IT / Интервью
информбезопасность сервисы технологии
17.11.2021

Всем миром против кибератак

Филипп Хюмо (CrowdSec): «Сотрудничая друг с другом, мы возьмем агрессоров числом»

Массовые хакерские атаки на сайты и серверы компаний стали обычным явлением. Злоумышленники сканируют Сеть в поисках уязвимых ресурсов, а затем взламывают их. Опасные последствия этого известны: преступник может внедрить вирус, украсть конфиденциальную информацию, зашифровать данные и потребовать выкуп. О том, как IT-система для анализа поведения и репутации IP-адресов на основе ПО с открытым исходным кодом помогает противостоять хакерам, от каких угроз защищает и при чем здесь краудсорсинг, RSpectr рассказал генеральный директор и основатель компании CrowdSec Филипп Хюмо.


RSpectr: Можете ли вы объяснить успех краудсорсинга? Как вы его используете? Как разработка ПО с открытым исходным кодом содействует применению такого подхода?

Филипп Хюмо (Ф.Х.): Открытый исходный код помогает нам создать продукт, адаптированный к запросам и потребностям самой широкой аудитории, и каждый может внести свой вклад и приспособить его к своим нуждам. Кроме того, он бесплатный, а это значит, что у нас нет никаких трудностей с внедрением продукта, так как финансовый аспект обычно этот процесс тормозит.

Поскольку мы стремимся достичь сетевого эффекта, нам необходимо иметь как можно больше пользователей, а открытый исходный код – это отличный механизм, позволяющий еще и завоевать доверие

Что же до краудсорсинга, то его можно рассматривать как некую цифровую версию хорошо известной концепции «соседского дозора» (neighborhood watch): если каждый следит за серверами и сервисами «соседей», это делает всех нас сильнее. Обнаруживая и распространяя IP-адреса злоумышленников, мы лишаем их самого ценного – анонимности.

Поскольку они хотят держаться в тени, им придется либо остановиться, когда у них больше не будет незасвеченных IP-адресов, либо, по крайней мере, сильно замедлить свои операции.

Видите ли, это краеугольный камень нашего проекта. Большинство компаний и правительств пытались обезопасить себя, добавляя слои защиты, подключая больше и больше оборудования в своих центрах обработки данных. Что из этого вышло, мы все знаем. Наш же концепция состоит в том, что, сотрудничая друг с другом, мы возьмем агрессоров числом. Вместо подхода «превосходящей силы», когда один суперсолдат пытается противостоять тысяче плохих парней (и терпит неудачу, если только он не герой голливудского фильма), мы используем подход «превосходящей численности»: никто не хочет сражаться с разъяренным роем пчел.

СПРАВКА

Филипп Хюмо,
CEO & co-founder CrowdSec

  • Окончил EPITA (Школа информатики и передовых методов, Франция) по специальности «инженер по информационной безопасности» в 1999 году.
  • В 1999 году основал NBS System – компанию, специализирующуюся на технологиях безопасности, хостинга и оптимизации интернета и e-commerce. В 2016-м компания была продана.
  • В 2018–2020 годах основал в Париже консалтинговую компанию GROWTH ARCHITECTS CONSULTING, оказывающую услуги в сфере Security, IoT, Blockchain и e-commerce.
  • С 2020 года является одним из основателей и CEO CrowdSec – инновационного бесплатного защитного ПО с открытым исходным кодом.


RSpectr: Каковы основные преимущества модели разработки ПО с открытым исходным кодом? Считаете ли вы, что Open Source дает оптимальные инструменты для разработки исключительно безопасных и отказоустойчивых программ и технологий?

Ф.Х.: Честно говоря, в таком подходе есть плюсы и минусы. С одной стороны, отдавать что-то бесплатно на удивление сложно. Во-первых, люди ищут подвох и думают, что вы, возможно, замышляете недоброе, пока не поймут, что ваша бизнес-модель основана не на их данных и не на стратегии отсроченной монетизации. Во-вторых, каждая строчка вашего кода перед публикацией требует втрое больше проверок, обсуждений и организационных мероприятий. И все это не только из-за необходимости тщательного контроля, но и потому, что вы несете ответственность перед своими пользователями и другими участниками проекта.

С другой стороны, если говорить о плюсах, то многие люди могут начать тестировать ваш продукт, сообщать об ошибках или несоответствиях, сотрудничать в целях улучшения программного обеспечения, вносить свой вклад или даже помогать друг другу. Концепция security through obscurity (безопасность через неясность) потерпела неудачу, и теперь уже понятно, что в постоянном аудите со стороны сообщества заложена сила, и немалая.

Сегодня продукты с закрытым исходным кодом обычно считаются менее надежными


RSpectr: Часть вашего кода остается проприетарной. Как вы решаете, что открывать, а что нет?

Ф.Х.: Все дело в темпе работ. В части IPS (системы предотвращения вторжений) мы на сто процентов открыты по лицензии MIT (лицензия свободного программного обеспечения, разработанная Массачусетским технологическим институтом), в то время как «движок» Consensus (тот самый, который позволяет избежать ложных срабатываний и повреждения целостности данных) не открыт – пока еще.

Причина в том, что мы очень подвижны и постоянно его дорабатываем. Требуется много дополнительного времени, чтобы сделать часть кода «совместимым с открытым исходным кодом» (Open Source Compliant). Если бы мы сделали его открытым с первого дня, это только замедлило бы нашу работу. Кроме того, сначала мы думали, что это может быть нашей слабой стороной – раскрывать, как мы противостоим агрессии по отношению к этому набору алгоритмов. Теперь же, по прошествии некоторого времени, мы стали более уверенными в том, что и эта часть скоро будет открыта для детальной проверки и совместной работы. Нам просто нужно еще около полугода усиленной работы, прежде чем мы сможем снизить темпы и позволить сообществу ознакомиться с этим продуктом и поучаствовать в его разработке.


RSpectr: Какую пользу получают люди, участвующие в вашем «краудсорсинге»?

Ф.Х.: Если ваша машина сообщает блокируемые ею IP-адреса на наши серверы, в ответ она бесплатно постоянно получает IP-адреса, которые нацелены на такие же технологические сигнатуры, как и ваша. Так, если вы используете LAMP [1] с WordPress [2], вы получаете в ответ все IP, которые атакуют SSH [3], Apache [4], MySQL [5] и т.д. В случае если вы не хотите или ввиду ограничений не можете участвовать в пополнении базы данных скомпрометированных IP-адресов, вы сможете тем не менее получать сигналы от комьюнити за дополнительную плату.


RSpectr: CrowdSec – это модернизированная версия популярного инструмента предотвращения вторжений Fail2Ban с поддержкой сообщества, предназначенная для работы в сложных современных IT-архитектурах. Можете ли вы объяснить, в чем заключаются сходства и различия между CrowdSec и Fail2Ban?

Ф.Х.: Fail2Ban стал первой «системой защиты против брутфорс-атак» (термин brute-force обычно используется в контексте хакерских атак, когда злоумышленник пытается подобрать логин/пароль к какой-либо учетной записи или сервису. – Прим. RSpectr.). Простое по своей природе, это решение тем не менее в течение 16 лет справлялось с множеством попыток брутфорс-атак на учетные данные по большому спектру сервисов (FTP [6], почта, SSH, Telnet [7] и т.д.) на миллионах машин. Это довольно богатая история для кода, на котором его автор изначально учился программировать на языке Python.

CrowdSec заимствует философию Fail2Ban в том смысле, что это готовое решение, которое защищает службы, работающие на вашей машине, основываясь на данных из ваших логов. И на этом сходства заканчиваются, потому что программный проект, область применения, архитектура, направленность, цели и производительность нашего решения совершенно другие. CrowdSec написано на языке Golang, чтобы обеспечить 60-кратное ускорение обработки данных, а также возможность переносить его во все среды – из VM [8] в Docker [9], из Linux в Windows и т.д. Оно также поддерживает обеспечение защиты от широкого спектра атак: DDoS уровня 7, подстановка учетных данных или реквизитов кредитных карт, сканирование портов, веб-сканирование – все, что может оставить следы в ваших логах. Это современное решение в том смысле, что оно не является монолитным и процесс обнаружения отделен от процесса ликвидации последствий, причем последнее может выражаться в чем угодно: не просто в установлении запрета в вашем брандмауэре, но и, например, во внедрении капчи, многофакторной проверки подлинности, обмене сообщениями и т.д. CrowdSec также создано для работы как на персональных брандмауэрах, так и на сети из 100 тыс. машин в крупных хостинговых компаниях.

И последнее, но не менее важное: CrowdSec сообщает данные об IP-адресах, которые оно блокирует, другим устройствам (после проверки с нашей стороны), чтобы в будущем защитить всех участников проекта от выявленных угроз.


RSpectr: Кто ваши основные конкуренты и чем ваша защита отличается от предлагаемой ими?

Ф.Х.: Это сложный вопрос, над которым мы сами думаем уже несколько месяцев. Мы являемся CTI-проектом (Cyber threat intelligence – разведка в области киберугроз) и, возможно, в настоящий момент самой большой сетью сбора данных о киберугрозах в истории – с десятками тысяч реальных машин, работающих с реальными сервисами по всему миру. Но это не все, потому что в то же время мы занимаемся открытым исходным кодом, создаем систему предотвращения вторжений (IPS) и сообщество вокруг нее. Поэтому мне нравится говорить, что мы являемся коллективной IPS. Я не знаю о прямых конкурентах, работающих над такой моделью совместного использования информации, но мы делим рынок как с отдельными провайдерами IPS, так и с провайдерами CTI (компьютерной телефонии).


RSpectr: Каковы основные угрозы и атаки, от которых защищает CrowdSec?

Ф.Х.: CrowdSec – это своего рода Metasploit (проект, посвященный IT-безопасности, создан для предоставления информации. – Прим. RSpectr.) защиты. В наше время вся техника работает с созданием лог-файлов: от самолетов и автомобилей до телефонов и телевизоров, и, конечно же, серверы и сервисы не остаются в стороне.

Если атака оставляет следы в логах (а это происходит более чем в 95% случаев), то просто необходимо написать соответствующий сценарий, чтобы обнаружить ее

Мы располагаем десятками сценариев для различных атак: начиная с L7 DDoS и заканчивая брутфорс-атаками, подстановкой данных кредитных карт, сканированием портов и веб-страниц, PHP [10] -атаками и т.д. Это лишь вопрос времени, когда сообщество сможет охватить большинство потенциальных угроз. Сегодня мы активно боремся с программами-вымогателями, чтобы избежать горизонтальных перемещений, и используем CrowdSec как индикатор. Возможности сервиса практически безграничны. Ограничение может возникнуть в случае, когда атака не оставляет следов либо из-за плохой настройки протоколирования, либо потому, что она «тихая» и маскируется под переполнение стека. Тем не менее такие эксплойты очень редки.


RSpectr: Каково, по вашему мнению, будущее кибербезопасности конечных точек? Какие еще инструменты необходимы для надлежащей защиты организаций?

Ф.Х.: Мы не являемся системой обнаружения угроз и реагирования на конечных точках (EDR) в том смысле, в котором в настоящее время описывают антивирусные программы прошлых поколений. Ни в коем случае не хочу сказать, что такие решения бесполезны, но мы не имеем дело с рабочей станцией как таковой – вместо этого мы имеем дело со службами, доступными из интернета. Чтобы иметь отличную глубокую защиту, я бы поставил хороший брандмауэр (Nftables) с приличным набором правил, несколько EDR на машинах локальной сети, хороший SIEM [11] и несколько программ-индикаторов для обнаружения аномального поведения. Такую систему можно построить за разумные деньги и время. В больших корпорациях потребуется гораздо больше человеческих ресурсов, обучение, процедуры, команды SOC и SecОps, CTI и т.д.

Что касается будущего, то я бы сделал ставку на некий гибрид между системами, основанными на правилах/сценариях (что предоставляет и наш инструмент), которые будут заниматься гигиеной кибербезопасности, и некоторыми системами на основе ИИ и интеллектуальных сигнатур для защиты от неизвестных угроз.

______

[1] LAMP – акроним, обозначающий набор (комплекс) серверного программного обеспечения, широко используемый в интернете (Linux, Apache, MySQL, PHP/Perl/Python).

[2] WordPress – свободно распространяемая система управления содержимым сайта с открытым исходным кодом.

[3] SSH (Secure Shell) – сетевой протокол прикладного уровня, позволяющий производить удаленное управление операционной системой и туннелирование TCP-соединений. TCP (Transmission control protocol) – один из основных протоколов передачи данных в интернете.

[4] Apache – свободный веб-сервер, является кроссплатформенным ПО, поддерживает операционные системы Linux, BSD, Mac OS, Microsoft Windows, Novell NetWare, BeOS.

[5] MySQL – свободная реляционная система управления базами данных. Разработку и поддержку осуществляет корпорация Oracle.

[6] FTP (File Transfer Protocol) – протокол передачи файлов по Сети, является одним из базовых протоколов Ethernet. Появился в 1971 году задолго до HTTP, благодаря чему является одним из старейших прикладных протоколов.

[7] Telnet – сетевой протокол для реализации текстового терминального интерфейса по Сети.

[8] VM – операционная система IBM.

[9] Docker – проект с открытым исходным кодом для автоматизации развертывания приложений в виде переносимых автономных контейнеров, выполняемых в облаке или локальной среде.

[10] PHP – один из старейших языков в рамках Open Source-проекта.

[11] SIEM (Security information and event management). Технология обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.

Изображение: пресс-служба CrowdSec


ЕЩЕ ПО ТЕМЕ:

Кто защитит «новую нефть»
Лев Матвеев («СёрчИнформ»): «Во всех странах мира компании конкурируют за право распоряжаться данными»

Еще по теме

Поможет ли Open Source устранить дефицит на рынке решений информбезопасности?

Как налоговый мониторинг влияет на эффективность бизнеса

Российский рынок интернета вещей ожидает двукратный рост в ближайшие три года

Как эффективно провести автоматизацию учетных функций

Крупные платформы предлагают делиться компетенциями под присмотром регулятора

ИБ-компании констатируют повышенный спрос на свои разработки со стороны финансовых организаций

Каковы перспективы российских платформ Bug Bounty

Индустриальный сектор повышает эффективность за счет решений интернета вещей

Правительство поможет компаниям в закупке оборудования для хранения и обработки данных

Как меняется спрос и предложение на рынке digital-специалистов

Что будет с информбезопасностью после президентского указа о создании антихакерских подразделений на предприятиях

Три причины роста цен на IT-услуги

Есть ли перспективы у тестировщиков ПО в России

Где и как виртуальные помощники могут обучать сотрудников компаний

Готовы ли компании перейти на внедрение программных продуктов отечественного производства