Шейн Харрис - Кибервойн@. Пятый театр военных действий
По словам вице-президента по вопросам кибербезопасности, генерала в отставке Чарли Крума, с помощью модели cyber kill chain Lockheed смогла предупредить своих клиентов о потенциальных вторжениях и предотвратить их. Lockheed не раскрывает имена своих заказчиков, поэтому проверить это утверждение невозможно. Концепция cyber kill chain просто соответствует здравому смыслу. Однако многие эксперты в области кибербезопасности, в том числе работающие на конкурентов Lockheed, говорят, что, когда в 2011 г. компания раскрыла свою концепцию киберзащиты, это стало поворотным моментом в эволюции киберобороны. Cyber kill chain разбивала процесс вторжения на отдельные действия и этапы, каждый из которых предоставлял защитникам возможность заблокировать своих противников. Таким образом, обороняющиеся могли более эффективно использовать свои ресурсы, поскольку им не приходилось реагировать на каждое предупреждение, как на экстренную ситуацию. Сyber kill chain предлагала концептуальную схему, как выстроить уровни защиты на дальних подступах и заблокировать взломщиков до того, как они подберутся слишком близко к цели.
Cyber kill chain была важна и еще по одной причине: эта концепция была разработана корпорацией, а не государственным агентством. Хатчинс, который в свои 34 года занимает пост главного информационного аналитика Lockheed, никогда не работал на государство и никогда не служил в вооруженных силах. Фактически он работал только в Lockheed, куда он пришел в 2002 г., получив степень в области компьютерных наук в Виргинском университете. В Lockheed работает много бывших госчиновников и армейских офицеров, и Крум один из них. Он возглавлял Агентство защиты информационных систем, откуда уволился в 2008 г. Однако Lockheed разработала стратегию cyber kill chain как способ собственной защиты. Компания не стала полагаться на помощь АНБ или любого другого агентства. И потом компания превратила свои знания в бизнес.
Сегодня аналитики компании наблюдают за трафиком в собственных сетях, но вместе с тем они получают информацию почти от 50 оборонных предприятий, которые также привлечены к работе над засекреченными государственными программами. Помимо прочего, Lockheed является основным подрядчиком Центра защиты от киберпреступности – крупнейшей государственной киберкриминалистической организации, которая ведет антитеррористическую и контрразведывательную деятельность. Также компания администрирует «Глобальную информационную сеть» – Global Information Grid (GIG), внедряя свою методологию cyber kill chain в защищенной всемирной информационной технологической сети Министерства обороны. Сумма контракта составляет $4,6 млрд. Только в собственных сетях Lockheed анализирует около 2 млрд отдельных транзакций в сутки – каждое отправленное и полученное письмо, каждый посещенный сайт, каждое регистрируемое в логах или цифровых журналах безопасности действие. Все данные хранятся в течение одного года, а любая информация о вредоносной активности сохраняется в течение неограниченного времени. Компания Lockheed построила эффективную библиотеку хакерской истории, из которой можно получать информацию при изучении новых взломов и вторжений. Привлекая старые данные, аналитики обнаружили, что недавние вторжения, на самом деле, всего лишь часть более масштабных кампаний, начавшихся несколько месяцев или даже лет назад и направленных против конкретных фирм и организаций. Крум говорит, что, когда в 2008 г. он уволился из военного ведомства, Министерству обороны удалось идентифицировать и отследить около пятнадцати операций общенационального масштаба. Сегодня Lockheed отслеживает примерно сорок хакерских операций. Министерство обороны следит за некоторыми из них – Крум не говорит, за какими именно, – и Lockheed делится своей информацией с государством в рамках программы DIB. По словам Крума, Lockheed выявил шесть операций, о которых Министерству обороны не было известно. Все подробности на данный момент засекречены.
Единственное, что Lockheed не может сделать, во всяком случае, легально – это взломать чужую компьютерную систему для сбора информации. Эта сфера деятельности все еще остается за АНБ. Однако компания пристально следит за теми же иностранными оппонентами, за которыми наблюдает государство. В главном центре управления NexGen Center на стене висят часы, которые показывают текущее время во всех странах, где Lockheed имеет станции кибернаблюдения. И есть часы, которые показывают текущее время в Пекине. Компания в течение семи лет собирала информацию об операциях APT, и аналитики имеют доступ ко всем этим данным. Огромный монитор на стене отображает сведения обо всех операциях, за которыми Lockheed следит по всему миру. Преимущественно, это сведения о попытках взлома собственных сетей компании, состоящих из 3 млн интернет-адресов, разбросанных по почти 600 локациям в 60 странах. Чем крупнее компания, ставшая объектом атаки, тем большим источником информации она становится. Выполнение государственных контрактов по-прежнему остается основным бизнесом компании, поскольку эта деятельность приносит более 80 % оборота, который в 2012 г. составил $47,2 млрд. Однако, по словам Крума, в 2011 г. Lockheed развернулась в коммерческом секторе, сосредоточившись на технологических услугах для 200 компаний из верхней части списка Fortune 500, отдавая особое предпочтение операторам ключевых объектов инфраструктуры. Компания хочет открыть еще один кибернетический центр на Ближнем Востоке и таким образом воспользоваться преимуществом растущей потребности этого региона в сетевом наблюдении и обеспечении безопасности.
Вряд ли Lockheed – это единственная компания, которая взяла кибероборону в свои руки. С момента атак на банковские сайты в 2012 г. американские финансовые организации создали собственные подразделения кибернаблюдения. (Некоторые из них, несомненно, являются клиентами компании Lockheed.) Их работа была в самом разгаре, когда ужасающий поток трафика вызвал масштабные сбои, и этим подразделениям пришлось ускорить свою работу. Сегодня все самые крупные банки США содержат собственный персонал, отвечающий за кибербезопасность. Эти специалисты обладают необходимыми знаниями и опытом для обнаружения уязвимостей в программном обеспечении и сетевых конфигурациях, анализа вредоносного ПО, его архитектуры и предназначения, а также для отражения проникновений и атак. Американские военные ведомства и разведывательные агентства – основные поставщики талантливых кадров для работы в банках.
Бывший руководитель отдела информационной безопасности Bank of America раньше возглавлял технологическую службу в администрации директора национальной разведки США, который начал свою карьеру в качестве лингвиста-криптографа в военно-воздушных силах. Руководитель отдела информационной безопасности в Wells Fargo отслужил 20 лет в военно-морских силах, в том числе на должности офицера по информационной войне, а позже работал в ФБР. Руководитель отдела информационных рисков в JPMorgan Chase никогда не был на госслужбе, однако один год проработал в компании SAIC, которая получает мощную поддержку в виде контрактов с разведывательными агентствами, часто ее называют «АНБ-Запад». Еще год он проработал в Booz Allen Hamilton, одном из ведущих подрядчиков федеральных властей в сфере кибербезопасности, в котором нашел пристанище бывший директор АНБ Майкл Макконнелл.
«Через пару лет все ребята из киберотделов, оставшиеся в игре, будут работать в банках. Они закроют свои сети и будут только обмениваться информацией друг с другом», – говорит бывший офицер военной разведки, участвовавший в кибератаке на Ирак в 2007 г., а позже перешедший на работу к крупному оборонному подрядчику.
Согласно мнению экспертов, банки ведут агрессивную кампанию по переманиванию и найму сотрудников военных и разведывательных служб, которые прошли обучение по высочайшим государственным стандартам и желают удвоить или утроить свои доходы, перейдя на работу в коммерческий сектор. Кроме того, банки все более активно приобретают информацию об уязвимостях нулевого дня и эксплоитах у частных исследователей, крупнейшим клиентом которых обычно считается АНБ. Эксперт в области безопасности, который имеет тесные связи с продавцами эксплоитов, говорит, что банки накапливают кибервооружение на случай, если они почувствуют необходимость ответных действий против кибервзломщиков. Если суждено будет начаться «частной» кибервойне, то, скорее всего, запустит ее какой-нибудь банк.
Тем не менее не только финансовые компании разрабатывают собственные оборонные операции. Список компаний, которые нанимают офицеров информационной безопасности на должности уровня руководителей отделов и вице-президентов, включает такие компании, как Johnson&Johnson, T-Mobile USA, Automated Data Processing, Coca-Cola, Intel, AstraZeneca, eBay, FedEx, и сотни других. Когда компании не могут обеспечить собственную защиту, они обращаются за помощью во внешние организации, и этот сегмент рынка услуг в сфере безопасности растет. В своем ежегодном отчете перед акционерами, опубликованном в 2012 г., Lockheed Martin заявила, что «компания столкнулась с возрастающей конкуренцией, особенно в сфере информационных технологий и кибербезопасности… со стороны необычных соперников, пришедших не из аэрокосмической и оборонной промышленности». Это был завуалированный намек на недавно возникшие и быстро развивающиеся компании, такие как CrowdStrike, Mandiant и Endgame, которые искали собственные источники информации и разрабатывали методы ее сбора и анализа.