Дуализм современного мира очень хорошо наблюдать на примере киберпреступников: «темная сторона» в организации ряда процессов похожа на легальный бизнес по принципам и даже по деталям, а в ряде случаев превосходит легальный бизнес. Рассмотрим некоторые элементы организации, которые у группировок, специализирующихся на преступлениях в области высоких технологий, зачастую отлажены лучше и работают эффективней, чем в среднестатистической «светлой» компании. Это рассмотрение имеет вполне выразительное прикладное значение, позволяя легальным бизнесам как оптимизировать свои оперативные действия, так и корректировать долгосрочные стратегии.
Оффтопик: киберпреступность — зло!
Конечно, хакерство и другие виды киберпреступлений — взломы, проникновения, хищение информации, нарушение работы инфраструктуры, вымогательство и т. д. — приводят к уголовному преследованию и к очень серьезным наказаниям игроков с «темной стороны» по всей строгости закона. Так происходит в любом регионе планеты, в том числе, разумеется, и в РФ.
Напомним, что киберпреступления проходят по нескольким статьям УК РФ. Это Статья 272 (Неправомерный доступ к компьютерной информации), Статья 273 (Создание, использование и распространение вредоносных компьютерных программ) и Статья 274 (Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей). Так как деятельность преступных группировок многогранна, то киберпреступники могут в обвинительных заключениях получить самые разные дополнительные статьи, например, Статья 150 (Вовлечение несовершеннолетнего в совершение преступления), Статья 163 (Вымогательство), Статья 210 (Организация преступного сообщества (преступной организации) или участие в нем (ней)) и т. д. Все это очень серьезные статьи УК, которые предполагают длительные сроки лишения свободы.
Киберпреступность названа угрозой нацбезопасности РФ, как сообщает ТАСС. В стране за прошлый год было зафиксировано более полумиллиона (!) преступлений — точнее, 510,3 тыс. — совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, по данным Генпрокуратуры РФ. Причем рост сегмента составил впечатляющие 73,4% по сравнению с позапрошлым годом. Заметим, что рост начался давно и идет быстро: если еще 5 лет назад в общей структуре преступности на долю таких деяний приходилось менее 2%, то уже в прошлом году они составили уже 25% среди всех зарегистрированных преступлений в стране.
Мы не романтизируем хакеров и, разумеется, не призываем повторять их бизнес, а только рекомендуем присмотреться к некоторым деталям менеджмента и стратегий группировок, специализирующихся на преступлениях в сфере высоких технологий. Экспириенс киберпреступников можно — и нужно! — использовать на благо «белых структур».
1. Любой бизнес — ИТ-компания
Любая хакерская группировка — ИТ-компания. Так было задолго до того, как к пониманию такого принципа пришли компании из разных сегментов традиционной экономики. Именно ИТ-инструменты и ИТ-компетенции в современных условиях дают хакерам нужную для их деятельности гибкость и скорость.
Это справедливо и для легальных компаний, только в «белом секторе» еще не все это поняли и прочувствовали в должной мере. Чем раньше бизнес осознает свою новую сущность, чем раньше почувствует себя ИТ-компанией — причем на всех уровнях: от акционеров и директората до начальников департаментов и рядовых исполнителей — тем лучше для ключевых показателей, и тем выше шансы на выживание в конкурентной среде в современных условиях.
2. Киберпреступления — это бизнес
Деятельность киберпреступников направлена на получение прибыли, то есть имеет экономическую подоплеку. Подготовка любой серьезной таргетированной атаки требует вложений в сотни тысяч, а то и в миллионы долларов. Чтобы «отбить» такие инвестиции, киберпреступным группировкам нужно хорошо просчитывать экономический эффект от своих действий, точно и правильно оценивая понятную прибыль и форс-мажорные ситуации.
Есть, конечно, исключения, но они только подтверждают общие правила. В качестве исключений обычно приводят примеры начинающих преступников, деятельность которых является «пробой пера», и некоторых достаточно редких ситуаций, когда на киберпреступления идут «идейные» для привлечения внимания к тем или иным проблемам или, предположим, по мотивам ненависти.
Заметим, что и в действиях «бессеребренников» присутствует экономическая составляющая, может, не очень выраженная, но она есть. Например, начинающие хакеры хотя иногда и говорят, что действовали «из любопытства», надеются вырасти и зарабатывать на киберпреступлениях, применяя полученные знания. Причем в процесс получения знаний они уже инвестировали немалые средства: в приобретение техники, в базовое образование и т. д., кроме того, инструменты и информацию для атак они все же покупают.
На «черном рынке» можно легко купить и информацию о недавно открытых уязвимостях, логины/пароли для доступа в инфраструктуры компаний (причем стоимость такой пары находится в пределах
5-10 долл.), готовые инструменты для организации взломов, DDoS-атак и других активностей. Кроме программ, можно купить и аппаратное обеспечение, как изначально созданное для нелегальной деятельности, так и «двойного назначения», например, электронные ключи, подходящие ко многим типам замков, и т. д.
Когда стоимость атаки оказывается явно выше дохода, который теоретически можно получить в случае успеха преступления, то серьезные киберпреступники не пойдут «на дело». Конечно, остается риск атак со стороны молодой поросли «кибершпаны» и «идейных» — борцов с капитализмом, радикальных экологов и т. д. — но этот контингент обычно легко останавливают системы защиты, которые оказались способны отпугнуть серьезных киберпреступников.
3. Акцент — на новые технологии
Обычно этот тезис в рассказах о хакерах оставляют без комментариев, якобы и так всем все понятно, но совершенно напрасно! Тут есть смысл детализировать ситуацию, в этом процессе можно открыть для себя много внезапно нового и практически полезного.
Например, киберпреступники не стремятся «изобрести велосипед», а нужные инструменты и информацию просто покупают. Соответствующие товары широко представлены в даркнете. Было бы странным, если бы каждая хакерская группировка самостоятельно занималась поиском уязвимостей или выведывала пароли для проникновения в сети компаний от сотрудников, которые не против продать немного секретов работодателей. Очевидно, что в таком случае эффективность киберпреступной деятельности была бы крайне низкой.
Самостоятельно хакеры «пилят» инструменты только в крайних случаях, нужное можно купить (см. врезку). Благодаря такому рациональному подходу киберпреступники работают эффективней многих «белых» компаний, зачастую стремящихся создавать «самописные» программные продукты вместо того, чтобы использовать имеющиеся продукты и сервисы после адаптации для нужд своего бизнеса.
Важно, что хакеры давно используют как новейшие технические схемы, так и экономические. Например, можно купить готовый ботнет (сеть зараженных устройств + «админку» для управления ими) и провести атаку, можно заказать желаемые действия оператору ботнета, а можно арендовать инфраструктуру на некоторое нужное время — вот вам знакомая схема IaaS, которая сейчас только начала расти в легальном секторе!
«Белому» сектору тоже нужно использовать новейшие инструменты, причем по тем же принципам, что и хакеры: знакомиться, изучать, пробовать, но внедрять в дело не «из любви к искусству», а для решения понятных прикладных задач. Причем сказанное справедливо по отношению как к цифровым, так и к финансовым инструментам — впрочем, последние все чаще оказываются цифровизированными до состояния «финтеха».
4. Если «классика» работает — ее нужно использовать
При всей ставке на хай-тех киберпреступники продолжают использовать старые техники, если те еще приносят доход. Речь идет не только о звонках «с Вами говорят из службы безопасности „Сбербанка“...», которые, похоже, каждый россиянин получил более десятка за время, пока такой формат мошенничества в тренде, но и о более «лохматых» техниках. Например, откройте папку «Спам» в вашей почтовой системе, и вы увидите десятки вариантов, которые, казалось бы, должны быть давно забыты: от сообщений с троянами внутри до «нигерийских писем».
Для легальных компаний это означает, что не стоит отказываться от технологий только потому, что они морально устарели, это неправильно хотя бы по финансовым соображениям. Если показатели эффективности все еще в пользу legacy-решений, то отказываться от них не стоит. Тем более что при некотором креативе старые инструменты могут получить новое звучание.
5. Персонификация — ключ к успеху
Сейчас в моде целевые фишинговые атаки. Эти виды хакерской активности могут выступать в атаках «соло», а могут быть включены в состав «оркестров», созданных для масштабных таргетированных атак на компании, в том числе, на промпредприятия. Принцип прост: перед отправкой фишингового письма киберпреступники внимательно изучают круг знакомств и интересов потенциальной жертвы. Такое исследование занимает несколько дней, а то и недель, но позволяет составить письмо таким образом, чтобы на порядки увеличить вероятность выполнения действий, которые нужны атакующим.
Разумеется, любую таргетированную атаку можно рассматривать как персонифицированное воздействие на инфраструктуру компании. Но рассматривать таргетированную атаку интересней с точки зрения инвестиционной привлекательности. Как мы говорили, организация такого мероприятия может обойтись и в миллион долларов — но эти вопросы уже более специализированные и находятся за рамками нашей статьи.
Киберпреступники активно применяют AI. Инструменты с возможностями «искусственного интеллекта» используют для поиска уязвимостей в периметрах инфраструктур компаний, но есть и более изощренные практики. Например, вектором атак могут становиться массивы данных, используемых для обучения AI-решений в атакуемой компании! Вмешавшись таким образом — через редактированные данные — в процесс machine learning, можно, например, сделать «невидимыми» для систем некоторые объекты, действия или события. Это позволяет в дальнейшем планировать таргетированные атаки с учетом «слепых пятен» у систем контроля и мониторинга, работающих на стороне атакуемой компании. В принципе, это вариант «персонификации» в современных условиях, рассмотренной нами в пункте 5, пусть он даже несколько специфичный, но может оказаться вполне действенным.
6. Аутсорс
Большинство киберпреступлений предусматривают сложную схему, на разных этапах которой требуются профильные специалисты с нужной специализацией, которые вступают в действие на разных этапах единого процесса вторжения. Например, если нужно физическое проникновение на объект — скажем, чтобы выполнить прямое подключение к оборудованию — то для него требуются люди, умеющие взламывать замки и оставаться невидимыми для сигнализаций и систем наблюдения. Разумеется, классические хакеры для этого не подойдут, нужно искать людей в других сообществах. И таких примеров много. Очевидно, что, например, для вывода и отмывания денег потребуются другие специалисты.
Вывод из сказанного прост: для легальной организации значительную часть технических действий необходимо отдать на аутсорс, нанимая для выполнения нужного проверенные команды. Хакеры освоили «делегирование» задач раньше корпораций, хотя аутсорс не является чем-то принципиально новым, «белым» компаниям стоит присмотреться к опыту, накопленному киберпреступниками, чтобы оптимизировать свою деятельность, причем в плане как бизнес-процессов, как и технологических цепочек.
7. «Zero trust» — новая норма
Принцип «нулевого доверия» корпорации стали практиковать совсем недавно, но киберпреступники давно живут в мире, где zero trust — норма жизни. Согласитесь, непросто при организации сложной таргетированной атаки, подготовка которой заняла несколько месяцев и обошлась под миллион, доверять выполнение важных функций бандитам из разных регионов мира, на которых, если что пойдет не по плану, в суд не подать, да и найти их потом по понятной причине проблематично.
Данная ситуация является одной из причин, по которой хакеры крайне активно используют автоматизацию и роботизацию, причем не только чтобы увеличить эффективность, но и для минимизации потенциально негативных воздействий «человеческого фактора». Напомним первый закон ненадежности Джилба: «Компьютеры ненадежны, но люди еще ненадежнее» (из законов Мерфи).
Киберпреступники очень обрадовались появлению такого инструмента как smart-контракты, которые позволяли автоматизировать действия в условиях «zero trust» и удешевить оформление договоренностей с людьми и командами, надежность которых не проверена и удостоверить которую некому. Легальному бизнесу с ростом глобализации и увеличением динамики тоже следует освоить и работу с недоверенными контрагентами, и инструменты, которые такое взаимодействие делают более безопасным.
8. Глобалистичность
Киберпреступники прекрасно понимают, что поле их деятельности — весь мир, что искать «фронт работ» и подрядчиков на аутсорс можно — и нужно! — по всей планете, а локальный домашний регион будет слишком тесен в большинстве случаев.
Легальный бизнес же эту простую истину обычно не понимает, а старается действовать в тесных домашних регионах, зачастую пытаясь обеспечить экономическую состоятельность нерыночными методами. Будущее бизнеса — особенно, ИТ-бизнеса! — в глобальности. Данный вопрос имеет много аспектов, о некоторых мы рассказывали ранее.
9. Изменения в ситуации нужно активно использовать
Выразительный пример — «удаленка», которую хакеры активно используют. Акцент сделан как на новые векторы атак (например, на атаки каналов, используемых удаленными сотрудниками для входа в корпоративную инфраструктуру), так и на старые, в современных условиях получивших новое звучание (привычный фишинг, как оказалось, лучше работает, когда пользователь дома в халате и тапочках, чем когда он же в офисе в костюме и при галстуке).
Использование изменений — в среде, в пользовательских предпочтениях, в user cases и т. д. — тема очень широкая, мы остановимся только на моментах, имеющих отношение к ИБ. Сегодня создать вокруг инфраструктуры компании непроницаемую для атак защитную «стену» невозможно в принципе — хотя бы потому, что бизнес уже не сосредоточен в периметре, он распределен по удаленным сотрудникам, филиалам и прочим площадкам, которые в силу многочисленности и территориальной распределенности не прикроешь традиционными методами. Поэтому ИБ — важный элемент бизнеса, оказывающий влияние на ряд бизнес-метрик! — нужно организовать иными способами: делать атаки экономически невыгодными, а вместо непроницаемых стен создавать «полосы препятствий», на прохождение которых хакеры тратили бы время, нужное для их обнаружения, и на реакцию корпоративных «безопасников» совместно с внешними ИБ-структурами, обеспечивающими защиту компании, и с правоохранительными органами.
Вместо заключения
Экономика «темной стороны» развитая и довольно сложная, но вполне логичная и структурированная, причем крайне похожая на экономику «белого» ИТ. Бизнес-процессы у хакеров отточены, новые технологии они применяют одними из первых, причем речь идет не только о крипте и поиске «дыр» в защите, но и о блокчейн-контрактах, изощренных атаках на AI в процессе обучения нейросетей, создания преступных IaaS и т. д. Знания о «темной стороне» сегодня актуальны для легального бизнеса, так как позволяют точнее и глубже понять современные технологии и в digital, и в менеджменте.