«Взломать могут всех. Даже меня». Интервью с Ником Белогорским, Director Security Intelligence в Google

Ник (Николай) Белогорский — эксперт по кибербезопасности с почти 20-летним стажем. Работал в Facebook главным антивирусным аналитиком. Был одним из основателей корпорации Cyphort, среди клиентов которой — Uber, Netflix и Tribune Media. С 2019 года — Director Security Intelligence в Google. Мы поговорили с Ником о его карьере, ангельских инвестициях в стартапы, саморазвитии и отношении к неудачам. Также он дал советы, как компаниям повысить свой уровень безопасности и как строить карьеру в области киберзащиты.

Уровень киберзащиты в компаниях

— Как вы считаете, на каком уровне сейчас компании занимаются кибербезопасностью? Достаточно ли этого?

Я считаю, что сейчас хакеры могут вломиться в любую компанию в мире, если приложат к этому достаточно времени, усилий и денег. При этом есть огромная разница в уровнях защиты компаний. Например, в Cyphort одним из наших клиентов был Goldman Sachs (один из крупнейших в мире инвестиционных банков — ред.). Они вложили много денег в защиту, технологии и продукты. У них был один из самых высоких уровней защиты и понимание кибербезопасности, что я видел. И в то же время я работал со стартапами, у которых стоял простой антивирус и были 1–2 человека, следившие за тем, что этот антивирус ловит. То есть самый базовый уровень защиты.

Но даже у наиболее защищенных компаний всё равно похищают данные, они не защищены на 100%. Вопрос в том, где именно находится компания на этом промежутке от 1% до 99%. Во многом это зависит от уровня навыков экспертов, которые у них работают. И таких экспертов в мире на самом деле очень мало, их не хватает. Поэтому все компании переманивают друг у друга специалистов по кибербезопасности.

— В одном интервью вы высказывали похожую мысль, что в конце концов взломать могут всех. Нет ли всё-таки такого варианта, что когда-то будет суперзащита со стопроцентной гарантией?

Смотрите, вот я считаю себя экспертом в этой теме. Но при этом и меня можно хакнуть. И такие случаи бывали. Каждый раз я чему-то учусь после них и пытаюсь сделать так, чтобы меня этим же способом не взломали в будущем. Я тоже допускаю ошибки.

Человек не может быть идеальным. Большую часть времени все мы делаем правильные вещи, но я не знаю никого, кто бы был совершенен всегда, постоянно. Наверное, сейчас самая простая защита — отсоединиться от интернета. Просто взять и перерезать кабель ножницами. Вот тогда тебя не смогут взломать по интернету. Но ты также и не сможешь продуктивно работать. В этой индустрии ты все равно работаешь с trade offs — компромиссами. У тебя есть что-то одно, что-то другое и тебе надо между ними балансировать. Защита всегда растёт обратно пропорционально юзабилити. Хочешь лучше юзабилити, удобство, подключение к интернету — у тебя будет слабее защита.

Тебе хочется стопроцентной защиты — можешь поступить, как космические станции, военные или службы безопасности. Когда у них есть какие-то очень секретные данные, они ставят их на компьютер, который не подключён к интернету. Есть такой термин — «airgap», что значит «защищён прослойкой воздуха». К этому компьютеру со всех сторон можно подойти и увидеть, что никакие провода к нему не тянутся. Вот эта прослойка воздуха — то, как серьезные корпорации защищают свои самые важные данные. И всё равно даже airgap можно взломать. Только делается это более сложными способами — с помощью человека. Можно «заразить» человека, который проникнет в такой объект, войдёт в компьютер, вынесет на себе данные и передаст их через смартфон, дискету или Flash Drive. То есть не все взломы идут по интернету. И даже полностью отключившись от него, вы не достигаете стопроцентной защиты. Ее нет, не может быть в принципе, и, думаю, никогда не будет.

— Какие советы можете дать компаниям по защите?

Вот простые советы, которые сразу помогут вырасти в два—три раза по уровню защищенности. Во-первых, инвестировать в базовые вещи, которые, я думаю, и так у всех или почти всех есть. Это хороший антивирус и хороший файервол — дивайс, по которому вы входите в интернет. Конечно же, еще нужен обученный человек, который будет следить, чтобы эти вещи были включены, обновлены, работали, а если антивирус что-то находит, специалист должен удалять это с компьютеров. Это как бы такой пуленепробиваемый жилет, который нужно носить как минимум.

Дальше я бы посмотрел, насколько ваши сотрудники подготовлены к ситуациям, когда попытаются взломать компанию, узнать ваши данные. Ведь часто злоумышленники будут идти через людей. Они — самое слабое место. Насколько вы их натренировали распознавать фишинг, социальный инжиниринг, другие атаки? Как они ведут себя, когда через звонок пытаются выведать данные или присылают e-mail и просят кликнуть на ссылочку? Надо проводить такие тренинги со своими сотрудниками и смотреть на их поведение. В Америке это называется Red Teaming — атаковать самого себя, чтобы проверить, насколько легко вам взломать себя. Можно нанять компанию для этого или сделать такие тесты самостоятельно. Подобные тренинги повысят уровень осознанности сотрудников, их подготовленности, способности понимать, что что-то не так.

Дальше я бы инвестировал в продукты следующего уровня. В крупных компаниях стоят не одна и не две защитные программы, а десятки: 40, 50, 100. На самом деле это обилие разных систем защит дает очень большую нагрузку на сетевых администраторов и антивирусных специалистов. Все эти защитные продукты присылают какие-то уведомления, «флаги», что здесь что-то не так, подозрительная деятельность и т. д. Поэтому появляется необходимость в security analytics продукте, который не находит новые угрозы, но помогает сортировать и паттернизировать уведомления от уже поставленных защитных программ.

В Америке недостаток сотрудников по кибербезопасности и перегруженность их работой — это одна из главных проблем в индустрии. Условно компания накупила много разных продуктов, и всего пара человек просто не могут с ними справиться, их смывает, как волной, огромным количеством e-mails со всех этих антивирусов. Каждый день приходят 100 или 200 сообщений: «Вот здесь что-то не так, посмотрите». И у сотрудников просто не хватает времени всё это проверить. Поэтому нужна automated security analytics, которая будет отсеивать самые непохожие на проблемы вещи, остальные — группировать по темам и предупреждать, что вот «сегодня был алерт с этого продукта, а вот здесь с этого же компьютера два дня назад был алерт с другого продукта». Сотрудники сами не запомнят сочетания этого паттерна. Но с помощью машинного интеллекта они это заметят. И им придется проверять в 10, в 100 раз меньше оповещений. Плюс — это самообучающиеся программы, которые смотрят на работу Security-аналитика и помогают ему автоматизировать, ускорять процесс: «Вот ты сейчас кликнул на этот вирусный алерт, что это не вирус. Давай я это запомню и в будущем сам буду так кликать в такой же ситуации». Разработчики «учат» эти программы быть разумными и понимающими контекст. Такие продукты уже есть, хоть они еще несовершенны. Но это новейшая технология, которую я бы рекомендовал купить и настроить в помощь вашим сотрудникам.

Ну, и главный совет компаниям — нанимать людей, которые работают в полную силу, посылать их на тренинги, конференции, чтобы они знали, что происходит в индустрии. Если подытожить, то я бы советовал инвестировать в людей, автоматизацию и, конечно, иметь базовые виды защиты, которые уже много лет всем известны.

Выступление по теме кибербезопасности на IT Arena, Львов

Работа в Facebook и создание Cyphort

— Можем рассмотреть пару показательных примеров. Лучше из вашей практики...

Я, наверное, расскажу об одном из самых интересных проектов моей жизни. Когда меня нанимали работать в Facebook в 2010 году, прямо на интервью мне сказали: «Ник, вот ты занимаешься вирусами. Такой человек нам нужен. У нас пока нет никого в компании, кто разбирается в вирусах. Так что ты будешь нашим первым вирусным аналитиком. У нас есть большая проблема с вирусом». Причем, они не сказали «с вирусами», они сказали «с одним конкретным вирусом». И я уже знал, что речь идёт про вирус под названием Koobface — то есть как Facebook, только наоборот.

Впоследствии первый год работы в Facebook я занимался именно борьбой с этим одним вирусом. Правильнее даже будет сказать, не столько с вирусом, сколько с бандой киберпреступников, которые Koobface создали, развивали и через него зарабатывали деньги. Для меня это была и техническая работа, и расследовательская: я сотрудничал со спецслужбами и пытался построить криминальный кейс, как арестовать и посадить создателей вируса.

Koobface распространялся через сообщения Facebook. То есть 10 лет назад вы могли получить сообщение, в котором обычно была короткая фраза по типу: «Ой, смотри: это твои фотографии», — и какая-то ссылка. Много людей на такое, конечно, кликали, потому что все хотят посмотреть свои фотографии. К тому же сообщение приходит от друга, так что подозрений не вызывает. Когда ты кликал на эту ссылку, она показывала тебе веб-страничку, на которой действительно были какие-то фотографии, но они не грузились. И высвечивалось: «Сорри, чтобы загрузить фотографии, пожалуйста, поставьте конвертер для вот этого формата, он у вас на компьютере не поддерживается». Или если это было видео, то вас просили скачать новую версию flash-плеера.

Вот такой трюк как раз называется «социальный инжениринг», когда человека обманывают, заставляют на что-то кликнуть и заразиться. Koobface сначала работал через сообщения, потом начал использовать посты и комментарии к ним. Везде на Facebook были эти ссылки. Люди даже стали привыкать, что если им присылают фотку, то надо быть осторожным, потому что это не всегда фотка. Но при этом Koobface заразил много миллионов человек. Тогда Facebook был ещё не настолько распространён, так что для него это был большой процент пользователей. И, что самое худшее, вирус не просто заражал компьютер, распространялся дальше, но и воровал данные. Мог украсть с компьютера сохранённые банковские карточки, пароли из аккаунта, рассылать спам.

Кстати, у Koobface была интересная техническая фича — специальный алгоритм, позволяющий ему решать CAPTCHA. Это задачка, которая помогает определить, человек с вами разговаривает или компьютерная программа.

Как мы боролись с этим вирусом? Сначала мы находили ссылки, которые он использовал, и блокировали их на Facebook, но затем вирус снова менял их. Мы пытались построить математическую модель искусственного интеллекта, чтобы очень быстро ловить ссылки и блокировать. Мы смотрели подтекст, который он использует, сайты, куда он отсылает... А сайты он использовал не свои, не регистрировал новые домены, а похищал чужие. Как это работало: когда люди грузили себе Koobface, он рылся у них в компьютере, находил их пароли, в том числе его интересовали пароли File Transfer protocol. А FTP — это то, что используют веб-мастеры, чтобы заливать файлы на свои сайты. То есть получая пароль к FTP, он получал доступ к веб-сайтам других людей, а потом на эти же веб-сайты заливал копии своего вируса.

Убить Koobface технически было нереально. Ведь это была многоуровневая структура с большим количеством запасных веб-сайтов: тысячи, десятки тысяч сайтов, которые он использовал. Было непонятно, откуда идет командная структура. Поэтому мы работали по двум направлениям. Первое — технически застопорить, замедлить его развитие, чтобы меньше людей заражались Koobface. А второе — найти тех, кто его написал, в каких странах они живут, и выяснить, можно ли привлечь их к криминальной ответственности. У нас были успехи по двум направлениям. Мы стали систематически снимать их сайты. Как? Мы находили, что вот тут висит копия вируса Koobface, и писали администратору, просили его почистить свой сайт. И это было один к одному: много-много сайтов, много-много писем. Потом мы стали находить собственно IP-адреса компьютеров, где эти сайты хостились, и снимать эти компьютеры. Таким образом они стали терять свою инфраструктуру, через которую распространяли вирус. А потом мы нашли и тех, кто написал код Koobface, и передали информацию в органы расследования. Об этом можно найти и новости в интернете. Авторами вируса оказалась группа из Санкт-Петербурга, стали известны их имена. Но насколько я знаю, людей не посадили в тюрьму, Интерпол до сих пор их разыскивает.

Кстати, мне кажется, они поняли, что их инфраструктуру активно уничтожают из-за того, что они были нацелены на Facebook. Когда вышла новая версия Koobface, она уже атаковала не нас, а другие социальные сети: Twitter, Одноклассники и т. д. И мои сотрудники мне сказали: «Молодец, это и была наша цель. Теперь будем работать со следующими четырьмя вирусами» — и дали мне новые задачи.

— Читала, что работа в Facebook помогла вам не только в профессиональном развитии, но и личностном. Как именно?

Она дала возможность выступать перед большим количеством людей на конференциях, что позволило мне стать более уверенным в себе спикером. Кроме того, я прошел там несколько очень классных тренингов. Например, меня тренировал тот же коуч по презентациям, что и Марка Цукерберга. А еще я вступил во внутреннее сообщество Facebook, которое называлось Toastmasters. Эта группа помогает не бояться публичных выступлений.

Плюс работа в Facebook добавила мне технических навыков, потому что у меня были очень разнообразные задачи, многие вещи мне приходилось делать своими руками, так как достаточно долго был там единственным специалистом по вирусам. Это тоже добавило уверенности в себе.

Еще я стал больше разбираться в том, как работают и думают лидеры, потому что проводил много времени вместе с Chief security officer — главным по безопасности во всей компании. Так, я стал понимать, что есть проблемы, о которых думают инженеры и аналитики, есть проблемы, о которых думают менеджеры. Верхушка компании, Executives думают в своем направлении, более глобально, они нацелены на риски, деньги, партнерство. Они мыслят не категориями, допустим, отдельно взятой атаки или вируса, а думают, какой это может создать іmpact в будущем. И вот я стал стараться больше думать, как они, и соответственно больше хотел руководящую позицию. После Facebook я стал стремиться к работе менеджера, директора, руководить людьми, целыми отделениями компании, стараться заниматься бизнесом и следить за бизнесом, а не заниматься той работой, которая ранее меня привлекала, а именно писать код, разбирать вирусы и выполнять другие технические задачи. То есть после Facebook я, можно сказать, перешёл в бизнес, менеджмент, уже не был только аналитиком в кибербезопасности.

Служба безопасности Facebook на рождественской вечеринке

— После работы в Facebook вы как раз начали свой отдельный проект — Cyphort. Как строить такой? В чем была его уникальность?

Когда я работал в Facebook, они покупали много разных продуктов, чтобы защитить себя, в том числе от вирусов. И один из них назывался FireEye. Это была компания, делающая антивирусный продукт, который запускал потенциальные вирусы внутри виртуальных машин, смотрел на их поведение и по нему определял: вирус это или нет (то, что называется behavior-based safety).

Это была уже следующая ступень, потому что антивирусы первого поколения смотрели на содержание файла. То есть приходит какой-то потенциальный вирус, вы открываете и смотрите строчка по строчке, что в нём находится, читаете машинный код, ищете какие-то артефакты, сигнатуры и примеры вирусов. И если находите, говорите: «Вирус». При чем программы первого поколения ловят одну конкретную версию вируса. Скажем, есть такой вирус Taxnet и есть Taxnet версия 1. Антивирусы первого поколения пишут на него сигнатуру, они его понимают и защищают от него. Но достаточно дописать в код один символ, нолик — и это уже не будет та же самая версия, а версия 2. Так что очень легко сделать новую версию вируса, просто модифицируя любую часть — 1 байт в файле, и он уже обойдёт сигнатуры антивируса. Так работали первые версии Касперского, Symantec, McAfee.

А второе поколение делает поведенческий, а не статичный анализ, не смотрит на содержание файла, а запускает его. Поэтому обойти его гораздо сложнее, потому что надо поменять не саму форму вируса, а его поведение, то есть надо сделать свой вирус не-вирусом, чтобы его нельзя было поймать. Как работают антивирусы второго поколения? Понятное дело, они не запускают вирус на компьютере, который вам дорог, где есть важные данные. Но можно взять неважный компьютер или просто копию компьютера внутри виртуальной машины и там запустить подозрительный файл, дать ему какое-то время (10, 20 минут, час) и посмотреть на его поведение.

Когда Facebook купил продукт FireEye, я ознакомился с их технологией, понял, что там есть здравое зерно, но есть ещё очень много нерешенных проблем. Поэтому когда мы основали компанию Cyphort, мы взяли за основу план сделать продукт по поведенческому разбору вируса — и запустили его конкурировать с FireEye. Они на тот момент уже были большой раскрученной компанией с тысячей сотрудников и такими крупными клиентами, как Facebook. Мы же начинали с нуля. Но у нас было своё понимание, как все сделать интересно, быстро, качественно. А главное сделать то, чего не было раньше в FireEye, — кросс-платформенную работу по всем операционным системам. Продукт FireEye работал только на Windows, а я понимал, что и другие операционные системы тоже имеют вирусы, большую пенетрацию и долю рынка в корпорациях, поэтому нужно сделать продукт, который будет защищать все: Linux, Mac и Android (то, что мобильные платформы будут развиваться, было для меня очевидно).

Как мы продавали наш продукт? Например, я приходил в LinkedIn или Netflix (их офисы были недалеко от нашего) и спрашивал: «Ребята, у вас есть какой-нибудь антивирусный продукт второго поколения, который защищает поведенческим разбором?». Они отвечали: «Да, у нас стоит FireEye». «Это наши конкуренты. Я расскажу, чем мы лучше и почему вам, наверное, стоит попробовать наш продукт: поставить их бок-о-бок и посмотреть, какой из них будет ловить больше вирусов и делать меньше ошибок». Поясню: у антивирусного продукта есть два параметра, по которым их оценивают — false positive и false negative. То есть ошибки, где чистые файлы были признаны вирусами, и ошибки, которые гораздо хуже, когда реальный вирус пропустили, назвали чистым файлом, а он потом заразил пользователей. И тех, и других у нас было меньше, чем у FireEye.

Так что я приходил в LinkedIn и рассказывал: «Всё, что вам нужно сделать — это поставить нашу коробочку». Это был реально хардверный продукт, железка. Специальный компьютер, внутри которого работала Linux и код программы, которую мы написали. Эта железка подключалась к роутеру через специальный порт, куда он дублирует весь проходящий через него интернет-трафик, — SPAN-порт или TAP-порт. Таким образом наша коробочка, как записывающая машинка, начинала получать интернет-трафик, проходящий через корпорацию: кто, что, куда пошёл, на какой сайт, кто какой файл скачал, e-mail получил, — всё приходило в наш продукт Cyphort. И дальше мы разбирали этот rapid поток байтов по протоколам, файлам и доставали потенциально опасные. Вот это exe-файл — есть высокая вероятность, что он вирус. Вот это видео — вероятность маленькая, так как нечасто вирусы бывают в видео. Каждый потенциально опасный файл мы запускали внутри нашей железки на виртуальной машине — у нас виртуалок были сотни. То есть это была очень мощная машина с большим количеством процессоров, памяти, и натренированная именно на то, как эмулировать внутри себя полный корпоративный стэк со всеми компьютерами, юзерами.

Вирус, когда он запускается в такой системе, пытается пощупать, понять: реальный ли это компьютер или меня хотят эмулировать, разобрать на части. Мы делали нашу коробочку так, чтобы вирусы не могли отличить ее от настоящих людей и от настоящего компьютера. Таким образом мы могли распознать достаточно большое количество вредоносного ПО и предупредить об этом компанию. Именно об этом я написал, подал заявки и получил несколько патентов.

Клиентами Cyphort стали Netflix, Yelp, Tribune Media, Lending Club. В 2017 году стартап купила американская компания Juniper — ред.

С сотрудниками Сyphort на конференции RSA, Сан-Франциско

Тенденции Security-индустрии

— Вы называли антивирусы первого, второго поколения... А какие сейчас тенденции, инновации в кибербезопасности?

Мы делали антивирус второго поколения. Сейчас, наверное, уже появилось третье поколение антивирусов, которые тоже работают по поведению, но делают это в разы быстрее. Сейчас программы делают это на уровне microkernel внутри CPU, используют вместо виртуализации эмуляцию.

Кроме этого, появились технологии автоматизации security-аналитики — то, что я упоминал немного раньше. Тут задача уже не столько поймать какой-то один вирус, сколько помочь людям быть более продуктивными в их работе.

— Вообще насколько изменилась сфера кибербезопасности с тех пор, как вы начали в ней работать?

Она сильно изменилась, потому что я пришёл в нее почти уже 18 лет назад. В те времена все было другим: интернет, компьютеры, люди... За эти годы я видел эволюцию компьютерных вирусов и троянов в то, что называется malware — вредоносная программа. Сейчас люди борются именно с malware. Когда я начинал, это ещё были отдельно стоящие трояны, бутсекторы дискет, вирусы, макросы.

Изменились сами компьютерные платформы. Раньше файлы часто заражались вирусами, которые добавляли свой код в эти файлы. Заражались дискеты, потому что мы еще пользовались дискетами. Заражались документы MS Office, потому что в них можно запустить макросы. То есть были совсем другие типы атак. Сейчас же более популярны стали сетевые «черви», уязвимости в программах, которые используются кем-то, чтобы получить контроль над компьютером или целой сетью (botnet).

Пользователи сейчас стали более осторожными. Когда я начинал работать в индустрии, большинство не знали про то, что надо защищать компьютер, просто не понимали, что такое вирус, фишинг, как у них могут украсть пароль. Это не было на слуху. Сейчас это проходит сплошь и рядом, так что народ более подготовлен.

Что ещё произошло... Наверное, ситуацию в последние 5–6 лет сильно поменяло появление биткоина и криптоиндустрии. Появился новый виток в кибербезопасности, потому что многие банды компьютерных преступников, которые раньше атаковали компании, решили все силы направить на обогащение за счет воровства криптовалюты. Это можно сделать разными способами. Раньше один из самых популярных способов был — просто вломиться в криптокошелёк человека, узнав его логин и пароль, и сделать криптоперевод. Потому что криптопереводы не отслеживаются, и эти деньги не возвращаются. Таким был первый этап, когда стали массово воровать криптовалюты.

А второй и продолжающийся сейчас этап — ransomware (вирусы-вымогатели). Это программа, которая похищает ваши данные и шантажирует тем, что если вы не заплатите какую-то сумму — скажем, 1 или 2 биткоина, то она эти данные удалит или, еще хуже (если там что-то секретное), обнародует. То есть мошенники перешли на разные способы вымогательства криптовалюты. Ransomware направлен не только на обычных пользователей интернета, но и на частные компании, государственные предприятия (школы, госпитали, полицейские участки и пр.). Последняя группа особенно уязвима к таким вещам, потому что у них низкий уровень киберзащиты. Например, когда школа заражается таким ransomware, он легко распространяется по сети, так что каждый монитор в школе показывает череп и надпись: «Этот компьютер заражён. У вас есть 24 часа для того, чтобы выплатить выкуп». У таких пользователей и предприятий нет ресурсов защищаться, нет экспертов, которые могут помочь.

Тем более, что хорошо написанный вирус-вымогатель невозможно обойти: он использует Public Key encryption, то есть очень высокую степень защиты в его шифровании. И когда он уже заразил тебя, украл твои данные и зашифровал их, ты никак не получишь эти данные обратно, если не заплатишь выкуп. Создатели вымогателей используют сильную математику и проверенные компьютерные алгоритмы, поэтому вся надежда на то, чтобы предотвратить заражение ими, а после заражения остается только платить выкуп. Появление криптовалюты сильно поменяло Security-индустрию, так что многие методы защиты сейчас направлены именно на борьбу с вредоносными cryptocoin-технологиями.

— Вы говорите, что многие люди более подготовленные. Если говорить конкретнее о разработчиках, что нужно знать каждому о кибербезопасности, какими знаниями владеть?

Вот, что главное, я бы сказал, для всех разработчиков. Когда они будут писать код в разных продуктах на разных языках, важно понимать, что хакеры часто используют уязвимости в продуктах. Нужно уметь писать код, который не так просто использовать в хакерских целях: не оставлять багов, дырок в своем коде. А допустить ошибку очень легко, например, не проверить размер буфера, в котором ты пишешь. И другие подобные простые, всем известные ошибки — buffer overflow, memory corruption. Надо хорошо знать виды уязвимостей, как они делаются, и не допускать их в своих программах, проверять собственный код на наличие ошибок, которые потом будут использованы, чтобы войти в систему.

Советы тем, кто начинает путь в кибербезопасности

— А какими базовыми знаниями должен владеть Security-специалист?

Прыжок с парашютом, 10 000 футов над Гавайями

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU