Артем Избаенков, EdgeЦентр: русский "безопасник" стал круче, чем русский хакер
В рамках проекта "Беседы с Иваном Сурвилло" директор по развитию направления кибербезопасности EdgeЦентр Артем Избаенков рассказал ТАСС про необходимость поддержки отечественного производителя, нейронные сети и патриотизм.
— Как изменилась ваша работа за последний год?
— Раньше кибератаки совершались для получения финансовой выгоды: злоумышленник проникал внутрь сети или организовывал DDoS-атаку, но его основная цель была заработать на этом деньги. Или ему кто-то платил. После 24 февраля образовалась IT-армия Украины, которая организует атаки на госструктуры и коммерческие структуры России не ради денег.
Целями сначала являлся госсектор, потом финансы, много атак было на логистические компании, но особо их атаки не приводили к чему-то. Я даже в какой-то момент сказал, что если бы они запустили атаку на систему регистрации алкоголя, то вызвали бы больше хайпа. Через какое-то количество времени на систему продажи алкоголя реально прилетела атака, и мы помогли ее отразить.
Мы занимаемся защитой от DDoS-атак, защитой веб-сайтов, защитой инфраструктуры, нагрузочным тестированием и прочим по всей России и СНГ. Помогаем клиентам, чтобы у них все надежно, быстро и хорошо работало. Год назад, когда началась СВО, я подумал, что после того, как мы сможем отразить основную часть атак на крупных клиентов из Москвы и других центральных городов злоумышленники переключатся на регионы. Так оно и произошло. Я вчера был в Новосибирске — банк начали атаковать внезапно, а он не был готов к этому. А помимо финансовых рисков есть еще репутационные.
— Какой был самый необычный кейс?
— Одно из крупных СМИ обратилось к нам с необычным запросом. Обычно хактивисты для атак используют прокси-серверы, которые используются для подмены IP-адреса. Их использование было географически очень понятно распределено — почти все из-за рубежа. Но для атаки на это СМИ хактивисты арендовали огромный ботнет в Новосибирске с пятью тысячами виртуальных машин с выделенными IP-адресами. С помощью ботнета они понижали рейтинговую выдачу СМИ в поисковых системах.
Для этого на каждой из пяти тысяч машин настроили определенный порядок действий на сайте: виртуальный "пользователь" заходил на сайт, открывал одну случайную новость и моментально закрывал сайт. "Яндекс" и Google поисковую выдачу из-за этого понижают. Мы сейчас работаем очень тесно с Минцифры, чтобы лучше блокировать атаки, которые идут из России.
— А от них сложнее защититься?
— Да. Зарубежный трафик может заблокировать Минцифры специальными пограничными роутерами. Внутренний — заблокировать труднее. В том числе для этого мы открыли узлы фильтрации непосредственно в России. Раньше все считали, что узлы фильтрации надо открывать по всему миру, а мы сделали узлы фильтрации непосредственно в России: Красноярск, Хабаровск, Екатеринбург, Новосиб, Кемерово... Чтобы клиент, который в Новосибирске, не ходил, как обычно это происходит, в Москву, чтобы пройти фильтрацию, перед тем как попасть на сайт, а приходил в свой региональный узел и система быстрее работала бы.
Узел фильтрации фильтрует трафик и защищает от DDoS-атак. Представь, что ты стоишь в магазине и хочешь купить себе телефон. В очереди на кассу стоят три человека. Тут открываются двери, врываются сразу сто человек, забивают тебя в угол, ты стоишь, бедный, пошевелиться не можешь. Вот это DDoS-атака. Когда мы с ней боремся — все вредоносное идет к нам. Мы плохой трафик перемалываем, отделяем мух от котлет, а хороший доставляем до клиента.
Вообще есть три типа атак. Первый тип — на ширину канала. Например, у интернета дома ширина канала 100 Мбит/с. Если 200 Мбит/с сгенерировать в канал, то он не будет работать. Второй тип — на сетевое оборудование, когда генерируется большое количество запросов и маршрутизаторы не могут справиться с их обработкой. Третий тип — когда атакуют точечно, например, ищется уязвимое место сайта. Обнаруживается, что, например, при большом количестве запросов в базе данных сайт будет очень долго думать, дальше умножается все в 10 раз и небольшим количеством запросов сайт выводится из строя.
— Каких атак нам ждать в будущем?
— Основная угроза — "спящие агенты". Возможно, кто-то уже взломал инфраструктуру компании или госучреждения, находится внутри и ждет отмашки, чтобы включить "бомбу" в будущем. Необходимо готовиться к этому и использовать отечественные решения. Вместо импортозамещения нам нужно стремиться к импортонезависимости.
Сейчас же как? Многие иностранные вендоры уехали из России и перестали выпускать обновления для своих программ, но мы все равно покупаем их через Казахстан. Как тогда российским вендорам строить бизнес? Нужно покупать наши отечественные продукты, чтобы тестировать их, определять их возможности и давать обратную связь разработчикам.
Это особенно важно с точки зрения информационной безопасности. Многие отечественные компании попадают в ловушку, переводя трафик на зарубежных вендоров, которые бесплатно защищают их, но при этом получают ключи шифрования. Это очень опасно, потому что все персональные данные проходят через зарубежные серверы, потенциально подверженные вмешательству других стран.
При желании можно подменить часть статей на новостных сайтах, например. Такого еще не происходило, но это реально
Кстати, на днях я наблюдал очень интересную картину: произошло громкое медийное событие в инфополе касательно СВО. Через 10 минут после публикации оперативных данных со стороны России крупные СМИ подверглись DDoS-атакам и перестали функционировать. Кто-то пришел под защиту к нам, кто-то использовал конкурентов, а кто-то даже не мог понять, что происходит, пока мы не пришли на помощь.
Самое интересное, что в это же время на зарубежных СМИ начала появляться уже искаженная информация о событии и быстро разлетаться в ошеломляющих масштабах. Я к тому, что информационная война как инструмент сейчас использует DDoS-атаки. Пока наши СМИ недоступны, их — искажают факты и рассказывают небылицы.
— Вы используете отечественное оборудование в своих центрах фильтрации?
— В центре фильтрации мы используем процессор Intel, потому что другого варианта нет. Однако, так как мы разрабатываем сами софт, мы его быстро адаптируем к нашим отечественным процессорам "Байкал", как только у нас повсеместно данные процессоры появятся. У меня есть план на создание аппаратного комплекса для защиты от DDoS- и веб-атак к концу года. К этому времени, надеюсь, процессоры "Байкал" будут популярны и мы сможем их использовать.
— Что про нейронные сети думаете?
— Во-первых, ChatGPT или Midjourney, если вы их имеете в виду, — зарубежные решения, и их использование или встраивание в системы является неправильным подходом, с моей точки зрения. Однако ChatGPT решает феноменальные и интересные задачи. Возможно, в будущем джуниор-разработчики будут не нужны, но появится много операторов ChatGPT, которые будут грамотно составлять запросы к нейросети. Но сложный код ChatGPT все еще не может генерировать самостоятельно.
Наша компания внедряет искусственный интеллект, но возникает сложный этический вопрос: стоит ли доверять нейронным сетям в области информационной безопасности? Нейронная сеть может иметь уязвимости еще на этапе обучения — злоумышленник мог подменить данные в тот момент. Или мог узнать принципы, по которым нейронная сеть делает выводы, и подделать параметры для прохождения через нее. Тем не менее мы уже закончили процесс RnD (Research and Development — исследование и разработка — прим. ТАСС) и готовы тестировать нейросеть, которая определяет с точностью до 90%, кто заходит на сайт: автоматизированная программа или человек. С первого запроса она анализирует более 50 параметров, сравнивая их веса между собой, и принимает соответствующие меры защиты.
Мы уже подали заявки на патенты, так как автоматизированный анализ показал интереснейшие взаимосвязи, которые наши математики не замечали до этого. На следующий год хотим создать нейронную сеть, которая будет обучаться под клиента. Например, можно использовать эту систему для борьбы с ботами, которые добавляют товары в корзину на сайте, но не покупают их, а просто сохраняют значение цены и передают его конкурентам. Живые аналитики этим долго занимаются, а наша система может очень быстро предотвращать подобные атаки. В настоящее время мы работаем над ее внедрением и полностью доверяем ей. Однако это не значит, что мы планируем увольнять своих аналитиков и инженеров. Наоборот — она разгрузит аналитиков, которые занимаются обработкой и принятием решений, так как нейросеть должна работать вместе с людьми, а не заменять их.
— В чем кайф вашей работы?
— Начинал я с должности дежурного инженера, всегда бежал на работу, потому что там мог заниматься техникой и изучать хакерские атаки. Интересно, что многие считают хакеров мастерами своего дела. Однако, работая в этой области, ты должен быть на шаг впереди хакера, быть еще умнее его. Сейчас я являюсь членом правления Ассоциации руководителей служб информационной безопасности (АРСИБ). У нас много направлений деятельности, в том числе проведение Кубка России по CTF (CTF — Capture the flag, цель: захватить флаг соперника — прим. ТАСС). В этом году он пройдет в конце года, в нем примут участие лучшие команды со всей страны. Я смотрю на ребят, которые участвуют в CTF, и вижу у них тот же огонь в глазах. Некоторым предлагаю потом работу.
Еще мы проводим летнюю школу CTF, где собираем ребят со всей России и на практике обучаем их пентесту (тестирование на проникновение — прим. ТАСС), криптографии и другим направлениям, чтобы они могли потом быть классными "безопасниками". Я считаю, что важно думать не только о настоящем, но и о будущем.
Я очень люблю своих детей и часто думаю, в каком будущем будут жить они
— Что рассказываете детям о своей работе?
— Я старался привить им близкие мне темы информационной безопасности и программирования, но "насильно мил не будешь". Старший сын выбрал более близкое для него направление — GameDev.
Теперь направляю свое рвение на других детей — читал недавно лекцию для школьников. Меня просили не углубляться в технические детали, поскольку они были с разным техническим опытом, даже совсем новички. Я сравнил IP-адрес с номером квартиры в доме, дом — с автономной системой, а маску сети — с забором. Ассоциациями я пытаюсь донести до ребят, как вообще работает интернет, а уже потом говорить о безопасности сетевого контура и защите от разного рода атак. Кстати, на CTF есть ребята по 14 лет, которые жару дадут многим специалистам. Это мое поколение брало знания из библиотек, сейчас дети рождаются уже подключенными к сети.
Главное, чтобы искусственный интеллект не портил жизнь человека, не использовался во зло, так как это может иметь серьезные последствия. Многие аспекты нашей привычной жизни неразрывно связаны с интернетом. Недавние исследования показали, что самым опасным типом атаки является фишинг, использующий искусственный интеллект. Нейронная сеть может быстро получить всю необходимую информацию о жертве, разработать индивидуальную стратегию фишинга и даже сгенерировать голос, чтобы позвонить и обмануть человека. Атака с использованием искусственного интеллекта доходит до цели быстрее, чем человек-профессионал.
— Значит ли это, что в будущем будет сражение двух искусственных интеллектов — защищающего и атакующего?
— Искусственный интеллект необходим для автоматизации рутинных процессов. Его можно использовать и для проведения хакерских атак. Нет ничего сложного в том, чтобы обучить нейронную сеть множеству методик, как делать пентесты и проникать в системы. Главное — предоставить ей необходимые данные, обучить и дать инструменты.
Раньше угрозу сдерживала проблема обработки больших объемов данных и недостаток вычислительных мощностей. Сейчас доступны квантовые технологии, которые потенциально снимают все ограничения. Но и специалисты по кибербезопасности получат доступ к ним. Короче, вечное сражение меча и щита.
— Если бы вы могли атаковать кого угодно, кого бы вы атаковали?
— Начнем с того, что мы предоставляем услугу по стресс-тестированию инфраструктуры, которая включает DDoS- и ботовые атаки, для наших клиентов. Но только при наличии официального разрешения и соответствующего пакета документов. Мы не атакуем никого без разрешения, у нас нет личных мотивов для проведения таких атак.
Однако есть кейсы, когда мы использовали атаку для тестирования нагрузки на систему. В одном из таких случаев мы провели атаку, генерируя 100 тыс. пользователей в секунду, что привело к падению сайта. Коллеги выявили баги и подтюнили систему, добавив мощности. Мы провели еще одну атаку, уже на 200 тыс. человек, и снова проверили, выдержит ли система. В итоге довели количество пользователей до 1 млн в секунду. Клиент хотел узнать, выдержит ли их система такую нагрузку. Выдержала.
Возвращаюсь к вопросу — не могу на него ответить про атаку, но недавно был в командировке в одной из дружественных стран, и меня заинтересовала возможность сотрудничества с ними. Вся страна зависит от одного оператора связи. Их интересовала как раз наша система защиты. Общаясь с представителями оператора, я осознал, что мы, по сути, спасаем не только эту компанию, а всю страну. Мы сейчас открываем много узлов фильтрации в ближнем СНГ, и я смотрю на это не только как на заработок, но и как на возможность защиты страны.
Для меня это очень важный момент — я патриот. В начале обсуждения ребята из Минцифры предупредили меня: "Артем, вы понимаете, что мы сейчас будем с вами сотрудничать и вы потеряете хлеб? Вы нам сдадите всех злоумышленников в России, поможете защититься от зарубежных атак, но это же ваш хлеб, а мы его отбираем". В итоге мы начали сотрудничество, несмотря на эти факторы, потому что для нас важен сам процесс защиты страны.
Знаете, есть мем "русский хакер"? Я считаю, что сегодня образ русского "безопасника" стал круче. Нас атакуют не только с Украины, нас атакует весь мир, а мы держимся, и это дает нам колоссальный опыт в сфере защиты.
Это драйвит всех моих сотрудников — так мы можем создать лучшие продукты защиты, делая хорошее дело для нашей страны