Кто хочет стать кибердетективом?

Специалист по кибербезопасности — сегодня одна из самых востребованных профессий. Но где можно выучиться на нее? Разумеется, в тех вузах, где преподают основы информатики и IT-дисциплин. Но для того чтобы сразу перейти к решению прикладных задач, связанных с поиском и устранением киберугроз, требуется что-то более специализированное. Такую возможность предоставляет компания «Ростелеком-Солар», которая вместе с партнерами проводит двухнедельную образовательную программу для студентов и абитуриентов в лагере «Сириус» в Сочи. Но чтобы записаться на эту программу, необходимо пройти строгий отбор. Подробности — в нашем материале.

Дело об украденных паролях

Специалисты по информационной безопасности из компании «Ростелеком-Солар» зафиксировали вторжение в систему с помощью «медовых ловушек», на сленге «ханипотов» — уязвимых серверов-приманок, предназначенных для того, чтобы привлечь внимание хакера и спровоцировать его на атаку этой ложной цели. Как только аналитики заметили его действия, доступ хакеру сразу перекрыли. Атака была остановлена, никакого вреда злоумышленник нанести не успел. Конец истории?

Не совсем. Нужно узнать, как хакер получил логины и пароли, чтобы проникнуть в систему, особенно с учетом того, что они принадлежали сотрудникам разных отделов, никак не связанных между собой. Если это не выяснить, никто не даст гарантии, что атака не повторится.

Сперва «кибердетективы» проверили жесткие диски, чтобы определить, нет ли троянских программ на компьютерах сотрудников, чьи данные были украдены. Но диски оказались чисты, вирусов не нашлось.

Тогда аналитики решили изучить хронологию действий злоумышленника по системным логам. Составив график обращений хакера к разным рабочим станциям и серверам компании, они заметили, что к одному хосту он почему-то обращался чаще, чем к остальным — это был сервер смены паролей. Возникла гипотеза, что злоумышленник пытался получить доступ к данным сервера, используя брутфорс (подбор пароля методом перебора), однако разработчики уверили, что сервер надежно защищен от этого типа атак.

Аналитики не поверили, продолжили поиск уязвимости, и их усилия были вознаграждены.

Выяснилось, что с момента, когда сервер генерирует для пользователя новый пароль, до момента, когда пользователь его принимает, пароль хранится в оперативной памяти в открытом, не зашифрованном виде. За это время — то есть фактически за несколько секунд — злоумышленник успевал украсть пароль, получая таким образом доступ во внутреннюю сеть организации. «Дело» было раскрыто.

Востребованная профессия

Кибердетективам не приходится скучать: Россия занимает первое место в мире по количеству кибератак. Только 15 мая 2019 года было зафиксировано 5,1 миллиона кибератак — самое большое количество за сутки. В Китае, занимающем второе место по активности хакеров, количество атак в тот же день было значительно меньше — 570 тысяч.

Ситуация становится напряженнее с каждым годом. Согласно данным «Ростелеком-Солар», в 2018 году количество кибератак на клиентов центра мониторинга и реагирования на инциденты информационной безопасности — Solar JSOC — увеличилось почти в два раза по сравнению с 2017 годом: с 404 тысяч до 765 тысяч.

Чаще всего атакуют веб-приложения — на их долю приходится около 33 процентов атак. Примерно в 20 процентах случаев злоумышленникам удается взломать учетные записи внешних сервисов компаний. Атаки могут исходить и изнутри — из-за халатности или злого умысла сотрудников. Во второй половине 2018 года примерно в 60 процентах случаев виновниками внутренних инцидентов становились рядовые сотрудники компаний, в 25 процентах — ­ администраторы ИТ-систем, оставшиеся 15 процентов приходятся на­ аутсорсеров, контрагентов или подрядчиков компаний.

Поэтому потребность в кибердетективах — специалистах по защите данных, мониторингу и предотвращению кибератак, обеспечении безопасности систем автоматического управления — на промышленных предприятиях постоянно растет. Сотрудники «Ростелеком-Солар» день за днем раскрывают цифровые преступления и защищают компании от хакерских атак.

Инциденты случаются каждый день, и даже банальная оплошность сотрудника может создать компании проблемы. Например, одному системному администратору было необходимо соединить два файла с расширением xml в один. Вместо того, чтобы установить программу от официального разработчика, он скачал пиратскую версию через файлообменник. Оказалось, что в нее был встроен модуль удаленного управления и повышения привилегий, который дает злоумышленнику права системного администратора, то есть полный контроль над машиной и широкие возможности для распространения по локальной сети предприятия. Что случилось потом, и как специалисты по кибербезопасности распутали этот случай, читайте в блоге компании.

Иногда киберпреступник может атаковать не извне, а изнутри системы. В 2018 году была популярна идея использовать оборудование предприятий для майнинга криптовалюты — в личных интересах. В ходе мониторинга инфраструктуры одного из клиентов аналитики Solar JSOC обнаружили, что некто майнит криптовалюту с 32 разных IP-адресов, которые принадлежали гипервизорам — машинам, управляющим несколькими виртуальными компьютерами.

Однако перед «цифровыми следователями» встали две проблемы: во-первых, тот сегмент сети, где происходил майнинг, изначально не был подключен к SIEM-системе, поэтому получить историю активности было невозможно, а во-вторых, у компании не было удаленного доступа к гипервизорам. Более того, по документам они были списаны в утиль за два месяца до этого. Как специалисты группы форензики (компьютерной криминалистики) разгадали эту загадку, читайте в блоге.

Приходите к нам учиться

Чтобы подготовить будущих кибердетективов, «Ростелеком» совместно с «Ростелеком-Солар» и фондом «Талант и успех» запустил образовательную программу по информационной безопасности для студентов и абитуриентов профильных вузов. Обучение будет проходить с 8 по 22 сентября в образовательном центре «Сириус» в Сочи.

Участники программы узнают, как обеспечить безопасность АСУ-ТП — автоматизированных систем управления технологическими процессами, от которых зависит, например, работа электростанций, химических или сталелитейных производств. Они познакомятся с основами цифровой криминалистики, вирусологии, научатся анализировать защищенность веб-приложений и многим другим аспектам киберугроз. Помимо этого, в программу включен разбор реальных инцидентов в сфере безопасности корпоративной и банковской инфраструктуры.

В образовательной программе предусмотрены круглые столы и открытые дискуссии, на которых студенты совместно с лидерами отрасли обсудят проблемы информационной безопасности.

В качестве дипломной работы студенты должны будут провести расследование инцидента на реальной сетевой инфраструктуре.

Будущие кибердетективы будут отобраны по итогам всероссийского соревнования, которое Ростелеком проведет 20-21 июля. Участвовать в нем могут все студенты профильных вузов.

На первом этапе соревнований участники будут решать задачи по расследованию инцидентов, криптографии, обратной разработке и веб-безопасности. Оценивать решения будет система динамического скоринга, то есть чем больше людей решило задачу, тем меньше баллов за нее можно получить, и наоборот. Рейтинг участников будет доступен в реальном времени.

Первые 60 полуфиналистов перейдут на второй этап, который пройдет 22-24 июля в формате скайп-интервью с экспертами «Ростелеком-Солар». Сорок финалистов из Самары, Нижнего Новгорода, Хабаровска, Ростова-на-Дону и Москвы смогут пройти обучение в «Сириусе» бесплатно.

Помимо студентов, в образовательной программе будут участвовать и абитуриенты вузов, которые уже прошли подобную программу для школьников в ноябре 2018 года. Чтобы получить квалифицированных специалистов, «Ростелеком» внедряет модель обучения школа-вуз-работодатель. Это позволяет готовить будущих киберисследователей еще со школы, сделать их обучение в вузе интересным и прикладным, что в дальнейшем поможет им в адаптации на работе.

Всю информацию об образовательной программе можно будет найти на сайте.

Анастасия Божанова