«Информационная безопасность — муравейник, который никогда не спит»

Как за последние пять лет изменились ли векторы атак? Как теперь атакуют компании? 

Если говорить о качественных таргетированных атаках, то на мой взгляд, это классика, которая актуальна до сих пор. Сначала атакующие прощупывают почву, проверяют, какие средства защиты информации у твоей цели стоят, как вообще на это отреагирует твоя цель, и потом уже засылается какая-то полезная (вредоносная) нагрузка. 

Также сейчас в принципе очень модный тренд: точечно на сотрудников самых разных компаний рассылается целевой фишинг, и он делается очень-очень качественно. В моей практике был такой случай. У одного нашего клиента стоит защита почты и мы успешно блокируем фишинговую рассылку на эту конкретную организацию. А потом мне коллеги говорят: клиент у тебя пропустил фишинг. Оказывается,  ИБ-сотрудник компании принудительно отправил в ящик получателя фишинговое письмо. Я смотрю: действительно! То есть фишинг сейчас сделан настолько круто и настолько качественно, что иногда бывает, что даже офицеры информационной безопасности, имея в своем арсенале очень хороший инструментарий, где четко написано, что, как и почему и почему это письмо заблокировано, все равно совершают ошибки и принудительно отправляют вот такие вот подложные письма в ящики своих сотрудников. 

Решение F.A.C.C.T. обнаружило вредоносную рассылку, но клиент всегда имеет право не согласиться с решением и на свой страх и риск в ручном режиме уже отправить почту дальше, что и произошло, да? 

Ровно так и произошло. Может быть тем, кто не был аналитиком, вот так вот с первого взгляда не видно, что это фишинговый домен и данные, собственно, туда и будут очень красивенько утекать, чтобы потом быть проданными, просто выложенными где-то, ну или использованы даже конкретно этим атакующим в атаке против вас уже. В какой-то мере именно потоковая аналитика учит быстро выявлять такие вещи. Ну и плюс у потоковой аналитики всегда больше контекста. 

Как в твоей картине кибермира выглядит современная компьютерная преступность? 

С февраля 2022 года современная киберпреступность поменялась и сейчас, конечно же, сильно возросло количество атак, в том числе на различные государственные производственные учреждения. 

Первое, что можно отметить, возросло количество DDoS-атак. Причем здесь важно, наверное, сказать, что эти DDoS-атаки — это далеко не всегда какие-то жестко спланированные целевые вещи, это может быть просто DDoS ради DDoS, то есть такой что-то среднее между хактивизмом и вредительством.  

Шифровальщики были и остаются одной из основных угроз, в принципе, на протяжении многих лет. Еще будучи аналитиком, помню огромные массовые рассылки шифровальщика Shade, когда ты просто отвлеклась на пять минут, потом посмотрела на монитор, а у тебя там уже насыпало столько, что, сидишь еще полчаса это разбираешь. А уже где-то, наверное, году в 2019 появилась такая история, как шифровальщики как сервис. 

Существует партнерская программа: у одних есть шифровальщик, у других есть доступы, выбирается какая-то цель, атакуется и туда закидывается шифровальщик. И вот с появлением вот партнерок между такими группами количество атак шифровальщиков, в том числе и на Россию, существенно возросло. 

Есть очень частое заблуждение у некоторых компаний: да я просто маленький перевозчик, да кому я нужен? Позвольте, может, нужны-то и не вы конкретно, а тот, с кем вы работаете, поэтому вы тоже можете стать целью какой-то конкретной атаки, чтобы через вас уже достучаться до какого-то большого и серьезного игрока. Поэтому мораль сей басни такова: защищаться нужно всем либо с точки зрения технологий, либо с точки зрения обучений, ну а в идеале, конечно же, с обеих этих точек зрения. 

Кроме традиционного киберкриминала и кибершпионов, ты еще упомянула хактивистов. 

Да, да, все так. То есть важно понимать, что вот это жесткое деление на финансово мотивированную и прогосударственную киберпреступность, на мой взгляд, как будто бы перестало существовать, потому что между вот этими двумя большими группами существует еще группа вот этих хактивистов. Просто там какой-то дефейс провести, у кого-то увести данные, кого-то там задидосить все это делается вот как атака ради атаки, либо просто для того, чтобы заявить о себе, получить какой-то авторитет. И, соответственно после того, как вы о себе заявили, вы уже можете пробовать примкнуть к более сильным группировкам. 

Какие еще фишки используют злоумышленники, чтобы обойти защиту? 

Как сейчас помню: мы фиксируем новую рассылку. Письмо вроде бы выглядит стандартно, внутри архив. Когда я начала с этим работать, я поняла, что там не просто архив, а там цепочка вложенных архивов, их было порядка пяти. Матрешка такая, где каждый следующий архив был запаролен и пароль лежал рядом, а в серединке лежал самый обыкновенный, по-моему, офисный документ, что-то типа Microsoft Word, внутри которого была ссылка, ведущая на загрузку модифицированного средства удаленного доступа. Суть в том, что это легитимное средство удаленного доступа было модифицировано, его запуск, разрешенный внутри организации, приведет к тому, что будет инициализирован канал связи между теми, кого атакуют и теми, кто атакует.

Что еще делают злоумышленники? Опять-таки BEС-атаки, когда пытаются сымитировать и скомпрометировать кого-либо. Одним словом, различные атаки на то, чтобы получить доступы в вашу организацию. 

В последнее время участились вещи, когда эксплуатируются уязвимости в публичных доступных сервисах. Именно поэтому сейчас организациям надо обратить внимание на защиту периметра,  какие вещи у нас там стоят, нет ли забытых «теневых» активов, все ли мы о нашем периметре знаем, везде ли установлены последние версии патчей. 

Естественно, есть еще такая история, как загрузка ВПО, но не через почту, которую чаще всего защищают и защищают хорошо, а через мессенджеры. Допустим, у какого количества сотрудников в организации, которая использует Telegram, на десктопной версии Telegram выключена автозагрузка файлов? На самом деле у катастрофически малого количества людей автозагрузка файлов выключена. Чем это чревато? Это чревато тем, что вот вступает в дело социальная инженерия, и атакующие общаются  с сотрудниками из организации, допустим, под видом партнера, подрядчика, регулятора. В Telegram скидывается документ, он тут же подгружается, и, соответственно, внутри этого документа у нас не обычные данные, а какой-нибудь бэкдор, стилер, загрузчик и любая полезная нагрузка. А шифровальщик, это, как правило, уже последний этап атаки. 

А как изменился ландшафт киберугроз после февраля 22 года? Что происходит с прогосударственными группами? Например, вот группа XDSPy постоянно атакует оборонные предприятия, И при этом, что любопытно, группа активна с 2011 года, а так до сих пор международные исследователи не знают в интересах какой стороны она работает. Много таких примеров? 

Достаточно много. И они связаны, естественно, с атаками не только на нашу страну, но и на, во-первых, другие страны, участники конфликта. В целом, можно отметить, что опять-таки с февраля 2022 года, по-моему, 19 разных прогосударственных атакующих совершили атаки на Россию и страны СНГ. И все это завязано либо на то, чтобы нанести урон (саботаж, попытка оставить без света, остановить производство), либо это еще шпионаж: вытащить какие-то данные.

В контексте таких атак и рождаются вот эти ужасающие цифры, что атакующая группа может сидеть в инфраструктуре годами, и никто об этом не будет знать. Потому что они ведут себя тихо, им невыгодно устраивать шум, им невыгодно о себе заявлять. Они просто сидят спокойно себе собирают информацию все это время. 

После февраля 2022 года и ухода иностранных вендеров из России многие российские компании, даже те, кто 10 лет твердил, что их киберугрозы никакие не касаются, поняли, что они остались практически один на один с киберпреступностью. А как изменилась твоя работа как пресейл-менеджера в этот период? Действительно ли был там ажиотажный спрос на все решения? 

Да, все так и было. Начиная с марта нагрузка начала расти просто по экспоненте. Сегодня ты приходишь, у тебя одна встреча в календаре. Завтра — три. Послезавтра — пять подряд. Ты начинаешь работу в 9 утра, а заканчиваешь в 10 вечера.

Это было время, когда у заказчиков «окирпичивались» стоящие иностранные средства защиты, то есть сегодня у них была защита почты, а завтра у них не то, что защиты нет, у них почты нет. У них вообще почта не ходит, потому что то, что их защищало, превратилось в кирпич, который ничего не впускает и не не выпускает. 

Мы экстренно проводили встречи, брали проекты в счет обеда и нерабочего времени. Наша задача была не сделать там пакет документов, чтобы красиво на бумажке было написано, а в первую и основную очередь защитить тех, кто к нам приходит. Соответственно, мы работали на скорость, на опережение, сегодня у нас встреча, завтра у нас уже на пилоте все раскатано. Послезавтра человек говорит спасибо, вы помогли мне отбросить атаку, которая на меня в этот момент началась. 

Конечно же, это было стрессовое время. Такой марафон на выносливость. Но это время было классным с той точки зрения, что ты в этот момент нарабатывала огромную базу знаний, примеров, кейсов. 

Долгое время мы повторяли: антивирус не помогает. Более того, не только отдельный стоящий антивирус не помогает, но и песочница отдельная не помогает, XDR не помогает, это не волшебная таблетка, на 100% она не закрывает абсолютно всю инфраструктуру. Не пробили защиту через почту или через порт, они зайдут через партнера или поставщика, а какой выход тогда получается? 

Выход? Комплексность, потому что, как ты правильно сказал, ну не пробили почту, ну зайдут через поставщика, не нашли поставщика, через которого можно зайти, ну поищут на андеграунде какие-нибудь слитые данные. А учитывая то, что мы с вами после ковида, после удаленки в большинстве своем в офисы окончательно не вернулись, у нас есть огромное количество удаленных доступов, VPN, RDP доступов. И да, корпоративную защиту пробить сложно, но никто не говорил, что сложно пробить какой-то домашний хост сотрудника, а с домашнего хоста уже попасть в корпоративную сеть, потому что там уже все доступы есть, все настроено, все работает. И защищаться от такого действительно надо комплексно. 

Я никогда не скажу, что антивирус не нужен. Нет, конечно, антивирус — это нужная история, но поверьте мне, Windows Defender отбрасывает большинство того, что должен отбрасывать антивирус, и очень хорошо, не нагружая при этом хост какой-то аномальной или критической нагрузкой. Там «песочницу» поставить на почту — это, конечно же, хорошо, но никто не отменял, что почту еще нужно защищать от различной социальной инженерии, от какого-то фрода (мошенничества). 

Вот бывают люди, которые поставили антивирус и все, и хорошо, и мы защищены. Потом приходят и говорят — ой, а нас пошифровали, а что делать? Ну, мы, конечно, заплатим, но как вообще так стало? Возможно, вот же у меня антивирус стоит. А бывают люди, которые с полным фаршем СЗИ приходят, там у них и антивирус, и EDR стоит, и трафик накрыт, и почту они смотрят, и там системы защиты и контроля разных приложений, все, в общем, по высшему стандарту. Приходят, говорят: «Ой, а нас пошифровали, а что же нам делать, как это произошло?» А выясняется, что к ним зашли с какого-то их удаленного офиса где-то там в богом забытой точке с компьютера, который обновлялся последний раз при царе Горохе. И это еще раз доказывает, что только комплекс, только компетенция, только постоянное улучшение своей защиты действительно работает. 

А что ты порекомендуешь молодым ИБ-специалистам: за какими компаниями следить, какие сайты книжки читать?

Все. Читать все, что есть в вашем поле зрения. Если вы хотите развиваться в ногу со временем, первое, что вам нужно делать, это учить английский язык. Это как математика, язык, на котором говорит техника. Зная английский язык, вы можете потреблять гораздо больше контента о разных технологиях, решениях, открытиях. Это может быть графический контент, это может быть там видео контент, YouTube, это могут быть какие-то научные журналы. Не теряйте время, пока вы едете в электричке на работу или на учебу, потребляйте контент! Просто какой-то подкаст, видео, статья  — вы потом скажете себе за это спасибо. 

И еще важный момент — это нетворкинг. Посещайте мастер-классы, митапы, конференции, знакомьтесь с людьми, оставляйте свои контакты, берите контакты людей, смотрите, что говорят здесь, что говорят там, сравнивайте это с тем, что вы прочитали, послушали или увидели. И формируйте какую-то такую свою базу. Не ориентируйтесь на только российских вендоров, потому что изоляция российских вендоров, по моему скромному мнению, ни к чему хорошему не приведет. Поэтому ни минуты покоя, ИБ — это муравейник, который никогда не спит.