Всем миром против кибератак
Филипп Хюмо (CrowdSec): «Сотрудничая друг с другом, мы возьмем агрессоров числом»
Массовые хакерские атаки на сайты и серверы компаний стали обычным явлением. Злоумышленники сканируют Сеть в поисках уязвимых ресурсов, а затем взламывают их. Опасные последствия этого известны: преступник может внедрить вирус, украсть конфиденциальную информацию, зашифровать данные и потребовать выкуп. О том, как IT-система для анализа поведения и репутации IP-адресов на основе ПО с открытым исходным кодом помогает противостоять хакерам, от каких угроз защищает и при чем здесь краудсорсинг, RSpectr рассказал генеральный директор и основатель компании CrowdSec Филипп Хюмо.
RSpectr: Можете ли вы объяснить успех краудсорсинга? Как вы его используете? Как разработка ПО с открытым исходным кодом содействует применению такого подхода?
Филипп Хюмо (Ф.Х.): Открытый исходный код помогает нам создать продукт, адаптированный к запросам и потребностям самой широкой аудитории, и каждый может внести свой вклад и приспособить его к своим нуждам. Кроме того, он бесплатный, а это значит, что у нас нет никаких трудностей с внедрением продукта, так как финансовый аспект обычно этот процесс тормозит.
Поскольку мы стремимся достичь сетевого эффекта, нам необходимо иметь как можно больше пользователей, а открытый исходный код – это отличный механизм, позволяющий еще и завоевать доверие
Что же до краудсорсинга, то его можно рассматривать как некую цифровую версию хорошо известной концепции «соседского дозора» (neighborhood watch): если каждый следит за серверами и сервисами «соседей», это делает всех нас сильнее. Обнаруживая и распространяя IP-адреса злоумышленников, мы лишаем их самого ценного – анонимности.
Поскольку они хотят держаться в тени, им придется либо остановиться, когда у них больше не будет незасвеченных IP-адресов, либо, по крайней мере, сильно замедлить свои операции.
Видите ли, это краеугольный камень нашего проекта. Большинство компаний и правительств пытались обезопасить себя, добавляя слои защиты, подключая больше и больше оборудования в своих центрах обработки данных. Что из этого вышло, мы все знаем. Наш же концепция состоит в том, что, сотрудничая друг с другом, мы возьмем агрессоров числом. Вместо подхода «превосходящей силы», когда один суперсолдат пытается противостоять тысяче плохих парней (и терпит неудачу, если только он не герой голливудского фильма), мы используем подход «превосходящей численности»: никто не хочет сражаться с разъяренным роем пчел.
СПРАВКА
Филипп Хюмо,
CEO & co-founder CrowdSec
- Окончил EPITA (Школа информатики и передовых методов, Франция) по специальности «инженер по информационной безопасности» в 1999 году.
- В 1999 году основал NBS System – компанию, специализирующуюся на технологиях безопасности, хостинга и оптимизации интернета и e-commerce. В 2016-м компания была продана.
- В 2018–2020 годах основал в Париже консалтинговую компанию GROWTH ARCHITECTS CONSULTING, оказывающую услуги в сфере Security, IoT, Blockchain и e-commerce.
- С 2020 года является одним из основателей и CEO CrowdSec – инновационного бесплатного защитного ПО с открытым исходным кодом.
RSpectr: Каковы основные преимущества модели разработки ПО с открытым исходным кодом? Считаете ли вы, что Open Source дает оптимальные инструменты для разработки исключительно безопасных и отказоустойчивых программ и технологий?
Ф.Х.: Честно говоря, в таком подходе есть плюсы и минусы. С одной стороны, отдавать что-то бесплатно на удивление сложно. Во-первых, люди ищут подвох и думают, что вы, возможно, замышляете недоброе, пока не поймут, что ваша бизнес-модель основана не на их данных и не на стратегии отсроченной монетизации. Во-вторых, каждая строчка вашего кода перед публикацией требует втрое больше проверок, обсуждений и организационных мероприятий. И все это не только из-за необходимости тщательного контроля, но и потому, что вы несете ответственность перед своими пользователями и другими участниками проекта.
С другой стороны, если говорить о плюсах, то многие люди могут начать тестировать ваш продукт, сообщать об ошибках или несоответствиях, сотрудничать в целях улучшения программного обеспечения, вносить свой вклад или даже помогать друг другу. Концепция security through obscurity (безопасность через неясность) потерпела неудачу, и теперь уже понятно, что в постоянном аудите со стороны сообщества заложена сила, и немалая.
Сегодня продукты с закрытым исходным кодом обычно считаются менее надежными
RSpectr: Часть вашего кода остается проприетарной. Как вы решаете, что открывать, а что нет?
Ф.Х.: Все дело в темпе работ. В части IPS (системы предотвращения вторжений) мы на сто процентов открыты по лицензии MIT (лицензия свободного программного обеспечения, разработанная Массачусетским технологическим институтом), в то время как «движок» Consensus (тот самый, который позволяет избежать ложных срабатываний и повреждения целостности данных) не открыт – пока еще.
Причина в том, что мы очень подвижны и постоянно его дорабатываем. Требуется много дополнительного времени, чтобы сделать часть кода «совместимым с открытым исходным кодом» (Open Source Compliant). Если бы мы сделали его открытым с первого дня, это только замедлило бы нашу работу. Кроме того, сначала мы думали, что это может быть нашей слабой стороной – раскрывать, как мы противостоим агрессии по отношению к этому набору алгоритмов. Теперь же, по прошествии некоторого времени, мы стали более уверенными в том, что и эта часть скоро будет открыта для детальной проверки и совместной работы. Нам просто нужно еще около полугода усиленной работы, прежде чем мы сможем снизить темпы и позволить сообществу ознакомиться с этим продуктом и поучаствовать в его разработке.
RSpectr: Какую пользу получают люди, участвующие в вашем «краудсорсинге»?
Ф.Х.: Если ваша машина сообщает блокируемые ею IP-адреса на наши серверы, в ответ она бесплатно постоянно получает IP-адреса, которые нацелены на такие же технологические сигнатуры, как и ваша. Так, если вы используете LAMP [1] с WordPress [2], вы получаете в ответ все IP, которые атакуют SSH [3], Apache [4], MySQL [5] и т.д. В случае если вы не хотите или ввиду ограничений не можете участвовать в пополнении базы данных скомпрометированных IP-адресов, вы сможете тем не менее получать сигналы от комьюнити за дополнительную плату.
RSpectr: CrowdSec – это модернизированная версия популярного инструмента предотвращения вторжений Fail2Ban с поддержкой сообщества, предназначенная для работы в сложных современных IT-архитектурах. Можете ли вы объяснить, в чем заключаются сходства и различия между CrowdSec и Fail2Ban?
Ф.Х.: Fail2Ban стал первой «системой защиты против брутфорс-атак» (термин brute-force обычно используется в контексте хакерских атак, когда злоумышленник пытается подобрать логин/пароль к какой-либо учетной записи или сервису. – Прим. RSpectr.). Простое по своей природе, это решение тем не менее в течение 16 лет справлялось с множеством попыток брутфорс-атак на учетные данные по большому спектру сервисов (FTP [6], почта, SSH, Telnet [7] и т.д.) на миллионах машин. Это довольно богатая история для кода, на котором его автор изначально учился программировать на языке Python.
CrowdSec заимствует философию Fail2Ban в том смысле, что это готовое решение, которое защищает службы, работающие на вашей машине, основываясь на данных из ваших логов. И на этом сходства заканчиваются, потому что программный проект, область применения, архитектура, направленность, цели и производительность нашего решения совершенно другие. CrowdSec написано на языке Golang, чтобы обеспечить 60-кратное ускорение обработки данных, а также возможность переносить его во все среды – из VM [8] в Docker [9], из Linux в Windows и т.д. Оно также поддерживает обеспечение защиты от широкого спектра атак: DDoS уровня 7, подстановка учетных данных или реквизитов кредитных карт, сканирование портов, веб-сканирование – все, что может оставить следы в ваших логах. Это современное решение в том смысле, что оно не является монолитным и процесс обнаружения отделен от процесса ликвидации последствий, причем последнее может выражаться в чем угодно: не просто в установлении запрета в вашем брандмауэре, но и, например, во внедрении капчи, многофакторной проверки подлинности, обмене сообщениями и т.д. CrowdSec также создано для работы как на персональных брандмауэрах, так и на сети из 100 тыс. машин в крупных хостинговых компаниях.
И последнее, но не менее важное: CrowdSec сообщает данные об IP-адресах, которые оно блокирует, другим устройствам (после проверки с нашей стороны), чтобы в будущем защитить всех участников проекта от выявленных угроз.
RSpectr: Кто ваши основные конкуренты и чем ваша защита отличается от предлагаемой ими?
Ф.Х.: Это сложный вопрос, над которым мы сами думаем уже несколько месяцев. Мы являемся CTI-проектом (Cyber threat intelligence – разведка в области киберугроз) и, возможно, в настоящий момент самой большой сетью сбора данных о киберугрозах в истории – с десятками тысяч реальных машин, работающих с реальными сервисами по всему миру. Но это не все, потому что в то же время мы занимаемся открытым исходным кодом, создаем систему предотвращения вторжений (IPS) и сообщество вокруг нее. Поэтому мне нравится говорить, что мы являемся коллективной IPS. Я не знаю о прямых конкурентах, работающих над такой моделью совместного использования информации, но мы делим рынок как с отдельными провайдерами IPS, так и с провайдерами CTI (компьютерной телефонии).
RSpectr: Каковы основные угрозы и атаки, от которых защищает CrowdSec?
Ф.Х.: CrowdSec – это своего рода Metasploit (проект, посвященный IT-безопасности, создан для предоставления информации. – Прим. RSpectr.) защиты. В наше время вся техника работает с созданием лог-файлов: от самолетов и автомобилей до телефонов и телевизоров, и, конечно же, серверы и сервисы не остаются в стороне.
Если атака оставляет следы в логах (а это происходит более чем в 95% случаев), то просто необходимо написать соответствующий сценарий, чтобы обнаружить ее
Мы располагаем десятками сценариев для различных атак: начиная с L7 DDoS и заканчивая брутфорс-атаками, подстановкой данных кредитных карт, сканированием портов и веб-страниц, PHP [10] -атаками и т.д. Это лишь вопрос времени, когда сообщество сможет охватить большинство потенциальных угроз. Сегодня мы активно боремся с программами-вымогателями, чтобы избежать горизонтальных перемещений, и используем CrowdSec как индикатор. Возможности сервиса практически безграничны. Ограничение может возникнуть в случае, когда атака не оставляет следов либо из-за плохой настройки протоколирования, либо потому, что она «тихая» и маскируется под переполнение стека. Тем не менее такие эксплойты очень редки.
RSpectr: Каково, по вашему мнению, будущее кибербезопасности конечных точек? Какие еще инструменты необходимы для надлежащей защиты организаций?
Ф.Х.: Мы не являемся системой обнаружения угроз и реагирования на конечных точках (EDR) в том смысле, в котором в настоящее время описывают антивирусные программы прошлых поколений. Ни в коем случае не хочу сказать, что такие решения бесполезны, но мы не имеем дело с рабочей станцией как таковой – вместо этого мы имеем дело со службами, доступными из интернета. Чтобы иметь отличную глубокую защиту, я бы поставил хороший брандмауэр (Nftables) с приличным набором правил, несколько EDR на машинах локальной сети, хороший SIEM [11] и несколько программ-индикаторов для обнаружения аномального поведения. Такую систему можно построить за разумные деньги и время. В больших корпорациях потребуется гораздо больше человеческих ресурсов, обучение, процедуры, команды SOC и SecОps, CTI и т.д.
Что касается будущего, то я бы сделал ставку на некий гибрид между системами, основанными на правилах/сценариях (что предоставляет и наш инструмент), которые будут заниматься гигиеной кибербезопасности, и некоторыми системами на основе ИИ и интеллектуальных сигнатур для защиты от неизвестных угроз.
______
[1] LAMP – акроним, обозначающий набор (комплекс) серверного программного обеспечения, широко используемый в интернете (Linux, Apache, MySQL, PHP/Perl/Python).
[2] WordPress – свободно распространяемая система управления содержимым сайта с открытым исходным кодом.
[3] SSH (Secure Shell) – сетевой протокол прикладного уровня, позволяющий производить удаленное управление операционной системой и туннелирование TCP-соединений. TCP (Transmission control protocol) – один из основных протоколов передачи данных в интернете.
[4] Apache – свободный веб-сервер, является кроссплатформенным ПО, поддерживает операционные системы Linux, BSD, Mac OS, Microsoft Windows, Novell NetWare, BeOS.
[5] MySQL – свободная реляционная система управления базами данных. Разработку и поддержку осуществляет корпорация Oracle.
[6] FTP (File Transfer Protocol) – протокол передачи файлов по Сети, является одним из базовых протоколов Ethernet. Появился в 1971 году задолго до HTTP, благодаря чему является одним из старейших прикладных протоколов.
[7] Telnet – сетевой протокол для реализации текстового терминального интерфейса по Сети.
[8] VM – операционная система IBM.
[9] Docker – проект с открытым исходным кодом для автоматизации развертывания приложений в виде переносимых автономных контейнеров, выполняемых в облаке или локальной среде.
[10] PHP – один из старейших языков в рамках Open Source-проекта.
[11] SIEM (Security information and event management). Технология обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.
Изображение: пресс-служба CrowdSec
ЕЩЕ ПО ТЕМЕ:
Кто защитит «новую нефть»
Лев Матвеев («СёрчИнформ»): «Во всех странах мира компании конкурируют за право распоряжаться данными»
