Илья Сачков, Group-IB: кризис для рынка информационной безопасности – штука хорошая, но жестокая

Илья Сачков, Group-IB: кризис для рынка информационной безопасности – штука хорошая, но жестокая

– Илья, недавно вышел отчет компании Trend Micro по информационной безопасности за второй квартал 2015 года. Основными угрозами названы атаки на госсектор и средства общего пользования, а также целенаправленные атаки. В отчете говорится, что киберпреступники расширяют привычные способы атак. Появились ли у киберпреступников какие-то новые технологии, как они стали действовать?

– Я видел этот отчет, но не со всеми его выводами согласен, например, с тем, что атаки на госсектор названы в числе основных угроз.

Почему существует киберпреступность? Она существует по трем причинам: прежде всего хакерами движет желание похитить деньги либо информацию. Третье, новое, направление – кибертерроризм – возникло из-за ИГИЛ. В последнем случае киберпреступникам не интересны ни деньги, ни информация. Их цель – паника, разрушение общественного строя, хаос, человеческие жертвы.

Атака на госсектор не принесет денег, наверное, эти атаки связаны с кибершпионажем. Преступных групп, занимающихся кибершпионажем, по сравнению с обычными киберпреступниками, цель которых – деньги, крайне мало, потому что они отлично понимают, что против них будет серьезное противостояние. Как правило, самую жесткую реакцию государства вызывают кибертерроризм и шпионаж, а также все, что с ними связано, деньги беспокоят в меньшей степени.

Злоумышленники понимают, что если они будут заниматься кибершпионажем, то с очень большой долей вероятности получат проблемы, а денег много не заработают. Потому большинство преступных групп по-прежнему нацелено на хищение денежных средств, это более прибыльно и безопасно. Когда какая-нибудь преступная компьютерная группировка работает на добычу информации, она так или иначе контактирует с посредником или заказчиком. Это очень удобный инструмент для проведения расследования.

При прочих равных, если у людей есть какая-то технология, они воруют деньги. При воровстве информации ответить на вопрос "Кому это нужно?" гораздо проще, чем при краже денег, потому воровать деньги выгодно всем.  О компании

Group-IB – одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий. Имеет 12-летний опыт в области компьютерной криминалистики, предотвращения финансовых и репутационных потерь, консалтинга и аудита систем информационной безопасности, а также является разработчиком инновационных программных продуктов Bot-Trek по мониторингу, обнаружению и предотвращению возникающих киберугроз.

Команда Group-IB обладает уникальной квалификацией и практическим опытом, подтвержденным международными сертификатами CISSP, CISA, CISM, CEH, CWSP, GCFA и свидетельствами государственного образца в области защиты информации.

Согласен с тем, что атак на государство стало чуть больше, но я бы не назвал их основными угрозами. Это один случай на тысячу, когда охота идет за какой-то информацией, все остальные инциденты – это деньги, деньги, деньги.

Что касается технологий, то ничего кардинально нового не появилось. Как говорится, все новое – это хорошо забытое старое. Просто технологии постоянно совершенствуются, используются более интересные уязвимости. Однако основу всех киберпреступлений составляют типичные инциденты, по крайней мере для нас они стандартны и понятны, хотя для человека, который впервые столкнулся с хакерской атакой, – это новый неизведанный мир, и он очень удивляется, что мы так спокойно об этом рассказываем.

Но бывают в нашей работе интересные вещи, абсолютно новые. Сегодня основной тренд следующий: если последние пять-шесть лет большинство преступных групп покупало что-то готовое у вирусописателей, порой даже не слишком разбираясь в предмете, то сейчас появляются группы, которые сами пишут вирусы, сами их используют и делают достаточно серьезные инвестиции в разработку технологии. Некоторые вирусы выглядят просто как произведения искусства в программировании.

Есть умные злоумышленники, которых мы даже по-своему "любим", – против них интересно работать, потому что голова должна быть постоянно включена. Когда не все становится ясно с первого дня расследования, когда месяцами не решается задача. Но зато, если решили ее, получили новые знания, помогающие обезвредить технологию, – это очень радует. А глупый злоумышленник, просто использующий готовые разработки, неинтересен.

Что держит большинство людей в Group-IB, несмотря на проблемы и риски, связанные с нашей работой? Интерес – человек получает знания, которые не даст ни один университет. И наглядный результат – возможность решить сложную проблему, расследовать киберпреступление.

– Выросла ли опасность таргетированнных атак для корпоративного сектора по сравнению с тем же периодом прошлого года? Существуют ли оценки средней суммы ущерба от одной успешной атаки для компаний разного уровня?

– Средний ущерб от атаки оценить очень сложно. В тех инцидентах, которые мы раскрывали, ущерб от одной атаки составлял миллиард рублей, 240 миллионов рублей.

Почему стали делать таргетированные атаки? Потому что средний уровень защищенности обычных клиентов, заражавшихся случайно, а не таргетированно, заметно вырос. Соответственно процент успешных хищений значительно упал. Злоумышленники поняли: если они чуть больше потратят времени, чтобы выбрать правильный объект, где есть деньги, чуть лучше подготовятся к атаке на инфраструктуру, то за короткое время они получат более высокий КПД атаки.

Собственно говоря, таргетированные атаки начались в российских банках. Банки чувствовали себя защищенными, поскольку последние десять – двенадцать лет они много инвестировали в свою информационную безопасность. Правда, порой их службы ИБ оказывались в неловкой ситуации: вроде все у них есть против целевых атак, но тем не менее атака произошла. Поэтому случается, что целевые атаки скрывают, хотя это неправильно, потому что никто не может быть защищен на сто процентов от целевой атаки. Все зависит от подготовки злоумышленников.

Как взламывали российские платежные системы? Взломали один компьютер сотрудницы, которая вела большую деловую переписку со всеми платежниками. От ее имени рассылали письма с вредоносным вложением. Эффективность была потрясающая – практически все открыли письма и все заразились.

И такой вектор атак становится очень популярным – идет рассылка от имени человека, контактирующего со всеми. Вложения рассылаются в формате Word – никто не думает, что в подобном письме есть что-то вредоносное, оно легко пропускается антивирусной защитой...

Таргетированная атака может быть очень эффективной. Однако по сравнению с обычными подобных атак не так много. Случайных заражений сети по-прежнему в тысячу раз больше.

– Как вы оцениваете защищенность различных отраслей российской экономики?

– К сожалению, большинство компаний защищены плохо, поскольку они не знают, от чего защищаться. Приведу простой пример. Предположим, есть сильная армия, в ней тысячи танков, хорошо обученные солдаты, однако отсутствует система ПВО. Прилетели два самолета и все разбомбили.

Точно так же выглядит российская информационная безопасность – в компаниях есть очень хорошие корпоративные системы защиты, но прилетает не то, от чего это защищает.К сожалению, большинство наших компаний защищены плохо, поскольку они не знают, от чего защищаться

– От всего уберечься невозможно.

– Согласен, однако нужно знать, от чего можно уберечься. Что происходит у нас в стране? Приходит, например, на наш рынок известная американская компания и предлагает свое решение, страхущее от многих рисков. Решение очень хорошее и компания с мировым именем, но проблема в том, что американский и российский рынки в плане компьютерной преступности очень отличаются.

Разнятся они иногда до смешного – всего на два года, то, что есть сейчас у нас, будет в США через пару лет. Компьютерный преступник – зачастую русскоговорящий человек, соответственно, все разработки вредоносного ПО и атаки на территорию России разрабатываются русскоговорящими людьми. Потом эти разработки иногда перепродаются, иногда просто утекают. Вирусы Zeus, Carberp были разработаны под Россию всего несколько лет назад. Теперь они в Европе и Америке проблема номер один. А для российских банков нет, они уже давно научились от них защищаться.

В итоге получается разрыв шаблона. На российский рынок приходит очень крутая технология, но она, к сожалению, защищает от того, что не очень нужно нашему рынку.

Российские информационные технологии иногда отстают от мирового рынка, однако умение защищаться от кибер-рисков у россиян лучше, потому что мы все время находимся на острие новейших разработок киберпреступников. У нас безопасность иногда "наколеночная", не всегда по западным стандартам, но при этом достаточно защищенная, хотя и не на сто процентов.

– Наверное, это наша особенность. С одной стороны, мы умеем защищаться, а с другой, относимся к безопасности с легким пофигизмом: авось пронесет, не заденет.

– Да, это так, многие компании до сих пор не верят, что есть компьютерная преступность, поэтому и не знают, как от нее защищаться. Чаще всего в компаниях нам говорят: "У нас все в порядке, никаких инцидентов не было". Менталитет следующий: сначала пусть произойдет инцидент, возникнет проблема, потом мы будем ее решать.

Уверен, что рано или поздно это изменится, потому что у киберпреступников будет появляться все больше сложных и новых разработок, тогда мы будем слышать о серьезных атаках не каждый месяц, а каждую неделю. Но пока, что такое хакерская атака, какие бывают вирусы, понятно далеко не всем. Отсюда и отношение к информационной безопасности: этого не может быть, потому что не может быть. И все.Что держит большинство людей в Group-IB, несмотря на проблемы и риски, связанные с нашей работой? Интерес и наглядный результат

– Каким образом повлияли экономический кризис и международные санкции на отечественный рынок корпоративных систем безопасности?

– Сложный вопрос. У нас начался бум импортозамещения, в некоторых ситуациях это хорошо, потому что ряд отечественных технологий лучше западных аналогов, так как наши разработчики хорошо знают актуальные российские проблемы.

Плохо, что многие с предубеждением относятся к западным технологиям в сфере информационной безопасности, хотя там есть очень хорошие разработки. Я считаю, что нужно разделять политику и бизнес, компания всегда должна исходить из того, что ей выгодно купить и какая технология лучше решит ее задачу.

Кризис же влияет на жизнь компаний следующим образом. Все начинают экономить на информационной безопасности, а это для рынка ИБ очень хорошо, но жестоко.

Что происходит в компаниях, которые сейчас экономят на информационной безопасности? Новые решения не покупаем, штат не расширяем, а, возможно, даже и сокращаем. Некоторые уволенные сотрудники становятся агрессивными, ищут способы дополнительного заработка. Преступники это хорошо знают. Соответственно, контроль за безопасностью снижается, потому что стало меньше людей и технологий, при этом увеличивается агрессивная среда. Два этих фактора неизбежно приведут к росту числа инцидентов. И тогда все начнут опять инвестировать в безопасность.

Это будет для многих компаний жестоким выходом, но в итоге они станут заботиться о своей информационной защищенности. Кстати, компании, которые не сокращали свой бюджет на нее, даже сэкономили сейчас на затратах по сравнению с другими компаниями.

– Как соотносится объем рынка информационной безопасности и теневой оборот хакеров в мире и у нас в стране?

– В прошлом году русскоговорящий сегмент киберпреступников составлял четверть мирового рынка. Однако в последнее время заметно растет число компьютерных преступлений в странах Латинской Америки, в Китае. Все больше появляется государств, которые хорошо используют информационные технологии. Кроме того, в Латинской Америке очень агрессивная среда. Эти страны могут потеснить российских хакеров. Но по-прежнему русскоговорящий сегмент впереди планеты всей по новым разработкам, связанным с хищением денег.

– Ваша компания подписала в июне соглашение с Европолом о сотрудничестве в области борьбы с киберпреступлениями. Каков характер этого сотрудничества? Были ли уже предприняты какие-то совместные действия по созданию безопасного киберпространства?Российские ИТ иногда отстают от мирового рынка, однако умение защищаться от кибер-рисков у россиян лучше, потому что мы все время находимся на острие новейших разработок киберпреступников.

– Характер сотрудничества простой. Европол – это центр обмена аналитическими данными между полициями стран, которые входят в Евросоюз. Очень многие преступные группы имеют разветвленную инфраструктуру – либо находятся в Европе, либо в России и Европе, соответственно нужно налаживать совместную работу. У нас есть определенные экспертизы борьбы с русскоговорящими компьютерными преступниками, есть опыт работы с российскими правоохранительными органами, и мы будем делиться с Европолом и технологиями, и опытом. Мы не занимаемся с Европолом расследованиями – это задача правоохранительных органов. Наша компетенция – это аналитика.

– В каком направлении может развиваться киберпреступность в России?

– Многие русские хакеры переедут из России, потому что наши правоохранительные органы уже научились их ловить. Кто-то останется здесь, но будет воровать деньги из европейских, латиноамериканских, азиатских банков. Западные хакеры, напротив, начнут похищать деньги в России.

Почему вообще существует российская киберпреступность? Заразить компьютер можно в любой стране, но вывести деньги во многих государствах не так просто, как в России. Сервисы по обналичиванию денежных средств в России процветают по-прежнему. Как только у нас будет решен на государственном уровне вопрос с обналичкой, так величина нашей компьютерной преступности снизится до общемирового значения. Государство, кстати, стало гораздо больше заниматься информационной безопасностью, и это только радует.

Источник:
Samag