Нефтяные шейхи, мафиози, правительственные разведки и мегакорпорации всегда заняты своими делами, и в их число с недавних пор входят атаки на ИТ-инфраструктуру друг друга. Мир изменился, и в списке контактов у начальника любой компании теперь, кроме частной охраны, должны быть и специалисты по инфосеку. Check Point Incident Response — это команда срочного реагирования, которая выручает, если что-то пошло не так.
Мы встретились с главой этой команды Дэном Уайли в рамках конференции CPX 2016. Уайли — настоящий ветеран киберсекьюрити. Он начинал свою карьеру двадцать лет назад, на заре интернета, и работал в одном из первых провайдеров, в том числе под началом «отца интернета» Винта Серфа. Второе интервью с CPX 2016 — с начальником подразделения мобильных решений Check Point Михаилом Шауловым — ты найдешь в разделе «Взлом».
CPX 2016
В апреле 2016 года компания Check Point провела конференцию CPX 2016, на которой собрала около 4000 участников из 46 стран, чтобы обсудить проблемы в области кибербезопасности и анонсировать новую линейку своих продуктов. Компания Check Point Software Technologies была основана в 1993 году Гилом Шведом и предоставляла решения для защиты только зарождавшихся в то время компьютерных сетей, в том числе один из первых аппаратных файрволов. Сегодня Check Point является одним из лидеров в своей области и предлагает широкий выбор программных и аппаратных решений для корпоративных клиентов.
— Реагирование на инциденты... звучит так, будто ты пожарный!
— Вроде того. Мне нравится думать, что я Супермен, но и пожарный тоже неплохое сравнение. А если серьезно, то я руковожу командой, разбросанной по всему земному шару, и мы двадцать четыре часа в сутки семь дней в неделю отвечаем на звонки и помогаем клиентам. Нам нравится продавать сервис до того, как кто-то атакован, потому что в этом случае мы понимаем окружение и знаем, как реагировать, но чаще всего клиенты звонят после того, как их скомпрометировали. Так что нам приходится оценивать, что происходит в их окружении, давать рекомендации о сдерживании, идентифицировать угрозу, работать с ресурсами в дарквебе, чтобы понять, есть ли что-то похожее.
— То есть вы все время мониторите дарквеб?
— Мы взаимодействуем с форумами — как сами, так и с помощью внешних партнеров. Мониторинг — это совсем не то же самое. У нас есть средства, которые позволяют искать по обсуждениям, но мы не принимаем участия в экосистеме — то есть не продаем и не меняем информацию. Только смотрим.
— Где физически располагается команда?
— Она, можно сказать, виртуальная в данный момент. Наше основное место расположения — это США, еще у нас есть офисы в Европе, Австралии и других частях света. Это нужно, чтобы иметь возможность отвечать двадцать четыре часа в сутки. Интересная вещь — большая часть кейсов связана с широко распространенной малварью типа theZoo и мейнстримными вещами вроде Locky. Но мы также работаем с некоторыми государствами-нациями и следим за происшествиями в нефтегазовом секторе и другими индустриями, которые подвержены нацеленным атакам.
— Поддержка — это часть какого-то продукта Check Point или отдельная услуга?
— Это сервис. Его можно добавить к любой имеющейся инфраструктуре — не только к продуктам Check Point.
— Но с продуктами Check Point у вас есть телеметрия и лучшее понимание ситуации?
— Верно. Во многих случаях мы можем развернуть свое оборудование в течение суток в любой точке земного шара. Это позволяет нам лучше видеть, что происходит, и иметь больше контроля над ситуацией. Мы можем развернуть агенты, а можем анализировать при помощи скриптов или производить форензику жестких дисков. Или даже интервьюировать персонал. Все, что поможет расследованию.
— Форензика жестких дисков, наверное, требует непосредственного присутствия на месте.
— Есть разные варианты. Если мы знаем, что может последовать судебное дело, мы устанавливаем цепочку ответственности и занимаемся всей юридической стороной вопроса, чтобы защитить данные. Если мы знаем, что у кейса нет юридической стороны, мы можем производить форензику дисков удаленно или отправляем их туда, где есть возможность этим заняться. В итоге, как я уже говорил, все зависит от кейса, местоположения и того, сколько у нас есть времени на расследование. Главное, что мы даем клиенту, — это связь с экспертами: специалистами по форензике и по малвари, а также криптографами и реверсерами (в частности, мы сотрудничаем с реверсером из Минска). Мы используем все знания моей команды и отдела R&D компании, чтобы расследовать все от начала до конца и отчитаться перед клиентом.
— Как происходит типичное расследование?
— По-разному. Если, к примеру, клиент звонит и говорит, что подвергается DDoS-атаке, то у нас есть готовый сценарий работы: мы смотрим, как устроена его инфраструктура, что за оборудование стоит, кто провайдер, можем ли мы позволить себе cloud-based scrubbing, можем ли мы отправить оборудование на место происшествия, угрожает ли этот DDoS чьей-либо жизни. Нужно быстро получить ответы на все эти вопросы, чтобы сформулировать ответ и начать работу. Примерно так же все происходит в случае с малварью. Если мы находим уникальный экземпляр, который мы никогда раньше не видели, значит, мы имеем дело с государством-нацией, и это совсем-совсем иной разговор, чем если бы речь шла про Locky. Если это Locky, то мы вряд ли сможем сделать многое с точки зрения криптографии, но мы можем помочь сделать так, чтобы подобное не случалось вновь. Посоветуем, как исправить, и предложим план по улучшению безопасности.
— Ты говорил про денежные вопросы. Есть ли какая-то связь со страховкой?
— В моей практике попадались всего один-два процента клиентов, которые покупают страховку на случай информационных угроз. Очень-очень мало. Не знаю, связано ли это с размерами компаний клиентов или с их областью деятельности. Я думаю, это пока что очень незрелая индустрия и она еще не готова предложить что-то массовым потребителям. Слишком много опасений, что придется платить за страховку, а потом страховая компания скажет, что это не страховой случай, и пошлет к черту.
— Но такие компании все же существуют?
— Да, конечно! И некоторые из них очень пристойные. Но опять же одно дело — специалисты по кибербезопасности и другое — адвокаты, которые что-то выправляют после инцидента.
— Встречаются ли неизвестные угрозы и каков процесс в этом случае?
— Опять же все зависит от местоположения клиента и того, частью какой вертикали он является. Определенные вертикали и определенные местоположения наводят на мысли о том, что делает клиент и с кем он столкнулся. Иногда угроза происходит от государств-наций.
— Можешь привести пример?
— Если ты нефтяная компания, которая ведет бизнес в Саудовской Аравии, скорее всего, у тебя есть пара-тройка врагов, и они могут стоять за атакой. Если ты ведешь бизнес в Украине, скорее всего, ты страдаешь от противостояния двух больших фракций. А если ты в Швеции и наблюдаешь DDoS... ну, по крайней мере ты можешь подозревать, что это неспроста.
— Это реальные примеры?
— Это примеры из новостей: Saudi Aramco в Саудовской Аравии, украинская электросеть и так далее.
— Я имел в виду случаи из вашей практики. Или ты не можешь о них рассказывать?
— А, из практики! Я и правда не могу рассказывать о кейсах, связанных с государствами-нациями, но чем я могу поделиться — это кто из них о каких индустриях заботится. В США интерес определенно вращается вокруг энергетики. В Европе было два случая, связанных с транспортом. Один — в Австралии, связанный с горнодобывающей отраслью. В каждом из них мы сталкивались... я не могу сказать, с какими конкретно странами, но их почерк был очень похож на то, с чем встречается индустрия. В одном случае это сильно напоминало то, что делают китайцы. В другом — очень похоже на русских. И еще в одном — на то, что делают европейские страны. Видишь, я стараюсь очень осторожно об этом говорить.
— Я еще заметил, что ты все время говоришь «государства-нации» вместо просто «государства». Это либертарианская терминология, не правда ли?
— Она самая. Но суть не в либертарианстве, а в том, что нам приходится иметь дело и с государствами, и с другими схожими структурами и как-то различать их в разговоре. Одни ООН признает, другие — нет. В некоторых странах есть государственные служащие, но при этом они — не настоящее правительство. В действительности страной могут управлять мафиози или еще кто-нибудь. В общем, государство — это не обязательно традиционное государство.
— И с такими вы тоже работаете?
— Мы очень нейтральны по отношению к тому, с кем мы работаем. Я думаю, для вендора тут самое главное то, что он не может занимать ту или иную политическую сторону. Мы должны быть очень осторожными, не делать политических заявлений, не решать, что хорошо, а что плохо. Наше дело — защита от любых угроз, будь то другие государства-нации или киберпреступность.
— У вас есть бывшие блекхеты в команде?
— Ха-ха. Да, есть! Но они все работают на благо общества. Им платят для создания защиты от тех угроз, с которыми нам приходится сталкиваться.
— То есть ребята, которые знают, что и как искать в даркнете?
— Именно. Любой из них может пролезть в чужой телефон, но они этого не делают, потому что они хотят понять, как использовать эти знания для создания защиты. Взять, к примеру, эксплоит-кит Nuclear. У нас полно отличных данных, которые нам удалось получить, просто изучая, как он работает. Нам удалось расшифровать обфускацию канала, который он использует для связи с C&C. И когда векторы атак меняются, мы тоже адаптируемся. Для нас главное — максимально покрыть этот временной интервал. Например, в случае с Locky у нас не ушло много времени на то, чтобы понять, как он эволюционирует. Как только мы поняли, как он устроен и как атакующий его использует, мы смогли сразу же создать защиту, которая работает в режиме реального времени. А потом мы смогли идентифицировать и весь трафик к C&C — примерно через двенадцать часов. В общем, клиенты должны понимать, что один только антивирус или один-два вида других защит — это недостаточно для борьбы с угрозами, о которых мы говорим. Нужен полный набор защит.
— Я не думаю, что подобную услугу так уж сложно продавать. Все хотят, чтобы было к кому обратиться в случае чего.
— Но не все готовы озаботиться этим заблаговременно. Присутствовать заранее для нас очень важно, чтобы видеть и контролировать все, что происходит. И иметь средства для борьбы с угрозой. В противном случае клиенту кранты. И чем меньше компания, тем ей сложнее. Мы тратим много сил на малые и средние устройства, чтобы снизить порог вхождения. Вы вот в своем журнале публикуете исходники, которые можно брать и использовать, но малый и средний бизнес не понимает ничего этого. Они затрудняются понять, что такое MD5. Мы стараемся как можно сильнее снизить планку, не став при этом бесполезными. Но в то же время убедить их и показать, что атаки вполне реальны и могут навредить им — привести к убыткам или сбоям в работе. Это очень сложный разговор.
— Расскажи немного о своей карьере.
— Я начал работать в интернет-провайдере — MCI. Я был главой подразделения инженеров по безопасности. Потом работал в министерстве здравоохранения и социальных служб США, а потом пришел сюда, в Check Point. Вот такие двадцать лет карьеры.
— То, что ты делаешь сейчас, похоже на то, чем ты занимался в MCI?
— Да, на протяжении всей карьеры я делал примерно одно и то же — занимался дизайном и архитектурой средств безопасности. Ну и изучением угроз и реагированием на них. Раньше это еще не называлось крутым словосочетанием «реагирование на инциденты», мы это назвали происшествиями.
— Слушай, двадцать лет! То есть ты этим занимаешься почти что с самого появления интернета?
— Именно. Кстати, занятный факт: я как-то работал в группе Винта Серфа, который считается отцом интернета.
— Раньше все было по-другому?
— Конечно! Были SPARC 5 и крошечные Solaris-боксы, AIX, HP-UX, VAX и всякое такое. Все это давно исчезло. Что было в корне иначе? Мы тогда знали, что мы делаем что-то большое, что-то восхитительное. Мы не знали, как общество будет использовать эту платформу, мы всегда жили в мире железа и думали в основном о том, как его заставить работать. Но за это время произошло серьезное изменение, которое мы, возможно, не до конца понимаем. Теперь есть мобильные устройства, которые можно взять куда угодно, интернет повсюду. Это то, чего мы хотели, но мы не представляли себе, как это может превратиться в iPhone, к примеру. А теперь мы снова на пороге очередной большой революции.
— С точки зрения безопасности тоже все поменялось: это уже больше не занятная игра с компьютерами.
— О нет. Раньше можно было сказать «я элита, я забрался в твою машину». А теперь ты и не узнаешь, что я там был и что продал твою информацию за сто миллионов долларов. Теперь все связано с экономикой, а значит, изменился и подход. Ставки выросли!