Этичный хакер Паула Янушкевич о кибербезопасности и гиперугрозах
Ведущий мировой специалист по тестам на проникновение. Обладатель доступа к исходному коду Windows. Microsoft Most Valued Partner. Неизменный спикер крупнейших тематических конференций. «Профессиональный хакер на стороне добра» Паула Янушкевич нашла время и для того, чтобы ответить на наши вопросы — о корпоративной защите и последних тенденциях в сфере кибербезопасности.
— Паула, давайте начнем с вас. Многие специалисты в сфере кибербезопасности начинали свой профессиональный путь на темной стороне. Есть ли у вас интересная история, связанная с приходом в индустрию?
— О, нет, ничего подобного. Я начинала с того, что экспериментировала с защитой и безопасностью компьютерных сетей в школе. В 16-17 лет я начала работать как специалист по тестированиям на проникновение.
— У вас огромный опыт в выступлениях на мероприятиях по кибербезопасности — их список действительно впечатляет! Можете рассказать о самых интересных, которые стоит посетить, например, каждому CSO?
— Когда мы говорим о топ-менеджерах организаций, нужно обращать внимание на события, связанные, скорее, с менеджментом безопасности: Microsoft Ignite, Tech Days, RSA. Здесь менеджеры могут оставаться в курсе последних трендов без технического погружения.
Вообще кибербезопасность — это большая тема, которая требует постоянной актуализации знаний, но список ключевых вопросов невелик. На подобных конференциях вы узнаете, что надо делать. Но если вы хотите понять, как — есть много классных конференции, ориентируйтесь на профессиональные мероприятия. Обязательно стоит посетить как минимум два — BlackHat и DEF CON.
— Какие темы сейчас наиболее актуальные?
— В целом активно обсуждается, как предотвратить выполнение неизвестного кода, как его обнаружить и противостоять ему. Если он упакован в обычный exe-шник, все просто. Но он может быть реализован через JavaScript или VBS, или как скрипт для Powershell, или еще как-то — и тогда все усложняется. Еще говорят о распространенных и сложных типах атак — pass-the-hash, SMB relay. Обсуждаются также целевые кибератаки, интернет вещей, безопасность различных девайсов.
— Кстати, о девайсах. Многие пользователи годами не обновляют ПО на своих устройствах. Как вы считаете, чья это проблема, насколько она велика и как с этим бороться?
— Чем больше сотрудников, тем сложнее обеспечить безопасность. Для этого используется персональное обучение, специальные викторины, другие методы. Но правда в том, что кибербезопасность — это не проблема пользователей, это проблема IT-подразделений. Почему бы не внедрять решения, не требующие действий пользователей?
— Можете привести какие-нибудь яркие примеры, когда устаревшее ПО сыграло на руку злоумышленникам?
— Да, конечно. Это WannaCry у нас, это Shamoon на Ближнем Востоке. В таких историях вина лежит не на конечных пользователях, а на администраторах: Shamoon может работать только на правах локального администратора, а WannaCry использует уязвимости Windows. Многие организации признаются, что стали жертвой WannaCry, но по сути это значит одно: «Мы не обновляем свой софт». Прискорбный факт.
С современными средствами мы вполне можем приблизиться к абсолютной безопасности. Создавая такие системы, нужно руководствоваться рисками, проблемами пользователей. Если проблема в обновлении, нужно решать ее.
— Перейдем к бэкдорам в корпоративном софте. Они все еще представляют собой проблему с точки зрения безопасности? Какие кейсы наиболее показательны?
— В последнее время наибольшую известность получила история с CCleaner. В одном из его обновлений имелся бэкдор, через который на компьютер устанавливалось вредоносное ПО. Я много лет наблюдала за этой программой, способной «ускорять Windows», и думала: ускорение Windows? Ускорение в чем? Согласно каким измерениям? Но люди, конечно, устанавливают это, потому что хотят более быстрый компьютер. В итоге апдейт скачали, насколько я помню, в районе 20 миллионов пользователей.
Есть приложения, которым мы доверяем, но останутся ли они безопасными в будущем? Я говорю о 7-Zip и другом прикладном ПО. Может ли обновление ПО нарушить безопасность? Конечно. Другой пример связан с использованием онлайн-репозиториев, таких как GitHub. Благодаря протоколу https ресурс гарантирует безопасную передачу кода. Но может ли аккаунт автора кода быть взломан? Разумеется. Остается полагаться лишь на доверие к источнику.
— Давайте поговорим об отношениях между корпоративными службами безопасности и специалистами по информационной защите. Зачастую первые не дают вторым полный доступ к информации и тем самым мешают их работе. Что делать в такой ситуации?
— Перед началом работы обе стороны подписывают соглашение, и в случае каких-то проблем заказчик остается защищен по закону. Кроме того, существуют инструменты наблюдения за тестировщиками — BeyondTrust, ObserveIT и другие — с помощью которых можно видеть все производимые на сервере действия. В составе Microsoft Sysinternals есть инструменты, которые позволяют оценить наличие доступа к конкретной информации. Увы, далеко не все владеют ими, так что остается лишь формальное регулирование. Вы как клиент можете точно обозначить, что нужно тестировать. Остальное — на совести тестировщика.
— Предположим, у пользователей есть логи. Как вычленить из них нужные сведения?
— Для этого на основе типа информации в логах нужно составить паттерн для анализа. Это непросто, но возможно. Логи передаются хорошему специалисту, который сможет все проанализировать и извлечь данные.
— Для этого, наверно, нужно иметь информацию об инструментах атаки?
— Существует много программ, генерирующих вирусы-вымогатели, можно купить целый бандл и сгенерировать свой вариант. Цена вопроса — примерно $2000. Некоторые вирусы будут распознаны, некоторые нет. Наша команда создала более 200 инструментов для взлома, и ни один из них не определяется антивирусами. Все потому что мы сами изобретаем те паттерны поведения, которые используем — никто с ними раньше не встречался. Мы применяем эти инструменты для взлома при тестах на проникновение. Почему бы не сделать «прививку», проверив свою инфраструктуру и перекрыв уязвимости заранее?
— Ресурсы на расследования инцидентов есть у больших компаний с крупными отделами кибербезопасности. Более мелкие практикуют ИБ-аутсорсинг. Как вы к нему относитесь? Какие процессы могут быть переданы на сторону? Как можно контролировать работу аутсорсинговых специалистов?
— На аутсорсинг разумно передавать три процесса: мониторинг, ведение логов и аналитику. Например, для оценки того, какие аккаунты пользователей чаще всего подвергаются атакам. Ряд мер поможет обезопасить себя от недобросовестных подрядчиков: мониторинг сессий, мониторинг выполнения кода, регулярная смена паролей для внешних аккаунтов, проверка того факта, что одна и та же учетная запись не используется разными людьми.
— Как вы оцениваете публичные облака с точки зрения безопасности?
— Переезд в облако из локальной инфраструктуры обычно снижает риски. Но важную роль здесь играет доверие поставщику: можно выбрать неизвестную компанию, а можно — крупного производителя типа Microsoft. Я доверяю Azure, потому что это уже зрелый продукт с широкой функциональностью, но в принципе разницы нет. В Azure, кстати, отслеживаются и все активности на сервере — так что в случае чего мы можем обратиться к логам.
Облако подойдет не для всех, оно создано для сервисов, которые не страшно запустить на внешних серверах. У нас много клиентов, которые размещают ИТ-системы в облаке, и они счастливы, потому что им не надо заниматься поддержкой этих систем — все просто работает.
— Давайте поговорим о технологиях в сфере безопасности. Сейчас набирает популярность анализ онлайн-активности пользователей...
— В определенных ситуациях контроль за активностью пользователей серьезно помогает. До определенной точки пользователей можно проследить, пока в дело не вступят анонимайзеры — прокси, торренты. Удивительно то, что вы можете, с технической точки зрения, совершить преступление из страны, которая даже не сможет обвинить вас в киберпреступлении, поскольку там еще нет необходимой законодательной базы. Хотя интернет уже есть. Но в большинстве стран такой проблемы уже нет.
— А ботнеты? Они по-прежнему опасны?
— Ботнеты очень опасны. И дело не в масштабах, а в том, что мы можем не знать об этой активности в нашей среде, о том, что где-то запускается неизвестный нам код. Ботнеты создают дополнительную опасность, поскольку могут взаимодействовать не только с инфраструктурой, но и с финансовыми транзакциями — а это уже другой уровень.
— Как новые технологии, такие как big data, машинное обучение, могут помочь защититься от ИБ-угроз?
— Очень своевременный вопрос. Эти технологии могут очень помочь в борьбе с угрозами, о которых антивирусы еще не осведомлены. Я уже говорила о том, что есть инструменты, которым не помеха антивирусы. Мы можем улучшить известные хакерские инструменты, чтобы они также не были видны. Но машинное обучение, которое уже реализовано, например, в Windows Defender ATP, позволяют посмотреть на процессы по-новому, увидеть связь между разными событиями. Вот был запущен какой-нибудь исполняемый файл, какая-нибудь функция и сделано что-то еще. Хм! Все вместе похоже на попытку заполучить права доступа, надо присмотреться. С помощью машинного обучения мы можем узнать о проблемах безопасности до того, как ими воспользуются злоумышленники.
— То есть технологии машинного обучения работают на безопасность?
— Конечно. Машинное обучение направлено на поиск связей между событиями. Активность пользователей — та же самая история.
— Онлайн-активность пользователей все больше перемещается в мобильные устройства. Здесь основными ОС являются iOS и Android, и последняя серьезно уступает первой в вопросах безопасности. Что организации могут сделать, чтобы снизить эти риски?
— Для глобальных изменений необходимо взаимодействие с Google. На уровне организаций сотрудников можно принудительно пересадить на ограниченную версию Android, которая сможет работать только с определенным софтом. Или на альтернативные ОС.
— Как раз хотел продолжить вопросом о таких системах. Что вы думаете о них?
— Это может решить все проблемы. Но опять же, ключевым аргументом здесь является доверие. Могу ли я доверять разработчикам ОС? Могу ли я быть на 100% уверена, что в системе не заложен неизвестный код? Если мы не обеспечим мониторинг безопасности на всех этапах разработки, то все может закончиться плачевно.
— И для этих целей стоит привлекать специалистов по кибербезопасности.
— Да, на протяжении всей разработки, всех этапов менеджмента проекта стоит привлекать специалистов по безопасности, которые смогут все грамотно оценить. На это нужно закладывать средства, иначе рано или поздно окажется, что ваш продукт уже взломан. Но я хочу сказать, что в целом сейчас картина уже гораздо лучше: люди все больше понимают, что безопасность — это важно.
— Напоследок несколько глобальных вопросов. Все чаще мы слышим о кибератаках в масштабе целых стран. Как вы считаете, можно ли назвать это новой формой холодной войны?
— Да, конечно. На международном уровне здесь дебютировал Stuxnet — большой кусок кода, успешно поразивший центрифуги по обогащению урана в Иране. Мы не можем быть на 100% уверенными в том, кто запустил эту атаку. Так что остается лишь усиливать защиту.
— Сейчас много говорят о проблемах информационной безопасности в Азии, касающихся мобильных платежей, банкоматов и других финансовых инструментов. Как можно улучшить ситуацию с кибербезопасностью в этих регионах?
— Хороший вопрос. Банковская отрасль представляет собой классическую мишень для хакеров. Финансовые системы серьезно отличаются от любых других. Все они как-то связаны, все имеют доступ к важным ресурсам. Но в основе лежат те же IT-процессы, так что подход остается неизменным: мы должны как можно тщательней отслеживать все происходящее.
Похожий пример с точки зрения IT — авиация. IT в авиации — одно из моих хобби. Когда я сажусь в самолет, то должна быть уверена в том, что полет пройдет без проблем, что никто не залезет в системы полета или навигации и не вызовет катастрофу. Здесь необходима надежная защита, но по умолчанию ее нет вообще. Всегда приходится доверять.
— Все же, кто может сдвинуть дело с мертвой точки в Азии? Банки? Государство?
— Государство может дать старт этим процессам, но в конечном итоге это забота самих организаций. Возможно, банки могут получить некоторую финансовую помощь от государства на цели кибербезопасности, но решать вопрос им нужно самостоятельно. Ситуация меняется в зависимости от страны, но в целом на федеральном уровне пойдут на пользу лишь какие-то образовательные инициативы.
— Киберпреступность идет бок о бок с «темной стороной» интернета. Можно ли противостоять этому или регулировать эту область Сети?
— Для того, чтобы сделать что-нибудь на сервере, всегда необходимо подключиться к какой-либо сети. Пока на этом этапе возможно организовать какой-то мониторинг. Вопрос в том, будет ли полученной информации достаточно для противодействия. Имеющимися средствами мы не можем получить всю необходимую информацию, но такой момент рано или поздно придет. И в ответ кто-нибудь снова разработает новый Darkweb, и нам снова придется искать методы взаимодействия, и так по кругу. В итоге всегда будет что-то, что может быть спрятано, никто не сможет контролировать весь интернет.
— Получается, что всегда идет гонка между двумя сторонами.
— Да, вопрос в том, кто окажется умнее. Сможем ли мы перекрыть кислород хакерам? Или хакеры окажутся на шаг впереди — благодаря тому, что обладают большим количеством информации? Или даже не информацией — а более специфическими знаниями в конкретной области, позволяющими воспользоваться тем, что мы не смогли правильно сконфигурировать.
— И последний вопрос — про нашумевших «русских хакеров». Как Вы считаете, за этими словами скрывается реальная угроза или это всего лишь расхожая фраза для обострения международных отношений?
— Я думаю, это могло бы быть реальной угрозой. В вашей стране много людей с острым умом и научной подготовкой, с большим потенциалом в сфере кибербезопасности. Здесь ключевым является вопрос, нужны ли таким людям деньги. Если ответ положительный, то вне зависимости от страны всегда найдутся те, кто будут угрожать другим. В России есть отличные условия для разного рода активностей в сфере кибербезопасности.