Найти и обезвредить: как компания Dragos Security борется за мировую кибербезопасность

Томас Фокс-Брюстер Автор

Государства ведут кибервойну друг против друга. Есть ли возможность противостоять этому?

За два дня до Рождества во всей Ивано-Франковской области на Украине отключилось электричество. 225 000 местных жителей остались без света из-за нескольких скоординированных кибератак на электрические сети. Работники электросетей сами скачали вирус кибергруппировки BlackEnergy (пользователям отправляли фишинговые письма с файлами Microsoft Word, которые при открытии предлагали установить программу), по слухам, связанной с российскими спецслужбами и неоднократно устраивавшей подобные атаки, в том числе и в США. Таким образом хакеры смогли удаленно отключить около 60 подстанций, установить новый код, чтобы заблокировать доступ сотрудников электросетей к системе, и даже запустили шквал звонков в кол-центр энергосетей, чтобы жители не могли сообщить об отключении света.

Украинская сторона обвинила в случившемся Россию. Но специалист по безопасности в сети и основатель компании Dragos Security Роберт Ли не уверен в этом. Именно он с еще несколькими коллегами помогал украинцам избавиться от вредоносного ПО после взлома сетей. Ли был первым, кто рассказал о том, как именно хакеры добрались до систем, проанализировав их работу и всю доступную информацию. Для него было очевидным, что взлом был организован очень профессионально, но обвинять Россию Ли не торопился: «Меня удивила дерзость, с которой все было сделано. Насколько действия хакеров были скоординированы. Все, что мы видели до этого, было похоже на стиль работы разведки. Но сейчас, мне кажется, это дело рук военных. И это тревожный знак».

Но в одном Ли уверен – профессию он выбрал правильно. За год до событий на Украине Ли оставил работу в ВВС США и наконец-то все свое время стал отдавать основанной им в 2013 году компании по кибербезопасности Dragos Security. Компания, например, разработала программу CyberLens, которая позволяет распознать вмешательство посторонних в систему на ранних стадиях.

Взломщики повсюду: в США с октября 2014 по сентябрь 2015 года кибератакам подверглись системы 295 объектов инфраструктуры (аэропортов, метро, нефтеперерабатывающих заводов), что на 245 больше, чем годом ранее.

Однако на самом деле их может оказаться еще больше.

Промышленность до сих пор остается одной из менее защищенных от атак хакеров сфер. Промышленные системы управления значительно отличаются от стандартных, как правило, они написаны устаревшим языком, а инженеры, разрабатывавшие их, вряд ли задумывались о том, что их придется защищать от вторжения хакеров. Программа CyberLens, наоборот, способна сделать это. Она записывает все, что происходит в системе и реагирует на аномальную активность. Случившееся в Ивано-Франковске только подпитывает интерес к развитию защиты инфраструктурных объектов. Ожидается, что к 2019 году рынок киберзащиты достигнет $11 млрд против $8 млрд в этом году. Бюджет США на кибербезопасность вырос на 35% по сравнению с прошлым годом и предполагает увеличение трат на промышленную и транспортную безопасность. В декабре департамент энергетики объявил о введении плана модернизации систем, который обойдется в $220 млн.

Конкурент Dragos – израильская фирма Indegy, основанная тремя бывшими служащими в специальном подразделении Тальпиот израильской армии. Инвестором проекта стал Шломо Крамер — основатель разработчика решений в области информационной безопасности Check Point Software. Выручка Indegy выросла в 2014 году до $6 млн, а ее генеральный директор Барак Перельман говорит, что ее услугами пользуются от 10 до 20 покупателей в самых разных сферах: нефть и газ, химическая промышленность.

Большинство из них, по словам Перельмана, боятся вторжения изнутри, «от сотрудников, которые не получили годовую премию».

У компании Ли 18 покупателей, чьих имен он не раскрывает. На вопрос о доходах тоже молчит. «Мы растем. Это достаточно странно. У нас нет инвесторов, мы не берем займы. Мы не занимаемся рекламой, чему я очень рад».

Мониторинг сетей – только одно из направлений при защите объектов инфраструктуры. Операторам необходимо распознавать сторонние угрозы и уметь блокировать их. Решение для этого предлагают Лаборатория Касперского, Intel, McAfee и GE. В конечном счете антивирусное ПО должно быть способно предугадать возможность атаки, но пока оно находится в стадии разработки.

Ближе всех к решению этой проблемы приблизились специалисты Национальной лаборатории Министерства энергетики США в Ок-Ридже (штат Теннеси) – программа «Гитерион» способна распознать вирус там, где его не замечают обычные антивирусные ПО. В прошлом году «Гитерион» начали тестировать, чтобы в дальнейшем выпустить на рынок.

Dragos — маленькая компания, но Ли – руководитель с богатым опытом. Он выпускник Академии ВВС США, выходец из семьи военных. Служил в Германии, где помогал обеспечивать функционирование систем безопасности дронов. Во время его службы произошел один неприятный случай: дроны ЦРУ пропали в Иране. Ли не может подробно рассказывать о том, что случилось, но это только подстегнуло его интерес к обеспечению безопасности. Тогда он начал самостоятельное расследование. Ни США, ни Иран не делали официальных заявлений, но некоторые СМИ сообщали о том, что Иран устроил атаку на системы GPS, чтобы в итоге посадить американские дроны на своей земле. «Мы теряли дроны таким образом не один раз, - говорит Ли, - и никто не сможет толком объяснить, как это произошло».

Тогда Ли перешел в другую службу разведки в Германии, чтобы помочь Пентагону понять, как финансируемые Ираном хакеры работали против США. Ли аккуратно объясняет, что их целью были жизненно важные инфраструктурные объекты. «Нам очень повезло – мы увидели все возможные способы кибератак, которые осуществляли лучшие хакеры со всей планеты», - говорит он.

Последним местом его работы перед тем, как основать Dragos, стало Кибернетическое командование США, занимающееся централизованным проведением операций кибервойны, хотя Ли не рассказывает, в каких именно операциях принимал участие. «Работать с ним — это как работать в разведке. В области научных исследований ему нет равных», - рассказывает Томас Рид, профессор отделения изучения войны в Королевском колледже Лондона, где Ли пишет кандидатскую. Ли мог бы остаться на службе, но, познакомившись с программистами разведки Джастином Кавини и Джоном Левендером в Германии, он пригласил их писать CyberLens. Ли намерен вести борьбу за национальную безопасность еще и на законодательном уровне. В аналитическом центре «Новая Америка» он разрабатывает новые подходы, чтобы заставить энергетические компании укреплять свою защиту, предполагая, что налоговые кредиты могли бы обеспечить столь необходимую поддержку.

Тем временем в некоторых странах серый рынок нелицензионного ПО только процветает. Разработчики скупают подобные программы в защитных целях. Но критики подобного подхода, в частности Ли, говорят, что эти же программы зачастую используют для кибератак. Кроме того, он обеспокоен тем, что ответственные за взлом электросетей на Украине так и не наказаны. «Мы сами допустили возможность подобных атак», — говорит Ли. — Это очень опасно».