Дмитрий Волков
Глава направления киберразведки и технический директор (CTO)
Будучи техническим директором, Дмитрий Волков отвечает за все аспекты технологического развития и трансформации компании.
С момента основания Group-IB в 2003, Дмитрий Волков играет ключевую роль в развитии компании на ее пути становления в качестве ведущего экспертного центра по российскому и международному рынку киберпреступности. Первые успешные расследования в России – заслуга его команды, которая к настоящему моменту помогла обнаружить и задержать более 150 киберпреступников, атаковавших государственные и частные компании по всему миру.
Дмитрий Волков является выпускником Московского Государственного Технического Университета имени Н. Э. Баумана, факультета информатики и систем управления (2009).
В 2013, Дмитрий Волков стал членом открытой межгосударственной экспертной группы ООН, собранной с целью проведения всестороннего изучения проблемы глобальной киберпреступности.
В 2015, Волков попал в рейтинг профессионалов, стоящих за успехом влиятельных компаний в сфере кибербезопасности, составленный Business Insider.
В 2016, Волков стал членом консультативной группы Европола по безопасности интернета.
Волков также способствовал созданию департамента киберразведки Group-IB, который снабжает информацией об актуальных киберугрозах компании по всему миру.
Являясь техническим директором и главой Threat Intelligence Group-IB, Волков имеет обширный опыт в компьютерной криминалистике и расследованиях, связанных с бот-сетями, мошенничеством, DDoS атаками и другими высокотехнологичными преступлениями.
Дмитрий Волков, глава направления киберразведки и технический директор (CTO) в Group-IB, рассказал Anti-Malware.ru о том, что такое сетевой граф, как он может использоваться для расследования киберпреступлений и хантинга за атакующими, и почему Group-IB снова пошла своим путем и создала собственный инструмент для графового анализа, включив его в свои продукты.
Меня всегда интересовали техники и сопутствующие им технологии, которые помогают в расследовании киберпреступлений. Понимаю, что раскрывать детали нельзя, но не могли бы вы рассказать о ключевых наработках компании в этом направлении?
Д.В.: В Group-IB с момента основания компании (2003 год. – Прим. ред.) мы работали над созданием уникальной технологической инфраструктуры, которая позволяет проводить расследования киберпреступлений. Как она формировалась? В структуре Group-IB, аналогов которой нет ни в России, ни в мире, есть отдельные подразделения, которые отвечают за реагирования и компьютерную криминалистику, исследования вредоносного кода, киберразведку, расследования киберпреступлений. Для объяснения сути вопроса нам понадобятся именно эти подразделения, хотя структура Group-IB позволяет исследовать, прогнозировать и предотвращать далеко не только те преступления, которыми занимаются эти команды. По сути, нет ни одного цифрового преступления, которое не попадало бы в сферу компетенций компании сегодня.
Так вот. У каждого из подразделений есть свои группы экспертов по разным направлениям и, конечно же, разные технологии и инструменты, узко заточенные под решение именно их задач. Например, киберразведка состоит из групп, которые делятся на Open Source Intelligence (OSINT), Human Intelligence, Data Intelligence, Malware & Botnet Intelligence, APT Intelligence. Каждая из них использует свои инструменты. Некоторые разработаны в Group-IB, другие являются бесплатными или коммерческими продуктами других компаний. Как все они работают в совокупности, рассказывать не могу. Но наш собственный сетевой граф применяется каждым из подразделений. Со временем мы приняли решение сделать его доступным в ряде продуктов компании, чтобы им могли пользоваться наши клиенты.
Для каких конкретно целей используются сетевые графы, и откуда вы собираете входные данные для них?
Д.В.: Исторически граф используется всеми техническими подразделениями Group-IB для таких целей, как расследования и атрибуция, выявление фишинга и мошенничества, обогащение индикаторов компрометации, корреляция событий, выявление паттернов атакующих, а также поиск их инфраструктуры, например скрытых серверов.
Почему вы не воспользовались готовыми разработками, а решили разрабатывать собственный инструмент?
Д.В.: На самом деле, мы пробовали. Прежде чем начать долгий и ресурсоемкий путь собственной разработки, мы искали решение для построения сетевого графа, отвечающего нашим задачам, у различных поставщиков. Мы до сих пор не нашли ни одного аналога, который бы удовлетворял наши требования. Основным ограничением, которое мы обнаружили при использовании других продуктов, была необходимость покупать доступ к разным коллекциям у разных поставщиков; при этом мы столкнулись с тем, что полный доступ ко всем историческим записям не предоставлял фактически ни один поставщик. Кроме того, не обработанные заранее данные вызывают множество нерелевантных результатов, и в некоторых случаях их корреляция невозможна. Также поставщики извлекали не все связи, которые нам нужны. Но, пожалуй, главное «узкое место» (bottleneck) состояло в том, что большинство существующих решений позволяют строить граф в ручном режиме. Автоматизированные интерфейсы дают возможность делать множество запросов, но это — очень и очень медленно.
Насколько глубоко заглянуть в прошлое позволяют накопленные вами данные? Есть ли какой-то срок давности, после которого они становятся неинтересными?
Д.В.: Мы оперируем коллекциями самых разных типов сведений. Например, история изменений регистрационных данных доменных имен или история регистраций на хакерских форумах у нас накоплена более чем за 10 лет. А вот история по запущенным сервисам на серверах — за 2 года. Но огромную ценность эти данные дают, когда между ними выстраиваются связи: тогда даже по новому индикатору можно заглянуть в историю очень глубоко.
Срока давности, когда сведения становятся неинтересными, не существует. В нашем случае — наоборот, чем старее данные, тем они интереснее. Если стоит задача найти хакера, то много лет назад, когда он был новичком, он делал много ошибок, и поэтому старые данные позволяют гораздо проще идентифицировать и найти его.
Можете на примере продемонстрировать, как работает графовый анализ? Допустим, я получил фишинговое письмо со ссылкой на вредоносный сайт или офисный файл с эксплойтом. Какую информацию об этом инциденте можно быстро извлечь при помощи вашего графа?
Д.В.: Допустим, вы строите граф по ссылке из этого письма. Тогда вы можете получить ответы на следующие вопросы. Какие еще домены, IP-адреса, хэши файлов, SSL-сертификаты связаны с инфраструктурой атакующего? Какие файлы ассоциируются с нею и с этой ссылкой? Есть ли результаты анализа этих файлов в «песочницах» и связанные с ними индикаторы? К какому семейству может относиться вредоносный код? Детектируется ли он сетевыми сигнатурами? Какая из хакерских групп может быть причастной к этой атаке? Какие индикаторы надо дополнительно проверить, чтобы убедиться, что атака не была успешной? Как вы видите, ответы на эти вопросы могут не только дать вам «сырой» материал для расследований, но и помочь вам установить, кто стоит за атакой.
Каким образом отбрасывается лишний шум, и как аналитик может обогатить данные за счет дополнительных источников?
Д.В.: Чтобы отбросить лишний шум, эксперт анализирует причины построения связей и контекст вокруг них. Например, когда был зарегистрирован домен, перепродавался ли он, когда именно он использовался во вредоносных целях, был ли зарегистрирован у того же поставщика услуг, похожи ли регистрационные данные, как настроены серверы, какие сервисы скрытия данных использовались, взломана ли эта инфраструктура или арендована атакующим, и много другое. Система анализирует этот контекст и принимает решение, имеет ли тот или иной элемент отношение к анализируемому графу.
После того как граф построен, его элементы могут быть экспортированы, и далее аналитик может использовать любые другие инструменты для проведения обогащения или дополнительного анализа.
Если бы эту информацию аналитик собирал вручную, то сколько бы это потребовало времени, по вашему опыту?
Д.В.: Ручное построение графа может занять от нескольких часов до нескольких дней. Все зависит от количества данных, которыми располагает аналитик, и от того, насколько сложным получается граф. В нашем случае граф строится за несколько секунд.
Как «старая школа» относится к подобного рода автоматизации процесса киберразведки?
Д.В.: Граф – это инструмент, которым можно пользоваться как автоматически, так и в полуручном режиме, когда эксперт сам строит его руками шаг за шагом. И в первое время эксперты каждый граф пытаются строить руками, чтобы проверить результаты автоматизации. Но когда они понимают, что система это делает так же, а иногда и лучше них, то привыкают к хорошему и начинают пользоваться инструментом уже в автоматическом режиме.
Громкие новости о причастности к инцидентам тех или иных правительственных хакеров повышают важность атрибуции атак. Насколько достоверны такие сведения от вашей компании или коллег по цеху? Цепочка доказательств не всегда выглядит безусловно убедительной для стороннего наблюдателя.
Д.В.: Компании, которые профессионально занимаются киберразведкой и расследованиями инцидентов, делают свою работу хорошо, и многим их результатам мы доверяем. Но так ведут себя далеко не все, кто работает на рынке кибербезопасности. Очень часто проверить результаты атрибуции, сделанной другой компанией, не представляется возможным. Это случается по двум основным причинам.
Во-первых, у вас нет доступа к нужным данным. Например, вы не занимались реагированием (Incident Response) в этом инциденте, поэтому не видите всего, что происходило в сети. Вы не участвовали в расследовании, поэтому не имеете данных, которыми с вами могли поделиться правоохранительные органы.
Во-вторых, в публичном пространстве не раскрывают все детали атрибуции. И это тоже обоснованно. Как минимум потому, что вы не хотите, чтобы атакующий лишил вас возможности делать атрибуцию в будущем — а это обязательно случится, как только будет известно, как именно вы вышли на его след. Кроме того, публичные отчеты, как правило, предназначены для PR, а вот для технических специалистов проводятся закрытые семинары или делаются детальные доклады на конференциях по кибербезопасности.
Можно ли для произвольной целевой атаки определить источник, из какой страны атакующие, и кто может быть потенциальным заказчиком?
Д.В.: Да, это возможно. Не всегда это удается сделать быстро.
Поясните, почему киберпреступники не могут обмениваться опытом или заимствовать удачные техники конкурентов? Как можно удостовериться в уникальности «цифрового следа»?
Д.В.: Киберпреступники и могут, и обмениваются опытом, одни группы маскируются под другие, это — распространенная практика, которая усложняет атрибуцию и нередко приводит к ошибкам в ней. В любом случае простого ответа на этот вопрос быть не может. Однако совокупность факторов позволяет не только выявлять ложные следы или попытки замаскироваться, но и находить тех, кто реально стоит за атакой.
В каких продуктах Group-IB уже используется сетевой граф вашей разработки?
Д.В.: Хотел бы напомнить, что долгое время наш сетевой граф был исключительно внутренним инструментом. За все время нашей работы ни одно расследование Group-IB не обходилось без анализа сетевой инфраструктуры атакующих. Фундамент нынешнего сетевого графа закладывался вручную: раньше специалисты по киберкриминалистике и расследованиям могли в течение нескольких недель анализировать взаимосвязи, иногда они обнаруживали «мертвую ветвь» расследования, иногда заходили в тупик. На проверку гипотезы тратилось много времени, нередко приходилось повторно анализировать огромные объёмы данных.
Фактически каждое наше подразделение нуждалось в инструменте, который агрегирует все данные, позволяет удобно искать по ним взаимосвязи и исследовать сетевую инфраструктуру. Со временем мы сделали то, что хотели, а следующим шагом стало встраивание графа во все наши разработки. Сейчас он добавлен в продукты Group-IB Threat Intelligence, Threat Detection System (TDS), Secure Bank, Secure Portal, а также в систему Brand Protection.
Могут ли заказчики использовать накопленную вами базу для собственных расследований или в качестве платформы Threat Hunting?
Д.В.: Заказчики любой из наших систем могут пользоваться графом для собственных исследований. Единственное ограничение состоит в том, что ссылки на детальное описание угроз доступны только подписчикам Group-IB Threat Intelligence. Мы стремимся как можно больше делиться своими знаниями с клиентами, нам интересно решать сложные кейсы, именно таким задачам отвечают наши продукты. Мы глубоко убеждены, что кибербезопасность должна быть «умной».
Спасибо за интервью!