Журнал "Information Security/ Информационная безопасность" #6, 2020

Вполне возможно, если это крупный бизнес или гос- структура, что в сети сидит какая-нибудь иностранная спецслужба, собирает всю необходимую информацию и по-тихому последние лет семь ее сливает. В России действует закон о безопасности КИИ – это хорошо, так как он все-таки заставляет людей начинать заботиться об информа- ционной безопасности. Даже если вы прекрас- ный эксперт по информа- ционной безопасности, вам в любом случае нужен набор инструментов для реализации своих умений, для мониторинга и выявле- ния атак. стов по-человечески жалко, ведь если наступит критический момент и начнут искать крайне- го, то найдут именно его. Есть типы инцидентов, кото- рые очень хорошо заметны, как, например, в Иране, когда объ- ект физически уничтожен: цен- трифуги разорвало; систему, отвечающую за обогащение урана, вывели из строя; систе- ма, отвечающая за управление и контроль ракетным запуском, тоже вышла на какое-то время из строя и т.д. В энергетике, к примеру, дела обстоят немного иначе. Допу- стим, случилась какая-то авария. Ну случилась и случилась. Где- то энергоблок отключили – ну и что, штатная ситуация: придет инженер, дернет рубильник и все заработает... Возможно, тести- ровали что-то. Возможно, дей- ствительно, сработал человече- ский фактор. Но чтобы разо- браться, что именно произошло, надо обладать компетенцией. А если компетенции нет, то раду- емся, что работу системы вос- становили, и живем дальше. Поэтому я бы не стал гово- рить, что в России ситуация с информационной безопас- ностью обстоит хорошо, просто потому, что не детектируются инциденты. С другой стороны, в России действует закон о безопасности КИИ – это хорошо, так как он все-таки заставляет людей начинать заботиться об инфор- мационной безопасности. Но бумага от реальных атак, есте- ственно, не защищает. Здесь надо идти сразу по двум направ- лениям. Первое – готовиться к инци- денту. Это активная работа, когда проводится аудит состоя- ния информационной безопас- ности, выявляются недостатки системы безопасности, нани- маются новые кадры и наращи- ваются компетенции внутри компании. Либо можно вынести все процедуры на аутсорсинг. Второе направление – это техническая составляющая. Даже если вы прекрасный экс- перт по информационной без- опасности, вам в любом случае нужен набор инструментов для реализации своих умений, для мониторинга и выявления атак. Эти инструменты тоже нужно создавать. Конечно, продукты для хантинга (Threat Hunting) предлагаем и мы, и некоторые другие компании, они работают схожим образом и решают общую задачу. Но проблема в том, что зачастую глубина внедрения недостаточна. То есть чем больше практики у вендоров и компании, которые предоставляют решения, тем лучше. Но сейчас это все, ска- жем так, на начальном уровне. Поэтому я считаю, что объекты критической инфраструктуры находятся в небезопасном состоянии. Я не призываю бить тревогу: мол, завтра могут случиться какие-то серьезные происше- ствия. Но тем не менее к этому надо готовиться. Рано или позд- но атака может случится, и тогда уже будет поздно обес- печивать безопасность. – Ваши решения для обеспечения информа- ционной безопасности отличаются тем, что они основаны на реальной практике, это значитель- ное преимущество. Расска- жите подробнее об этом. – При создании продукта мы действительно опираемся на реальную практику. Ее мы полу- чаем не только из знаний об угрозах, реагирования на них, участия в расследованиях, хотя участие в расследованиях – это очень важно, это обогащает наши знания. Но так же важно опираться и на данные кибер- разведки. Если вы занимаетесь информационной безопас- ностью, вам нельзя полагаться на знания, которые были акту- альны, скажем, год назад. Необходимо смотреть на то, что значимо прямо сейчас или будет актуально через два-три года. Прежде чем создавать какую-то технологию, нужно понимать, что пройдет время и на момент появления на рынке она, воз- можно, станет уже неактуальной. Поэтому необходимо уметь немного заглядывать в будущее, и вот здесь данные разведки нам и помогают. – Threat Hunting Frame- work – новое решение Group-IB, представленное в ноябре. Для кого оно и из каких компонентов состоит? – Threat Hunting Framework состоит из нескольких основных компонентов, каждый из кото- рых по-своему уникален, ана- логи им на рынке найти доста- точно тяжело. Расскажу они них в том порядке, в каком мы их создавали. Задача первого компонента – Sensor, разработанного нами несколько лет назад, в том, чтобы анализировать сетевой трафик. Ранее это был простой компонент, который по сигна- турам мог выявить факт зара- жения устройства и его взаи- модействия со внешним миром. На тот момент этого было доста- точно. Сейчас мы видим опре- деленную тенденцию к полному переходу на зашифрованный трафик, и собственно вредо- носное ПО тоже свое взаимо- действие осуществляет по зашифрованным каналам, отли- чить его от обычного практиче- ски невозможно. Мы усовер- шенствовали наши модели для определения таких аномалий, теперь они позволяют выявлять скрытые каналы, зашифрован- ные каналы, каналы через DNS- тоннели и т.п. То есть с точки зрения технологий анализа тра- фика мы шагнули очень сильно вперед, решений такого класса мало и в мире, и тем более в России. Следующий компонент, кото- рый мы создали, – Polygon, вначале он назывался песочни- цей. Мы брали любой файл, который считали потенциально опасным, запускали его в вир- туальной машине и смотрели, что файл делал. На заре своего создания эта технология неплохо себя показывала. Но сейчас все злоумышленники знают, что такие решения стоят почти в каждой более-менее крупной компании и их надо обходить. А обойти существующие песоч- ницы достаточно легко, и мы начали выпускать другой класс решений, который называется Malware Detonation Platform. Задача решения – не просто запустить файл, а заставить его сдетонировать, чтобы он начал свою зловредную активность независимо от того, в каком окружении оказался. Если он “понял”, что находится в вирту- альной среде и эта среда для него не подходит, мы начинаем менять среду, эмулировать поль- зовательскую активность. В нашем арсенале есть очень много приемов, которые при- нуждают вредоносную програм- му сдетонировать. И когда это произошло, мы можем подтвер- дить, что она вредоносна, и, самое главное, мы можем выта- щить из нее дополнительные индикаторы для улучшения каче- ства обнаружения во всех остальных компонентах, которые 18 • В ФОКУСЕ