# Николь Перлрот о кибервойне: «Мы живем в самом роскошном из стеклянных домов»

Источник: https://www.youtube.com/watch?v=DiprguyVyBw
Канал: Greylock
Опубликовано: 24.03.2023

---

В подкасте венчурного фонда Greylock журналист Николь Перлрот и сооснователь Obsidian Security Гленн Чисхолм обсуждают новую реальность глобальной кибервойны. В центре дискуссии — теневой рынок эксплойтов, последствия масштабной атаки на SolarWinds и уязвимость США как самой технологически развитой, но при этом «стеклянной» сверхдержавы.

## 🕵️ Путь в «кроличью нору»: рынок эксплойтов и секретные архивы
[[JUMP:0:00]]

Николь Перлрот начала карьеру в New York Times в 2011 году, освещая атаки группы Anonymous [0:39]. Однако фокус быстро сместился на кибероперации на государственном уровне. Переломным моментом стал взлом самой газеты китайскими хакерами, после чего Николь получила доступ к документам Эдварда Сноудена [1:31]. 

Работа с секретными файлами велась в условиях строжайшей секретности:

*   Журналистам запретили работать в помещениях с окнами.
*   Поскольку здание New York Times полностью стеклянное, единственным подходящим местом оказалась кладовая владельца газеты Артура Сульцбергера [1:56].
*   В этих документах Николь обнаружила доказательства существования «серого рынка», где хакеры продают правительствам уязвимости «нулевого дня» (zero-days) для шпионажа [2:22].

По словам Николь Перлрот, её расследование длилось семь лет и вылилось в книгу «This Is How They Tell Me the World Ends» [2:49]. Она утверждает, что рынок кибероружия перестал быть инструментом классического шпионажа и превратился в средство тотальной слежки и атак на критическую инфраструктуру. Главный вывод автора: в этой индустрии «нет дна» [3:28].

## 🛡️ Безопасность SaaS: почему Obsidian Security фокусируется на облаках
[[JUMP:4:08]]

Гленн Чисхолм, имеющий опыт защиты крупных предприятий и ранее занимавший пост технического директора в Cylance, объяснил философию своей компании Obsidian Security [4:08]. Его тезисы о развитии угроз:

1.  Раньше данные хранились на серверах и в сетях — их научились защищать.
2.  Затем данные переместились на конечные устройства (endpoints) — появились решения класса EDR.
3.  Сегодня данные живут в SaaS-приложениях (Office 365, Salesforce, Slack), и это «слепое пятно» для многих компаний [5:01].

Гленн Чисхолм подчеркивает, что традиционные методы защиты, такие как простая аутентификация через Okta или Microsoft, недостаточны [5:14]. Obsidian Security фокусируется на том, что происходит *после* входа в систему:

*   Использование украденных учетных данных.
*   Активность вредоносного ПО внутри облачной среды.
*   Ошибки конфигурации приложений, создающие риски утечки [5:39].

По мнению Гленна, современный риск создается не просто фактом входа, а сложной сетью связей между приложениями и сторонними вендорами [6:04].

## ☢️ Урок SolarWinds: атака на цепочку поставок
[[JUMP:6:44]]

Обсуждая инцидент с SolarWinds (кампания Sunburst), Гленн Чисхолм описывает его как крайне продуманную операцию, приписываемую спецслужбам России [6:44]. Хакеры внедрили вредоносный код непосредственно в процесс сборки ПО, что дало им доступ к 18 000 потенциальных жертв [7:36].

Ключевые особенности атаки по версии участников:

*   **Триаж жертв:** Хакеры не атаковали всех сразу; они анализировали окружение и расширяли присутствие только там, где были ценные данные (Минфин США, Министерство внутренней безопасности) [7:49].
*   **Цель — коммуникации:** Взломщики мониторили электронную почту и внутренние файлы для понимания стратегии и политики ведомств [8:04].
*   **Множественные точки входа:** Помимо SolarWinds, атакам подверглись Microsoft, FireEye и Mimecast [8:31].

Николь Перлрот добавляет, что масштаб катастрофы усугубляется непрозрачностью цепочек поставок [9:49]. По её данным, многие клиенты даже не подозревали, что используют софт SolarWinds, а серверы сборки компании находились в Беларуси, что создавало дополнительные риски [10:16].

## 🏗️ Парадокс «Стеклянного дома»: мощная атака при слабой защите
[[JUMP:11:47]]

Ведущая Сара Гуо задается вопросом: как организации с огромными бюджетами на ИТ (Пентагон, Госдепартамент) могли быть взломаны так глубоко и на такой долгий срок (время нахождения хакеров в сети превышало шесть месяцев) [12:12]?

Гленн Чисхолм связывает это с опасным чувством самоуспокоенности. По его наблюдениям, в индустрии распространился миф о снижении активности государственных хакеров после дипломатических договоренностей [12:39]. Пока США фокусировались на китайском промышленном шпионаже, они упустили из виду глубокое проникновение российских спецслужб в правительственные облака Office 365 [13:03].

Николь Перлрот считает, что США оказались в ловушке собственного успеха [17:11]:

*   США — самая совершенная киберсверхдержава в плане наступления [17:53].
*   Одновременно с этим США — самая уязвимая цель, так как страна наиболее глубоко цифровизирована [18:19].
*   Согласно отчету McKinsey, в мире ежесекундно подключается 127 новых IoT-устройств [18:31].

Николь подчеркивает абсурдность ситуации: к интернету подключаются системы управления водоснабжением и кардиостимуляторы без должной защиты [18:46]. Она приводит в пример инцидент во Флориде, где хакер удаленно пытался изменить уровень щелочи в питьевой воде, и только случайность помогла оператору заметить движение курсора на экране [19:38].

## 📉 Проблемы политики: «цифровая Женева» и накопление уязвимостей
[[JUMP:34:30]]

Николь Перлрот скептически относится к идее «цифровой Женевской конвенции», которую продвигает Microsoft [35:34]. По её словам, официальные лица США вряд ли подпишут такой документ, так как сами активно используют кибероружие через АНБ и Киберкомандование [35:47].

Проблемы государственной стратегии по мнению Николь:

1.  **Накопление уязвимостей:** Спецслужбы годами хранят данные о дырах в Windows, вместо того чтобы сообщать о них разработчикам. Это делает всех граждан уязвимыми, если инструменты АНБ утекают в сеть, как это случилось с Северной Кореей и Россией [27:09].
2.  **Аутсорсинг:** В отличие от США, Россия и Китай часто используют киберпреступников-подрядчиков, что обеспечивает им «правдоподобное отрицание» [36:00].
3.  **Иллюзия сдерживания:** Санкции и обвинительные заключения не работают как эффективный сдерживающий фактор [37:17].

Гленн Чисхолм добавляет, что даже «маловажные» данные, такие как записи из отдела кадров (OPM), имеют колоссальное значение для контрразведки. Зная, кто работает в IBM или посольстве, и сопоставляя это со списками допусков, спецслужбы могут легко вычислять глубоко законспирированных агентов [40:09].

## 🔮 Прогнозы: автоматизация и приток талантов
[[JUMP:41:15]]

Несмотря на тревожную ситуацию, участники видят поводы для оптимизма.

Гленн Чисхолм отмечает, что громкие атаки привлекают в индустрию безопасности экстраординарные таланты. Те, кто раньше хотел создавать iPhone, теперь идут в сферу защиты [42:08]. Он считает, что будущее за моделью «безопасности по умолчанию», которая уже реализована в современных смартфонах, ставших гораздо более защищенными, чем персональные компьютеры [42:35].

Сара Гуо (Greylock) делает ставку на технологии машинного обучения [43:16]. По её мнению, потенциал для автоматизации форензики и защиты сетей сегодня гораздо выше, чем пять лет назад. Она верит, что защитники скоро смогут понимать свои сети лучше, чем атакующие, благодаря интеллектуальному анализу данных [43:28].

Николь Перлрот заключает, что обществу пора перестать гнаться за сексуальными наступательными операциями и сосредоточиться на «скучных», но необходимых вещах: защищенном кодировании, двухфакторной аутентификации и элементарной цифровой гигиене [37:43].