы, которые хотя и являются полезным инструментом, имеют минимальную ценность для заказчика — они позволяют выявить только известные угрозы. Мы же сфокусированы на предоставлении, так называемых, «законченных» данных, описывающих не только инструменты, но тактику действий конкретных атакующих, а также сбор данных максимально релевантных для клиента, для его индустрии, в его регионе или регионах присутствия..
Из каких стран совершается большинство киберпреступлений, которые вы расследуете?
Дмитрий Волков: Поскольку наши клиенты, как мы говорили выше, находятся в разных странах мира, то и атакующие для каждого региона разные. Нельзя выделить какого-то одного лидера, однако мы способны провести реагирование и расследование в любой из стран, а взаимодействие с Интерполом и Европолом позволяет довести расследование до логического завершения — ареста злоумышленника практически в любой стране мира.
Всегда ли можно достоверно вычислить страну атакующих? Есть ли у киберпреступников возможность полностью скрыть свое местоположение или ввести в заблуждение расследующих атаку?
Дмитрий Волков: Безусловно, технические средства позволяют не только скрыть местоположение атакующих, но и расставить ловушки, чтобы направить исследователей по ложному следу. Например, северокорейская группа Lazarus оставляла ложные флаги, которые могли указывать на связь с русскоговорящими хакерами. Именно поэтому к расследованию и исследованию сложных угроз необходимо привлекать независимых экспертов с международных опытом.
Атаки совершают люди, а люди допускают ошибки и по нашему опыту, если атака носит не единичный характер, то можно найти не только страну, из которой действовал атакующий, но и конкретное лицо. Безусловно, это кропотливая работа, которая, как правило, занимает несколько месяцев и может потребовать привлечения специалистов из разных стран.
Как меняются технические средства и сервисы вашей компании для киберразведки вслед за изменениями угроз?
Дмитрий Волков: Данные киберразведки мы используем, в том числе для того, чтобы прогнозировать, как будет развиваться киберпреступность в будущем. Используя эти знания, мы совершенствуем наши средства защиты и средства сбора данных об атаках, с которыми мир столкнется завтра.
Мы аккумулировали свои знания и навыки выстраивания связей для определения контекста атаки в новом продукте, получившем название Huntbox. Hunt – от слова «охотиться» и box – это, в нашем понимании, самодостаточная завешенная система, позволяющая интегрировать все средства слежения за киберпреступностью и противодействию угрозам. Huntbox позволяет в ответ на зафиксированные атаки в защищаемых сетях, начать активный сбор данных об инфраструктуре атакующих, обогатить их дополнительной информацией и немедленно доставить клиенту, показав атаку в режиме 360. То есть полностью восстановить хронологию инцидента, от самой первичной стадии - проникновения, до идентификации скомпрометированной инфраструктуры и выработки мер по нейтрализации атакующих и удалению их из сети.