Анастасия Тихонова: «Нам крупно повезло, что атаки APT пока еще не привели к массовым человеческим жертвам»



    У нас новый проект: начиная с этого поста мы будем знакомить вас с профессиями и ведущими специалистами Group-IB, расскажем об их работе, исследованиях и кейсах, о том, как и где можно пройти обучение и, конечно, дадим ссылку на актуальные вакансии. Первый гость — Анастасия Тихонова, ее интервью мы даем прямой речью и, что называется, без купюр.
    Профайл:
    Имя: Анастасия Тихонова.
    Должность: Руководитель отдела исследования сложных киберугроз Департамента Threat Intelligence Group-IB.
    Профессия: Threat Intelligence & Attribution Analyst.
    Возраст: 29 лет.
    Специализация: Киберразведка.
    Чем известна: Более 9 лет работает в сфере информационной безопасности, последние четыре года исследует прогосударственные хакерские группы (APT).

    С чем я имею дело: APT, киберармии, шпионаж и диверсии


    Прямо сейчас мы все являемся свидетелями глобальной гонки кибервооружений — разработки нового цифрового оружия, использования уязвимостей нулевого дня (0-day), тестирований новых средств доставки и распространения вредоносных программ. Свои киберармии есть у Китая, Северной Кореи, у США, у Ирана, и в эту гонку включились Турция, Индия, Казахстан, страны Южной Америки. Я уже более трех лет, с 2017 года, изучаю APT (Advanced Persistent Threat) — сложные целевые угрозы, атаки спецслужб или, как их еще называют, прогосударственные хакерские группы и вижу, как каждый год появляется 4-5 новых групп. Сейчас в мире действуют более 70 групп, не считая тех, кто временно “залег на дно” или тех, кто пока еще действует скрыто. Цель большинства APT — кибершпионаж, в меньшей степени саботаж и диверсии. Хотя есть и исключения в лице северокорейской группы Lazarus и многочисленных китайских APT, которые, атакуют криптовалютные биржи, банки и разработчиков компьютерных игр, чтобы заработать.

    Прогосударственные группы — это не обязательно “хакеры в погонах”, которые работают из условного бункера с 9.00 до 18.00. Это могут быть специалисты, которых используют «втемную», или даже киберпатриоты, которые идут на преступление из-за любви к родине (есть и такие!), или профессиональные наемники — хакеры на «зарплате». У нас нет расписок или ведомостей, сколько им платят (и платят ли вообще), но думаю, что выше, чем по рынку. Потому что у них довольно специфическая работа. И риски соответствующие.

    Любая кибератака, независимо от мотива, который преследуют хакеры — это преступление и нарушение законодательства. Недавняя атака в Майами (Флорида) на АСУ ТП водоочистной системы — это история с удаленным входом на компьютер. На машину был установлен TeamViewer для того, чтобы сотрудники могли что-то удаленно контролировать. Аккаунт был запаролен, но злоумышленник смог подобрать пароль. Он логинился два раза и во второй раз изменил количественное соотношение гидрооксида натрия в настройках интерфейса на такое, которое могло бы потенциально нанести существенный ущерб здоровью людей. Сотрудник компании, увидев это, тут же изменил настройки обратно на безопасные. И это не сюжет из киберпанк-сериала. В позапрошлом году северокорейским хакерам удалось добиться остановки энергоблоков на АЭС «Куданкулам» в Индии, предположительно скомпрометировав рабочую станцию довольно высокоуровневого сотрудника. 
В 2020 году в Израиле атакующим также удалось получить доступ к системам очистки воды и они даже удаленно пытались изменить уровень содержания хлора, что вызвало бы волну отравлений. Нам крупно повезло, что атаки APT пока еще не привели к массовым человеческим жертвам.

    Крупные APT-группировки являются трендсеттерами — тактики и процедуры, которые они используют в своих атаках, берет на вооружение и обычный киберкриминал. Например, после использования в 2017 году шифровальщиков WannaCry, BadRabbit и NotPetya прогосударственными группами мир захлестнула настоящая эпидемия криминальных атак ransomware — с их помощью можно заработать не меньше, чем в случае успешной атаки на банк, при том, что техническое исполнение и стоимость атаки значительно проще. Даже такие “классические” финансово мотивированные преступные группы как Cobalt и Silence, раньше атаковавшие банки для хищения и вывода денег, переключились на использование шифровальщиков и стали участниками приватных партнерских программ. По нашим оценкам, ущерб от атак шифровальщиков — а их было около 2000 — за прошлый год составил как минимум $1 млрд. И это по самым скромным подсчетам.

    Немного личного: как я пришла в профессию и о тонкостях Threat Intelligence


    Мне кажется, что в инфобез я попала не случайно. В детстве я хотела стать полицейским. А в 10 классе пыталась поступить в Академию ФСБ — я из семьи военнослужащих. До Group-IB я год проработала в антивирусной компании, и уже там часто замечала в прессе новости про Group-IB: выпустили новое исследование, провели расследование, участвовали в задержании. В то время на рынке ИБ-компаний было совсем немного игроков, и уже тогда Group-IB выделялась своей нетерпимостью к киберпреступности, ставкой на технологии, и мне стало интересно узнать, какие возможности для развития здесь есть. Когда я пришла в 2013 году в Group-IB, наш департамент Threat Intelligence назывался просто отделом аналитики, и мы занимались абсолютно разными вопросами: от исследований хактивистов до помощи отделу расследований с идентификацией хакеров и установлением их личностей. За семь лет наш отдел из трех человек вырос до департамента Киберразведки с более чем тридцатью сотрудниками.

    Киберразведка бывает разная. Сейчас очень часто Threat Intelligence и рынок TI-инструментов сводится к отправке клиентам банальных «черных списков» – списка «плохих» адресов, «плохих» доменов. Для нас, в Group-IB, Threat Intelligence & Attribution – это знание об атакующих, нам уже недостаточно просто анализировать угрозы. Как говорит наш CTO Дима Волков, когда вы сталкиваетесь с реальной угрозой̆, вам нужен ответ на один из важных вопросов: кто вас атакует и с помощью чего? Кроме этих данных мы даем клиентам инструменты для работы и предоставляем наш собственный сервис, который перекладывает часть активных задач на плечи наших специалистов, которые уже обладают необходимым опытом и навыками. Многое теперь делает за нас машинный интеллект и автоматизированные системы. Но это не отменяет «тонкую ручную работу».

    Одно из моих первых больших исследований было на тему атак на Россию хакеров, которые поддерживают ИГИЛ. Об этом тогда Forbes писал: “Хакеры-исламисты из группировок Global Islamic Caliphate, Team System Dz, FallaGa Team атаковали около 600 российских сайтов госведомств и частных компаний”. Мы тогда ещё в полуручном режиме получали доступ к андеграунду: я заходила на хакерские форумы, регистрировалась, собирала различную полезную информацию и данные для киберразведки (Threat Intelligence), и на их основе делала отчеты для наших клиентов. В какой-то момент мне стало просто скучно уже заниматься андеграундом, захотелось задачек посложнее, и мой руководитель, Дмитрий Волков, CTO Group-IB, предложил сделать исследование про одну из китайских APT. С этого все и началось.



    В моей работе нужно быстро шевелить мозгами, руками… да вообще шевелиться. За один день у нас может быть исследование атак прогосударственных группировок из Китая, потом ты видишь, как прилетела сработка на правило детекта по нигерийцам (недавно была совместная операция с Interpol), а к вечеру вообще окажется, что кто-то DDOS-ит клиента от имени российских хакеров…

    Девушка в инфобезе? Ну да, и что? Терпеть не могу такие вопросы. Как говорится, «talent has no gender». Не важно какого ты пола, ты можешь быть отличным аналитиком, рессерчером, а можешь и не быть им.

    Работа как она есть: немножко внутрянки


    Мой обычный день начинается с чашки кофе и твиттера. У меня неплохая база подписок — там и исследователи, и журналисты, на кого я подписана, и кто подписан на меня. В этой соцсети инфобез обменивается данными о различных атаках, отчётами вендоров. Например, очень интересные расследования делает сейчас корейская компания ESRC. Еще я подписана на парочку профильных телеграм-каналов по APT. Здесь комьюнити работает очень четко: если один исследователь нашел управляющий сервер хакерской группы и сбросил данные в телеграм-канал, ему помогают доисследовать и скидывают информацию по этому кейсу. Любая вброшенная тема про APT обычно очень быстро обрастает интересными подробностями, а вот к киберкрайму и фишингу интерес не такой повышенный. Ну может быть за исключением популярного ransomware.

    Работа над любым кейсом начинается с аналитики. Как правило, перед тем, как я начну ресерч, у меня уже есть пул информации: как нашей, так и чужой (от других вендоров или аналитиков). Я начинаю раскручивать обнаруженные идикаторы: хеши троянов, вредоносных документов, домены, ссылки и так далее, которые использовались, и тестирую все это на возможность дополнения этих индикаторов нашими данными, которые ещё никто не видел, такое часто бывает. Мои рабочие инструменты — наши разработки Threat Intelligence & Attribution, сетевой граф Group-IB — с их помощью я довольно быстро нахожу дополнительные индикаторы компрометации и отправляю их в виде оповещения для клиента. Благодаря этому у клиентов есть возможность предотвратить атаку и заблокировать нежелательную активность.


    На фото: пример исследования инфраструктуры группы с использованием сетевого графа Group-IB


    У нас есть исторические связи групп и хакеров в комьюнити, данные киберпреступников за несколько лет. Это ценные данные — почта, телефоны, мессенджеры, база доменов и IP, данные, связанные с рассылками вредоносных программ. Например, в базе Group-IB TI&A, все домены, когда-либо используемые злоумышленниками с историей их изменений за 17 лет. Мы можем говорить о специфике, “почерке” каждой отдельной преступной группы. Мы знаем, что одна группа использует одни и те же серверы, или регистрирует доменные имена у двух любимых провайдеров. Все эти данные мы загружаем в External Threat Hunting системы Group-IB и получаем на выходе то, что сейчас можно называть эффективный threat hunting.

    Все, даже очень умные киберпреступники, совершают ошибки. Бывает так, что ты долго сидишь, мониторишь персонажа, пытаешься найти какие-то дополнительные аккаунты и не можешь найти…. А потом вдруг видишь, что он на выложенном в интернет скриншоте или старом фотоснимке указал свою личную почту. Приходится копать глубже, deeper analysis. Ты уже начинаешь искать дополнительные аккаунты, людей, которые могли с ним взаимодействовать, если вычисляешь конкретный город, получаешь уже больше информации, иногда бывает, что ты уже знаешь улицу. Что может быть подсказкой? Это может быть фотография из соцсетей, или фотография в инсте его девушки, нет девушки — ищи в тиндере и так далее — проще говоря OSINT, разведка на основе открытых источников. Этим инструментом обладают все технические подразделения Group-IB, но у каждого свой OSINT.

    Нас исследуют тоже. Вы думаете нас, Group-IB, не пытались атаковать? Мы противостоим самой настоящей киберпреступности, нам пытаются угрожать, «приветы» присылали. Не как Кребсу, конечно, другие приветы, чаще с ВПО.

    В конечном итоге вся моя аналитика нужна для того, чтобы предотвращать киберпреступления. Это кажется научной фантастикой, но мы можем предсказывать атаки еще до того, как хакеры и APT совершают их. Еще на этапе подготовки инфраструктуры мы выявляем атаки и предупреждаем клиентов. Кроме того, данные Threat Intelligence & Attribution обогащаются информацией из darkweb, с подпольных хакерских форумов и используются в других наших решениях, позволяя аналитикам увидеть наиболее полную картину угроз и атрибутировать преступную деятельность с предельной точностью.



    От Кореи до Карелии: ландшафт APT


    Если сравнивать разные APT, то “инженерный оргазм” по меткому выражению нашего босса — Ильи Сачкова — я испытываю от северокорейских групп. Мне “нравится” их подход — они вдумчиво и нестандартно подходят к своей работе. Например, на этапе разведки и пробива проводят супер-реальные собеседования с «кандидатами», играют вдолгую, не вызывая подозрений. Плюс у них, действительно есть интересные инструменты, которые они постоянно развивают. Изначально они начинали с классического кибершпионажа против Южной Кореи и США, со временем стали универсальными солдатами, способными похитить деньги, ценную информацию или устроить диверсию. Из года в год такие северокорейские группировки как Lazarus и Kimsuky показывают стабильное развитие методов атак и своих инструментов. В прошлом году большое количество атак северокорейских хакеров были направлены на военных подрядчиков по всему миру. Об этом писал «Коммерсант», может вы читаете такую прессу:)

    В Северной Корее, по моему мнению, есть крупная “корневая” группировка — Lazarus, у которой, в подчинении есть разные команды, например, Андариэль, для решения различных непрофильных задач. Кстати, оба названия этих северокорейских APT взяты исследователями из популярной компьютерной игры «Diablo».

    В Иране вербовка сотрудников в APT-группы происходит прямо со студенческой скамьи. Как-то раз мы опубликовали на Хабре статью про иранских хакеров, где в документах оказалась написаны имя и фамилия одного из фигурантов. Мы сначала сомневались — мало ли, чье имя вписано. Однако, оказалось, что когда-то давно была засвечена его почта на хакерских ресурсах, что нас довольно сильно заинтересовало. Распутав всё это мы нашли очень много различных аккаунтов на форумах, которые посвящены обучению использования уязвимостей, что еще больше нас убедило в том, что именно этот человек «блэчер», занимается хакингом. Когда мы опубликовали свои находки, он отписался в твиттере в таком духе «Почему вы так просто обвиняете людей, мало ли, человека могли подставить, либо он оступился?». Через какое-то время он сам удалил это сообщение: оно обличало его с головой.

    Мы не слышим про американские APT, но это не значит, что их нет. Американские группы есть, просто о них почти ничего нет. Зачем тебе много мелких APT-групп, если у тебя есть одна хорошо организованная, которая работает по задачам и шпионит за другими? Риторический вопрос. В США всё тесно связано с АНБ, то есть вот у них, я бы сказала, довольно большая сеть с вот этими 0-day и прочими уязвимостями, инструментами. То, что выложил WikiLeaks — это малая часть того, что есть у АНБ.

    «Русские хакеры», которые работают на государство, это сейчас очень модная и хайповая на западе тема. Хакерские атаки в прессе часто привязывают к той или иной стране, исходя из напряженной политической ситуации — Россия vs США, Израиль vs Иран, Северная Корея vs Южная Корея, а не на основе реальных технических данных, однозначно указывающие на ту или иную группировку. Не будем забывать о том, что группы часто используют «ложные флаги», и пытаются запутать следы. Например, так делал Lazarus. Вообще «русский хакер» это что-то уже из конца 90-х. Нет никаких «русских», есть «русскоязычные» — выходцы из стран постсветского пространства. Да и «русские хакеры — самые крутые» — тоже уже не так: группы перемешаны и состоят из людей разных национальностей.



    Не надо думать, что все просто. APT часто пытаются запутать следы, выбрасывают ложные флаги и “переводят стрелки” друг на друга. Те же иранские MuddyWater начинали с того, что пытались подделаться под Fin7. Если, как в случае с Lazarus, выйти на конкретные айпишники, которые принадлежат Северной Корее, то после этого можно делать заявление о том, что это Северная Корея. И так делают некоторые вендоры. А так ты можешь смотреть только на цели, которые атаковались, смотреть на инфраструктуру, откуда она была взята, и на манеру каких-нибудь комментариев в написании кода, и так далее. Если была атака в Южно-Китайском море, ты можешь предположить, что замешаны страны, интересы которых связаны с этим регионом. И дальше уже начинаешь разбираться, что за инструменты использовались: раз это троян PlugX, то скорее всего, это точно Китай. И дальше мы доходим до инфраструктуры, оказывается, что это, действительно, китайские айпишники.

    Секреты мастерства и список книг для прокачки


    В собственном саморазвитии потолка нет. Я бы хотела поработать в Европе и Азии, потому что там было бы больше шансов обмена опытом с другими специалистами инфобеза, начинаешь понимать менталитет и лучше представлять как бы APT могли работать конкретно в этом регионе. Думаю, что это будет несложно сделать. В позапрошлом году Group-IB открыла глобальную штаб-квартиру в Сингапуре, а в прошлом — европейскую штаб-квартру в Амстердаме. Поскольку инструменты развиваются, а APT-группы не исчезнут никогда — работа у меня будет всегда. Тем более будет востребована моя профессия.

    Мы все супер-многозадачны: часто приходится брать очень много данных из разных источников, анализировать, и это кропотливый процесс. Поэтому для новичка важно несколько качеств: любопытство, усидчивость. Нам необходимо быть в курсе всех политических новостей, в курсе всех типов атак, отслеживать появление новых типов атак или уязвимостей. В большинстве случаев мы берём людей с профильным образованием в информационной безопасности, но так как мой случай не из этих, то возможен вариант с получением опыта на месте. То есть если ты интересующийся человек, привык докапываться до сути, у тебя есть знания в IT (всё равно придётся иметь знания в IT) тогда в принципе на младшего аналитика ты можешь попасть, и уже опытом добиться развития в этой сфере. Главное — целеустремленность и желание развиваться.

    Для того, чтобы погрузиться в профессию или прокачаться как Threat Intelligence аналитик, рекомендую этот небольшой список литературы:

    1. Нестареющая классика от ветерана ЦРУ Ричардса Хойера ( Richards Heuer) «Psychology of Intelligence Analysis», которая описывает особенности нашего мышления, ошибки и ограничения (когнитивные предубеждения), которые генерирует наш мозг. Например, для распознавания неожиданного явления требуется больше однозначной информации, чем для ожидаемого: «We tend to perceive what we expect to perceive».
    2. О базовых принципах и концепциях Cyber Threat Intelligence можно узнать из издания «Threat Intelligence: Collecting, Analysing, Evaluating by David Chismon, Martyn Ruks from MWR InfoSecurity».
    3. Для тех, кто хочет не только в Cyber Threat Intelligence, но и более конкретно разбираться в теме с APT, есть хорошая книга «Attribution of Advanced Persistent Threats: How to Identify the Actors Behind Cyber-Espionage by Timo Steffens». В ней изложен предметный анализ того, как действуют хакеры, какие ошибки они совершают и какие следы оставляют.
    4. Kill Chain, Diamond Model и MITRE ATT&CK — три кита, на которых должны базироваться знания любого аналитика Cyber Threat Intelligence, в связи этим рекомендую три книги: „MITRE ATT&CK: Design and Philosophy с подробным объяснением того, для чего вообще создавался и служит ATT&CK, как происходит его обновление и как его использует сообщество. Обязательно загляните и на сайт MITRE ATT&CK, где уже можно ознакомиться с описанием некоторых групп и их возможностей.
    5. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains by Eric Hutchins, Michael Cloppert, and Rohan Amin — кроме описания самой модели Kill Chain, тут можно встретить примеры, которые также будут полезны для начинающих аналитиков.
    6. The Diamond Model of Intrusion Analysis by Sergio Caltagirone, Andrew Pendergast, and Chris Betz — довольно простая, но полезная книга для понимания основ CTI.
    7. Большой репозиторий с разными исследованиями, которые выпускались вендорами ИБ, можно найти в APTNotes. Обновляется, к сожалению, нечасто, но там можно обнаружить большие интересные кейсы с описанием, как проводился анализ того, как делали атрибуцию, как действуют злоумышленники.
    8. Ну и конечно загляните к нам в блог, и почитайте исследования наших специалистов — на русском языке и на английском

    Как стать Threat Intelligence & Attribution Analyst?




    Для тех, кто заинтересовался профессией Threat Intelligence & Attribution Analyst наша компания готова предложить практический курс по сбору информации о киберугрозах и обогащению процессов кибербезопасности данными TI для эффективного реагирования на инциденты и мониторинга угроз.

    Цель курса Group-IB Threat Intelligence & Attribution Analyst — научить вас собирать значимую информацию из разных типов источников — как открытых, так и закрытых, — толковать эту информацию и выявлять признаки подготовки к атаке. Занятия по программе включают в себя практические упражнения на основе примеров из рабочей практики Департамента киберразведки Group-IB. Такой подход важен для того, чтобы слушатели могли сразу применять полученные знания в своей ежедневной практике.

    Нужно больше информации? Подпишитесь на остросюжетный Telegram-канал Group-IB об информационной безопасности, хакерах, APT, кибератаках, мошенниках и пиратах. Расследования по шагам, практические кейсы с применением технологий Group-IB и рекомендации, как не стать жертвой. Подключайтесь!

    Работа, которая имеет смысл!


    И еще одно важное объявление. Group-IB усиливает команду технических специалистов: стань частью команды и меняй мир вместе с нами! Сейчас открыто 120+ вакансий, в том числе 60 – для технических специалистов. Подробности тут. Group-IB — это новое поколение инженеров. Мы воплощаем смелые идеи, создавая инновационные технологии для расследования киберпреступлений, предотвращения кибератак, слежения за атакующими, их тактикой, инструментами и инфраструктурой.

    Присоединяйся!
    Group-IB
    Компания

    Комментарии 31

      +8
      Одна APT рассказывает какие плохие другие APT.
        +3
        Не заметил в статье оценочного суждения «плохие».
        Скорее — «а вот в мире у нас есть вот такие коллеги, и мы внимательно изучаем, чем они занимаются».
          0
          White hats vs black hats, ничего принципиально нового :)

          Но точка зрения интересная.
          +5
          Свои киберармии есть у Китая, Северной Кореи, у США, у Ирана, в гонку включились Турция, Индия, Казахстан...

          «Русские хакеры», которые работают на государство, это сейчас очень модная и хайповая на западе тема. Хакерские атаки в прессе часто привязывают к стране, исходя из политической ситуации, а не на основе реальных технических данных. Вообще «русский хакер» это что-то уже из конца 90-х. Нет никаких «русских», есть «русскоязычные» — выходцы из стран постсветского пространства.


          Не хочу начинать политический срач, но мне не нравится, когда меня как читателя держат за дурака. Да, западные журналисты действительно могут приписывать «злым русским хакерам» что-то, к чему Россия отношения не имеет (недавно западные журналисты даже про JetBrains схожую дичь писали). Но текст написан так, словно уже у всех есть киберармии, а вот в случае с Россией это выдумки из 90-х и есть только какие-то «выходцы из постсветского пространства» (кстати, «постсветского» — прекрасная опечатка). Ну камон, эти два тезиса просто не матчатся друг с другом — было бы странно, если бы у Китая/США/Казахстана/Турции киберармии были, а у нас не было.
            +2
            Зануда мод он.
            В русском языке «русский» — это национальность. В английском «Russian» — это государственная принадлежность. «Russian hackers», на мой взгляд, лучше переводить как «российские хакеры», в соответствии с государственной принадлежностью, а не «русские» хакеры, и не русскоязычные. В этом плане «русские хакеры» как группировки, сформированные по этническому признаку, скорее всего действительно миф.
            Зануда мод офф.
              +1
              Да, согласен, что «российские хакеры» — более корректный перевод.

              Но тогда получается, что западные журналисты пишут про «российских хакеров», а в хабрапосте сначала некорректно переводят их слова и этим поддерживают миф, а затем опровергают этот же миф, споря с чем-то, чего в источнике и не говорили.

              И за этой борьбой со straw man опускают куда более значимый вопрос «а как реально обстоят дела с российскими хакерами».
                0
                Если этот вопрос действительно более значимый, то, так как Анастасия об этом скорее всего рассказать не сможет, можно загуглить что-то вроде "#RussianAPT" и ознакомиться со взглядом со стороны в оригинале, а не в переводе российских СМИ.
                  0
                  Сформулировал лучше свою претензию:

                  — На списке «стран с киберармиями» задумался, что в нём, вероятно, должна быть и Россия. Тогда решил «вряд ли Анастасия может об этом говорить — хорошо, давайте вынесем Россию за скобки и поговорим об остальном мире, это тоже интересно».

                  — Но дальше Анастасия сама заговаривает о России. Тогда «вынесем за скобки» не работает, и если страну намеренно убрали из списка, это прямая дезинформация.

                  — А всё о России у неё очень однобоко в сторону «ихтамнет»: и это всё хайп, и пресса не смотрит технические данные, и «русские хакеры» — миф из 90-х, и под Россию могут подделываться другие страны. И ни полслова о том, что хайп хайпом, но реальные действия тоже могут вестись.

                  Сочетание «дезинформация+однобокость» делает текст тенденциозным, как передачи Владимира Соловьёва.

                  Вполне допускаю, что умысла писать пропаганду не было, просто NDA так повлияли. Но получилось в любом случае неудачно.
              0
              возможно, автор не может говорить об этом публично.
                0
                Да, вполне вероятно. И это может быть правильно с точки зрения обороноспособности. Но с текстом получаются сразу две проблемы:

                — «Elephant in the room»: он игнорирует явно напрашивающиеся вопросы.
                — И при этом, игнорируя их, он тут же лезет комментировать связанные с ними смежные, только усиливая эти напрашивающиеся. Вот это как-то странно. Не можешь говорить про Россию по существу — ну не говори про неё вообще тогда. Или поставь дисклеймер какой-нибудь.
                  0
                  С 2014-го года существуют и секретом это не является.
                +1

                Естественный вопрос: судьбу Руслана Стоянова повторить не боятся российские специалисты?

                  +3
                  Всегда интересовал вопрос на каком основании та или иная группа приписывается к той или иной стране. Иногда из обычных СМИ возникает впечатление, что это происходит по принципу «ну кто же ещё». Вот, например, вы говорите о северокорейских группах и ссылаетесь на их ip-адреса. Но ведь известно, что Северная Корея ходит в Интернет строго через Китай. Возможно ли, что северокорейские группы — это на самом деле китайские группы, которые просто завернули себе пару подсетей?
                    +1
                    Один из способов: по набору инструментов и цепочке действий тех, кого ранее смогли вычислить по другим признакам. Это своего рода «отпечатки пальцев», люди склонны повторять работающие схемы.
                    +1
                    Одному мне кажется, что угрозы ИБ стали популярны в 2020 году, т.к. тема с массовыми образовательными образовачами уже сдулась? Теперь все резко стали экспертами в ИБ. До этого все были экспертами в коронавирусах, нефти, образовании, блокчейне….

                    В реальности есть одна большая выдумка-страшилка. Главная задача которой стоит в том, чтобы пугать чиновников в разных странах, чтобы они тратили как можно больше бюджетов на так называемую ИБ. При этом у большинства логин и пароль admin admin на куче устройств в мегасетях :) с сотнями тысяч терминалов :)
                      +2
                      А вы эксперт я погляжу. Все выдумка-страшилка. Никаких АПТ не существует. Соларвинд приснился, Эквейшн придумали экстрасенсы, флейм выдумка писателей-фантастов, а десятки репортов которые я писали и сотни которые читал это вобще наркомания. Не делайте выводов по аналогиям из других сфер, в области о которой не имеете не малейшего представления.
                        –2
                        Взломайте меня, тогда обсудим. А я повторюсь — единственное, для чего все это существует — для освоения бюджетов. Выше я описал все тенденции. Основная цель всего этого: деньги. Создавать проблемы и героически их преодолевать.
                        Ну, а кроме шуток: не обижайтесь. А то как-то вы обиженно отвечаете, что якобы вашу работу никто не ценит, а вы в это время бурите астероид вместе с крепким орешком :)
                          +2
                          Еще Вы забыли добавить, что это мы сами пишем все вредносное ПО.
                            0
                            Бесспорно :) т.е. юмора вы не понимаете и начинаете в комментариях токсикозить? Ну, спасибо, что могу вам сказать.
                        +2

                        Согласен. Если компания заботится о своей кибер безопасности она держит специалистов в этой области или нанимает аутсорс. И самое главное — она реально этим интересуется, а не держит их для галочки и не дает им зп под типу сколько зловредов отловил за отчетный период.


                        Админам и безопасникам платят чтоб у них не было работы. Если у них работы много, то с ними что-то не то.

                          0
                          От части да. Просто изначально подход к инфраструктуре нужно планировать. Обычно же и является нормой — создать абы как. Потом побеждать героически трудности. В том числе привлекая аутсорсеров. Хотя изначально достаточно просто не полениться и выполнить ряд операций. Это как помыть руки перед едой, перед и после туалета.
                            0
                            Я даже дополню: не всегда можно предусмотреть все сразу. Наверняка в будущем будут новые потребности. Поэтому система должна изначально архитектурно иметь возможность изменяться типа модульно. И это самое важное.
                            Но чтобы это все предусмотерть нужен грамотный специалист, а я настаиваю, что нужно несколько грамотных специалистов, которые будут дискутировать и родят более годное решение. Вдвоем работать веселее (ну как по мне). Но где таких найти? Наше классное гос-во делает все, чтобы таких людей было все меньше.
                              0
                              Вот тут я к вашему мнению присоединюсь. ИЗ моего окружения (1982 г.р.) уехали уже все, кроме меня (в ИТ секторе). Хороших проектов нет. Остался госсектор, в котором основной принцип при трудоустройстве: «ты чей?». Дальше думаю, все понятно?
                              Мое мнение — мы сильно отстаем и не идем даже своим путем (как Китай).
                        0

                        думаю вы знаете, что я хотел сказать
                          0
                          del
                          0

                          Допишите "^запрещено в России", а то ещё придерётся кто-нибудь

                            +1
                            Ай какая! (^^,)
                            Вообще вся эта история с информационной безопасностью
                            даже в тех же госах по моделям угроз — отдельная тема притянутая с
                            импортозамещением за уши.
                            Сперва ФСТЭК говорит — не надо ничего мострячить по шаблонам,
                            а после обучения и лекций — дают отмашку, делайте по шаблонам.
                              0

                              Сотрудники компании носят форму и имеют звания, судя по шеврону?

                                0
                                Есть такая идея — на Насте один из тестовых образцов. Еще в компании введена система ачивок — наградных знаков, которые торжественно вручаются сотрудникам за успешные спецоперации, исследования, изобретения, победу на соревнованиях и во внутренних конкурсах, а также «выслугу лет».
                                  0
                                  del
                                    0
                                    BadComedian люто одобряет.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое