Почему лень – двигатель прогресса, насколько изменилось количество кибератак за последние три года, каков состав топ-3 атакуемых отраслей, что такое киберполигон и зачем нужны этичные хакеры – в интервью управляющего директора Positive Technologies Алексея Новикова для портала ИнфоТЭК.
Лень – двигатель прогресса
– Компания Positive Technologies, возникла в начале нулевых и практически моментально среди её клиентов оказываются такие структуры как "Сбербанк" и "ВымпелКом". Как это получилось?
– У истоков Positive Technologies стоят два брата. Один из них работал администратором в ряде крупных компаний. Ему часто приходилось выполнять работы по информационной безопасности. И он в свободное время начал автоматизировать ряд процессов, которые ему чаще всего приходилось выполнять – автоматизировать действия по проверке того, какие машины пропатченные, какие нет, какие содержат уязвимости, какие нет.
Есть расхожая шутка о том, что "лень – двигатель прогресса", и она, в какой-то мере, иллюстрирует и историю автоматизации в ИТ: технари автоматизируют обычно именно те процессы, которые им приходится выполнять чаще всего. Так появился продукт XSpider. Первоначально он был абсолютно бесплатен и распространялся через существовавшие тогда интернет-форумы. За несколько лет было порядка трехсот тысяч скачиваний, продукт получил большую популярность для столь узко специализированного средства.
Тогда основатели компании решили: а давайте его доработаем и выпустим коммерческую версию. Так была образована компания Positive Technologies – в 2002 году.
И первый её продукт – это следующая, уже коммерческая версия сканера по безопасности XSpider. В связи с тем, что на тот момент у него была большая известность среди ИТ-сообщества, все с радостью начали переходить на эту версию. Она стала значительно более функциональной.
– В те стародавние времена (начало нулевых) были всякие бесплатные антивирусы, были программы-оптимизаторы. В чем было принципиальное отличие вашего сканера безопасности от такого рода продуктов?
– Он относился к иному классу решений, который на тот момент времени был не представлен на территории России и очень-очень слабо был представлен на международной арене. Это продукт, который выявлял уязвимые машины внутри инфраструктуры.
В начале 2000-х уже начались массовые эпидемии вирусов, червей, троянов, эксплуатировались уязвимости, появлялись хакеры, которые взламывали информационные системы. В этих условиях администраторам было критично знать и понимать, какие машины пропатчены, какие не пропатчены.
– Хорошо. Были уже к тому моменту такие компании, как "Лаборатория Касперского". Почему они этим не занимались?
– Каждый занимался тем, что ему было ближе. То есть "Касперский" занимался выявлением и борьбой с вирусами. А наша компания в 2000-х занимались, грубо говоря, предупреждением. То есть устранением одной из причин, почему проник вирус.
Очень часто вирусы эксплуатировали уязвимости. Вместо того, чтобы бороться со следствием, с вирусом на машине, проще побороться с причиной, с уязвимостью. Потому что, если не будет уязвимостей, то у вирусов будет меньше шансов попасть на эту машину.
Использовать недостатки настройки
– Вас заметили, первый продукт приняли. А что происходило дальше?
– Дальше в 2009 году компания придумала новую систему, логичное продолжение XSpider. Это был продукт под названием MaxPatrol 8. Существенное отличие этого продукта от XSpider заключалась в проверке уровня Compliance. Что такое проверка уровня Compliance? Это проверка того, как сконфигурирована информационная система и насколько она соответствует техническим требованиям по настройке различных стандартов и различных классов решений.
Обычно хакеры атакуют несколькими способами.
Во-первых, они могут эксплуатировать уязвимости, и это уровень работы XSpider (впрочем, такая же функциональность была заложена и в MaxPatrol 8).
Дальше они могут использовать недостатки в настройке. То есть простой пароль "admin – admin" или, там, "root – root", либо какой-то другой словарный пароль. Это не уязвимость, это недостатки настройки. В MaxPatrol 8 появился новый большой модуль, который в продукте и назывался "Compliance". Он проверял, насколько безопасно настроена система: сложность паролей, хранение сертификатов, протокол, который используется, разграничения прав доступа и так далее.
В середине нулевых начала появляться регуляторная база. В 2004 году, к примеру, появился стандарт PCI DSS для банковской сферы. Если ты отрабатываешь платежные банковские карты, то все машины, которые задействованы в этом процессе, должны технически быть настроены определенным образом. Тот же самый модуль, "Compliance", как раз и проверял, насколько эти машины удовлетворяют этим настройкам, этому комплаенсу, а насколько не удовлетворяют. В случае, если не удовлетворяют, выдавались рекомендации, как настроить для того, чтобы соответствовать PCI DSS.
Эта нормативная база и появление большого количества регуляторных требований как раз подтолкнули развитие продукта MaxPatrol 8, которое продолжается до сих пор. Продукт MaxPatrol 8, кстати, как и XSpider, которому в этом году исполнилось 26 лет, до сих пор продается. До сих пор существуют клиенты, которые их покупают и пользуются – им достаточно существующей функциональности.
А в 2015 году компания сделала качественный скачок – она перестала быть монопродуктовым поставщиком (MaxPatrol 8 – всё же как бы логическое продолжение XSpider). В компании появились другие продукты – по защите веб-сайтов, по защите технологических сегментов, продукты класса SIEM, по сбору логов и управлению уязвимостей.
Мы как компания прекрасно знаем, как работают хакеры, и развиваем свою продуктовую линейку с точки зрения комплексного противодействия всем возможным способам проникновения и воздействия. Причем современную линейку продуктов развиваем с двух точек зрения.
Одна – как подготовить свою инфраструктуру, чтобы ее было взломать сложнее. Вторая – что делать, если хакер все-таки попал в твою инфраструктуру. Как его быстро обнаружить, остановить, чтобы он не успел нанести какой-то непоправимый ущерб.
Внешний злоумышленник
– Смотрите, базы данных ряда крупных компаний (в том числе из ИТ-сферы) попадали в сеть. Эти компании недостаточно основательно пользовались продуктами? Или проблема была в другом. В том, что несмотря на все меры защиты, кто-то просто, образно выражаясь, взял и вынес с рабочего места "хард"?
– Все случаи таких утечек касались действий изнутри пострадавших компаний. Если человеку в рамках его повседневной деятельности доступна какая-либо база, ничего ему не мешает эту базу вынести. Или сфотографировать, переслать или элементарно – запомнить и воспроизвести.
То есть в таком случае речь идёт о внутреннем злоумышленнике. Мы же как компания сосредоточены больше на внешнем хакере, внешнем злоумышленнике. Потому что они на самом деле наносят максимальный вред и максимальный ущерб.
С точки зрения концепции информационной безопасности, для того чтобы инциденты не происходили, необходимы три составляющие: внедрение технологий, выстроенные поверх этих технологий процессы и люди, обладающие необходимой экспертизой.
Мы как компания расследуем инциденты. Иногда у компании куплены и настроены все необходимые продукты, и вдруг неприятность, которая влечёт за собой репутационные и финансовые риски, плюс простой. Начинаем проверять, открываем консоль, последний раз в консоли логинились год тому назад. А в ней большое количество красных алертов, которые говорят: "Хакер, хакер, хакер". Хорошо, вы купили продукт, вы его внедрили. А где люди, которые должны были в него заглядывать и реагировать? И ответ, как правило: забыли, не смотрели.
Это пример того, что в компании не выстроены процессы. Средства защиты информации, может быть, и отрабатывали, как следовало, но отсутствие процессов и отсутствие людей привело к тому, что инцидент все равно случился.
Поэтому мы последние два года сосредоточены на том, что создаем линейку наших "мета-продуктов", которые сводят необходимость наличия службы информационной безопасности к минимальному количеству человек (в идеале вообще к 1-2). То есть просто один человек, который в состоянии был бы рулить всеми процессами, всеми технологиями, который, обладая даже не очень высокой квалификацией, был бы в состоянии противодействовать современным хакерам, современным злоумышленникам.
Time to Attack и Time to Response
– У предприятий топливно-энергетического комплекса насколько ваша продукция востребована? И если востребована, то какая конкретно?
– Хочется отметить, что российские компании, относящиеся к ТЭК, действительно уделяют максимальное внимание вопросам информационной безопасности. У них есть своя специфика, связанная с автоматизированными системами управления технологическими процессами (АСУ ТП). Поэтому в клиентах у нас предприятия комплекса появились практически сразу, как только мы стали продавать коммерческие продукты.
Всего у нас в линейке порядка 25 продуктов, и многие из них обязательно используются российскими компаниями топливно-энергетического комплекса. Некоторые из них используют сразу до пяти наших продуктов.
Сейчас у всех действуют проекты по импортозамещению, то есть переезд с иностранных АСУ ТП на отечественные. Происходит процесс модернизации. И самое главное, что все компании осознают, что подход Security by Design значительно проще, чем построить систему, а потом пытаться защитить ее наложенными средствами.
Поэтому сейчас, так или иначе, мы участвуем в создании проектов и в модернизации практически у всех российских компаний топливно-энергетического комплекса.
– Какие решения сейчас пользуются наибольшим спросом в ТЭК?
– Допустим, MaxPatrol SIEM – система сбора логов и выявления инцидентов. Она не зависит от того, какое оборудование используется предприятием, даже если оно иностранного производства. Компании сейчас разворачивают подобные системы у себя.
У нас есть специализированное решение, которое направлено именно на выявление и обнаружение инцидентов в технологических сетях. Специально для промышленности. Понимая текущий ландшафт используемых ИТ-систем, мы поддерживаем и отечественных, и иностранных вендеров. И эти решения сейчас активно внедряются в различные предприятия. Получается, если ты не имеешь возможности официально обновить систему, устранить уязвимости, то у тебя есть второй шанс – обнаружить с помощью наложенных средств, что хакер пытается проэксплуатировать у тебя ту или иную уязвимость, и предпринять меры по реагированию. Собственно, мы поставляем решения, которые обнаруживают действия хакеров в инфраструктуре до того, как они нанесут непоправимый ущерб.
Хакеру, чтобы реализовать инцидент, необходимо время. Технически мы это называем "параметр Time to Attack". К примеру, хакеру для того, чтобы взломать компанию X, необходимо пять дней. У службы информационной безопасности есть своя метрика – Time to Response и Time to Detect. То есть время на обнаружение хакера и время на вышибание, если так можно сказать. На реакцию.
Самая главная задача службы информационной безопасности – сделать так, чтобы уравнение Time to Attack и Time to Response было в пользу Time to Response. Чтобы компания всегда реагировала быстрее, чем хакер достигнет цели.
Надо понимать, что инциденты в компаниях будут происходить всегда. Допустим, открыл пользователь на своём компьютере фишинговое письмо. Если служба информационной безопасности и технические средства защиты успели это обнаружить, если изолировали эту машину и не допустили утечку данных либо распространение хакера внутри инфраструктуры, тогда этот инцидент незначимый. Если же служба информационной безопасности не успела отреагировать, и хакер с машины, на которой открыли письмо, "прыгнул" на машину главного инженера, из машины главного инженера он попал в АСУ ТП-сегмент и там остановил технологический процесс, – это значимый инцидент. Мы предоставляем инструменты, которые позволяют подобного избежать.
Этичный хакинг
– А не могут ли ваши средства защиты стать целью для первоначальной атаки? Через них нельзя зайти?
– Нет. У нас выстроен процесс безопасной разработки. Это раз. Два – многие наши разработки участвуют в программах в Bug Bounty. И мы призываем комьюнити "белых" хакеров для того, чтобы они искали уязвимости в наших решениях. Если таковые обнаруживаются, мы оперативно их устраняем и платим исследователям за их работу. И номер три – у нас архитектурно внедрены решения, чтобы наши продукты не могли использоваться хакерами в противоправных действиях.
– Как, кстати, относитесь к тому, что сейчас массово обучают профессии "белый" хакер?
– Это очень здорово. Невозможно построить качественную систему защиты информации, если ты не думаешь, как хакер. Необходимо максимально привлекать талантливых ребят в профессию "белых" хакеров, для того чтобы они критически мыслили и безопасникам рассказывали, как можно взломать ту или иную систему.
У нас в Positive Technologies есть целый департамент таких исследователей безопасности, одна из самых больших и сильных команд таких исследователей на территории России. Они говорят: "О, вот нам кажется, что компанию X можно взломать вот так вот". Мы тут же это учитываем в наших продуктах, чтобы закрыть обнаруженную уязвимость. Без критического, хакерского мышления невозможно построить систему безопасности.
Под постоянным надзором хакеров
– Как за последние два с половиной года изменились запросы от предприятий топливно-энергетического комплекса по сравнению с тем, что было в 2000-е и 2010-е?
– Наверное, ни для кого не секрет, что сейчас любой IP-адрес, который расположен географически на территории России, подвергается атакам. В начале 2010-х годов некоторые говорили "хакер – это миф", "я никому не интересен", "что с меня взять" и так далее. Сейчас все понимают, что так или иначе они находятся под постоянным пристальным надзором хакеров.
Топливно-энергетический комплекс исторически, как я уже говорил, весьма защищен. Поэтому компании борются с атаками через подрядчиков и атаками через доверенные отношения.
У крупных компаний, как правило, сотни, а иногда и тысячи различных третьих лиц (подрядчиков), в том числе и таких, которые осуществляют доступы в ИТ-инфраструктуру – настройку, внедрение, модернизацию, поддержку. Сейчас хакеры очень часто атакуют третьи лица (у него может быть хуже с безопасностью, он может не уделять ей должного внимания), а дальше, имея легитимный доступ от имени подрядчика, уже оказывать деструктивные действия внутри больших компаний.
Собственно говоря, последние два года мы получаем запросы на мониторинг действий подрядчиков, на предъявление требований по информационной безопасности к подрядчикам и на контроль того, что они делают внутри инфраструктуры.
Кроме того, хакер может получить учетную запись сотрудника компании, попасть в инфраструктуру и попытаться провести деструктивное воздействие. Но и здесь на пути хакера может появиться свой класс решений с неблагозвучным название для русского уха – UEBA (User and Entity Behavior Analytics).
Такие решения анализируют поведение пользователя в инфраструктуре. Это профилирование пользователей и поиск отклонений от их обычного поведения. Когда хакер попадает на машину какого-либо пользователя, во-первых, ему надо понять, куда он попал. Во-вторых, он начинает вести разведку: пытается понять, какие есть доступы, какие системы загружены, какие базы данных, какие пароли подходят к этим базам данных и так далее. Такая аномальная активность с помощью специальных алгоритмов очень легко обнаруживается, появляется красный флажок – инцидент. Запускается механизм по реагированию и расследованию данного инцидента.
На данный момент основных векторов проникновения, которыми пользуются хакеры, четыре: подрядчики, приложения, социальная инженерия и удаленный доступ, который все себе организовали в ковидном 2020 году.
– То есть нет волшебной таблетки для информационной безопасности. Нужно выстраивать процессы и пользоваться разными решениями.
– Необходимы технологии, процессы, люди. Наша компания, как раз, помогает максимально эффективно автоматизировать процессы и технологии. Мы стремимся к тому, чтобы в службе информационной безопасности работало не несколько тысяч человек, а десятки. Вообще кадровая проблема присутствует, и квалифицированных кадров в области информационной безопасности не хватает катастрофически.
ТЭК – в топ-3 атакуемых отраслей
– В 2021 году была крупная такая атака на энергоинфраструктуру в Соединенных Штатах. Она привела к тому, что часть её была временно выведена из эксплуатации. Отслеживаете ли вы вот такого рода инциденты и учитываете ли вы в своей работе?
– Да, безусловно, мы отслеживаем подобные типы инцидентов. На территории Российской Федерации таких, как мы их называем "недопустимых событий" за последние три года не наблюдалось. Во многом благодаря тому, что система информационной безопасности обнаруживала и вовремя реагировала на хакеров.
Мы расследовали большое количество инцидентов, Полученная экспертиза ложится в основу рекомендаций компаниям, в том числе из из топливно-энергетического комплекса для того, чтобы у них эти истории не повторялись.
– Как изменилась динамика кибератак на предприятия российского ТЭК с начала 2022 года?
– Ежегодный прирост количества атак порядка 15%, и этот показатель увеличивается. До 2022 года динамика была ниже – порядка 10%. ТЭК входит в топ-3 атакуемых секторов.
У многих, может быть, сложилось впечатление, что 2023 и 2024 годы спокойные. Но нет, это не так. Количество атак увеличивается.
Изменилась мотивация. До 2022 года основные мотивы атак – шпионаж и деньги. Тогда в топ атакуемых входил финансовый сектор. Теперь основной мотив – разрушение, нанесение вреда.
– Рост количества атак приводит к увеличению количества инцидентов?
– Абсолютно правильный вопрос. Очень часто все путают атаки и инциденты. Атаки растут, и, к сожалению, количество инцидентов тоже увеличивается. В 2023 году количество расследованных нами инцидентов увеличилось более чем на 70%. За 2024-й статистику подведем к концу года, но по прошедшим трем кварталам видно, что рост относительно прошлого года будет порядка 50-60%.
Наша команда, которая занимается расследованием инцидентов, последние три года работает в буквальном смысле слова без выходных.
– А расширять не планируете?
– Планируем. Но это не просто – специалистов настолько высокого уровня мало. Готовых работать быстро, в режиме аврала ещё меньше. А так – найм у нас открыт постоянно.
Киберполигон
– Раз мы с вами беседуем на полях промышленно-энергетического форума TNF, где у вас один из самых крупных стендов, не могу не поинтересоваться – какую роль в вашей деятельности играет Тюменская область?
– Во-первых, в этой области сосредоточено большое количество наших якорных клиентов. Здесь располагаются активы предприятий ТЭК, на которых мы реализуем проекты по внедрению спец.защиты информации. Это номер раз.
Номер два. Тюменский регион технически крут с точки зрения количества квалифицированных кадров.
Номер три. Мы активно сотрудничаем с "Нефтегазовым кластером".
Номер четыре. Форум TNF для нас – прекрасная площадка, на которой мы можем рассказать коллегам о выгодах подхода Security by Design, показать современные наработки в области кибербезопасности и – в области сознания цифровых двойников.
– Насколько давно вы занялись цифровыми двойниками? На рынок с такими продуктами в Россию в прежние годы приходили крупнейшие мировые игроки.
– Начиная с 2016 года мы работаем над созданием киберполигона. В рамках этого киберполигона реализовываем цифровые двойники отдельных отраслей, отдельных компаний.
– Насколько востребованы ваши цифровые двойники у предприятий ТЭК?
– Очень востребованы. Мы видим кратный рост количества обращений за такими услугами. Многие крупные компании запускают комплексные проекты по созданию цифровых двойников, в том числе для отработки мероприятий в области информационной безопасности.
Но мы на этом не останавливаемся.
В последние два года наша компания стала моделировать и показывать взаимосвязь отраслей в масштабе страны. В рамках киберполигона Standoff у нас есть отдельно отмоделированная нефтегазовая отрасль, электроэнергетика, системы умного города и так далее.
– Для чего это нужно?
– К примеру, мы в рамках киберполигона и цифровых двойников показываем, как воздействие, допустим, на сегмент электроэнергетики, может отрицательно сказаться на городе, который снабжается электроэнергией. А предупреждён – значит вооружён.
Полигон позволяет понять, как инцидент, произошедший у одной компании, может сказаться на соседних отраслях. Мы переходим с масштаба отдельных компаний на масштаб больших систем, в которые эти компании включены. Безопасность поднимается на новый уровень.