«Это как в том анекдоте, — говорит Гиль Швед. — Тебе не нужно бежать быстрее льва — нужно просто бежать быстрее, чем твой друг». Он говорит о киберугрозах, с которыми сталкиваются правительства и частные организации. Его логика простая: если вас легко атаковать, то вас будут атаковать. «Так что вам надо просто сделать вашу сеть и системы более защищенными от проникновения, чем у других», — объясняет он.
Швед знает, о чем говорит. Он — генеральный директор израильской компании Check Point, одной из крупнейших и самых влиятельных структур в области кибербезопасности в мире. Свое состояние он заработал на создании информационной системы для обеспечения безопасности бизнеса. С недавних пор деньги ему также приносят расследования в отношении хакеров, выявление их методов и определение уязвимых элементов программного обеспечения, которое используем мы все.
Я говорил со Шведом на конференции CPX 360, которую его фирма проводит в Новом Орлеане. Несколько тысяч человек зарегистрировались на мероприятие, чтобы обсудить главные новости и новые достижения в кибербезопасности. «Интернет вырос в тысячу раз больше, чем мы могли себе представить, — говорит Швед, — так же, как и Check Point».
Я спрашиваю его о конференции — это интересное событие практически для всех игроков отрасли. «Больше шума и хаоса, чем когда-либо, — говорит он, — но это и неудивительно: здесь собралась вся кибераудитория». Фоном почти непрерывно звучат сообщения о том, как Россия и Китай продолжают проводить гибридные кампании против США и их союзников. Прошло всего несколько недель после убийства иранского генерала Касема Сулеймани, и угроза со стороны Ирана ощущается. А китайскую Huawei недавно допустили к созданию инфраструктуры для 5G-сетей в Великобритании, что вызвало ярость США.
Когда Швед говорит о безопасности сетей, его стоит послушать. В конце концов, это человек, которому приписывают изобретение брандмауэра. «Я жил в маленькой стране, в Израиле, — говорит он. — Мы чувствовали себя изолированными от остального мира. Интернет казался революционным решением. Но оставался вопрос безопасности: как нам не впустить кого-то чужого в нашу сеть? Поэтому мы объединили хорошую IT-идею со спросом на самом революционном рынке. Мы создали Check Point».
В последние недели Check Point неоднократно оказывался в центре внимания, указывая на критические уязвимости в облачном сервисе Microsoft Azure, мессенджере WhatsApp, видеоплатформе Zoom и даже в умных лампочках Philips. Команда исследователей поставила себе цель доказать, что взломать можно абсолютно все. Девиз Check Point: «профилактика лучше защиты». При этом компания указывает на выявленные проблемы компаниям и ждет, когда их исправят, после чего публикует свое исследование.
Самые интересные направления исследований компании посвящены темному миру правительственных угроз и преступных сетей. Во время нашей встречи Швед говорит о размытых границах между правительственными хакерами и организованной преступностью. Инструменты и методы одни и те же, меняются только цели — хотя некоторые группы одновременно работают на обе стороны.
«Мы стараемся защищать сразу от всего, — говорит он мне. — Если анализировать самые продвинутые вредоносные программы, станет понятно, что они очень хороши. Но если вы защищаетесь на нужном уровне, провести атаку все равно будет нелегко. Если же в вашу сеть легко попасть, то ждите, что этим кто-то воспользуется».
Но Швед подчеркивает, что мир нельзя просто поделить на добро и зло. Запад сталкивается с угрозами со стороны хакеров из Китая и России, Ирана и Северной Кореи, а его компания работает и на этих рынках. «Но не в Иране, конечно», — уточняет он.
После убийства Сулеймани СМИ предупреждали о потенциальных мощных кибератаках со стороны Тегерана и подконтрольных ему сил. Check Point же настаивал, что такая реакция маловероятна. Компания объяснила, что, по ее мнению, Иран не станет демонстрировать свое самое мощное кибероружие, поскольку считает время неподходящим, а риски от его раскрытия — слишком высоки. Пока что происходящее подтверждает точку зрения Check Point.
Характерная черта киберпротивостояния между США и Ираном — это разница в арсенале, который находится в их распоряжении. Кибератаки Ирана на США я бы сравнил с попытками забросать танк камнями. Именно это, по-моему, и вынуждает Тегеран перейти к более легким мишеням — коммерческому сектору, вредоносным программам для массового рынка — и держаться подальше от более закаленных оборонного и государственного секторов.
Но Швед считает иначе. «Самое страшное, — говорит он, — это то, что в вопросах традиционной обороны мы привыкли считать, что, если у сверхдержавы есть оружие, то нам не надо бояться, не надо беспокоиться, что его используют против нас. Но в кибербезопасности все устроено иначе. Если у США или любого другого государства есть оружие, рано или поздно о нем станет известно и рано или поздно оно окажется в руках у любого подростка, любого правительства и криминальной организации. Поэтому нам нужно работать одновременно со всеми угрозами».
В сентябре прошлого года Check Point сообщил, что китайские хакеры расставляют «капканы» и устанавливают в своих сетях компьютеры для перехвата эксплойтов Агентства национальной безопасности, продвинутого кибероружия США. «Китайцы хотят иметь те же возможности, что и США, — рассказал мне тогда один из исследователей фирмы. — Но они хотят добиться равенства не с помощью инвестиций, а с помощью мошенничества».
Так, семь лет тому назад, зародилось исследовательское подразделение бизнеса. «За последние десять лет многое изменилось, мир стал намного, намного сложнее, все теперь открыто. Мы построили крепкую стену, но осталось много окон и дверей. Надо обращать внимание не только на сеть, но и на многое другое. Это касается и мобильного телефона, и облачных сервисов, и интернета вещей. Мы все за пределами периметра. Потребность в более качественной защите растет, как и потребность понимать уязвимости».
Сейчас киберинструменты связаны с традиционными методами ведения войны теснее, чем когда-либо: мы уже наблюдали атаки в одной сфере и ответные действия в другой. Помимо кибератак, происходят гибридные военные кампании: манипуляции социальными сетями и традиционными СМИ. По мнению Шведа, условия игры сейчас стали намного справедливее, чем раньше.
«Риск в том, что эти инструменты попадут к злоумышленникам и будут использованы против нас. Мало кто может позволить себе содержать истребитель, — говорит он, — но поддержание программы или атака на систему не требуют таких ресурсов. И в ближайшие пять лет лучше не будет: к сожалению, будет только хуже».
Швед напоминает о недавних кибератаках в Балтиморе и Новом Орлеане. «Некоторые из этих программ-вымогателей основаны на эксплойтах и уязвимостях, разработанных АНБ. Злоумышленники получили доступ к их методам и теперь применяют их против нас».
Сложно говорить о гибридных войнах, не упоминая Россию, особенно когда все внимание обращено на выборы в США и роли, которую Россия, возможно, в них сыграет. В сентябре прошлого года, через несколько недель после заявлений о китайских «капканах», Check Point заявила о существовании так называемой российской сети киберугроз. Широчайший арсенал, предназначенный для нападений со всех сторон при минимальном риске обнаружения.
«Мой взгляд на мир прост, — говорит Швед. – Наша задача — предотвращать кибератаки. Если мы обнаружим их после того, как они произошли, будет слишком поздно. Если взглянуть на отрасль, станет понятно, что 80% инноваций касаются обнаружения, а не профилактики. В условиях традиционной войны, если вы что-то находите, у вас есть время отреагировать и минимизировать ущерб. В кибермире все наоборот. Когда кибератака происходит, ущерб уже причинен. Вирусы намного быстрее вас».
Швед считает, что исследования – это часть естественного развития киберзащиты. По его словам, пока мир зациклен на обнаружении и перехвате, ответ лежит в области поведенческого анализа, многовекторной защиты, понимания, что угроза скорее всего поступит со стороны наивного пользователя и сообщения на мобильный телефон, написанного с учетом принципов социальной инженерии, а не со стороны подбора пароля к корпоративным системам.
«Если спросить людей, они скажут, что не сталкивались с атаками на телефоны. Причина в том, что большинство атак на телефоны нужны, чтобы украсть персональные данные и использовать их где-то еще — например, в вашем банковском счете или облачном сервисе».
В конце беседы Швед возвращается к главной теме. «Проблема не в том, что страна X нападет на страну Y. Не в том, что мы нападем на Китай или Китай – на нас. Новый крупный риск заключается в том, что кто-то получит инструменты, разработанные кем-то еще, и применит их против нас. Вот реальный риск, против которого нам следует защищаться».
Его совет прост и предсказуем. Устанавливайте патчи, обновляйте системы, используйте доступные инструменты для защиты ваших сетей и устройств. «Это как в медицине — вам не нужен диплом врача, чтобы соблюдать профилактику и, например, делать прививки», — убеждает он.
Слова Шведа значат, что вредоносные программы, разработанные на Западе, должны волновать нас ничуть не меньше, чем программы, разработанные где-либо еще. «Любые вирусы мира могут атаковать кого угодно, как обычно и бывает. Это сложность, которая характерна только нашей сфере».