Директор центра мониторинга и реагирования на кибератаки компании «Ростелеком-Solar» Владимир Дрюков — в интервью «Ъ FM»

Как изменилась борьба с хакерами за последние пять лет? К чему готовиться IT-защитникам в ближайшем будущем? И насколько эффективно они работают сейчас? На эти вопросы в интервью «Коммерсантъ FM» на форуме Positive Hack Days ответил директор центра мониторинга и реагирования на кибератаки компании «Ростелеком-Solar» Владимир Дрюков. С ним беседовал корреспондент Владимир Расулов.

— На пленарной дискуссии, которая проходила в первый день форума, один из ваших коллег заявил, что в принципе меняется парадигма информационной безопасности, и сейчас время реакции у IT-специалистов сокращается до нескольких часов. Свою роль здесь, в том числе, играет развитие темного сегмента интернета. На ваш взгляд, насколько хакеры в этом смысле стали недосягаемы для IT-специалистов, которые занимаются информбезопасностью?

— Я бы сказал, что ситуация в этом месте принципиально не изменилась, потому что динамика ускорения происходит с обеих сторон. Когда мы говорим про хакерскую сторону, мы видим, что после появления уязвимости в течение пары дней она уже начинает использоваться хакерскими группировками. Сейчас с некоторым придыханием ждем, чем разрешится ситуация с RDP — эта уязвимость появилась на прошлой неделе, потому что уже появился proof of concept, и ближайшая неделя будет для всех безопасников достаточно болезненной. Но, с другой стороны, здесь важна не скорость реакции на проблему, а насколько он считает ее важной. И сейчас вес инцидента информационной безопасности для компании становится все выше. И IT-специалисты, и безопасники все оперативнее реагируют на возникающие атаки, местами потому, что они видят их быстрее за счет Security Operations Center или систем мониторинга, местами потому, что по факту выявления они понимают критичность происходящего, пытаются как можно скорее решить проблему. Поэтому я бы сказал, что здесь гонка брони-снаряда продолжается, и, наверное, каких-то принципиальных изменений сейчас скорее не произошло.

— Главная тема нынешнего форума — это взлом константы. Что это за константа такая? И зачем ее нужно взламывать?

— Как я понимаю, это скорее относится к тезисам, к тому, что каждый заказчик должен понимать по умолчанию, что взломано, что нет возможности сделать абсолютную защиту, абсолютный периметр, барьеры и железные занавесы, которые обеспечат тебе возможность спать спокойно и ничего не делать. Все находимся в состоянии, когда по умолчанию нас могут взломать, и наша задача — это быстро увидеть, быстро прореагировать и выгнать как-то злоумышленника из своего дома.

— Если говорить о конкретных кейсах, в 2017 году много шума по всему миру не только в России наделал вирус-шифровальщик WannaCry. В прошлом году российские банки пережили массированную хакерскую атаку, из-за чего временно не работали их мобильные приложения. В этом году пока мы не слышали о каких-то серьезных инцидентах. Чем это можно объяснить? Хакеры взяли тайм-аут или все-таки специалисты по информационной безопасности стали эффективнее работать?

— Мне кажется, это связано с тем, что в некотором смысле сотрясаются фундаментальные основы. Проблема 2017 года была в том, что в базовом протоколе SMB, использующийся для обмена файлами, обнаружилась уязвимость, которая доступна любому злоумышленнику. В 2018 году мы пережили схожую ситуацию, когда хакеры начали использовать очень крутые инструменты социальной инженерии, которые стали доступны для атаки на любой банк, на любого пользователя. Сейчас такие фундаментальные сотрясения основ пока не происходили, но по модулю истории RDP, прошедшему на прошлой неделе, скорее все это придет к новой публичной громкой уязвимости, которой злоумышленники начнут пользоваться.

— А поясните, RDP — это что?

— Была выявлена на прошлой неделе. Microsoft опубликовал информацию об уязвимости в протоколе удаленного доступа, точнее, в использовании протокола удаленного доступа к рабочим станциям. Мы про это писали достаточно большую заметку, и в ней как раз говорится о том, что любая машина, которая использует данный протокол, данную системную службу, может быть взломана. И если эта служба опубликована на периметре, то может быть взломана любым злоумышленником из-за пределов сети.

— Стоит ли ждать в ближайшее время каких-то очередных громких хакерских атак, и кто в первую очередь может стать жертвой этих атак, если говорить, например, о направлениях бизнеса, экономики в целом?

— Безопасники спать спокойно не привыкли, поэтому массовые атаки однозначно будут, и нам нужно дождаться, когда они произойдут. С точки зрения направлений бизнеса, поскольку они массовые и направлены обычно широковещательно на всех, понятно, с акцентом на местах, где можно заработать деньги. В данном случае речь идет о финансовом секторе или о критической информационной инфраструктуре, поскольку она предоставляет интерес другого рода.