В 2015 году Агентство передовых исследований в сфере разведки (IARPA, подразделение Национальной разведки США) начало поиск технологий, которые бы не просто предсказывали кибератаки, но и заранее предоставляли подробности о них: например, какие слабые места окажутся под ударом и какое цифровое оружие будет использовано.
Технология предсказания
В марте 2019 года проект был завершен, и американскому Forbes удалось узнать об итогах проекта CAUSE (Cyberattack Automated Unconventional Sensor Environment, «Среда для нестандартных автоматизированных детекторов кибератак»).
На основе всех этих данных Хоппер и его команда из Hyperion Gray ежедневно готовят «прогноз погоды в интернете», который теоретически позволяет спецслужбе «понять, куда дует ветер».
Хоппер добавляет: «Службы безопасности могут пользоваться им, чтобы блокировать источники угрозы до того, как они становятся заметны в сети, или предпринимать другие подходящие профилактические меры».
Хоппер утверждает, что в одной ситуации Omnisense предупредил о готовящейся атаке на сервер, позволяющий подсоединяться к корпоративной сети удаленно, за четыре дня до появления хакеров. После публикации этой статьи представитель IARPA связался с Forbes, чтобы уточнить, что Omnisense и Hyperion Gray существовали до того, как стали частью CAUSE, и исследовательское подразделение службы разведки не участвовало в развитии стартапа.
Исследователь Hyperion Gray не считает, что постоянное сканирование сети нарушает тайну частной жизни, потому что интернет по своей природе — это открытое пространство, но все же позволяет людям добавлять Omnisense в черный список, чтобы программа не могла за ними следить. Все, кого раздражает сканирование, будь то добросовестная компания или частное лицо, могут попросить его прекратить. На сегодняшний день множество людей обратились к нему с таким запросом: от британских фермеров до правительства Индии.
Роберт Рамер, менеджер CAUSE из IARPA, сообщил Forbes, что программа CAUSE нацелена на прогнозирование кибератак, а не идентификацию конкретных людей: «Данные, собранные исследователями, должны находиться в открытом доступе и быть получены законными методами», — добавил он.
Сканирование рынка
Масштабное сканирование сети — не новость, но несколько стартапов пытаются превратить его в полезный инструмент обеспечения кибербезопасности. Еще одна молодая компания, GreyNoise Intelligence, предоставляет похожие услуги и утверждает, что отслеживает весь «фоновый шум» в сети, большую часть из которого производят недобросовестные хакеры.
Гендиректор GreyNoise Эндрю Моррис сообщил Forbes, что он продает данные одному из участников программы CAUSE, но отказался рассказать, кому именно. В числе подрядчиков BAE Systems, Charles River Analytics, Leidos и Университет Южной Калифорнии. На этой неделе GreyNoise объявил, что получил $600 000 в рамках посевного раунда, хотя выпустил продукт на рынок только в декабре.
Моррис говорит, что некоторые клиенты уже используют его инструменты для прогнозирования кибератак. А Hyperion Gray рассказал, что первый пользователь Omnisense — HYAS, компания, занимающаяся киберразведкой.
Хоппер говорит, что, хотя создать «систему прослушивания» легко, получить ценную информацию намного сложнее. «Это огромное количество данных, — говорит он. — Я активно занимаюсь мониторингом безопасности [уже очень давно] и потрясен самим объемом сканирования и брутфорсинга. Не перестаю удивляться их частоте». Он отметил, что Omnisense уже используют несколько первых клиентов.
При этом есть области, где Omnisense и продукты конкурентов пока не могут предоставить защиту. В частности, при точечной (таргетированной) атаке, нацеленной на конкретного человека посредством уникальных методов. «Если кто-то садится за компьютер и решает напасть на другого человека, это чрезвычайно трудно предотвратить», — говорит Хоппер.
