Предлагаем твоему вниманию беседу с Василием Дягилевым, который с 2013 года занимает должность главы представительства Check Point в России и СНГ. Мы поговорили о том, как важно действовать на опережение в области информационной безопасности, пришли к выводу, что мобильные устройства — это едва ли не самое слабое звено во всей инфраструктуре организации, и даже немного пофантазировали о будущих профессиях в IT.
 

О важности предотвращения атак

Стандартный kill chain любой хакерской атаки — разведка, доставка, запуск и исполнение. Еще двадцать лет назад мы поняли: если вирус начинает разворачивать у вас активность, значит, он уже получил контроль над вашей системой. Да, с этим можно бороться антивирусом, но недолго, и в ближайшее время это станет совсем невозможно. Соответственно, лучше попытаться заблокировать скачивание эксплоита и его запуск еще до того, как был установлен контроль над системой.

Но как прекратить саму доставку? Обрубить ее, чтобы эксплоит просто не долетал до целевой системы, чтобы там даже не срабатывал антивирус. Но что делать дальше, с разведкой? Когда ты видишь, что в системе началась какая-то компрометация, что кто-то кидает фишинговые ссылки сотрудникам и люди начинают общаться с разными вещами вне структуры организации.

Сам по себе файрвол — это классно, но самое главное — необходимость управлять безопасностью. Потому что если тебя атакуют раз в месяц, ты можешь позволить себе выпить чашку кофе, понять, что тебя атакуют, сделать передышку, просмотреть логи, что-то предпринять, починить систему, восстановить данные и так далее. Но сейчас, с той скоростью атак, которые происходят в мире (это сотни и тысячи атак в секунду), все нужно автоматизировать, необходима система, которая позволяет управлять этим. Чтобы ты видел не только каждую конкретную атаку, но мог понимать, что вообще происходит в организации, куда «уплывают» данные. Это и является нашей главной задачей.


 

Человеческий фактор

Смартфоны скоро станут тем самым «слабым звеном» в организациях, которым раньше всегда был человек. Мы не отпускаем эти штуки дальше, чем на тумбочку возле кровати. Сейчас и вовсе растет поколение, которое родилось с гаджетом в руках. Когда они придут на работу, первое, что попробуют сделать, — подключиться к Mail.ru, «Одноклассникам», прочитать почту, сделать фото и так далее. С этим будет невозможно бороться. Если просто запретить им это, то за бутылку пива, поставленную системному администратору, скорее всего, они все равно получат этот доступ. Либо начнут искать в интернете, как обойти корпоративную систему безопасности. Они скачают Tor, построят какой-нибудь VPN-туннель… Все зависит от того, как настроена система в конкретной организации.

Проводя аудит в компаниях, мы часто сталкиваемся с одной интересной вещью. Скажем, мы приходим делать аудит безопасности в компанию, где работает тысяча сотрудников. Мы устанавливаем сенсоры, оборудование в специальный режим, который слушает сеть. Через две недели мы снимаем данные и говорим: «У вас в месяц происходит десять соединений Tor с вот этих IP-адресов, соответственно, там сидят люди, которые что-то делают. Вот здесь люди ходят на зараженные веб-сайты, вот IP-шники, куда они ходили и с какого компьютера. Вот здесь люди качают торренты, а вот здесь сидят в социальных сетях, а еще у вас здесь есть четыре ботнета, которые связываются с командным центром раз в минуту». На что нам отвечают: «Четыре ботнета? Примерно так я и думал».

Люди допускают, что в их инфраструктуре может находиться угроза, просто они ее не видят. Знаете, позиция страуса, который уткнул голову в песок: если я не вижу угрозы, значит, ее нет. Такое нам часто говорят и безопасники, и IT-директора. Многие из них действительно не слышат, не видят и не понимают, что происходит.

Долгое время безопасность строилась по принципу дырявого зонтика. Люди когда-то сделали себе зонтик и вышли под дождь. Дождь становился все сильнее, и в зонтике появились дырки. Люди накрыли зонтик полиэтиленовым пакетом, и какое-то время эта конструкция держалась. Но вода все равно течет, и люди надевают капюшоны, заклеивают зонт скотчем и так далее. В результате ты все равно стоишь мокрый, под проливным дождем, и тебе уже ничего не помогает, рано или поздно вода поднимается и затапливает тебя целиком.

Я часто провожу эту аналогию, потому что, приходя к заказчикам, мы постоянно слышим: «ой, у нас появились вирусы — давайте купим антивирус»; «ой, у нас появились зловредные сайты, давайте купим систему, которая делает URL-фильтрацию»; «ой, пошел спам — купим антиспам»; «ой, а сейчас, говорят, надо DLP внедрять, модно же, давайте прикрутим DLP». В результате мы получаем «лоскутное одеяло», которое, наверное, греет, но оно совершенно неуправляемо.

Часто мы видим, что безопасности можно достичь уже существующими средствами. Нужно только правильно их настроить и начать использовать для того, для чего они создавались. Задача Check Point — предложить заказчику как-то «перешить» то самое «одеяло», сегментировать его таким образом, чтобы та часть, которая должна греть, — грела, та, которая должна вентилировать, — вентилировала, а та часть, которая должна тебя скрывать, — скрывала. Порой достаточно просто сменить дефолтные настройки и настроить оборудование. Такое встречается очень часто, даже у крупных организаций и заказчиков. У них просто не доходят до этого руки, не хватает специалистов.
Приходишь к заказчику, а у них все пробило, все лежит. Спрашиваешь, давно ли они обновляли IPS, и оказывается, что два месяца назад. Почему? Все было настроено неправильно, IPS не получал автоматических апдейтов. И люди этого не замечали.

Недавно одна крупная секьюрная компания проводила эксперимент. Не буду называть имен, но они продают продукты для информационной безопасности. Чтобы активировать эти продукты, надо зайти в интернет и зарегистрироваться в личном кабинете. Все сотрудники этой компании дома пользуются собственными продуктами. И они провели эксперимент. Взяли доменные имена каждого сотрудника в корпоративной сети, взяли свою базу и сличили хеши, чтобы узнать, кто из сотрудников для регистрации собственного продукта использовал доменный пароль. Оказалось — 95% людей. То есть с вероятностью в 80% при регистрации где-нибудь в Gmail или «Яндексе» они тоже возьмут этот пароль.

Но это можно легко починить. Мы знаем, что человек в браузере идет на Gmail, мы видим этот трафик. И если он попытается вбить туда доменный пароль, мы можем просто запретить ему это. Сказать: «Дружище, нельзя использовать доменный пароль, пожалуйста, придумай новый».

При этом нам не нужно видеть пароли, мы их не видим. Они все хранятся в AD, нам туда не надо. Просто на уровне AD сверяется хеш. AD выдает хеш-сумму, а наш шлюз сверяется с ней, если она совпала — он ее блокирует, если нет — проехали.

Многие фирмы делают решения по безопасности ради безопасности, не думая о том, что на другом конце сидят пользователи. Вместо того чтобы ломать огромную инфраструктуру организации, хакер может сломать ваш домашний компьютер, получить доступ, узнать доменный пароль, пройтись по всем аккаунтам, которые ему известны, и посмотреть, сработало или нет.


 

Работа на опережение

Как раньше строилась безопасность? Ставился антивирус, ставился антиспам плюс какие-то анализаторы. Сейчас, когда мы приходим к заказчику, говорим, что можем помочь проанализировать сеть, помочь понять, какие угрозы в ней есть, ранжировать их с точки зрения критичности. К примеру, вы получаете огромное количество входящей корреспонденции. Мы, с помощью наших решений, можем сделать так, что даже если вам пришлют зараженный файл, мы пересоздадим его на шлюзе и совершенно спокойно отдадим вам стопроцентно незараженный вариант. К примеру, в бухгалтерию или отдел кадров приходит файл Word. Сколько таких вложений прилетает туда в день? Или в HR-отделы, ведь резюме шлют тысячами. Когда приходит такой файл, что делает сотрудник? Он его открывает. Ведь это его работа.

Анализировать файл — это дорого и долго. Мы сделали проще и создали такую технологию: когда вам прилетает документ Office, шлюз открывает этот документ, забирает из него визуальный контент, создает новый PDF-документ, кладет контент в него, оставляя все скрипты в старом файле, после чего доставляет этот «слепок» человеку на рабочий стол.
Решение масштабируемое. Наш шлюз может обрабатывать до двух миллионов писем в день. Если вы получаете шесть миллионов, вам просто понадобятся два кластера.

91% заражений происходит через документы Office либо через Flash. С Flash мы еще работаем, это не так просто технологически. А вот с документами Word это, по сути, работает, как команда print to file. Берете файл, открываете его в безопасной среде, делаете «слепок», отдаете заказчику.

По нашей статистике, 95% сотрудников реально не нуждаются в редактировании документов. Большинству достаточно открыть файл, посмотреть, прочитать и отправить обратно. А тот файл, который пришел изначально, отправляется, например, в песочницу, где спокойно проходит все проверки, а мы выносим вердикт — заражен он или нет. Если же сотруднику необходим именно оригинал, к примеру нужно отредактировать Excel-таблицу или документ Word, после того как произойдет эмулирование и изучение самого контента и если мы сочтем, что файл достаточно чист, можно будет щелчком мыши достать и этот оригинальный документ.

Сейчас мы научились делать то же самое для браузеров. Например, ты идешь в Google и пишешь: «реферат по теме ИТ-безопасность», кликаешь по первой же ссылке. С вероятностью 99% ты скачаешь какую-нибудь бяку, и хорошо, если она хотя бы определится антивирусом. Но мы можем сделать так, что после нажатия на ссылку у тебя начнется стандартный download, просто в какой-то момент загрузка ненадолго замрет. В этот момент файл, который уже был скачан шлюзом, задерживается там. Шлюз пересоздает документ, делает «слепок» с него и забрасывает прямо тебе в браузер готовый PDF. Опять же, если будет нужен оригинал, там есть ссылка: «кликните здесь, чтобы докачать оригинал». Если мы посчитаем, что оригинал безопасен, тебе его отдадут. Опять же в зависимости от настроек.

Происходит некая подмена оригинального документа на уровне шлюза. Это гарантирует, что сотрудник бухгалтерии не пострадает, к примеру, получив фишинговое «письмо из налоговой». Даже если в письме находится не вложение, а ссылка. Да, фишинговую ссылку далеко не всегда можно определить моментально, для этого нужен некий сигнатурный метод. Но даже если сотрудник кликнул по такой ссылке и у него началось какое-то скачивание, мы можем это предотвратить. Он не получит этот документ. Потому что легче бороться не с уже проникшей в систему инфекцией, а с тем, что происходит до этого.

Важно, чтобы компания могла управлять своей безопасностью, а эта безопасность сама по себе жила неким ИИ. К примеру, в организации кто-то воткнул флешку в компьютер и endpoint автоматически определяет, что флешка заражена. Тогда endpoint отдает команду шлюзам, говорит, что обнаружил угрозу, мол, «ребята, отрубаем бухгалтерию, отрубаем юристов, чтобы это туда не пролезло». То же самое происходит, если кто-то воткнул флешку и пытается что-то на нее скачать. Система сама узнает об этом, то есть администратору по безопасности не нужно ничего с этим делать, система сама научилась, что с таким работать нельзя.

Через наше облако все шлюзы моментально обновляются. С точки зрения разведки мы сотрудничаем с тысячами компаний. Они предоставляют нам фиды по каким-то insider intelligence, то есть какие-то факторы компрометации, индикаторы. Весь этот объем данных обрабатывается облаком и становится доступен нашим подписчикам, которые находятся на поддержке. Если люди боятся отправлять или получать информацию облаком, мы можем построить это облако прямо на территории заказчика.


 

Мобильная безопасность

Сейчас мы уделяем много внимания мобильным устройствам. Недавно из-за уязвимости KRACK множество Android-устройств превратились в потенциальных жертв. Google официально заявляла 43%, кажется. У нас уже два года есть решение, которое в случае атаки Man-in-the-Middle (если я подключаюсь к Wi-Fi и происходит подмена сертификатов), просто говорит мне: «Отключитесь от Wi-Fi, пожалуйста, пока вы этого не сделаете, я вас в корпоративную почту не пущу». Но это решение продавать тяжело, потому что оно сидит и ничего не делает. Там ничего не бегает, ничего не крутится, оно просто говорит: phishing protection.

Мы вообще не различаем мобильные платформы между собой. У нас есть решения как для Android, так и для iPhone. На самом деле сейчас угроз сюда [показывает на iPhone] приходит намного больше, чем на Android. Из-за имиджа безопасности.

Мобильная безопасность будет развиваться совсем не так, как развивалась компьютерная безопасность. Вспомните девяностые годы. Люди ломали винду. Это было любимым занятием любого молодого специалиста: сломать винду, найти в ней уязвимость, проникнуть куда-нибудь.

Реальных взломов iOS и Android, самих систем, мы, наверное, не увидим. Ведь Google и Apple ведут себя совершенно не так, как было принято в девяностые годы. Они с самого начала сказали: если найдете какой-нибудь 0day, приходите к нам, мы дадим вам 100 тысяч долларов. Сейчас многие хакеры, белые, серые и пентестеры, именно этим и занимаются. Да, они находят уязвимости, но для них еще надо сделать эксплоит, понять, как это размножить, монетизировать, как собрать эти деньги, вывести их. Но зачем? Вместо этого можно прийти в Apple и Google, официально получить 100 тысяч долларов и медаль, что ты суперспециалист. Поэтому их системы только энтузиасты и ковыряют.

Что мы увидим в мобильной безопасности в ближайшее время? 99% людей не читают, что пишет приложение при установке. Зачем плееру нужен доступ к камере или SMS-сообщениям? Зачем доступ к геопозиции? Но нет, народ, не глядя, жмет на кнопки. У нас есть демо, которое мы часто показываем заказчикам: просим их просканировать штрих-код и через три минуты скидываем им на email нерутованного iPhone запись нашего разговора.

От подобного сейчас не застрахован никто. Недавно мы видели атаку на сеть кофеен: кто-то разбрасывал визитки, брендированные под кофейню, с QR-кодом. На визитках было написано: «Бесплатный интернет». То есть человек зашел в кафе и просто разбросал эти визитки на столы. Люди, придя в кафе, видели QR-код, где написано: «Отсканируй». Они сканировали безо всякой задней мысли. Там спрашивалось: установить профиль интернета? Они жали «Да». Устанавливался профиль, который расшифровывал весь трафик и перенаправлял по VPN на какие-то серверы в Китай. Что делали с ним дальше? Никто не знает. Хорошо, что вовремя обнаружили. Совсем простая атака: люди сидят в кафе, а тут вдруг интернет, Facebook.

Самые опасные люди в любой организации — бухгалтер, завскладом и генеральный директор. У директора больше прав и меньше всего секьюрных приложений, потому что «все это мне не надо, мне надо, чтобы работало быстро».

Представь, что генеральный директор получает финансовый отчет на почту в своем телефоне. У него там не стоит никаких систем защиты, он берет и просто подключается к Wi-Fi в какой-то кофейне, и все, данные ушли на сторону. Если хакер их получит, завтра он продаст их на черном рынке, и бизнес может умереть. Этот сценарий сейчас начинает разворачиваться очень активно. Наша задача — рассказать об этом пользователям, заказчикам, организациям. Сказать: «Ребят, мы все достаточно неплохо научились защищать инфраструктуры, а вот про смартфоны забыли вообще». Почему-то все до сих пор считают, что это — просто «звонилка».


 

Работа в Check Point

Наша команда разделена на две группы. Первая группа — это люди, которые занимаются бизнесом и коммерцией. Вторая группа — порядка двадцати инженеров по безопасности (и их число постоянно растет), чья задача чаще всего — провести некий аудит в компании, понять, что работает не так, объяснить это местным техническим специалистам. То есть они независимые аудиторы и эксперты.

Для этого человек должен очень хорошо разбираться в технологиях, в сетевой безопасности. Он должен знать не только как работает Check Point, он должен понимать, как работает все остальное, вся сетевая инфраструктура. Таких специалистов мы нанимаем очень часто, они работают в своей связке. Они проводят технические аудиты, делают технические обоснования, участвуют непосредственно в развертывании инсталляции решений, если это нужно заказчику и тот хочет, чтобы это было сделано руками самого вендора. Своего рода professional services, который мы сейчас как раз активно запускаем, потому что бизнес у нас партнерский, но иногда необходимо дополнить экспертизу партнера.

Раз в год мы запускаем программу молодых специалистов. Выбираем несколько человек (чаще одного или двух) из российского офиса, которых отправляем на шесть месяцев в Израиль, где из них лепят специалистов по Check Point, со всеми возможными сертификациями и так далее. После человек возвращается в российский офис, где гарантированно получает работу в качестве security-аналитика. Уже есть примеры, когда таких людей замечали внутри штаб-квартиры, не только как «полевых» инженеров, но в том числе как людей для работы в R&D, и эти люди переходили работать туда. Буквально в начале этой недели два человека от нас уехали обучаться по этой программе в Израиль.

 

Профессии будущего

У IT-шников и безопасников всегда возникала дилемма. Дилемма заключается в том, что самый безопасный компьютер — это компьютер, выключенный из сети. А желательно и из розетки. При этом основная задача IT-специалистов и IT в целом — это максимальная скорость и максимальный объем прохождения информации. Это два противоречия.

Долгое время внутри многих компаний существовали некие «лагеря». Одни хотели одного, другие другого. Но сейчас мы наблюдаем, что сама безопасность начинает разделяться на две основные составляющие. Первая — это архитектурная безопасность. Безопасность непосредственно корневой архитектуры сети. Антивирусы, антиспам, набор технологий, который все это делает. Второе — кибербезопасность, которая уходит в сторону финансовой оценки рисков. Решения о внедрении тех или иных технологий не всегда нужны сегодня, но, чтобы обезопасить бизнес завтра, необходимы технологии и кибербезопасность, разработка политик. У IT-департамента не всегда есть возможность разработать политику безопасности. Она все равно всегда будет перекошена в сторону «ну ладно, пролезет что-то — вылечим, из бэкапа поднимем». Но для безопасника ситуация, когда ты что-то поднимаешь из бэкапа, — это fail безопасности.

Сейчас мы видим, что заказчики, которые строят инфраструктуру с нуля, начали разделять безопасность. Так, существуют базовые принципы защиты, которые мы все знаем: файрвол, антивирус, IPS, DLP и так далее. Это лежит в зоне ответственности IT, там прекрасно знают, как с этим управляться. Но вот политики, разработка, включение в модель рисков и донесение всего этого до CEO, который не понимает, зачем платить деньги за безопасность, — все это уходит в область кибербезопасников. Именно они объясняют: «мы, конечно, можем в ближайшие пять лет ничего не делать, но, по нашим данным, у нас могут возникнуть угрозы A, B, C, D, и они могут стоить нам столько и столько денег».

Людей, которые сейчас готовы заниматься кибербезопасностью, единицы. Они появятся тогда, когда появится экспертиза, именно в борьбе не с тем, что уже случилось, но когда все поймут, что бороться нужно с тем, что еще не произошло.

Очень скоро, в течение ближайших пяти лет, мы увидим совершенно другие профессии в сфере безопасности. Во-первых, это, конечно, будут аналитики и люди, способные программировать ИИ, который отвечает за безопасность. Во-вторых, очень большим рынком будет то, что называется identity security. Когда появятся некие цифровые личные телохранители, какие-то компании, которые будут заниматься именно приватностью в интернете. Уже сейчас существуют стартапы, которые за деньги вычищают всю вашу историю из социальных сетей, к примеру перед собеседованиями.

Чтобы учиться identity security, люди просто должны читать об этом. Им стоит читать, интересоваться последними атаками, причем не как там shell-код сделан или где прошел эксплоит. IT-шники очень любят такое: «Ой, там такая штука, смотрите, как замечательно сделано». Я же призываю смотреть на логику. Потому что мы разбираем инциденты, пытаемся понять, как это было реализовано технически. Но что делают хакеры? Они не ограничены моралью и часто не ограничены в деньгах. Они просто фантазируют на тему «Что будет, если сделать вот так?». Поэтому нужно смотреть на логику, понимать, как они мыслят.

Это психология. Например, мы иногда неофициально рекомендуем своим заказчикам, приняв определенные меры безопасности, спускаться в дарквеб и смотреть, что там происходит. Потому что если безопасник не знает, что происходит с его организацией в дарквебе, он может жить очень большими иллюзиями. Понятно, что это не всегда легально и не везде разрешено, но получать оттуда информацию необходимо. Поэтому я не исключаю, что, возможно, появятся некие бизнесы, которые будут связывать эти две «вселенные», будут торговать информацией.

Не стоит забывать, что еще десять лет назад фраза о том, что в рамках государства существует некий киберюнит, вызывала у многих лишь усмешку. Сейчас все это давно известно, а люди даже не скрывают того, что государство занимается не только defensive-технологиями, но и offensive.

3 комментария

  1. baragoz

    13.11.2017 at 11:34

    «Например, мы иногда неофициально рекомендуем своим заказчикам, приняв определенные меры безопасности, спускаться в дарквеб и смотреть, что там происходит. Потому что если безопасник не знает, что происходит с его организацией в дарквебе», — ээ, а что должно происходить с его организацией в дарквебе?

    • JKornev

      13.11.2017 at 12:05

      Это ещё ладно, видимо имелось ввиду быть в курсе, что там слили, что продают. Повеселило другое:
      «Им стоит читать, интересоваться последними атаками, причем не как там sell-код сделан или где прошел эксплоит.»
      sell-код 🙂 Очепятка или оговорка по фрейду?

  2. john_

    17.11.2017 at 16:47

    Это тоже проплаченные статьи?))

Оставить мнение

Check Also

Tips’n’Tricks из арсенала андроидовода. Самые интересные, полезные и нестандартные трюки с Android

Многие годы мы рассказывали про самые разные способы оптимизировать, модифицировать и твик…