Илья Сачков: «Кризис для рынка информационной безопасности – штука хорошая, но жестокая»::БИТ 08.2015
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
май    2019
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
25
26

показать все 

Новости партнеров

23.05.2019

PHDays: точно в девятку

Читать далее 

23.05.2019

НОРБИТ примет участие в TAdviser SummIT 2019

Читать далее 

23.05.2019

Итоги первого дня ЦИПР-2019

Читать далее 

23.05.2019

В этот четверг, 23 мая, в Москве пройдет V Международная конференция о подключенных автомобилях

Читать далее 

показать все 

Статьи

23.04.2019

Компании перед лицом меняющегося мира

Читать далее 

23.04.2019

Как защитить интеллектуальную собственность?

Читать далее 

23.04.2019

Зачем компьютеру этика?

Читать далее 

23.04.2019

Клиенты в интернете. Опрос

Читать далее 

23.04.2019

Кто будет править миром? Опрос

Читать далее 

22.03.2019

5 вопросов о «цифре»

Читать далее 

21.03.2019

Все под контролем

Читать далее 

12.03.2019

Тренды по UC

Читать далее 

21.04.2017

Язык цифр или внутренний голос?

Читать далее 

16.04.2017

Планы – ничто, планирование – все. Только 22% компаний довольны своими инструментами для бизнес-планирования

Читать далее 

показать все 

Илья Сачков: «Кризис для рынка информационной безопасности – штука хорошая, но жестокая»

Главная / Архив номеров / 2015 / Выпуск №8 (51) / Илья Сачков: «Кризис для рынка информационной безопасности – штука хорошая, но жестокая»

Рубрика: Безопасность


Илья Сачков: Илья Сачков

«Кризис для рынка информационной безопасности – штука хорошая, но жестокая» 

Каких хакеров любят в Group-IB? Сокращать или не сокращать бюджет ИБ в кризис? Чем вызвана миграция киберпреступников в мире?

На эти и другие вопросы «БИТа» отвечает генеральный директор и основатель компании Group-IB 

– Илья, недавно вышел отчет компании Trend Micro по информационной безопасности за второй квартал 2015 года. Основными угрозами названы атаки на госсектор и средства общего пользования, а также целенаправленные атаки. В отчете говорится, что киберпреступники расширяют привычные способы атак. Появились ли у киберпреступников какие-то новые технологии, как они стали действовать?

– Я видел этот отчет, но не со всеми его выводами согласен, например, с тем, что атаки на госсектор названы в числе основных угроз.

Почему существует киберпреступность? Она существует по трем причинам: прежде всего хакерами движет желание похитить деньги либо информацию. Третье, новое, направление – кибертерроризм – возникло из-за ИГИЛ. В последнем случае киберпреступникам не интересны ни деньги, ни информация. Их цель – паника, разрушение общественного строя, хаос, человеческие жертвы.

Атака на госсектор не принесет денег, наверное, эти атаки связаны с кибершпионажем. Преступных групп, занимающихся кибершпионажем, по сравнению с обычными киберпреступниками, цель которых – деньги, крайне мало, потому что они отлично понимают, что против них будет серьезное противостояние. Как правило, самую жесткую реакцию государства вызывают кибертерроризм и шпионаж, а также все, что с ними связано, деньги беспокоят в меньшей степени.

Злоумышленники понимают, что если они будут заниматься кибершпионажем, то с очень большой долей вероятности получат проблемы, а денег много не заработают. Потому большинство преступных групп по-прежнему нацелено на хищение денежных средств, это более прибыльно и безопасно. Когда какая-нибудь преступная компьютерная группировка работает на добычу информации, она так или иначе контактирует с посредником или заказчиком. Это очень удобный инструмент для проведения расследования.

При прочих равных, если у людей есть какая-то технология, они воруют деньги. При воровстве информации ответить на вопрос «Кому это нужно?» гораздо проще, чем при краже денег, потому воровать деньги выгодно всем. 

 О компании
Group-IB – одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий. Имеет 12-летний опыт в области компьютерной криминалистики, предотвращения финансовых и репутационных потерь, консалтинга и аудита систем информационной безопасности, а также является разработчиком инновационных программных продуктов Bot-Trek по мониторингу, обнаружению и предотвращению возникающих киберугроз.
Команда Group-IB обладает уникальной квалификацией и практическим опытом, подтвержденным международными сертификатами CISSP, CISA, CISM, CEH, CWSP, GCFA и свидетельствами государственного образца в области защиты информации.

Согласен с тем, что атак на государство стало чуть больше, но я бы не назвал их основными угрозами. Это один случай на тысячу, когда охота идет за какой-то информацией, все остальные инциденты – это деньги, деньги, деньги.

Что касается технологий, то ничего кардинально нового не появилось. Как говорится, все новое – это хорошо забытое старое. Просто технологии постоянно совершенствуются, используются более интересные уязвимости. Однако основу всех киберпреступлений составляют типичные инциденты, по крайней мере для нас они стандартны и понятны, хотя для человека, который впервые столкнулся с хакерской атакой, – это новый неизведанный мир, и он очень удивляется, что мы так спокойно об этом рассказываем.

Но бывают в нашей работе интересные вещи, абсолютно новые. Сегодня основной тренд следующий: если последние пять-шесть лет большинство преступных групп покупало что-то готовое у вирусописателей, порой даже не слишком разбираясь в предмете, то сейчас появляются группы, которые сами пишут вирусы, сами их используют и делают достаточно серьезные инвестиции в разработку технологии. Некоторые вирусы выглядят просто как произведения искусства в программировании.

Есть умные злоумышленники, которых мы даже по-своему «любим», – против них интересно работать, потому что голова должна быть постоянно включена. Когда не все становится ясно с первого дня расследования, когда месяцами не решается задача. Но зато, если решили ее, получили новые знания, помогающие обезвредить технологию, – это очень радует. А глупый злоумышленник, просто использующий готовые разработки, неинтересен.

Что держит большинство людей в Group-IB, несмотря на проблемы и риски, связанные с нашей работой? Интерес – человек получает знания, которые не даст ни один университет. И наглядный результат – возможность решить сложную проблему, расследовать киберпреступление.

– Выросла ли опасность таргетированнных атак для корпоративного сектора по сравнению с тем же периодом прошлого года? Существуют ли оценки средней суммы ущерба от одной успешной атаки для компаний разного уровня?

– Средний ущерб от атаки оценить очень сложно. В тех инцидентах, которые мы раскрывали, ущерб от одной атаки составлял миллиард рублей, 240 миллионов рублей.

Почему стали делать таргетированные атаки? Потому что средний уровень защищенности обычных клиентов, заражавшихся случайно, а не таргетированно, заметно вырос. Соответственно процент успешных хищений значительно упал. Злоумышленники поняли: если они чуть больше потратят времени, чтобы выбрать правильный объект, где есть деньги, чуть лучше подготовятся к атаке на инфраструктуру, то за короткое время они получат более высокий кпд атаки.

Собственно говоря, таргетированные атаки начались в российских банках. Банки чувствовали себя защищенными, поскольку последние десять – двенадцать лет они много инвестировали в свою информационную безопасность. Правда, порой их службы ИБ оказывались в неловкой ситуации: вроде все у них есть против целевых атак, но тем не менее атака произошла. Поэтому случается, что целевые атаки скрывают, хотя это неправильно, потому что никто не может быть защищен на сто процентов от целевой атаки. Все зависит от подготовки злоумышленников.

Как взламывали российские платежные системы? Взломали один компьютер сотрудницы, которая вела большую деловую переписку со всеми платежниками. От ее имени рассылали письма с вредоносным вложением. Эффективность была потрясающая – практически все открыли письма и все заразились.

И такой вектор атак становится очень популярным – идет рассылка от имени человека, контактирующего со всеми. Вложения рассылаются в формате Word – никто не думает, что в подобном письме есть что-то вредоносное, оно легко пропускается антивирусной защитой...

Таргетированная атака может быть очень эффективной. Однако по сравнению с обычными подобных атак не так много. Случайных заражений сети по-прежнему в тысячу раз больше.

– Как вы оцениваете защищенность различных отраслей российской экономики?

– К сожалению, большинство компаний защищены плохо, поскольку они не знают, от чего защищаться. Приведу простой пример. Предположим, есть сильная армия, в ней тысячи танков, хорошо обученные солдаты, однако отсутствует система ПВО. Прилетели два самолета и все разбомбили.

Точно так же выглядит российская информационная безопасность – в компаниях есть очень хорошие корпоративные системы защиты, но прилетает не то, от чего это защищает.

К сожалению, большинство наших компаний защищены плохо, поскольку они не знают, от чего защищаться

– От всего уберечься невозможно.

– Согласен, однако нужно знать, от чего можно уберечься. Что происходит у нас в стране? Приходит, например, на наш рынок известная американская компания и предлагает свое решение, страхущее от многих рисков. Решение очень хорошее и компания с мировым именем, но проблема в том, что американский и российский рынки в плане компьютерной преступности очень отличаются.

Разнятся они иногда до смешного – всего на два года, то, что есть сейчас у нас, будет в США через пару лет. Компьютерный преступник – зачастую русскоговорящий человек, соответственно, все разработки вредоносного ПО и атаки на территорию России разрабатываются русскоговорящими людьми. Потом эти разработки иногда перепродаются, иногда просто утекают. Вирусы Zeus, Carberp были разработаны под Россию всего несколько лет назад. Теперь они в Европе и Америке проблема номер один. А для российских банков нет, они уже давно научились от них защищаться.

В итоге получается разрыв шаблона. На российский рынок приходит очень крутая технология, но она, к сожалению, защищает от того, что не очень нужно нашему рынку.

Российские информационные технологии иногда отстают от мирового рынка, однако умение защищаться от кибер-рисков у россиян лучше, потому что мы все время находимся на острие новейших разработок киберпреступников. У нас безопасность иногда «наколеночная», не всегда по западным стандартам, но при этом достаточно защищенная, хотя и не на сто процентов.

– Наверное, это наша особенность. С одной стороны, мы умеем защищаться, а с другой, относимся к безопасности с легким пофигизмом: авось пронесет, не заденет.

– Да, это так, многие компании до сих пор не верят, что есть компьютерная преступность, поэтому и не знают, как от нее защищаться. Чаще всего в компаниях нам говорят: «У нас все в порядке, никаких инцидентов не было». Менталитет следующий: сначала пусть произойдет инцидент, возникнет проблема, потом мы будем ее решать.

Уверен, что рано или поздно это изменится, потому что у киберпреступников будет появляться все больше сложных и новых разработок, тогда мы будем слышать о серьезных атаках не каждый месяц, а каждую неделю. Но пока, что такое хакерская атака, какие бывают вирусы, понятно далеко не всем. Отсюда и отношение к информационной безопасности: этого не может быть, потому что не может быть. И все.

Что держит большинство людей в Group-IB, несмотря на проблемы и риски, связанные с нашей работой? Интерес и наглядный результат

– Каким образом повлияли экономический кризис и международные санкции на отечественный рынок корпоративных систем безопасности?

– Сложный вопрос. У нас начался бум импортозамещения, в некоторых ситуациях это хорошо, потому что ряд отечественных технологий лучше западных аналогов, так как наши разработчики хорошо знают актуальные российские проблемы.

Плохо, что многие с предубеждением относятся к западным технологиям в сфере информационной безопасности, хотя там есть очень хорошие разработки. Я считаю, что нужно разделять политику и бизнес, компания всегда должна исходить из того, что ей выгодно купить и какая технология лучше решит ее задачу.

Кризис же влияет на жизнь компаний следующим образом. Все начинают экономить на информационной безопасности, а это для рынка ИБ очень хорошо, но жестоко.

Что происходит в компаниях, которые сейчас экономят на информационной безопасности? Новые решения не покупаем, штат не расширяем, а, возможно, даже и сокращаем. Некоторые уволенные сотрудники становятся агрессивными, ищут способы дополнительного заработка. Преступники это хорошо знают. Соответственно, контроль за безопасностью снижается, потому что стало меньше людей и технологий, при этом увеличивается агрессивная среда. Два этих фактора неизбежно приведут к росту числа инцидентов. И тогда все начнут опять инвестировать в безопасность.

Это будет для многих компаний жестоким выходом, но в итоге они станут заботиться о своей информационной защищенности. Кстати, компании, которые не сокращали свой бюджет на нее, даже сэкономили сейчас на затратах по сравнению с другими компаниями.

– Как соотносится объем рынка информационной безопасности и теневой оборот хакеров в мире и у нас в стране?

– В прошлом году русскоговорящий сегмент киберпреступников составлял четверть мирового рынка. Однако в последнее время заметно растет число компьютерных преступлений в странах Латинской Америки, в Китае. Все больше появляется государств, которые хорошо используют информационные технологии. Кроме того, в Латинской Америке очень агрессивная среда. Эти страны могут потеснить российских хакеров. Но по-прежнему русскоговорящий сегмент впереди планеты всей по новым разработкам, связанным с хищением денег.

– Ваша компания подписала в июне соглашение с Европолом о сотрудничестве в области борьбы с киберпреступлениями. Каков характер этого сотрудничества? Были ли уже предприняты какие-то совместные действия по созданию безопасного киберпространства?

Российские ИТ иногда отстают от мирового рынка, однако умение защищаться от кибер-рисков у россиян лучше, потому что мы все время находимся на острие новейших разработок киберпреступников

– Характер сотрудничества простой. Европол – это центр обмена аналитическими данными между полициями стран, которые входят в Евросоюз. Очень многие преступные группы имеют разветвленную инфраструктуру – либо находятся в Европе, либо в России и Европе, соответственно нужно налаживать совместную работу. У нас есть определенные экспертизы борьбы с русскоговорящими компьютерными преступниками, есть опыт работы с российскими правоохранительными органами, и мы будем делиться с Европолом и технологиями, и опытом. Мы не занимаемся с Европолом расследованиями – это задача правоохранительных органов. Наша компетенция – это аналитика.

– В каком направлении может развиваться киберпреступность в России?

– Многие русские хакеры переедут из России, потому что наши правоохранительные органы уже научились их ловить. Кто-то останется здесь, но будет воровать деньги из европейских, латиноамериканских, азиатских банков. Западные хакеры, напротив, начнут похищать деньги в России.

Почему вообще существует российская киберпреступность? Заразить компьютер можно в любой стране, но вывести деньги во многих государствах не так просто, как в России. Сервисы по обналичиванию денежных средств в России процветают по-прежнему. Как только у нас будет решен на государственном уровне вопрос с обналичкой, так величина нашей компьютерной преступности снизится до общемирового значения. Государство, кстати, стало гораздо больше заниматься информационной безопасностью, и это только радует.


Group-IB: успешные расследования-2015

Киберфашисты: программа «5 рейх»

13 апреля 2015, Москва. Управлением «К» МВД России при активном содействии экспертной организации Group-IB и службы безопасности Сбербанка задержаны российские участники одной из киберпреступных групп. Злоумышленники организовывали вирусные атаки на мобильные устройства клиентов российских банков, работающих на платформе Android.

Троянская программа, которую они использовали, после установки на мобильное устройство запрашивала баланс привязанной к номеру банковской карты, скрывала поступающие СМС-уведомления и осуществляла переводы денежных средств с банковского счета на счета, подконтрольные злоумышленникам.

На основании данных Сбербанка, а также результатов компьютерных исследований и экспертиз, проведенных Group-IB, и уникальной технологии Bot-trek Cyber Intelligence управлению «К» МВД РФ совместно с сотрудниками УМВД РФ по Челябинской и Свердловской областям удалось установить личности четырех жителей Челябинской области, подозреваемых в совершении преступления. У задержанных было изъято несколько ноутбуков, полтора десятка сотовых телефонов и большое количество sim-карт. Возбуждено уголовное дело.

Сами хакеры назвали свою программу «5 рейх», а в системе управления ПО использовали нацистскую символику, из-за чего данная преступная группа получила у оперативников кодовое название «Фашисты».

Питерские братья-близнецы

2 июня 2015, Москва. Центром информационной безопасности ФСБ России, УЭБиПК ГУ МВД России по городу Москва, Следственным департаментом МВД России при активном содействии экспертной организации Group-IB и службы безопасности Сбербанка России проведена операция по задержанию участников организованной группы киберпреступников.

Криминальная группировка с помощью вредоносного программного обеспечения получала доступ к счетам клиентов и, представляясь сотрудниками банков, вымогала у потерпевших СМС-коды авторизаций, необходимые для хищения денег.

В ходе проведения оперативно-розыскных мероприятий было установлено, что организаторами группы являются два брата-близнеца, проживающие в городе Санкт-Петербург, которые на момент совершения преступлений находились под условными и испытательными сроками по аналогичным статьям Уголовного кодекса.

К своей работе преступники вернулись в конце 2011 года, а установить их личности удалось только в середине 2012-го. С того времени с использованием системы Bot-Trek Cyber Intelligence правоохранительными органами при поддержке Group-IB велась непрерывная работа по сбору доказательной базы. Хищениями зломышленники занимались даже тогда, когда по их старому уголовному делу шло судебное разбирательство. Специалисты Group-IB и правоохранительные органы в момент судебного процесса уже знали, что они продолжают воровать деньги с банковских счетов, но доказать их вину тогда было невозможно. Процесс сбора доказательств занял три года.

В конце мая 2015 года состоялись массовые задержания организаторов преступной группы и соучастников криминальной группировки. В ходе обыска квартиры братьев стало понятно, что преступники хорошо готовились к появлению правоохранительных органов: квартира была оборудована бронированной дверью, в квартире находился электромагнитный излучатель для уничтожения информации с компьютеров, у братьев были также заготовлены специальные кодовые СМС-сообщения, по которым любой из участников группы начинал процесс уничтожения данных.

В панике злоумышленники пытались уничтожить все доказательства, а также смыть в канализацию все имеющиеся у них деньги, флешки и телефоны. Однако хорошо продуманная и подготовленная спецоперация по задержанию премтупников позволила собрать необходимые доказательства, компьютерную технику, используемую в процессе хищения, для проведения дальнейших экспертиз в лаборатории компьютерной криминалистики Group-IB.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №03 (86) 2019г.
Выпуск №03 (86) 2019г. Выпуск №02 (85) 2019г. Выпуск №01 (84) 2019г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика