Антон Чухнов, 25/01/22
Как заманить злоумышленников в ловушку, почему так важна цифровая грамотность среди сотрудников и как принцип нулевого доверия влияет на безопасность – обо всем этом рассказал генеральный директор компании “АВ Софт” Антон Чухнов.
– Антон, расскажите немного о себе и о том, с чего начиналась компания "АВ Софт".
– Мой отец как-то темным дождливым вечером принес домой для нас с братом первый компьютер. И случилась моя большая любовь к разработке, которая длится по сегодняшний день. В школе я писал свои первые программы под музыку Queen и The Beatles. В институте я старался развить в себе эту способность как можно больше, мне правда было безумно интересно, даже приходилось изучать разработку без компьютера и просто по книге запоминать команды в голове, потом пытался воспроизводить их ночью во время отбоя. Окончил я, как вы, наверное, догадались, военное училище – Военно-космическую академию имени А.Ф. Можайского, с отличием, по специальности "Технологии защиты информации". После выпуска я занимался информационными технологиями и поддержкой ИТ-инфраструктуры. Я был несколько необычным системным администратором, поскольку к заказчикам всегда надевал белую рубашку в деловом стиле и брюки. Преимущественно работал в мастерских и церквях Андрея Анисимова. В какой-то момент пришло время переходить на новый уровень развития, и я решил в 2010 г. открыть свою компанию. Я думаю, что меня поймут все, кто совершил аналогичный шаг: ты учишься отвечать не только за себя, но и за других людей, выстраиваешь многие процессы сам с нуля, что очень сложно, но потрясающе зажигает огонь эмоций внутри, это настоящий вызов самому себе.
Мои первые крупные заказчики развили во мне изобретательность, иногда приходилось договариваться с кем-нибудь, чтобы показать, какой у меня шикарный и большой офис с аквариумом во всю стену, и убедить клиентов в своих профессиональных компетенциях, а потом бежать скорее делать проект с командой. Нашим первым творением была система на базе технологии "песочницы", концепция которой многим казалась весьма неперспективной на рынке, но сейчас мы видим, что уже весь мир тянется за этой идеей, она стала чем-то базовым и обязательным в любой современной системе информационной безопасности.
– На каком этапе "АВ Софт" находится сейчас, 11 лет спустя после создания компании?
– Мы очень яркие, активно участвуем в жизни сферы информационной безопасности и следим за тем, что в ней происходит. Мне кажется, что пройдет еще немного времени и мы займем в ней особенную нишу, потому что наша команда совсем другая, у нас особенный свежий и креативный путь.
Изначально у нас был ряд заказчиков, которых интересовал именно поведенческий анализ вредоносного программного обеспечения, и мы были компанией с монопродуктом. Заказчиками в основном являлись госструктуры, для которых мы адаптировали функционал системы ATHENA и, как следствие, развивали нашу систему.
Но мы также видели, что возникают новые паттерны с точки зрения кибербезопасности, появляются новые векторы угроз. Например, в последнее время распространение получили атаки на умные устройства, Интернет вещей, а также атаки программ-шифровальщиков с использованием легитимных инструментов. Чтобы найти решение для борьбы с этими новыми угрозами, мы стали рассматривать возможность создания новых продуктов. Так у нас появился второй флагманский продукт – LOKI на базе технологии Deception, который позволяет имитировать любое устройство в ИТ-инфраструктуре и заманивать на него злоумышленников, оберегая реальные устройства.
В отличие от средств защиты, контролирующих трафик и проверяющих файлы, Deception-системы выстраивают ряд ловушек и приманок, которые, распространяясь по рабочим местам, серверам и другим объектам инфраструктуры, пытаются заманить к себе злоумышленника.
Сложные целенаправленные атаки готовятся заранее, как правило злоумышленники выясняют, какой антивирус и другие средства защиты использует компания, и готовят нападение так, чтобы их вредоносные программы не обнаруживались, то есть пытаются максимально замаскировать свою работу.
Попадая в наши ловушки, злоумышленники демаскируют свое присутствие внутри сети, даже если все остальные системы безопасности пропустили эту угрозу. Deception-системы сейчас набирают популярность, Gartner прогнозирует увеличение спроса на эту технологию в ближайшие 3–5 лет. И действительно, очень многие компании активно интересуются Deception-системами.
– Вы ведь российская компания и все ваши продукты полностью отвечают потребностям импортозамещения?
– Да, все верно, мы очень патриотично относимся к своей стране и нашим заказчикам. "АВ Софт" полностью российская компания без какого-либо иностранного участия. Мы аккредитованы Минцифрой России, и наши продукты входят в реестр отечественного ПО. В конце прошлого года прошли непростой путь, чтобы стать участниками Фонда "Сколково".
Мы выбрали инновационное направление кибербезопасности и разработали уже много продуктов, выдерживающих конкуренцию с зарубежными аналогами, а в чем-то и превосходящих их по своим возможностям.
– А возможно ли защититься от угроз только техническими средствами?
– Как правило, никогда не бывает достаточно одного средства защиты, мы же не в сказке живем. Всегда необходим комплекс защитных мер: должны быть готовы к обороне технологии, продукты, процессы и люди.
К тому же огромную роль в вопросах безопасности играет человеческий фактор. К примеру, частая ситуация с парольной защитой: чем выше должность, тем проще пароль. Из-за этого появляется брешь в системе безопасности, через которую нередко и происходят атаки: злоумышленники проникают в корпоративные сервисы с помощью паролей, используемых по умолчанию, или простого перебора паролей.
В ходе кибератак часто используются инструменты для получения учетных данных привилегированных пользователей, с помощью которых злоумышленник получает доступ ко всей сети организации. Это тоже очень важный момент с точки зрения организации системы защиты, поэтому в нашей Deception-системе LOKI мы реализовали проверку и очистку учетных данных привилегированных пользователей, а также соответствующие ловушки для обнаружения данных атак.
Другими словами, мы изучаем современные методы распространения злоумышленников в сети, в том числе при сложных целенаправленных атаках, и включаем противодействующий функционал в наши продукты.
– То есть ваши продукты основаны на анализе поведения?
– Да, он присутствует в наших продуктах, но у нас есть и другие продукты, например антивирусный мультисканер, который позволяет подключать все антивирусные средства заказчика к единой системе управления и автоматически проверять в ней весь трафик организации, файловые хранилища, электронную почту и другие источники. Все антивирусы работают одновременно, и если какой-либо из них помечает файл как вредоносный, то срабатывает тревога, файл помещается в карантин, а служба безопасности начинает расследование инцидента. Мы также занимается защитой любых сетевых устройств от компрометации, защитой рабочих мест и промышленного оборудования.
Наши государственные заказчики сейчас активно переходят на отечественный софт, закупают отечественные операционные системы – Astra Linux, РЕД ОС, ALT Linux, мы реализовали в своих продуктах поддержку и этих операционных систем.
– И все же, можно ли защититься от угроз только техническими средствами?
– Нет, нельзя, нужно мыслить более системно, ведь в ИТ-среде существуют не только машины и сервисы, но и люди. Конечно, технические средства выявляют и блокируют большую часть известных вредоносных техник, но появляются новые изощренные техники с уклоном в социальную инженерию и психологию.
Поэтому сотрудники должны быть наготове. Мы используем различные варианты обучения и подготовки сотрудников, в том числе проводим тестирование без предупреждения: проверяем, кто откроет фишинговое письмо, а кто нет. Проводятся также семинары и тренинги, чтобы люди знали, как выглядят подозрительные письма, и не открывали их.
– Удивительно, что, несмотря на реальные примеры масштабных атак и утечек данных, о которых сообщают крупнейшие СМИ страны, люди все еще открывают подозрительные письма.
– Человек – не машина. Бесполезно требовать от людей четких механический действий, когда это противоречит их природе. Для решения этой непростой проблемы и существует автоматизация процессов, в том числе обеспечения информационной безопасности.
Известный факт, что атакующий всегда на шаг впереди, потому что первостепенная задача тех, кто занимается безопасностью, – закрыть все известные угрозы, которые уже сейчас могут эксплуатироваться, а потом уже прорабатывать системы безопасности, которые позволят закрывать новые угрозы, то есть отделы информационной безопасности в силу организационных особенностей не всегда готовы опередить развитие преступных кибергруппировок.
Но не все так безнадежно, технология Deception (я ее упоминал выше) позволяет закрывать новые виды угроз за счет своей вариативной работы и машинного обучения, которое используется для анализа поведения пользователей. Она уравновешивает силы и позволяет молниеносно реагировать на любую кибератаку.
– Что для вас означает термин "безопасная разработка"?
– В процесс разработки у нас встроены определенные процедуры проверки кода до того, как он попадет в релиз. У нас есть система контроля версий, система постоянной интеграции и развертывания, и в рамках этих процессов работают процедуры, проверяющие код на наличие уязвимостей, на присутствие в коде подозрительных элементов, проводится статический и динамический анализ самого кода.
После всех этих проверок, когда разработчики выпускают новый модуль, включаются отделы, которые занимаются проверкой продукта перед публикацией. Мы используем автоматическое тестирование, проверяем код статистическими методами, проводим функциональное и интеграционное тестирование, и только после этого, когда все на каждом этапе было проверено, разработка попадает в релиз. На каждом этапе создания происходит проверка безопасности кода.
Естественно, продукты, которые выполняют функции обеспечения безопасности, сами должны быть безопасными.
– Видите ли вы кадровую проблему у вас и у ваших заказчиков?
– Эта проблема существует, и, мне кажется, она всегда существовала в области информационной безопасности. Мы испробовали множество кадровых стратегий и осознали, что самой эффективной в нашей сфере является поиск и рост молодых талантливых ребят. Это связано с тем, что для нашей стратегии развития требуется гибкий, быстрый и креативный разум.
У наших заказчиков мы также наблюдаем нехватку квалифицированных кадров, но и у них есть такие же перспективные ребята, что позволяет достигать синергии совместного успешного взаимодействия.
Если у заказчика есть какая-то проблема по внутренним задачам вне рамок проекта, которую они не могут решить самостоятельно, то мы всегда привлекаем наших ребят в помощь.
– Какие новые пути развития открыла цифровизация перед компанией "АВ Софт"?
– Безграничные! Разве может быть с ней по-другому? Она на гребне волны сейчас, и все тянется к ней, в том числе и безопасность.
Там, где идет цифровизация, растет количество вопросов по безопасности. Например, как только организация открывает публичный сервис, сразу же необходимо обеспечивать защиту самой организации, так как с появлением нового сервиса возникают и угрозы безопасности. У нас есть специалисты, которые умеют выполнять анализ безопасности таких сервисов. Таким образом, в рамках комплексных проектов мы занимаемся не только поставкой системы, настройкой и запуском, но в том числе и анализом защищенности тех или иных сервисов, участвующих в цепочке прохождения трафика.
Сейчас появилось множество предприятий, которые вышли на путь цифровизации и задумались об автоматизации процессов. С переходом на удаленку, когда у пользователей появился внешний доступ во внутреннюю сеть, выросли угрозы безопасности. Мало кто был к этому серьезно подготовлен, и это стало большой проблемой. Так или иначе, качественно контролировать безопасность удаленных сотрудников сложно, атака может произойти на новый, удаленный периметр сети организации и уже внутри него развиться. Это довольно серьезный риск, но если правильно выстраивать защиту, то все риски можно существенно снизить.
Мы не можем не идти по пути цифровизации. Это естественный путь развития технологий, потому что люди пытаются оптимизировать и автоматизировать свою работу, избавиться от рутины, чтобы заниматься более творческими задачами. К тому же автоматизация существенно снижает вероятность возникновения ошибок, связанных с человеческим фактором. Очень важно крепко связывать любую автоматизацию с безопасностью, они должны стать близнецами, особенно если ваша деятельность связана с жизнью людей и их социально-значимыми процессами.
– В идеале, конечно, автоматизация должна идти сразу рука об руку с безопасностью. Однако...
– Однако есть человеческий фактор, который еще никто не отменял. Автоматизация – это только часть процесса обеспечения безопасности ИТ-инфраструктуры. Настоящая ценность софта в области ИБ заключается в эффективном исключении человека (как бы негуманно это ни звучало) из процесса принятия решения и мгновенном реагировании на кибератаки.
Если мы посмотрим на развитие, допустим, умных мобильных устройств, то вопросы безопасности отодвигаются там на последний план, потому что все пытаются как можно быстрее выйти на рынок. А потом выясняется, что с точки зрения безопасности все настолько плохо, что даже когда выключенные устройства просто заряжаются, с них уже производятся атаки. Это вопрос к руководителям и владельцам бизнеса многих компаний, их первостепенная задача понятна – заработать деньги.
Справедливости ради стоит отметить, что далеко не всем пользователям важно, насколько сильно защищен используемый продукт, в первую очередь их интересуют функциональные возможности. А вопрос безопасности возникает, только когда в новостях появляется информация о том, что данные пользователей какого-либо сервиса уже опубликованы в Сети.
– Занимаетесь ли вы защитой промышленного сегмента Сети?
– Да, и очень активно. Сейчас взаимодействуем по совместным проектам с промышленными предприятиями. Конечно, у нас лежит сердце к АСУ ТП, эта сфера очень многогранная и явно нуждается в защите.
В промышленном сегменте есть диспетчерские рабочие места, серверы, этот сегмент, как правило, огражден от внешней среды, но туда приносят и запускают, к примеру, обновления. Вплоть до того, что мы встречали ситуации на предприятиях, когда операторы, диспетчеры банально заряжали телефоны в системных блоках рабочих мест. Это же тоже угроза, причем не новая, она существует не один год. В итоге у многих заказчиков возник вопрос: а что делать, если атака произойдет успешно, и мы ее не заметим никакими средствами, как именно от этого обезопаситься? Поэтому система LOKI на базе технологии Deception позволяет имитировать не только элементы обычной инфраструктуры – рабочие станции, серверы, принтеры, IoT-устройства, камеры, телефоны, но и контроллеры оборудования в промышленном сегменте.
Приведу пример. Если есть десять станков со своими контроллерами и SCADA-системой, которая ими управляет, то мы можем развернуть десять ловушек, которые имитируют те же самые контроллеры, зарегистрировать их, и они будут контролировать любую аномальную активность. Конечно, SCADA-системы станут периодически опрашивать эти контроллеры, и это будет считаться нормальным трафиком. Но если начнется какая-либо аномальная активность – как правило, злоумышленники выполняют определенный набор команд, которые отличаются от простого опроса этих устройств, – то ловушка тут же это детектирует и оповестит службу безопасности. Предусмотрены различные способы оповещения, но главное, чтобы специалисты по безопасности увидели, что выявлена атака, и вовремя начали разбор инцидента.
Как правило, при сложных атаках злоумышленник после первичного проникновения не пытается сразу все разрушить. Он отводит время на сбор и изучение информации об окружении, и атака может длиться неделями, месяцами. Бывает, годами сидит вирус и никто об этом не знает, и только с помощью специальных новых инструментов, которые внедряются в организации, вдруг его выявляют. К таким инструментам и относится наш продукт LOKI. Был случай у одного из заказчиков, когда уже в рамках пилотного запуска системы с одной машины вдруг пошла реакция на наши приманки, имитирующие клиента СУБД. Оказалось, там располагался вредоносный объект, который попытался подключиться к ловушке и таким образом был обнаружен. В процессе расследования этого инцидента выяснилось, что он там находился несколько месяцев.
Присутствует проблема обнаружения таких объектов, проникших в сеть в ходе целенаправленных сложных атак, и она требует новых подходов, потому что подходы, основанные на сигнатуре поведенческого анализа, естественно, изучаются и анализируются злоумышленниками. Они тестируют на стендах свои вредоносные продукты и только после этого начинают их использовать в атаках.
Поэтому сейчас мы активно работаем с применением элементов искусственного интеллекта, ведь они действительно позволяют детектировать то, что не поддается выявлению существующими аналитическими методами.
Наши модели машинного обучения собирают необходимые данные в сети Интернет и в автоматическом режиме запускают свое переобучение, что повышает уровень качества без участия человека.
Очень важно создавать конкуренцию между моделями ML, чтобы они стремились превзойти друг друга, но не стоит забывать и о безопасности, так как уже хорошо развились техники по деструктивному влиянию на модели ML.
Мы используем во внедряемых системах не просто единожды обученные статические модели, у нас есть функция их дообучения. Система постоянно анализирует, насколько хорошо модель работает, и если вдруг точность работы начинает деградировать, то на основе накопленных данных проводится дообучение и повышение точности. Этот процесс в системе автоматизирован. У нас также есть группа аналитиков, которые занимаются получением новых семплов, их анализом и обучением моделей для последующего использования в наших продуктах.
– Несмотря на все современные средства защиты и их активное развитие, успешные атаки все равно происходят. Как защититься от них?
– Постоянное совершенствование обороны, причем сразу на нескольких уровнях: организационном, техническом и ментальном. Важно, чтобы все потенциальные жертвы осознавали опасность и масштабы ущерба кибератаки. Здесь важна и поддержка руководства с точки зрения организации процессов защиты, квалификация офицеров информационной безопасности при выборе продуктов защиты, а также осознанное отношение всех сотрудников организации к данной угрозе, чтобы они всегда были готовы в любой ситуации и могли правильно отреагировать, не допуская разрушительных последствий.
Сейчас есть отдельное направление – Threat Hunting. Команда специалистов исходит из того, что компания уже скомпроментирована, и пытается определить, как злоумышленник мог бы действовать, как он попытался бы зайти, какие следы мог бы оставить и т.д. Таким образом, информационная безопасность развивается в упреждающем и проактивном направлении, а не просто ожидает атак. Важно всегда быть подозрительным и иметь четкий порядок действий в случае нештатной ситуации.
– Правда ли, что невозможно провести успешную целенаправленную атаку без инсайдера?
– Конечно, нет. Все возможно, стоит лишь правильно все организовать.
Инсайдер, естественно, упрощает процесс подготовки к атаке, ведь он может, например, что-то запустить или дать какую-то важную для атакующего информацию. Но сейчас для получения инсайдерской информации достаточно посмотреть резюме бывших сотрудников компании, в них описано практически все, чем они там занимались, какие средства использовали. Более того, соискателя можно пригласить на собеседование, он еще больше расскажет о том, чем занимался. Конечно, так не получится узнать пароли, но и этого достаточно, чтобы понимать, какие системы стоят внутри интересующей компании.
Опубликованные конкурсы на закупку зачастую тоже достаточно информативны. По ним видно, какой антивирус, какие средства безопасности закупаются, эта информация публична. А из пресс-релизов производителей можно узнать, что установлено. Эти данные позволяют злоумышленникам построить стенд со средствами защиты целевой организации и готовиться к атаке даже при отсутствии инсайдера.
Инсайдеры – это вообще отдельная задача для службы безопасности, как и контроль утечек информации.
– Сформулируйте простой принцип, как защитить свою инфраструктуру.
– Фантазируйте. Включайте голову и представляйте, как бы повел себя злоумышленник, мыслите, как преступник, будьте умнее его, проецируйте на себя все возможные кейсы его деятельности, анализируйте свои слабые места и постоянно пытайтесь сделать инфраструктуру хоть немного лучше и безопаснее, чем она была вчера.
Я также считаю, что важно заниматься людьми: не только специалистами в области безопасности, квалификацию которых нужно повышать, но и обычными сотрудниками, для формирования у них цифровой грамотности. Сейчас доступны различные возможности обучения работников: семинары, игры, тренинги и даже соревнования, которые помогают выстраивать процесс организации безопасности и мониторинга инфраструктуры для повышения контроля и управляемости.
И надо следить за применением современных технологий, многие из которых несложны во внедрении и эксплуатации, – используйте их!
