Атаки хакеров, 26 июн 2017, 15:14

Русская угроза: как киберрасcледователи увеличили доходы на 500%

Шумиха вокруг кибератак на американские компьютерные сети многократно увеличила доходы компаний, занятых охотой на хакеров. Так, стоимость CrowdStrike, обнаружившей «русский след» в выборах 2016 года, выросла до $1 млрд
Читать в полной версии
Фото: Nacho Doce / Reuters

В мае 2017 года компания CrowdStrike, специализирующаяся на расследовании компьютерных преступлений, получила $100 млн в рамках очередного раунда инвестиций. Общая стоимость компании была оценена в $1 млрд, а главным инвестором выступил венчурный фонд Accel, уже вложившийся в Facebook и Dropbox, к которому присоединились CapitalG (бывший Google Capital) и другие известные фонды из Кремниевой долины.

CrowdStrike, созданная выходцами из McAfee Джорджем Курцем и Дмитрием Альперовичем, в 2015 году была включена Forbes в сотню самых многообещающих американских компаний. Но ее звездный час настал в декабре 2016 года, когда CrowdStrike опубликовала отчет о своем расследовании взлома компьютеров Демократической партии США. Компания утверждала, что нашла доказательства причастности российской военной разведки к взлому. В результате помимо бесчисленных интервью в ведущих мировых изданиях CrowdStrike получила вполне осязаемую выгоду: как сообщили ее представители изданию TechCrunch, выручка от продаж основного продукта — подписки на комплексное решение в области кибербезопасности — выросла почти на 500%.

Презентация за $25 млн

Несмотря на мировой резонанс, который вызвала публикация доклада, о самой компании известно не слишком много. Сооснователь CrowdStrike Курц сделал карьеру в McAfee, поднявшись до поста технического директора и старшего вице-президента по работе с корпоративным сектором. В 1999 году Курц создал собственную компанию, специализирующуюся на кибербезопасности,  Foundstone, которую в 2004 году продал McAfee. Партнер Курца Альперович на посту вице-президента по исследованию угроз McAfee участвовал в расследовании «Операции Аврора» — серии кибератак на крупнейшие американские компании (Google, Adobe Systems, Northrop Grumman, Morgan Stanley и т.п.), осуществленной в 2010 году структурами, предположительно связанными с Народно-освободительной армией Китая. После «Операции Аврора» в медиа и соцсетях стали открыто говорить о том, что крупнейшие мировые державы готовятся к кибервойне и озабочены созданием специальных хакерских групп, целью которых могут быть атаки на IT​-инфраструктуру потенциальных противников, кража информации и разного рода диверсии.

Как рассказал Курц изданию Inc, идея нового проекта посетила его в зале ожидания аэропорта. Он наблюдал за одним из пассажиров, который включил ноутбук и 15 минут ждал, пока McAfee завершит проверку на вирусы. Курц, который в тот момент был топ-менеджером McAfee, решил, что создаст антивирусное решение, полностью базирующееся в «облаке», что позволит снизить нагрузку на пользователей ПК. Курц отправил своим друзьям, работавшим в инвесткомпании Warburg Pincus, презентацию нового проекта из 25 слайдов и вскоре получил $25 млн инвестиций. Предприниматель шутит, что слайдов надо было сделать больше.

Фото: CrowdStrike / Twitter

В 2011 году Курц и Альперович запустили CrowdStrike. Тогда Курц написал в своем блоге, что компания будет заниматься не только защитой от киберугроз, но и расследованием компьютерных преступлений, то есть сможет сообщать клиенту, кто его «заказал» хакерам. По оценке Курца, только 40% инцидентов в сфере информбезопасности происходят случайно, а более половины атак являются адресными, то есть сперва злоумышленники изучают компанию, ищут, через кого можно получить доступ к ее данным, и пишут специальное вредоносное ПО. Такие атаки намного опаснее случайных, и для борьбы с ними нужны другие методы — наблюдение за сотрудниками, обмен данными с полицией и военными, изучение возможных связей и почерка хакеров. В 2012 году партнеры позвали в свою команду Шона Генри, бывшего исполнительного помощника директора ФБР, который возглавил дочернюю структуру компании CrowdStrike Services, занимающуюся предотвращением компьютерных преступлений и поиском хакеров.

Летом 2014 года CrowdStrike опубликовала отчет о расследовании деятельности хакерской группы Putter Panda (названия хакерским группам дает сама компания), из которого следовало, что китайские хакеры при поддержке военных КНР осуществляли атаки на IT-инфраструктуру правительственных агентств США и американских компаний, занятых в телекоммуникационном и энергетическом секторах, а также предприятий ядерной отрасли. Департамент юстиции США выдвинул обвинения против пяти высших офицеров Народно-освободительной армии Китая, которые китайские военные, разумеется, отвергли. В 2015 году Альперович заявил агентству Reuters, что его компания успешно предотвратила атаку китайской хакерской группы Hurricane Panda на инфраструктуру одной из крупных американских телекоммуникационных компаний.

Russians did it

Но наибольшую известность компании принесла борьба с «российской угрозой». В 2014 году CrowdStrike сообщила об активности хакерской группы Energetic Bear, которая за несколько лет осуществила кибератаки на более чем 2000 компаний по всему миру, специализируясь в основном на энергетическом секторе и промышленных предприятиях. Специалисты CrowdStrike пришли к выводу, что за Energetic Bear стоят российские военные. «Лаборатория Касперского» подтвердила факт активности этой группы, но не нашла доказательств, что она связана с Россией. «Проанализировав полученные данные, мы можем подтвердить, что жертвы группы представляют не только энергетический сектор, но и многие другие секторы экономики. Тег Bear (медведь) отражает тот факт, что, по мнению CrowdStrike, группа имеет российское происхождение. Нам не удалось подтвердить этот тезис», — говорится в отчете лаборатории.

Вермонтская компания Burlington Electric, которую СМИ назвали одной из основных жертв атаки, заявила, что ноутбук одного из сотрудников, на котором было обнаружено подозрительное ПО, не был подключен к какому-либо оборудованию, управляющему энергосетями. Washington Post напечатала опровержение своей статьи, где говорилось, что «русские хакеры» получили контроль над энергосистемой Вермонта, однако губернатор штата Питер Шумлин назвал российского президента «одним из главных разбойников мира» и потребовал всеобъемлющего расследования.

В декабре 2016 года CrowdStrike опубликовала получивший еще больший резонанс доклад, в котором утверждалось, что взлом ресурсов Национального комитета Демократической партии США (DNC) во время предвыборной кампании осуществила хакерская группировка Fancy Bear, подконтрольная российской военной разведке. В качестве доказательства был приведен факт, что для взлома сервера демократов и приложения для Android, которое украинские военные используют для упрощения расчетов при работе артиллерии, применялся один и тот же вирус.

Доклад неоднократно подвергался критике — создатель упомянутого приложения для украинских военных, например, отрицал сам факт взлома. Подозрение вызвало и то, что Национальный комитет Демократической партии США, который нанял CrowdStrike для расследования инцидента, отказался предоставить доступ к своим серверам представителям ФБР, пытавшимся проверить данные отчета CrowdStrike.

В конечном счете неоспоримых доказательств «русского следа» предоставлено не было. Зато другое можно утверждать наверняка: благодаря борьбе с неуловимыми «российскими хакерами» Курц и Альперович способствовали стремительному формированию нового рынка услуг, специализирующегося на всех аспектах защиты в киберпространстве.

Дмитрий Альперович (Фото: Keith Bedford / Reuters)

Сейчас CrowdStrike обслуживает клиентов в 176 странах и ежедневно обрабатывает более 40 млрд инцидентов в сфере кибербезопасности. Она предлагает своим клиентам два основных типа продуктов — платформу комплексной защиты от киберугроз и консалтинговые услуги, включающие анализ инцидентов в сфере информационной безопасности, составление планов по отражению будущих атак, расследование компьютерных преступлений и анализ рисков, в том числе проверку сделок по слиянию и поглощению на риски, связанные с кибербезопасностью. Выручка компании в 2015 году составила $27,3 млн, продемонстрировав рост на 2429% за три года. Прогноз по выручке компании на 2017 год — $100 млн. В ходе последнего раунда инвестиций компания также сообщила, что годовой прирост доходов от подписки на платформу Falcon составил 476%.

Лучшие в мире хакеры

Российская Group-IB, которая специализируется в сфере борьбы с киберпреступлениями, сообщила РБК, что в 2016 году ее иностранная выручка выросла на 150%, в том числе и за счет шумихи вокруг «взломанных выборов». «Сообщений в прессе о хакерах и технологиях стало больше, и, как следствие, стало больше внимания к этой теме. Рынок начал расти, покупать решения по информационной безопасности стали чаще», — говорит основатель Group-IB Илья Сачков. По его словам, разговоры о «русских хакерах» часто не лишены оснований. «Мы видим киберугрозы, которые исходят из русскоязычного сегмента, первыми. Русскоязычные преступники создают 80% самых сложных технологических схем в мире, а все их новые вирусы, шаблоны и сценарии целевых атак в первую очередь тестируются на российских банках, компаниях, предприятиях. Те западные компании, которые отказываются покупать решения из России по политическим причинам, много теряют в плане безопасности», — утверждает он.

Непаханое поле

По оценке аналитической компании IDC, объем мирового рынка информационной безопасности в 2016 году составил $74 млрд. Согласно данным аналитического центра InfoWatch, в 2016 году первое место по количеству утечек данных заняли США (838 случаев, или 57% от всех произошедших). Россия оказалась на уже привычном втором. При этом в 2016 году на долю России пришлось 213 случаев несанкционированного доступа к информации — почти в два раза больше, чем годом ранее. Третье и четвертое места заняли Великобритания и Канада (67 и 37 случаев соответственно).

Эксперты компании Gartner прогнозируют, что мировые расходы на информационную безопасность к концу 2020 года могут превысить $170 млрд. Среднегодовой темп роста составит 20%, быстрее всего будут расти направления тестирования безопасности, IT-аутсорсинга и решений для защиты от утечек информации.

Фото: CrowdStrike / Twitter

Несмотря на то что CrowdStrike фактически работает на рождающемся на глазах рынке расследования кибератак, аналитики чаще всего считают его сегментом существующего уже около десятилетия рынка обнаружения и реагирования на инциденты, связанные с безопасностью. Крупнейшим игроком на нем является основанная в 2007 году Tanium, а CrowdStrike находится в середине рейтинга. По оценке Gartner, этот рынок вырос за год почти в два раза — с $238 млн в 2015-м до $500 млн в 2016 году. В узком сегменте расследования кибератак ближайшим конкурентом CrowdStrike является компания Cylance, чья капитализация в 2016 году превысила $1 млрд. Основатель компании Стюарт Макклу делает ставку на искусственный интеллект: по его мнению, раскрывать преступные замыслы взломщиков под силу только самообучающимся программам.

Взгляд со стороны

«Тему «русских хакеров» можно закрыть»

Кристина Танцюра, руководитель направления по развитию бизнеса на Ближнем Востоке ГК InfoWatch

«Не так давно достоянием общественности стал любопытный факт: ЦРУ систематически занималось маскировкой своих киберпреступлений под русский, китайский, арабский, корейский, иранский следы и т.д. Западные компании из сферы информбезопасности насчитали более 40 таких атак на предприятия 16 стран мира. На этом тему «русских хакеров» можно закрыть. Напомню, что Россия входит в пятерку сильнейших стран — разработчиков средств защиты. Но российские компании проигрывают за счет слабого маркетинга. Мы уже неоднократно становились свидетелями того, как может наличие такого доминирующего положения одного государства в области IT негативно влиять на различные процессы в глобальном масштабе: от незаконного доступа американских спецслужб к данным миллионов пользователей из разных стран до случаев односторонней приостановки коммерческих лицензий на различные виды ПО и законодательной дискриминации по географическому принципу».

«Не обо всех инцидентах информационной безопасности становится известно»

Генеральный директор Group-IB Илья Сачков

«Защищенность страны складывается из защищенности различных госструктур, бизнеса, частных пользователей. Чтобы грамотно сравнить уровни защищенности стран, необходимо иметь сопоставимую статистику по инцидентам в каждой из этих отраслей. Далеко не обо всех инцидентах информационной безопасности становится известно: например, данные из такой закрытой страны, как Китай, могут быть искажены. А в США, напротив, многие законы и регуляторы требуют разглашения данных о взломах и инцидентах, чего нет в других странах. В России, чтобы продавать решения для госсектора, требуется провести много дополнительных сертификаций и другой бумажной работы. Для реализации этих задач мы создали совместное предприятие с ГК «Ростех»: у них есть опыт в интеграции решений в госструктуры, у нас — актуальные знания и решения по защите от реальных угроз».

«Больше всех выиграл криминал»

Гендиректор Qrator Labs Александр Лямин

«История с «русскими хакерами» навредила всем нормальным людям, которые делают бизнес. Посмотрите на травлю Касперского, посмотрите на травлю западных компаний здесь. Иначе как «закрытием рынков» я этот процесс назвать не могу. И в конечном итоге это все очень плохо для потребителя. Конечно же, кто-то выиграет от этого: в Америке ведь тоже «пилят» средства — кто-то получил контракты, кто-то — бесплатную рекламу, а больше всех выиграл, конечно, криминал».

«Частные компании не обязаны подчиняться таким требованиям государства»

Кирилл Керценбаум, менеджер по развитию бизнеса «Лаборатории Касперского»

«Исторически в США и в Западной Европе государственные расходы составляют значительную часть трат на информационную безопасность. В США около 20% объема рынка ИБ ($19 млрд в 2017 году) стабильно занимают государственные расходы. Большая доля этих расходов приходится на использование общедоступных решений по защите, в большинстве случаев только американского производства. Однако немалая часть средств инвестируется и в контракты с господрядчиками по разработке специфического ПО, которое используется в целях обеспечения национальной безопасности. Для тех российских компаний, в первую очередь технологических, которые уже присутствуют на рынке США, ситуация изменилась незначительно. Рынок спроса на высокие технологии таков, что потребители готовы платить лишь за качественные и эффективные решения, вне зависимости от страны их разработки.

Санкции и политическая напряженность не затрагивают напрямую деятельность компании и наших партнеров. В тех же США действуют жесткие рекомендации для органов государственной власти использовать только производимые внутри страны IT- и ИБ-решения. Как правило, это не запрет, но очень конкретная рекомендация. Наверное, нельзя считать такие требования с точки зрения национальной безопасности необоснованными, как нельзя назвать плохим знаком и то, что и у нас в России в этой области государство стало занимать более жесткую позицию. Но частные компании в большинстве случаев никак не обязаны подчиняться подобным требованиям или рекомендациям. Они вправе выбирать те решения, которые находят наиболее эффективными или выгодными. Исключение — запреты на уровне стран, которые находятся в состоянии активного конфликта или войны».​​

Pro
Когда все пошло не по плану: 5 техник адаптации к вынужденным переменам
Pro
Обыск или выемка: почему необязательно давать пароли от личных устройств
Pro
Глупцы на Олимпе. Почему компании меньше платят сотрудникам с высоким IQ
Pro
Аттестация без негатива, обид и страха: 10 правил оценки персонала
Pro
Уволили за эксперименты: каково работать в Revolut — в шести пунктах
Pro
Синдром Балды. Компании в России ищут сотрудников, которых нет в природе
Pro
На какой препарат теперь делает ставку производитель оземпика
Pro
Вуду-экономика. Почему США в 2025 году повторят ошибки Аргентины