В подкасте венчурного фонда Greylock журналист Николь Перлрот и сооснователь Obsidian Security Гленн Чисхолм обсуждают новую реальность глобальной кибервойны. В центре дискуссии — теневой рынок эксплойтов, последствия масштабной атаки на SolarWinds и уязвимость США как самой технологически развитой, но при этом «стеклянной» сверхдержавы.
🕵️ Путь в «кроличью нору»: рынок эксплойтов и секретные архивы 0:00
Николь Перлрот начала карьеру в New York Times в 2011 году, освещая атаки группы Anonymous . Однако фокус быстро сместился на кибероперации на государственном уровне. Переломным моментом стал взлом самой газеты китайскими хакерами, после чего Николь получила доступ к документам Эдварда Сноудена .
Работа с секретными файлами велась в условиях строжайшей секретности:
- Журналистам запретили работать в помещениях с окнами.
- Поскольку здание New York Times полностью стеклянное, единственным подходящим местом оказалась кладовая владельца газеты Артура Сульцбергера .
- В этих документах Николь обнаружила доказательства существования «серого рынка», где хакеры продают правительствам уязвимости «нулевого дня» (zero-days) для шпионажа .
По словам Николь Перлрот, её расследование длилось семь лет и вылилось в книгу «This Is How They Tell Me the World Ends» . Она утверждает, что рынок кибероружия перестал быть инструментом классического шпионажа и превратился в средство тотальной слежки и атак на критическую инфраструктуру. Главный вывод автора: в этой индустрии «нет дна» .
🛡️ Безопасность SaaS: почему Obsidian Security фокусируется на облаках 4:08
Гленн Чисхолм, имеющий опыт защиты крупных предприятий и ранее занимавший пост технического директора в Cylance, объяснил философию своей компании Obsidian Security . Его тезисы о развитии угроз:
- Раньше данные хранились на серверах и в сетях — их научились защищать.
- Затем данные переместились на конечные устройства (endpoints) — появились решения класса EDR.
- Сегодня данные живут в SaaS-приложениях (Office 365, Salesforce, Slack), и это «слепое пятно» для многих компаний .
Гленн Чисхолм подчеркивает, что традиционные методы защиты, такие как простая аутентификация через Okta или Microsoft, недостаточны . Obsidian Security фокусируется на том, что происходит после входа в систему:
- Использование украденных учетных данных.
- Активность вредоносного ПО внутри облачной среды.
- Ошибки конфигурации приложений, создающие риски утечки .
По мнению Гленна, современный риск создается не просто фактом входа, а сложной сетью связей между приложениями и сторонними вендорами .
☢️ Урок SolarWinds: атака на цепочку поставок 6:44
Обсуждая инцидент с SolarWinds (кампания Sunburst), Гленн Чисхолм описывает его как крайне продуманную операцию, приписываемую спецслужбам России . Хакеры внедрили вредоносный код непосредственно в процесс сборки ПО, что дало им доступ к 18 000 потенциальных жертв .
Ключевые особенности атаки по версии участников:
- Триаж жертв: Хакеры не атаковали всех сразу; они анализировали окружение и расширяли присутствие только там, где были ценные данные (Минфин США, Министерство внутренней безопасности) .
- Цель — коммуникации: Взломщики мониторили электронную почту и внутренние файлы для понимания стратегии и политики ведомств .
- Множественные точки входа: Помимо SolarWinds, атакам подверглись Microsoft, FireEye и Mimecast .
Николь Перлрот добавляет, что масштаб катастрофы усугубляется непрозрачностью цепочек поставок . По её данным, многие клиенты даже не подозревали, что используют софт SolarWinds, а серверы сборки компании находились в Беларуси, что создавало дополнительные риски .
🏗️ Парадокс «Стеклянного дома»: мощная атака при слабой защите 11:47
Ведущая Сара Гуо задается вопросом: как организации с огромными бюджетами на ИТ (Пентагон, Госдепартамент) могли быть взломаны так глубоко и на такой долгий срок (время нахождения хакеров в сети превышало шесть месяцев) ?
Гленн Чисхолм связывает это с опасным чувством самоуспокоенности. По его наблюдениям, в индустрии распространился миф о снижении активности государственных хакеров после дипломатических договоренностей . Пока США фокусировались на китайском промышленном шпионаже, они упустили из виду глубокое проникновение российских спецслужб в правительственные облака Office 365 .
Николь Перлрот считает, что США оказались в ловушке собственного успеха :
- США — самая совершенная киберсверхдержава в плане наступления .
- Одновременно с этим США — самая уязвимая цель, так как страна наиболее глубоко цифровизирована .
- Согласно отчету McKinsey, в мире ежесекундно подключается 127 новых IoT-устройств .
Николь подчеркивает абсурдность ситуации: к интернету подключаются системы управления водоснабжением и кардиостимуляторы без должной защиты . Она приводит в пример инцидент во Флориде, где хакер удаленно пытался изменить уровень щелочи в питьевой воде, и только случайность помогла оператору заметить движение курсора на экране .
📉 Проблемы политики: «цифровая Женева» и накопление уязвимостей 34:30
Николь Перлрот скептически относится к идее «цифровой Женевской конвенции», которую продвигает Microsoft . По её словам, официальные лица США вряд ли подпишут такой документ, так как сами активно используют кибероружие через АНБ и Киберкомандование .
Проблемы государственной стратегии по мнению Николь:
- Накопление уязвимостей: Спецслужбы годами хранят данные о дырах в Windows, вместо того чтобы сообщать о них разработчикам. Это делает всех граждан уязвимыми, если инструменты АНБ утекают в сеть, как это случилось с Северной Кореей и Россией .
- Аутсорсинг: В отличие от США, Россия и Китай часто используют киберпреступников-подрядчиков, что обеспечивает им «правдоподобное отрицание» .
- Иллюзия сдерживания: Санкции и обвинительные заключения не работают как эффективный сдерживающий фактор .
Гленн Чисхолм добавляет, что даже «маловажные» данные, такие как записи из отдела кадров (OPM), имеют колоссальное значение для контрразведки. Зная, кто работает в IBM или посольстве, и сопоставляя это со списками допусков, спецслужбы могут легко вычислять глубоко законспирированных агентов .
🔮 Прогнозы: автоматизация и приток талантов 41:15
Несмотря на тревожную ситуацию, участники видят поводы для оптимизма.
Гленн Чисхолм отмечает, что громкие атаки привлекают в индустрию безопасности экстраординарные таланты. Те, кто раньше хотел создавать iPhone, теперь идут в сферу защиты . Он считает, что будущее за моделью «безопасности по умолчанию», которая уже реализована в современных смартфонах, ставших гораздо более защищенными, чем персональные компьютеры .
Сара Гуо (Greylock) делает ставку на технологии машинного обучения . По её мнению, потенциал для автоматизации форензики и защиты сетей сегодня гораздо выше, чем пять лет назад. Она верит, что защитники скоро смогут понимать свои сети лучше, чем атакующие, благодаря интеллектуальному анализу данных .
Николь Перлрот заключает, что обществу пора перестать гнаться за сексуальными наступательными операциями и сосредоточиться на «скучных», но необходимых вещах: защищенном кодировании, двухфакторной аутентификации и элементарной цифровой гигиене .
