Основатель компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков уже более года находится в СИЗО. Известного специалиста по безопасности в сети обвиняют в госизмене. Его подозревают в сотрудничестве с американскими спецслужбами. Вины он не признает. В авторской колонке Сачков рассказывает об истории выхода Group-IB на мировой рынок и о том, как кибермошенники (он их называет спрутами) со временем проникли повсюду.
Представьте себе интернет, включая сети компаний, как четырехмерное пространство. Теперь представим, что интернет наполнен спрутами. Множество больших и не очень спрутов разных форм. Их много. Если смотреть на ползунок времени, то они появляются, исчезают, делятся, у них растут щупальца, их становится больше, меньше, у них разные цвета.
Спруты — это злоумышленники, их инфраструктура, набор причинно-следственных действий, событий, данных, символизирующих преступления, шаги их подготовки, связи между ними. Разные цвета означают разные типы преступлений. Тело спрута и его щупальца — это инфраструктура и различные действия, различным образом (необязательно техническим) связанные между собой. Ибо любой инцидент — это не точка в океане. Это всегда щупальце, и зачастую не одно. Разной сложности, связанности, длины и, что важно, времени — ведь у нас пространство 4D
И давайте снова представим: наш воображаемый океан наполнен кубиками, параллелепипедами. Их тоже очень-очень много, разных размеров и цветов. Много-много миллионов. Эти кубики — разные компании, организации, министерства и пр. Часть этих кубиков связаны между собой трубами. Спруты своими щупальцами пронизывают кубики, ползут по трубам в другие. Все в динамике, все меняется. Такое кишащее пространство. Самый-самый конец щупальца символизирует окончание преступления или какой-то важный этап, рубеж, отработку вредоносного функционала, кражу денег, информации — не суть.
Исходя из опыта могу сказать следующее
• Большинство кубиков не знают о спрутах и щупальцах.
• Если знают, то зачастую потому, что увидели конец щупальца (столкнулись с ощутимым инцидентом).
• Те, кто столкнулся с этим инцидентом, видят конец щупальца и уничтожают его, думая, что это отдельный организм. Обнаружили вирус — удалили. Но ведь большинство и не увидели. А если обрубили конец, то кубик не знает, где оставшиеся щупальца. Примерно до 2012 года этот вопрос даже не стоял.
• Отмечу, что в абсолютном большинстве кубиков, что видели мы и наши коллеги по цеху, органы защиты не знают о существовании щупальца или знают лишь о его какой-то части: видят пористую кожу, присоску, и вся их задача — бороться с этим. То, что присоска принадлежит чему-то большому, средствами, которые есть у органов защиты, невозможно увидеть. Ведь вирусы спокойно жили и живут на устройствах с антивирусами.
• Многие спруты очень пронырливы. Гуляют по кубикам где-то спокойно, а где-то очень умно, хитро и медленно.
• Зачем залез спрут? С какой целью? Деньги хотел украсть, информацию? Случайно залез? В кубике видят какое-то событие, что это важная часть цепочки-щупальца. Позже это стали называть Killchain. Но я продолжу говорить про спрутов и щупальца, так как образовательно это даст больше пользы и понимания.
Приведу ряд примеров
• Компания узнает о краже денег, когда понимает, что их нет на счету (узнали о компьютерном преступлении некомпьютерным способом). Даже не поняли, как это произошло. Ни одно средство защиты не сработало.
В итоге на компьютере с антивирусом в защищенной сети есть недетектируемый вирус.
• Компания узнает о фишинговом сайте/контрафакте, когда пользователи сообщают, что стали жертвой (опять же некомпьютерный способ).
• Компьютер важного функционера (топ-менеджера, бухгалтера) перестал работать — специалист по IT перезалил операционную систему.
• Где-то в сети сработала IDS, AV — персонал уничтожает/удаляет вирус.
• Какое-то время данные компании продаются в даркнете, а компания об этом ничего не знает.
Практически все, что существовало в плане защиты и обнаружения, часто вообще не видело щупальце. Оно, гуляя внутри кубика, имело зачастую больше прав, чем владельцы кубика. Я не драматизирую — в одно-два рукопожатия можно найти компании или предпринимателей, которые потеряли много денег из-за cybercrime при купленных лицензионных системах защиты. Наш рынок, появившийся в начале 2010-х и сформировавшийся за 10-12 лет в важнейшую часть кибербезопасности, подтверждает мои слова.
В период моей учебы в Бауманке рынок кибербезопасности в мире был большим и сложившимся, по ощущениям нашей команды — с клиентами, «которые не ждут нового». Отношение к нам было: «Ой, господи, ну что вы мне хотите рассказать о безопасности, мальчики?»
Но тенденция была налицо:
1) инциденты происходят, их будет больше;
2) если у Mondiant и у нас заказывают реагирование на инциденты и расследования большие и защищенные компании, значит, инциденты там происходят, и в защите чего-то не хватает (я не говорю, что она не работает или плохая, хотя во многих случаях так было и так есть).
Рынок есть, и он солидный, но это не значит, что он решает проблемы или не требует улучшения! Звучит банально, однако очень многих талантливых людей фраза «рынок занят, тебе нечего и думать, забудь» останавливала в реализации идей. Но нас скепсис и хейтинг не остановили
В 2006 году стало ясно, что реагирование, разбор, локализация станут быстрее, проще, а где-то просто физически возможными, только если делать следующие вещи. Нам нужно как можно больше данных внутренней телеметрии сети клиента с разнообразных устройств и систем. Быстрее и больше. При этом многого из того, что по-хорошему было нужно, физически у многих клиентов не было: их системы не собирали или не видели данные или собирали в неподходящих нам форматах, что увеличивало время на выполнение задачи.
Мы поняли, что сбор такой телеметрии, наша стабильность и скорость будут возможны, если мы будем делать это сами, так как договориться о каком-то формате с многочисленными вендорами было невозможно. Мы были никто, да и вендоры с их огромными выручками не думали об этом. Начала вырисовываться картинка технологий, нужных нам, в которые мы можем привнести инновацию.
Также было понятно, что в области понимания, почему, с какой мотивацией произошел инцидент, а также с целью построения большого количества щупалец нам нужна максимальная телеметрия интернета и послойная информация. Постоянно. С сохранением. Так мы и начали разрабатывать нужные технологии
Выполняя изначально инженерную задачу по созданию технологии, делая реагирование на инциденты в режиме реального времени, мы столкнулись с тем, что нам самим надо создать стек инструментов, делающих для нас следующее:
• при реагировании быть невидимым для злоумышленника;
• собрать больше артефактов и больше следов в больших сетях;
• коррелировать вроде бы не связанные события;
• находить невыявленные инциденты;
• делать атрибуцию, определять «почерк» (отвечаем на вопросы: как произошел инцидент, кто это сделал, зачем);
• собирать как можно больше разнообразной телеметрии и информации из интернета — как технической, так и operational (хакерские форумы, доски объявлений, сообщения и т.д.).
Соответственно, появились многочисленные внутренние разработки:
• работа с трафиком, сетью, файлами и данными внутри периметра в стелс-режиме;
• сбор максимальной телеметрии интернета и ее сохранение;
• функции реагирования и блокировки;
• ядро сложных корреляций.
Каждое из этих направлений дробилось еще на множество. Поначалу никто не думал о каком-то объединении (за исключением ядра сложных корреляций). И дело не в русской инженерной смекалке. Для нас был очевидным запрос, как можно качественно реагировать без всего этого. Это ведь очень странно.
ANTICIPATORY THREAT INTELLIGENCE: мы предсказываем будущее
Количество исследуемых инцидентов увеличилось, данных становилось больше. Древнегреческий философ Платон сказал: «Просто знать недостаточно, мы должны знать, что мы познаем». И мы поняли тогда, что защита клиентов построена по типу:
• защищаю от того, что видел (инцидент из прошлого);
• защищаю от того, что похоже на то, что видел (похоже на инциденты из прошлого);
• защищаю от того, что аномально (что-то статистически странное происходит, заблокирую).
Поясню. Если преступник делал что-то новое, он был успешен (и протестировал свой подход на тему аномалии). Или злоумышленник был успешен потому, что его щупальца не были видны полностью. Цели и мотивация атакующих чаще всего не изучались, никто не давал прогнозов об их будущих действиях.
Мы продолжали усиленно работать с кубиками, у которых что-то плохое произошло, происходило или, еще страшнее, «непонятно, произошло или нет». Если инцидент серьезный (раз зовут компанию со стороны — значит, с бизнесом случается что-то очень критическое), собственно, нам и ставили задачу, да мы и сами понимали, что без этого никак:
• понять, что происходит;
• почему это происходит;
• кто это делает;
• будет ли это происходить еще;
• и что надо сделать, чтобы этого больше никогда не произошло.
Ну и понятно, что в моей лексике это значит понять всю структуру спрута, наблюдать его в динамике и еще желательно понять его историю. Важно — видеть подготовку к преступлению. Предупрежден — значит вооружен. Мы начали опять суперпоиск! Кто это делает у нас или в мире?
В итоге
• Мы можем предотвращать некоторые преступления, о которых никто не знает, на этапе их подготовки.
• Сменив масштаб, мы можем точно знать, что произойдет.
• Мы можем во всем разнообразии спрутов узнать, что они делали, делают и будут делать.
• Если мы соберем больше данных и будем больше знать этот океан, то мы сможем знать больше цветов (специализаций) спрутов, видеть все их щупальца (или главные из них) и движения.
Используя человеческий интеллект, вычисления, сбор данных и их анализ как компьютером, так и человеком, мы можем предсказывать будущее и лучше видеть настоящее и прошлое (что критически полезно для мониторинга и реагирования). Мы потихоньку смогли все больше и больше распознавать спрутов и взмахи их щупалец. Мы начали запоминать определенную телеметрию и постепенно увеличивать слои океана
Все это началось в 2006 году. Через несколько сложных лет этими алгоритмами уже пользовались коммерческие заказчики. Мы лишь понимали, что мы можем предвидеть, оборачивали это и предлагали клиентам решения сильно заранее — до того момента, когда это станет проблемой.
Конечно, отдельная веселая история, как рынок и люди воспринимали наши алгоритмические и аналитические предсказания. Но если вы не знакомы с технологиями, то можно поднять исторические отчеты Group-IB и понять, что все, что мы предсказывали, сбылось.
Кстати, мы реализовали модель с 4D-пространством буквально. И она работает на практике. Вы буквально можете путешествовать по времени и определенной телеметрии. Мы одни из первых в мире сделали это!
Нам стало ясно, что мы будем делать как инженеры: бороться с преступностью, изучать ее и делать технологии, которые предсказывают ее действия. И эти технологии абсолютно не мешают текущему рынку, а лишь его дополняют. Рынок, который мы сами нащупали, был нулевым, крошечным, никто не видел в нем (кроме нас и поначалу единичных клиентов) никакой ценности.
Мы, сами того не осознавая, приняли участие в создании рынка Threat Intelligence
Мы предложили рынку радикально новое, полезное улучшение. И поэтому, несмотря на то, что мы из России, а мировой рынок кибербеза очень сложен, мы смогли пробиться к самым крупным компаниям мира.
Мы стали формировать рынок предсказания будущих угроз, а также предвидения событий, способствующих возникновению угроз, и использования этих возможностей в узких направлениях кибербезопасности
Мы сделали с нуля то, что конкурирует с очень и очень серьезными компаниями и организациями (хорошая новость для русских инженеров).
С другой стороны, если бы у нас финансирование было хотя бы в десять раз больше, мне сложно представить, насколько больше никому неизвестных спрутов разных видов мы бы могли уметь обнаруживать, прогнозировать их действия и т.д. Ведь самое главное — это обнаружение не только будущих преступлений известного типа, а прогнозирование неизвестного.
Это суперважная стратегия. Мы же понимаем, что в ближайшие 30 лет преступность не исчезнет, она всегда меняется из-за экономики, геополитики, технологий. А если мы знаем заранее, как она меняется, то, усиливая архитектуру предсказаний, мы всегда сможем быть актуальными для клиентов.
Нам важно усиливать сложнейшие вещи при сборе данных.
• Корреляцию в событиях, очень сильно разных по времени (годы, месяцы).
• Количественный анализ — найти иголку в стоге сена, что-то очень незаметное в огромном слое данных.
• Качественный анализ (самое интересное и перспективное): пойди туда, не знаю куда, и принеси то, не знаю что. Речь о необычных и неизвестных преступлениях.
• Контр-контр-форензика и контр-контр-threat intelligence. Злоумышленники тоже все это изучают и усложняют свои связи. Но это и интересно.
Сейчас, при таком количестве фейков, понять бы иногда не будущее, а где реальность настоящего (это очень перспективно).
Я уверен, что направления, которые я перечислил, очень актуальны и перспективны для российских технологий во всех отраслях: в экономике, безопасности, прогнозировании чрезвычайных ситуаций и так далее. Моя статья — про умение увидеть перспективу на вроде бы сложившемся рынке и ее развить (малыми ресурсами)
Мы начали по-разному алгоритмизировать изучение спрутов и смогли постепенно превращать все это в продукты. Мы смогли распознавать никому неизвестные вирусы, замечать раньше всех подготовку к созданию фишинга, контрафактных сайтов. Мы умеем понимать, у кого из клиентов банков могут украсть деньги и даже кого собираются обмануть телефонные мошенники.
В текущей международной обстановке мы нужны!
Илья Сачков