Игорь Залевский: Главными в борьбе с киберугрозами становятся данные и скорость обмена ими

Российский рынок кибербезопасности в минувшие два года активно трансформировался. Смещались акценты, появлялись новые проблемные задачи как для защитников, так и для атакующих. Темы важности обмена данными для формирования защитных механизмов, прогнозов и советов для игроков рынка мы обсудили с руководителем центра исследования киберугроз Solar 4RAYS Игорем Залевским.

В сентябре 2023 года ГК «Солар» объявила о ребрендинге и выделении центра исследования киберугроз в особое подразделение Solar 4RAYS. С чем это связано и какие у него функции?

И. З.: Ранее у нас было специализированное подразделение в составе центра противодействия кибератакам Solar JSOC, которое занималось расследованием, реагированием на инциденты и анализом вредоносного кода. За пять лет мы накопили очень большой объём знаний и опыта. Но эти данные циркулировали только внутри Solar JSOC, то есть мы в компании больше ни с кем этим не делились. В ходе реструктуризации мы выделили центр исследования киберугроз Solar 4RAYS, призванный аккумулировать и транслировать накопленные экспертизу и знания в наши продукты и сервисы: обладая крупнейшей в РФ базой знаний о киберугрозах, грех этими данными не обогащать решения по мониторингу и защите.

То есть это поставщик для собственных внутренних целей «Солара», в первую очередь. А вовне ваш центр исследований сейчас что-то предлагает?

И. З.: Да. Во-первых, это сервисы. Классическое расследование и реагирование на инциденты (incident response) остались в Solar 4RAYS. Также в нынешней непростой обстановке мы считаем важным делиться нашими исследованиями с киберсообществом; для этого запустили экспертный блог.

Остановимся на ваших основных задачах. В каких продуктах можно увидеть именно вашу экспертизу?

И. З.: Напомню, что наша основная задача — своевременное обеспечение наших продуктов и сервисов актуальными знаниями. Это индикаторы компрометации, различные правила, сигнатуры, информация о тактиках и техниках, которые применяют злоумышленники. Кроме того, мы предлагаем нашим ответственным за продукты и сервисы (product owner / service owner) обратить внимание на те или иные технологии как ответ на возникающие угрозы. Мы являемся для них передовой командой, которая с фронта противодействия киберугрозам несёт знания, предлагая реализацию определённого решения в продукте или сервисе. С другой стороны, те же ответственные в ГК «Солар» являются нашим внутренним заказчиком.

Мы уже обогащаем данными Solar JSOC и NGFW, в ближайшее время станем поставщиком для Solar webProxy, а также ряда создаваемых продуктов.

Вернёмся к работе Solar 4RAYS. Можно ли как-то измерить полезность ваших функций?

И. З.: Могу рассказать о реальных примерах 2023 года. Именно информационный обмен и экстраполяция данных спасли ряд соседних по отношению к заказчику инфраструктур от взлома и деструктивного действия. А где-то, к сожалению, нас вовремя не послушали, и это привело к плачевным последствиям.

В 2023 году у злоумышленников не было сверхуникальных тактик и техник, но и технологии, которая обеспечила бы стопроцентную защиту, тоже не изобрели. Поэтому главными факторами в борьбе с киберугрозами становятся данные и скорость обмена ими. Чем быстрее мы получаем данные, тем раньше сможем обнаружить и даже предотвратить инцидент.

Недавно наткнулся на новый для меня термин: атакоцентричность. Можно ли считать, что растущая важность информации об атаках станет стимулом развития кибербезопасности? То есть мы будем отталкиваться от знаний о том, как работают злоумышленники, как они действуют, и выстраивать свою защиту исходя из этих данных.

И. З.: Всё так. Это и есть атакоцентричность.

Возможно ли это применять уже сейчас? И что для этого нужно?

И. З.: Если мы говорим о вендоре или о поставщике различных средств защиты информации, то для него обязательно наличие исследовательского подразделения или сервиса, чтобы получать актуальную информацию. 

Чтения публичных отчётов недостаточно. 

Если мы говорим про конечного заказчика, то для него атакоцентричность должна стать основой стратегии информационной безопасности — построения системы защиты с учётом того, кому может быть интересна его инфраструктура.

Если говорить о полезности выстраивания систем кибербезопасности вокруг данных о кибератаках, то насколько они у нас полны и из каких источников мы их черпаем? Сейчас многие вендоры и производители экосистем пошли в сторону развития своих центров исследования. Можно ли говорить о том, что ваш массив данных о кибератаках, экспертиза и компетенции в чём-то более выигрышны?

И. З.: На рынке средств защиты информации нет какой-то технологической «серебряной пули», которая бы моментально обернула борьбу с угрозами в пользу защитников. А значит, помимо технологий решающую роль играют люди (их компетенции и реальная экспертиза в противостоянии хакерам) и процессы (развитие и оперативная адаптация решений под актуальную киберобстановку, а для этого нужны максимально полные данные в реальном времени).

Что касается экспертизы — мы занимаемся защитой ключевых, в том числе государственных, инфраструктур, тех объектов страны, которые сегодня атакуются самыми высококлассными группировками. Это накладывает огромную ответственность на всю команду (а в «Соларе» более 700 специалистов по работе с инцидентами) и в то же время даёт уникальную возможность для постоянного оттачивания навыков защиты и расследования в противостоянии с сильнейшими хакерами. 

При этом мы обладаем крупнейшей в России базой данных об угрозах. Это данные с сенсоров и ловушек (ханипотов) в сети «Ростелекома», которые служат основой для актуализации механизмов защиты в наших продуктах и сервисах. Для этого в компании выстроены процессы взаимодействия команд разработки, исследования и защиты. 

И здесь важен именно эффект больших данных?

И. З.: Да. Простой пример: какая-то ИБ-компания делает исследование по очередной хакерской группировке, деятельность которой специалисты наблюдали в конкретной отрасли. Как они могут эти знания экстраполировать на весь рынок? Мы же можем сопоставить результаты того или иного нашего расследования с данными о киберугрозах на территории РФ из нашей базы, выявить закономерности, обогатить знания об этой группировке — её целях, техниках и тактиках.

Можно ли к концу 2023 года сделать какие-то выводы о том, как изменились ландшафт киберугроз и атаки? Сдвинулся ли как-то баланс сил в техниках и методах?

И. З.: В целом динамика ландшафта киберугроз, с которой мы столкнулись в начале 2022 года, продолжается. Если говорить про техники, то всё тоже стабильно.

За год поменялось поведение так называемых хактивистов. Если 2022-й был годом DDoS и дефейсов, то 2023-й — это год деструктивного воздействия, когда ставились цели вывести из строя какой-то сервис.

Насколько часто эти атаки заканчивались серьёзными последствиями, когда были уничтожены целые инфраструктуры?

И. З.: Порядка 10 % расследований, которые мы проводили в 2023 году, были связаны с такой деструктивной хакерской активностью масштаба целых ИТ-инфраструктур. Скорость (а в некоторых случаях — и возможность) восстановления зависела от готовности компании к такому сценарию.

Кто сейчас находится под прицелом у хактивистов?

И. З.: Здесь трудно категоризировать. В основном выбираются те компании, атаки на которые вызовут наибольший информационный эффект.

Можете ли вы отметить какие-то наиболее интересные и знаковые инциденты?

И. З.: Самый яркий инцидент 2023 года, который нам довелось расследовать, произошёл у одного из телеком-операторов. Атака затронула интересы огромного числа граждан: почти сутки абоненты находились без услуг мобильной связи и интернета, все системы биллинга были уничтожены, часть клиентских баз данных утрачена окончательно, оператор получил прямой финансовый убыток. Хотя компания технологическая, обслуживает большое число абонентов и ИТ там хорошо развиты, а вот функция ИБ не соответствовала нынешним кибервызовам.

Также с 2023 года мы наблюдаем большую кампанию взломов организаций разных отраслей с целью кражи и слива данных. Злоумышленники проникают в ИТ-инфраструктуру той или иной организации (через почтовые серверы, VPN и другие точки входа), а дальше от имени сотрудника взломанной компании проводят зонтичную фишинговую рассылку на сотни адресов различных компаний.

В этом году обсуждалось наличие некой иллюзии безопасности в сегменте АСУ ТП, индустриальных систем, энергетики, добычи. Можете ли вы подтвердить или опровергнуть тезис о том, что в этом сегменте более-менее обходится без крупных инцидентов?

И. З.: Инциденты там были. Но речи об остановке критических процессов не шло.

Получается, что у специалистов, которые занимаются системами АСУ ТП, складывается впечатление, будто всё и так хорошо и можно особо не заниматься дополнительными мерами кибербезопасности. Не приведёт ли это в ближайшее время к серьёзным последствиям?

И. З.: Да, всё верно. 

Атаку на АСУ ТП в промышленных масштабах могут себе позволить только группировки, за которыми стоят государства.

Это очень дорого. Для хактивистов это ещё и технически очень сложно и долго: нужна специфическая экспертиза, плюс можно потерять контроль на одном из этапов атаки. Другое дело — группировки уровня спецслужб. И, значит, расслабляться точно рано: если вы не видите атак на свою АСУ ТП, возможно, причина отнюдь не в отсутствии телодвижений со стороны хакеров. И это — отдельная большая проблема.

Есть убеждение, что хактивисты, которые могут быть не очень грамотными, ответственны за подавляющее большинство атак. Видите ли вы серьёзную работу квалифицированных группировок?

И. З.: Как я говорил раньше, хактивисты за последнее время эволюционировали: это уже не только ребята, которые действуют по методичкам, но и весьма опытные хакеры. Среди всех инцидентов, которые нам довелось расследовать за прошедшие два года, классические APT (Advanced Persistent Threat) отметились в 25 % случаев. Это стабильная угроза, она никуда не делась.

Хотел в завершение немного поговорить о прогнозах. Могут ли те немалые объёмы данных, которые ваш центр 4RAYS накапливает и обрабатывает, помочь в какой-то степени спрогнозировать или смоделировать развитие будущих угроз, их эволюцию? Есть ли уже какие-то прогнозы на 2024 год?

И. З.: Прогнозирование тактик и техник — сложная задача. Она сообществом ещё не решена. Что касается использования больших данных для прогнозирования чего-то другого, здесь уже имеются живые примеры. У нас есть модель для нейросети, которая обучена на истории регистрации доменных имён одной из хакерских группировок. Мы ежедневно подаём на вход этой нейросети зарегистрированные доменные имена, а она говорит, что вот это имя, возможно, относится к этой группировке. И есть примеры, когда сначала наши сети и наши данные показывают возможную причастность того или иного зарегистрированного доменного имени к инфраструктуре группировки, а через пару недель или месяц выходит какой-то публичный отчёт, где подтверждается наша версия. 

Если говорить в целом про изменения и прогнозирование ландшафта киберугроз, я точно уверен, что сейчас экспоненциальный рост популярности и возможностей генеративных нейросетей — это то, что нас ждёт в работе с инцидентами в ближайшем будущем.

Уже сейчас есть проекты, где это встраивается в инструментарий для аналитиков информационной безопасности. Есть проекты по генерации различных утилит для проведения редтиминга. Сейчас идёт процесс адаптации и у злоумышленников, и у безопасников.

Вы разделяете позицию, согласно которой машинное обучение пополняет арсенал скорее злоумышленников, чем защитников?

И. З.: Сценарии использования (use cases) для злоумышленника понятнее. Но, например, есть уже плагины для тех, кто занимается реверсивным анализом вредоносного кода, на какую-то долю заменяющие работу реверс-инженера. Безопасники тоже будут это использовать, это станет нормой в нашей жизни.

Если будет реализовываться тенденция на применение машинного обучения, работы с естественными языками со стороны злоумышленника, как в ответ на это должна трансформироваться кибербезопасность для заказчиков и для всей отрасли в России со следующего года?

И. З.: Я думаю, что вендоры сейчас в своих продуктах пойдут по этому пути. Уже есть большие намёки. Мы говорим пока не про российский рынок. Google и Microsoft в своих презентациях на различных конференциях эту тему поднимали ещё четыре года назад. Я думаю, что людям, которые сейчас выстраивают свою безопасность, нужно обратить внимание на то, что есть на рынке, в продуктах. 

Сейчас начинается век данных, век технологий проходит.

Я бы всем посоветовал посмотреть, какие данные можно купить для построения безопасности. 

Что бы вы могли пожелать, посоветовать заказчикам в 2024 году? На что конкретно обратить внимание, каких ошибок не допускать?

И. З.: Подготовьте для себя плейбук или сценарий реагирования на случай деструктивного воздействия на свою инфраструктуру. 

Из сказанного можно сделать вывод, что важность реагирования на инциденты будет ещё больше возрастать и заказчикам необходимо всё больше внимания уделять этой части процессов кибербезопасности. Верно?

И. З.: Некоторые вендоры скажут, что главная задача — не допустить инцидентов. Но если бы всё было так просто, у нас бы не было так много работы за два этих года. Я бы исходил из того, что нужно иметь план действий на случай самых страшных событий.

Большое спасибо, Игорь, за информативное и ёмкое интервью. Считаю, что прогнозы и советы помогут многим заказчикам и участникам рынка планировать и улучшать свой подход к защите от киберугроз в новом году. Всего вам самого безопасного!