Разведка США поддержала стартап, который предсказывает кибератаки
В 2015 году Агентство передовых исследований в сфере разведки (IARPA, подразделение Национальной разведки США) начало поиск технологий, которые бы не просто предсказывали кибератаки, но и заранее предоставляли подробности о них: например, какие слабые места окажутся под ударом и какое цифровое оружие будет использовано. Технология предсказания В марте 2019 года проект был завершен, и американскому Forbes удалось узнать об итогах проекта CAUSE (Cyberattack Automated Unconventional Sensor Environment, «Среда для нестандартных автоматизированных детекторов кибератак») Одна из команд, участвующих в программе, рассказала Forbes об инструменте OmniSense, который она разработала для проекта CAUSE совместно с Университетом Южной Калифорнии. Управляемый из «материнского» дата-центра, находящегося в подвале компании Hyperion Gray, где работает исследователь программного обеспечения Джейсон Хоппер из Новой Шотландии (Канада), Omnisense постоянно наблюдает за Интернетом. Его «прослушивающие серверы» разбросаны по всей планете. Они отслеживают трафик, проходящий по Сети, и пытаются вычислить IP-адрес каждого сервера, выполняющего определенные действия, такие как поиск уязвимостей или попытки угадывать пароли компьютеров методом перебора (также известного как «брутфорсинг») на устройствах, подключенных к интернету. Как только Omnisense находит заслуживающий интереса сервер, он проводит «глубокую проверку» в поиске всех программ, запущенных на хосте, и любых доменных имен, связанных с этим IP-адресом, прежде чем выставить оценку уровню угрозы. На основе всех этих данных Хоппер и его команда из Hyperion Gray ежедневно готовят «прогноз погоды в интернете», который теоретически позволяет спецслужбе «понять, куда дует ветер». Хоппер добавляет: «Службы безопасности могут пользоваться им, чтобы блокировать источники угрозы до того, как они становятся заметны в сети, или предпринимать другие подходящие профилактические меры». Хоппер утверждает, что в одной ситуации Omnisense предупредил о готовящейся атаке на сервер, позволяющий подсоединяться к корпоративной сети удаленно, за четыре дня до появления хакеров. После публикации этой статьи представитель IARPA связался с Forbes, чтобы уточнить, что Omnisense и Hyperion Gray существовали до того, как стали частью CAUSE, и исследовательское подразделение службы разведки не участвовало в развитии стартапа. Исследователь Hyperion Gray не считает, что постоянное сканирование сети нарушает тайну частной жизни, потому что интернет по своей природе — это открытое пространство, но все же позволяет людям добавлять Omnisense в черный список, чтобы программа не могла за ними следить. Все, кого раздражает сканирование, будь то добросовестная компания или частное лицо, может попросить его прекратить. На сегодняшний день множество людей обратились к нему с таким запросом: от британских фермеров до правительства Индии. Роберт Рамер, менеджер CAUSE из IARPA, сообщил Forbes, что программа CAUSE нацелена на прогнозирование кибератак, а не идентификацию конкретных людей: «Данные, собранные исследователями, должны находиться в открытом доступе и быть получены законными методами», — добавил он. Сканирование рынка Масштабное сканирование сети — не новость, но несколько стартапов пытаются превратить его в полезный инструмент обеспечения кибербезопасности. Еще одна молодая компания, GreyNoise Intelligence, предоставляет похожие услуги и утверждает, что отслеживает весь «фоновый шум» в сети, большую часть из которого производят недобросовестные хакеры. Гендиректор GreyNoise Эндрю Моррис сообщил Forbes, что он продает данные одному из участников программы CAUSE, но отказался рассказать, кому именно. В числе подрядчиков BAE Systems, Charles River Analytics, Leidos и Университет Южной Калифорнии. На этой неделе GreyNoise объявил, что получил $600 000 в рамках посевного раунда, хотя выпустил продукт на рынок только в декабре. Моррис говорит, что некоторые клиенты уже используют его инструменты для прогнозирования кибератак. А Hyperion Gray рассказал, что первый пользователь Omnisense — HYAS, компания, занимающаяся киберразведкой. Хоппер говорит, что, хотя создать «систему прослушивания» легко, получить ценную информацию намного сложнее. «Это огромное количество данных, — говорит он. — Я активно занимаюсь мониторингом безопасности [уже очень давно], и потрясен самим объемом сканирования и брутфорсинга. Не перестаю удивляться их частоте». Он отметил, что Omnisense уже используют несколько первых клиентов. При этом есть области, где Omnisense и продукты конкурентов пока не могут предоставить защиту. В частности, при точечной (таргетированной) атаке, нацеленной на конкретного человека посредством уникальных методов. «Если кто-то садится за компьютер и решает напасть на другого человека, это чрезвычайно трудно предотвратить», — говорит Хоппер. Перевод Наталья Балабанцевой Мир на пороге мировой кибервойны: как США и Россия обменялись киберударами