Всего 18 минут нужно в среднем самым способным российским хакерам, чтобы после первого проникновения в компьютер взломать сети. Быстрее никого нет. По крайней мере, так говорится в докладе компании «КроудСтрайк» (CrowdStrike), которая занимается вопросами компьютерной безопасности.
«Мы впервые представляем рейтинг, в котором мы оцениваем наших противников по способностям и изощренности», — говорит Дмитрий Альперович изданию «Шпигель». Альперович родился в Москве, он является сооснователем и техническим директором американской компании. «КроудСтрайк» — компания, которая обвинила россиян в кибератаке против главы избирательной кампании Хиллари Клинтон, а также против Национального комитета Демократической партии. Фирма с тысячами клиентов, от правительств до банков, в основном, на Западе, считается одним из важнейших поставщиком услуг по сложным случаям в сфере компьютерной безопасности.
«В рейтинге мы не учитывали, насколько отшлифованы их вредоносные программы и сколько ранее неизвестных пробелов безопасности они используют, — говорит Альперович. — Потому что это вводило бы в заблуждение. Такие вещи можно купить. Вместо этого мы проанализировали оперативные способности — насколько они хороши, когда они оказывались в сети». Определяющим фактором в рейтинге является то, что «КроудСтрайк» называет «временем взлома» — время от первого заражения компьютера до распространения на другие компьютеры в той же сети.
Одна минута, чтобы обнаружить инцидент в кибербезопасности
На третьем, четвертом и пятом местах расположились Китай (четыре часа на взлом), Иран (пять часов девять минут) и все криминальные группы вне зависимости от их происхождения (девять часов 42 минуты). Чтобы оценить цифры и список, нужно знать некоторые обстоятельства:
— «КроудСтрайк» — американская компания, которая извлекает выгоду из наиболее пессимистичного представления ситуации с угрозами в компьютерной сфере.
— Проанализировав около 30 тысяч инцидентов в сфере безопасности только в 2018 году, «КроудСтрайк» может представить значительный срез ситуации с угрозами — но это только один срез.
— Рассчитанное время взлома — средняя величина. В случае России, например, было проанализировано около десятка групп хакеров, в случае Китая — около 70, Северной Кореи — четыре или пять. Отдельным лицам может потребоваться меньше или больше 18 минут или двух часов.
— Не всегда минимальное время на взлом является целью хакеров, на что также указывает «КроудСтрайк» в своем докладе.
Какие выводы можно сделать из этих данных? По словам Альперовича, «скорость — ключ к обороне». Действует правило 1-10-60. Лучшим клиентам «КроудСтрайк» требуется, в среднем, одна минута, чтобы обнаружить инцидент. Десять минут требуется на то, чтобы определить, идет ли речь о реальной угрозе или ложной тревоге. И в течение 60 минут они начинают предпринимать меры. Директор компании или руководитель IT-подразделения может задаться вопросом, как он сам в случае реальной атаки действовал — быстрее или медленнее, чем это делают действительно способные хакеры.
Хакеров из США или Великобритании «КроудСтрайк», по словам Альперовича, не исследовали — потому что их никогда не обнаруживали в системах клиентов. Но он считает, что они еще быстрее известных российских хакеров. «Я исхожу из того, что они возглавили бы наш список».
