Эксперт «Солара»: даркнет через какое-то время может перестать существовать

Ситуация с кибератаками на российские структуры не дает расслабиться на протяжении трех лет, но от многого за это время в России уже научились защищаться. О природе продолжающегося роста кибератак, актуальных киберугрозах для бизнеса и простых россиян, угасании даркнета и о том, как хакеры подбираются к общественным мероприятиям, в том числе выборам, в интервью ТАСС рассказал директор центра противодействия кибератакам Solar JSOC группы компаний "Солар" Владимир Дрюков.

— Какие основные тренды угроз сформировались в 2024 году?

— Один из заметных трендов касается DDoS-атак: в 2024 году они очень сильно отличались от тех, что были ранее. Произошла технологическая эволюция. Векторами стали, например, атаки на провайдеров, предоставляющих сервисы защиты от DDoS. Количество провайдеров и ИБ-компаний, которые оказались в фокусе внимания злоумышленников – очень значимое.

Второе: в случае с телеком-операторами хакеры часто нападали не на системы их клиентов, а на них самих и на оборудование "последней мили", которое обеспечивает соединение с конечными корпоративными пользователями. В силу технологических ограничений включать там блокировку по геолокации гораздо сложнее, а местами просто нельзя.

Сами киберудары стали, как я их называю, вспышками – когда атакуют один объект, второй, третий и процедура переключения защиты с одного объекта на другой для части компаний становится проблемой. Местами проблемой для оборудования, местами – для самих систем или для команд защиты. Если специалист не выделен специально под защиту от DDoS, то он, можно сказать, "систему настроил и убежал". А через пять минут вектор меняется и надо снова подстраивать методы реагирования. Поэтому даже так называемые "базовые атаки" в этом случае получают новое развитие.

Также я вынужден констатировать, что с 2019 заметно набрал обороты тренд атак на крупные компании через их подрядчиков. Каждый год мы видели увеличение количества таких инцидентов в 2-3 раза, но доля их тем не менее была невелика. А в 2024-ом их объем уже был ощутим: 8% из проводимых нами расследований, то есть каждый 12-ый кейс, касались атак через подрядчиков. Это безумие, потому что, если смотреть общий объем атак, который тоже растет, объем именно этого специфического вектора колоссален. При этом у крупных компаний, которые заботятся о своей безопасности, нет прямых рычагов влияния на подрядчиков и их защищенность. И это, конечно, довольно горячий вопрос, требующий решения. Возможно, необходимо прописывать требования к уровню ИБ у поставщика услуг на этапе организации закупочных процедур.

Если говорить про последствия, за этот год новостей о том, что какая-то компания или ресурс оказались недоступными, было больше, чем за три предыдущих года, с 2021 по 2023, несмотря на тяжесть происходящего тогда. И примерно треть таких новостей напрямую или косвенно были связаны не с тем, что у разработчиков что-то пошло не так, а именно с кибератаками.

Объем кибератак в целом растет. Это заставляет и бизнес, и кибербезопасников задуматься о том, как надо реагировать. И, в том числе, конечно, укрепляет доброжелательность и взаимодействие между айтишниками и ИБ-специалистами. Все понимают, что бороться стоит вместе. Все больше и больше компании склоняются к комплексному подходу в выстраивании кибербезопасности

— А как обстояли дела с фишингом?

— В социальной инженерии тоже произошел скачок, который сложно не заметить. Особенно это коснулось b2c-сегмента, обычных граждан. Схемы мошенничества сильно поменялись, и накопленная база утечек стала использоваться по полной для проработки векторов атак. Это и схемы угона аккаунтов в Telegram, и схемы с дипфейками, и с голосовыми сообщениями, и с видеороликами.

В корпоративной среде, видимо, в силу заточенности и привычности каналов коммуникации, эффекта от того же вишинга или смишинга (телефонного и SMS-мошенничества – прим. ТАСС) гораздо меньше. Ведь мало кому в компании генеральный директор или руководитель организации пишет в Telegram по имени-отчеству, с реверансами, словами про ФСБ и всем прочим. В данном случае сама настороженность сотрудников позволила корпоративным пользователям лучше защищаться от социальной инженерии. Хотя и успешных атак в этой части тоже хватало.

— В чем причина роста атак сейчас?

— А почему бы их стало меньше? С "той стороны" заряженность не пропала, желание навредить осталось. Инструменты совершенствуются, поэтому объем, интенсивность и агрессия не снижаются.

Если говорить про успешные киберинциденты, визуально кажется, что стало сильно меньше тех, что завершились последствиями или публикацией данных в сети. Раньше у меня была подборка из каналов хакеров и мне кажется, что я чуть ли не каждые сутки видел сообщения о том, что с какой-то крупной компанией что-то сделали. Сейчас я такие новости вижу раз в неделю, да и то, каждая вторая – это скорее фейк, где хакеры пытаются свои старые успехи перепаковать в новые победы. Поэтому мне кажется, что мы стали защищаться лучше.

— В 2022 году был большой приток новичков в хакерскую деятельность против России. Тогда они были новичками, а сейчас, получается, нас атакуют сплошь профессионалы?

— Мне кажется, произошел немного другой процесс. Он близок к тому, как в свое время эволюционировал рынок классической киберпреступности: изначально были группировки, которые атакуют всех подряд, а потом возникла сервисная модель – с группировками, которые занимаются рассылками, группировками-разработчиками вирусов-шифровальщиков и даже отдельной профессией координатора для формирования стратегии атаки.

Видно, что в планировании действий и определении векторов атак заняты люди, гораздо более квалифицированные в ИТ и безопасности, чем несколько лет назад. Не то, чтобы все стали профи. Просто произошло профилирование компетенций, перестройка специализации атакующих кадров, выросли компетенции в разведке и в управлении хакерскими ресурсами.

— Хакеров, как мы видим, привлекают инфраструктуры не только организаций, но и значимых публичных мероприятий вроде выборов или крупных форумов. Как вы обеспечиваете их защиту, есть ли тут какие-то особенности?

— Здесь существуют две технологические особенности. Во-первых, большей части инфраструктуры безопасности не существует еще за месяц до мероприятия. Она запускается в некотором смысле "с ручника". Времени физически нет, поэтому ИБ- и IT-инфраструктура запускается вместе. И для многих ИБ-компаний это вызов. "Бежать в ногу" с айтишниками – нетривиальное испытание.

Второе: всегда надо понимать, что все привозимое на мероприятие оборудование должно пройти через compromise assessment (процедура поиска компрометации элементов системы – прим. ТАСС), чтобы убедиться, что в нем нет аппаратных и программных закладок. Это местами технические, местами организационные меры, которые дают удивительные в хорошем смысле эффекты.

Касательно векторов атак очевидно, что самый понятный wow-эффект дают прерывания прямых трансляций, особенно выступлений, где задействованы первые лица страны или иностранные гости. То есть то, что привлекает массовое внимание на ТВ. Для злоумышленников самый простой способ тут – это DDoS-атаки (хакерские атаки с целью добиться отключения сайта, инфраструктуры и так далее – прим. ТАСС). Они действительно каждый раз происходят и каждый раз они более емкие. Или же хакеры могут попытаться найти какое-то событие, идущее в дни защищаемого мероприятия, и хоть как-то привязать успешную атаку к нужному событию, не атакуя его напрямую. Это, кстати, очень значимый вектор.

Мы защитой мероприятий занимаемся уже много лет и накопили ценный опыт. Это позволяет нам максимально быстро запускать требуемые заказчику комплексные системы и процессы кибербезопасности, обеспечивать эффективное взаимодействие как внутри команды защиты, так и со смежными направлениями.

Выстраивая информационную безопасность того или иного общественно значимого мероприятия, мы исходим из того, что дестабилизировать его работу попытаются хакерские группировки наиболее высокой квалификации. Процесс подготовки включает несколько этапов: от проверки защищенности IT-инфраструктур, относящихся к событию, и устранения и найденных недостатков до разработки сценариев реагирования на атаки и проведения киберучений.

В период до и во время мероприятия обеспечивается круглосуточная эшелонированная киберзащита не только ключевой инфраструктуры, но и связанных с ней цифровых площадок. Организуется оперативный штаб, также работающий в режиме 24*7. В периоды наивысшего риска совершения кибератак синхронизация команд защиты происходит каждые 15 минут.

Мониторинг и реагирование на инциденты осуществляет наш центр противодействия кибератакам Solar JSOC. В комплексную работу по обеспечению безопасности вовлечены эксперты, работающие в разных часовых поясах – от Москвы до Дальнего Востока. В их контуре внимания различные типы киберугроз – от массовых DDoS-атак до попыток продвинутого целевого воздействия на системы. Помимо этого, эксперты нашего центра мониторинга внешних цифровых угроз Solar AURA отслеживают и совместно с Роскомнадзором оперативно блокируют появляющиеся мошеннические сайты на тему мероприятия.

Так было, например, в случае с киберзащитой выборов Президента, которые проходили в марте 2024 года. Первой целью атак стала сама система голосования: производились многочисленные попытки не дать людям отдать свои голоса. К концу второго дня, когда пик голосов был уже пройден, хакеры переключились на систему выдачи результатов. Они решили: "раз уж проголосовать вы смогли, хотя бы увидите, что сайт недоступен, а мы получим свою минуту славы". Во время выборов, помимо огромного шквала массовых атак, наши эксперты успешно отразили свыше 250 сложных целевых киберударов на веб-ресурсы мероприятия и опорные инфраструктуры, в том числе инфраструктуру телеком-операторов, ресурсы самого "Солара" и другие. Злоумышленникам не удалось оказать влияние на выборный процесс.

— Фиксировали ли вы взломы ресурсов самих хакеров в последнее время?

— В 2024 году я не помню ни одного кейса со взломом форумов, даже из-за конкурентных войн и разборок между хакерами. При том, что до этого они происходили регулярно. Кажется, что в даркнете то ли временное, то ли постоянное перемирие, и таких случаев нет.

— Организатора даркнет-площадки Hydra недавно приговорили к пожизненному заключению – а ее серверы в Германии были закрыты еще в 2022 году. Появлялись ли с тех пор у маркетплейса более-менее жизнеспособные клоны?

— Я думаю, что подобного и не будет. Ключевая тенденция сейчас в том, что даркнет закономерно "переползает" в мессенджеры. Приобретение тех или иных данных через Telegram для злоумышленников гораздо проще, удобнее и прозрачнее. Кажется, что даркнет в своем старом формате через какое-то время может просто перестать существовать. Он останется для старых пользователей, которым все еще удобно общаться там. Прежние способы взаимодействия переходят на более современные и быстрые форматы.

— Что в даркнете сейчас продают по самой высокой цене, может, биометрию?

— На частных аукционах в даркнете как были огромные розыгрыши утечек данных, которые касаются звезд, политиков, так и остались.

Также сохраняется ценность "обычных" данных из корпоративной среды, которые позволяют облегчить разведку группировкам перед атакой. Это покупалось и продолжает покупаться: в даркнете встречаются заказы как на информацию о той или иной компании (ее штатной структуре, архитектуре и т.д.), так и на поиск инсайдеров внутри интересующей организации. Стоимость биометрии тоже высока, так как это пока один из самых сложно подделываемых видов данных.

— А что можно сказать о рынке кибербезопасности в 2025 году?

— Рынок в 2025 году входит в совершенно удивительное состояние. С одной стороны, атаки продолжат развиваться, их станет все больше, а с другой – весь бизнес будет явно модифицирован законом об оборотных штрафах, который призван стимулировать компании ответственнее подходить к своей киберзащите.

Наряду с этим, очевидно, что рынок сейчас дошел до той точки, когда компаниям очень важно признаться самим себе, какие задачи кибербезопасности они в состоянии решать самостоятельно, а где стоит привлекать внешнего подрядчика. Нынешний профиль угрозы не позволяет защищаться в режиме 8 часов в день 5 дней в неделю, не позволяет жить без экспертизы, мониторинга и реагирования на кибератаки. Поэтому в ближайшие 2-3 года будет существенное переосмысление роли внутренней кибербезопасности, которое поспособствует динамичному росту сервисов ИБ и коммерческих сервис-провайдеров. Причем если раньше пул их клиентов составляли в основном крупные компании и госструктуры, то сейчас интерес к сервисам защиты проявляет также средний и малый бизнес, который сегодня нередко становится жертвой деструктивных действий хакеров.

Понятно, что у СМБ-сегмента другие потребности в ИБ и другие возможности – им нужны недорогие максимально автоматизированные решения, которые подключаются практически одним кликом и не требуют наличия в штате профильных специалистов. В 2024 году в нашем портфеле сервисов такие решения появились в составе облачной платформы Solar Space. Мы предполагаем, что это направление получит дальнейшее развитие в нынешнем году.

И еще один значимый вектор развития – это, конечно, защита и просвещение простых граждан в вопросах цифровой гигиены, потому что масштабы мошенничества в онлайн-среде колоссальны. Рынок кибербезопасности, конечно же, предпринимает ответные меры и этот тренд продолжится. Например, наша компания уже несколько лет вела планомерную просветительскую работу, направленную на повышение навыков киберграмотности у простых людей. А в прошлом году мы совместно с Tele2 запустили два весьма популярных сервиса для абонентов оператора: бесплатная проверка утечек персональных данных пользователя, а также безопасный интернет для детей в составе подписки "MiXX Вместе".

Иными словами, практическая кибербезопасность перестает быть уделом только лишь крупного бизнеса и государства – теперь она выходит в массовый корпоративный сегмент и все больше затрагивает интересы простых людей. Мы со своей стороны, обладая комплексной экспертизой в ИБ и имея обширную базу знаний о киберугрозах в России, планируем развиваться по всем трем направлениям.

Интервью брал Иван Орехов