Рамаз Чиаурели: Дамы и господа, здравствуйте!
Фото: Kommersant Events
Это программа «разговоры о бизнесе», и сегодня мы решили поговорить о теме, которая является краеугольным, наверное, камнем для функционирования любого бизнеса, не только успешного. В последнее время на фоне бурно развивающейся цифровизации, в том числе спровоцированной коронавирусной инфекцией, наверное, в особенной степени. Я приветствую сегодня в нашей студии директора по маркетингу и корпоративным коммуникациям компании Positive Technologies Владимира Заполянского.
Positive Technologies уже 18 лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявлять, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в IT-инфраструктуре предприятий. Технологии компании построены на многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности.
The Standoff — это киберполигон, на котором ведущие специалисты в области нападения и защиты борются друг с другом за ресурсы виртуальной копии нашего мира. На полигоне воссозданы производственные цепочки, бизнес-сценарии и технологический ландшафт, характерный для различных отраслей экономики. Участие The Standoff позволяет протестировать возможность реализации кибератак и оценить масштабы их последствий в безопасной среде, получить новые знания и практические навыки выявления кибератак и противодействия им, изучить сценарии реагирования на известные и неизвестные риски, исследовать взаимосвязи кибербезопасности и бизнеса.
Рамаз Чиаурели: Буквально несколько дней назад мне довелось застать финальную стадию этого мероприятия, завершился многодневный марафон — киберполигон под названием The Standoff-2020. Это крупнейший киберполигон, на котором отрабатываются последние инструменты как в защите предприятий, в защите любой компании, так и наоборот, может быть, выявляются самые новые инструменты, которыми пользуются хакеры. Вообще вот, что такое The Standoff, что это такое, что это за киберполигон?
Владимир Заполянский: Standoff — это первая в мире открытая кибербитва за ресурсы цифрового города. Вот мы сейчас с вами находимся на высоком этаже в «Москва-Сити», перед нами лежит весь город, и мы прекрасно понимаем, что весь этот город цифровой. Мы взяли и создали двойник цифрового города, назвали его Standoff, пригласили туда более 200 экспертов со всего мира, атакующих белых хакеров и защитников, для того чтобы атакующие атаковали эту инфраструктуру и проверяли ее на прочность, а защитники видели их, вычисляли бы цепочки атак и смотрели бы, каким образом можно было бы предотвратить этот риск. Кибербитва шла у нас шесть суток — с 12 по 17 ноября. Хакеры не спят, и поэтому важно, чтобы те условия, в которых происходит кибербитва, были максимально приближены к реальности, поэтому мы тоже не спали, и все это время мы смотрели через Единый центр мониторинга, что же происходит на нашей кибербитве.
Рамаз Чиаурели: Что из себя представляет эта кибербитва? Это просто атака и защита или же какие-то все-таки выявляются тенденции, как-то раскрывается, анализируется информация, полученная как с одной стороны, так и с другой стороны. Что на выходе получают эксперты?
Владимир Заполянский: Давайте сначала разберем, как устроен Standoff. В нем есть несколько слоев. Первый слой — это такой визуальный слой, который отображает из себя настоящий город. Это макет, может быть знаете, как есть «Гранд-макет Россия», есть музей в Петербурге. Примерно такой макет. Большая такая площадка, на которой есть железные дороги, небоскребы, вот примерно такие же, как мы вот сидим, транспортные системы, системы добычи нефти, нефтехимические заводы, всего 12 разных объектов инфраструктуры, такие же, как в реальном городе. Наиболее стратегически важные объекты городской инфраструктуры. Это первый слой, визуальный.
Дальше всей этой системой управляют контроллеры. Вот такие же контроллеры, как в настоящей жизни управляют стрелками переключения движения поездов, светофорами, и другие контроллеры. У нас было 16 контроллеров, которые обеспечивают функциональность этого города. То есть город живет.
Третий слой — вся виртуальная инфраструктура, которая обеспечивает настоящую жизнь города, на самом деле финансовые трансакции, включение и выключение светофоров, движение автомобилей. Все это действительно происходит там.
И четвертый слой — эксперты, которые приходят в это поле. Сценарий им не прописан, то есть они могут делать все, что им угодно, проявлять свою фантазию, как они захотят. Именно их экспертиза позволяет нам воплотить максимальное количество настоящих сценариев атаки на всю городскую инфраструктуру.
Рамаз Чиаурели: Если в двух словах, кто победил: защитники или хакеры?
Владимир Заполянский: У нас не было борьбы между защитниками или хакерами. Ключевой задачей было посмотреть, каким образом хакеры атакуют город, и было соревнование среди хакеров. То есть первые три места мы финансово вознаградили за то, что они заработали определенное количество очков, осуществили определенные атаки. И у нас были защитники, задача которых была — увидеть происходящие инциденты, расследовать их и сообщать в Единый центр мониторинга.
Рамаз Чиаурели: Еще один момент, который удалось узнать от ваших коллег, от организаторов The Standoff, что интенсивность атак и защитных механизмов, которые были использованы во время киберполигона, многократно, в десятки, сотни раз превышает интенсивность, которая есть в реальной жизни. То есть фактически за несколько часов было смоделировано такое количество атак, которое в обычной жизни может произойти где-то за год, примерно. Возвращаясь все-таки к реальной жизни: подобные полигоны, насколько они облегчают в реальной жизни задачу киберэкспертов по отражению атак, которые происходят далеко не на макеты, а на вполне реальные объекты.
Владимир Заполянский: Что касается ускорения времени, оно действительно там есть. То есть представьте, есть у вас, скажем, банк. На него происходят какие-то сложные атаки. Они происходят не каждый день, они происходят несколько раз за год. Таким образом там сидит команда профессионалов, которые условно смотрят и ждут, когда эта атака произойдет. Готова она или не готова — это вопрос второй. Факт в том, что у них событий не происходит, которые бы могли доказать их боевую готовность. А в The Standoff эти события происходят непрерывно. 29 команд непрерывно атакуют городскую инфраструктуру. Вот этот объем событий, который произошел у нас за шесть суток, примерно равен пяти-шести годам. Соответственно, те команды экспертов, которые участвовали в нападении или в защите, имели возможность увидеть множество векторов атак, множество техник и тактик, потому что команды были очень разнопрофильные, и научиться этому. Ведь это ключевая задача — увидеть, как хакер атакует, понять его, расследовать этот инцидент, чтобы этих вещей в реальной жизни не произошло?
Рамаз Чиаурели: Были ли какие-то моменты, которые оказались неразрешимыми для защитников?
Владимир Заполянский: Если подводить итог с точки зрения успешности атакующих, то они смогли реализовать 47% всех рисков, заложенных в инфраструктуре. Это большое количество. Что они смогли сделать, например. Они несколько раз атаковали нефтехимический завод, что приводило к выбросу ядовитых газов в атмосферу. Представьте, это происходит в реальности. Они атаковали банковскую инфраструктуру, соответственно, смогли получить данные о пользователях банка. Они атаковали телерадиокомпанию. У нас там были размещены щиты, которые позволяли вещать разный контент, это может быть реклама, это может быть любой контент, который размещается у нас на билбордах по городу. Так вот они смогли это взломать и разместить свой контент. Ну они не размещали ничего такого непотребного, но хотя в принципе, как это было в реальной жизни. У нас же в Москве были атаки на нефтедобывающую промышленность. Хакеры смогли остановить шесть нефтекачек, соответственно, процесс добычи нефти останавливался, и они смогли воздействовать на нефтехранилища, на температуру внутри нефтехранилища, то есть отключить термодатчики, что способствует переполнению нефтехранилища, и нефть вылилась в озеро, которое находилось рядом, где рыбаки ловили рыбу на лодочке. И вот нефть физически выливалась в это озеро.
Рамаз Чиаурели: Возвращаясь к реальной жизни. Киберполигон — это хорошо, но реальная жизнь волнует очень многих, тех, кто смотрит сейчас нашу программу. Какие направления в основном являются предметом атак со стороны хакеров. Что это — банки, предприятия? С вашей сточки зрения, по вашим исследованиям — кто в наибольшей степени подвержен этим атакующим действиям?
Владимир Заполянский: Есть такие лидеры, которые больше подвержены хакерским атакам. Это, во-первых, госпредприятия. Это банки и финансовый сектор. Это промышленность. И сейчас это сектор интернет-коммерции, потому что все мы находимся на «удаленке», большой объем покупок осуществляется через интернет, и вот этот сектор вышел также в лидеры.
Рамаз Чиаурели: Кто в большей степени уязвим, менее подготовлен к атакам извне?
Владимир Заполянский: Вы знаете, уязвимы все, просто какие-то структуры более зарегулируемы. Например, банковская сфера: там здорово действует нормативка, которая определяет очень много разных показателей, которые должны соблюдать банки. Наша экспертиза показывает, что есть такой тип тестов защищенности инфраструктуры заказчика, как тесты на проникновение. Происходит симуляция действия хакера, проникают специалисты в инфраструктуру заказчика и смотрят, какие риски там могут быть совершены. Наша экспертиза говорит о том, что 95% компаний могут быть взломаны.
Рамаз Чиаурели: Вы говорите о том, что практически не существует компаний, которые защищены на 100%. За время пандемии как изменилось поведение хакеров: может быть, ориентиры как-то сместились в ту или иную сторону, или же все осталось, как прежде, просто они активизировались? Какие-то особенности зафиксированы вами в действиях хакеров?
Владимир Заполянский: Во-первых, мы видим рост числа кибератак на 50% по сравнению с третьим кварталом предыдущего года. То есть если сравнивать результаты третьего квартала и результаты этого квартала. Во-вторых, злоумышленники зачастую проникают в инфраструктуру, пользуясь человеческими слабостями. То есть это социальная инженерия, когда, к примеру, высылается сотруднику компании письмо, которое содержит фишинг, ну и дальше происходит вся цепочка атаки. Так вот сейчас хакеры переключились на использование тематики пандемии, и это более 50% всех хакерских атака и фишинг рассылок содержит тему пандемии. Соответственно, тема высоко резонансная, людям интересны какие-то новости о пандемии, может быть, какие-то новые средства защиты, и поэтому они больше подвержены влиянию, больше кликают на эти фишинговые письма.
Рамаз Чиаурели: Интересно, потому что все-таки фишинг основан во многом на психологии человеческой. Со стороны экспертов кибербезопасности: как психологический момент, очень интересно, он исследуется ли вами, принимается ли во внимание вами, для того чтобы разрабатывать достойный адекватный ответ на эти атаки. Как в этом направлении вы работаете?
Владимир Заполянский: Человек — создание сложное, поэтому мы не работаем с самим человеком, это не наша область деятельности. Я думаю, такие вещи, как уязвимость человека перед вещами, подобными фишингу, когда используются интересующие человека темы. Скажем, вам отсылает друг письмо и говорит: «Слушай, такого я от тебя вообще не ожидал!» Ну разве не кликнешь? Друг, письмо, «такого не ожидал» — то есть содержится несколько ключевых моментов, которые задевают человеческую психику. Я думаю, что человек всегда будет уязвим в подобного рода ситуации. Другое дело, как подходить с точки зрения защиты внутри компании, допуская, что человек всегда будет уязвим. И здесь мы уже говорим о том. Как правильно строить безопасность внутри компании. Вот это наша область деятельности.
Рамаз Чиаурели: Особенно сейчас, когда огромное количество людей отправлены из офиса на удаленный режим работы, соответственно, этот файрвол постепенно, вот эта крепость, она волей-неволей стала чуть более мягкой. Соответственно, лазейки можно найти гораздо больше, чем это было раньше. Понятное дело, что этим пользуются злоумышленники. Вот здесь на каком этапе эффективнее всего прервать попытку преступного умысла — на стадии защиты именно крепостной стены или же подхода к этой крепостной стене, то есть компьютера и домашнего, и теми, которыми пользуются сотрудники? Их тоже можно как-то защитить и повысить эффективность защиты и противодействия мошенников с их стороны?
Владимир Заполянский: Кибербезопасность устроена таким образом, что там есть факторы, дополняющие друг друга. Скажем, антивирус, файрвол, образование сотрудников и так далее. Важно несколько вещей. Во-первых, очень простой вопрос, который позволит вам ответить, существует ли у вас нормальная кибербезопасность компании? Если вы понимаете, что в ночь с пятницы на субботу в три часа ночи у вас произойдет киберинцидент и у вас есть люди, которые могу незамедлительно на это отреагировать, значит у вас в принципе дела с кибербезопасностью неплохи. Если же, несмотря на все многократные эти эшелоны защиты, у вас такой гарантии нет, и вам придется подождать до понедельника, пока проснется админ, или безопасник придет на работу, выпьет кофе и только потом посмотрит на свой монитор, а мониторов у вас может быть очень много, много систем сейчас устроено, то значит у вас в принципе безопасности нет.
Второй момент — как подходить в принципе к построению безопасности. Принято считать, что безопасность — это процесс. Принято считать, что 100-процентной защиты не существует, и во многом это правда. Но в этом есть и уязвимые точки. Почему безопасность — это процесс? А потому что как померить результат? Вот у процесса результат не меряют. Невозможно сделать 100-процентную защиту всех инцидентов, правда, невозможно. Но, наверное, не стоит к этому стремиться. Другое дело — существует определенный набор наиболее важных рисков для той или иной компании, каких-то кошмаров генерального директора или владельцев этой компании, которые важно понимать, смотреть, каким образом тот риск связан с цифровой инфраструктурой. Уверяю вас, любой риск будет связан с цифровой инфраструктурой, будь то персональный планшет или телефон топ-менеджера, или будь то процесс производства каких-то компонентов. Смотреть, каким образом этот риск связан с цифровой инфраструктурой и устанавливать для себя порог — что для меня считается неприемлемой ситуацией?
Рамаз Чиаурели: Сейчас работа киберэксперта затрагивает ли она вынужденное повышение уровня грамотности хакеров? Я имею в виду доступность объекта для атак со стороны разного рода подготовленности злоумышленников: могут ли это быть школьники-хакеры, которые с помощью мобильного телефона могут взломать системы и сделать все, что им нужно, или же теперь требуется для осуществления злого умысла уже такая серьезная подготовка?
Владимир Заполянский: Вы знаете, надо разобрать, что такое простой хакер, простой злоумышленник. С одной стороны, наша статистика говорит, что в 70% случаев в компанию может проникнуть неквалифицированный либо низко квалифицированный хакер. С другой стороны — а насколько сейчас эти ребята существуют? Ведь хакерство — это что-то, что делается с какой-то целью. Какие это цели? Часто это цели по хищению какой-то важной конфиденциальной информации. Часто это хищение денежных средств. И это может быть конкурентная борьба, разведка, то есть причины за этим могут стоять разные. Современный мир злоумышленников устроен таким образом, что один человек, как правило, не владеет всей картиной: он не знает, что он делает и зачем. Даже если взять сложную какую-то целевую атаку, то одну часть зловредного кода будет писать один человек, другую часть — другой, третью — третий, и они не будут вообще знать, для чего они это делают. Есть один какой-то, ну скажем, менеджер, который видит всю эту картину, объединяет ее в одно целое. Но это если брать только часть самого зловредного кода. Дальше есть различные способы проникновения в инфраструктуру и занесения этого зловредного кода туда, и это делают другие люди. Дальше есть, к примеру, злоумышленники, которые действуют часто по принципу «взлом как сервис», то есть они могут проникнуть в инфраструктуру какой-то компании, засунуть туда зловредный код и дальше продавать доступ каким-то третьим лицам для того, чтобы они уже какие-то свои цели выполняли — получали конфиденциальную информацию, шпионили и так далее. У нас получается целая большая цепочка, в которой люди могут не знать друг друга. Поэтому каждый из элементов этой цепочки может быть недостаточно квалифицирован, но в целом сложность кибератак и системность подхода к кибератакам мира злоумышленников она растет, она усложняется.
Рамаз Чиаурели: Хочется нашу беседу закольцевать, вернувшись снова к киберполигону The Standoff. Вы сказали, что на сегодняшний день около 95%, будем считать, что почти каждая компания уязвима в той или иной степени и подвержена хакерским атакам. Полигон The Standoff последний, который занял шесть дней, это самый крупный, самый продолжительный киберполигон, который был, в состоянии ли подобные кибербитвы снизить это число целей для хакеров, как-то сократить процент тех, кто действительно уязвим перед атаками? И в таком случае, если в состоянии, может, не ограничиваться несколькими днями, а вывести этот киберполигон, раз важен процесс взаимоотношений между хакерами и защитниками, может быть, процесс этот растянуть и сделать его перманентным, и тогда эта цифра сократится?
Владимир Заполянский: Задача киберполигона — помочь бизнесу видеть уязвимые свои точки, увидеть, как их самые страшные риски могут быть доведены до самой финальной точки, когда могут произойти различного рода инциденты, и тем самым дать понять, что, во-первых, это реально, а во-вторых, что стоит задуматься о том, каким образом это предотвратить. Это то, что киберполигон дает для бизнеса.
Экспертам, техническим специалистам он дает возможность протестировать свои навыки, увидеть всю многогранность цепочек атак, увидеть все возможности защиты и таким образом повысить свою квалификацию для того, чтобы в реальности уже противостоять.
Говоря о том, что стоило бы делать это на регулярной основе, это действительно так. То есть мы стремимся к тому, чтобы реализовать полигон, он называется у нас онлайн-платформа The Standoff 365. Мы стремимся к тому, чтобы реализовать вот эти состязания между защитниками и атакующими непрерывно. Это позволит заказчикам в любой момент приносить свое оборудование, будь то железо, сервисы или любое программное обеспечение, видеть, как оно отрабатывает в этой цифровой среде и улучшать его прежде, чем внедрять его в нашу цифровую жизнь в городе. И это позволяет непрерывно повышать качество защиты со стороны экспертов.
Создать такую сложную модель города очень непросто. Это огромная инфраструктура, это много программного и аппаратного обеспечения, поэтому киберполигоном занимается не только Positive Technologies. У нас на прошедшем Standoff был 21 партнер, среди которых Microsoft, Cisco Systems, Epam, Hewlett Packard Enterprise, много компаний. И вот мы думаем, что только совместными усилиями можно достичь большого результата, когда в одном месте сходится экспертиза самых лучших, самых важных производителей, интеграторов и вендоров в области IT и программного обеспечения.
Возвращаясь к вашей фразе о том, что это самое крупное состязание между хакерами и злоумышленниками. Действительно, это так — это самая крупная открытая кибербитва в мире, и мы даже пригласили к нам на Standoff в качестве гостей представителей Книги рекордов Гиннесса. Мы подали заявку и надеемся, что наш Standoff будет зарегистрирован в этой книге. Тогда это сделает его более понятным и доступным широкой аудитории, ведь информационная безопасность — это не что-то такое совсем тайное, которым занимаются только бородатые мужики, у которых с одной стороны только пицца, а с другой стороны кока-кола или пиво, и нормальный человек в этом не разбирается. Это то, от чего зависит наша с вами жизнь и комфортное существование каждый день, поэтому важно, чтобы люди адекватно понимали этот цифровой мир, могли улучшать, могли влиять на его качество.
Рамаз Чиаурели: Спасибо большое, Владимир. Сегодня мы говорили об информационной безопасности, защите своего бизнеса с Владимиром Заполянским. Это были разговоры о безопасности. Смотрите нас на сайте Kommersant.ru. Меня зовут Рамаз Чиаурели. До встречи!
Владимир Заполянский: Спасибо, Рамаз.