Интервью с экспертом: «Как очистить национальные доменные зоны от вредоносных ресурсов»
Одной из главных целей Координационного центра, согласно Уставу, является «содействие повышению безопасности использования Интернета». Какие вопросы в плане информационной безопасности вы назвали бы самыми острыми, актуальными на сегодняшний день? Иными словами, что вас (вашу отрасль) сейчас больше всего беспокоит в плане ИБ?
В последний год и сам Координационный центр, и наши партнеры, специализирующиеся в области кибербезопасности, обеспокоены ростом числа фишинговых ресурсов. Причем фишинг приобретает все более и более изощренные черты, и распознавать его становится сложнее. Также сложным остается поиск путей пресечения работы злоумышленников. Прекращение делегирования домена не является и не может являться единственным правильным решением. Если с дома снять табличку с номером, то сам дом от этого не исчезнет. Необходимо бороться с физическим источником преступлений (организаторами). Для этого необходим комплекс мер – от внесения изменений в нормативно-правовую базу и выстраивания новых цепочек взаимодействия вовлеченных сторон (эксперты – правоохранительные органы – пользователи – регистраторы – КЦ) до повышения уровня цифровой культуры в обществе.
В Уставе также говорится, что Координационный центр «разрабатывает меры, направленные на предотвращение использования сети Интернет и системы регистрации доменных имен в противоправных целях». Пожалуйста, перечислите основной набор этих мер.
В 2012 году Координационный центр доменов .RU/.РФ внедрил практику взаимодействия с организациями, компетентными в определении нарушений в сети Интернет. Такие организации обладают необходимыми знаниями и навыками для выявления в сети ресурсов с противоправным контентом, сбора и предоставления информации о случаях фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен, находящихся в зонах .РФ и .RU. Эти организации наделены Координационным центром правом направлять аккредитованным регистраторам требования о прекращении делегирования доменных имен для подобных ресурсов. В свою очередь, регистраторы вправе прекратить делегирование доменных имен по запросам компетентных организаций. Сегодня таких организаций насчитывается одиннадцать, а «витриной» для компетентных организаций служит проект Доменный патруль.
Еще один проект, связанный с информационной безопасностью – информационно- аналитическая платформа для обмена данными Нетоскоп. В нем участвуют 16 организаций, которые совместно развивают исследовательскую платформу для агрегации информации о вредоносных ресурсах в сети Интернет, проводят анализ источников «зловредов» и обмениваются аналитическими данными.
Кроме того, с начала пандемии COVID 19 Координационный центр проводит ежемесячный мониторинг «коронадоменов» (доменных имен, тематически близких к пандемии коронавируса) как актуальный ответ на текущую ситуацию. Результаты мониторинга обрабатываются в сотрудничестве с участниками института компетентных организаций в рамках проекта Доменный патруль.
Также КЦ ведет большую социально-просветительскую работу для повышения уровня цифровой грамотности населения, а в связи с увеличившимся числом случаев фишинга разъясняет пользователям в соцсетях и на сайте, как не попасться на удочку мошенников.
Какие методы вы используете для обнаружения фактов противоправного использования доменных имен? Кто и как разрабатывает эти методы? Насколько они результативны, не дают ли ошибок?
Координационный центр не является экспертной организацией в области кибербезопасности и не обладает собственной экспертизой в данной области. Именно поэтому мы развиваем проекты с привлечением признанных на российском и международном уровне экспертов, таких как Group-IB, Лаборатория Касперского, BI.ZONE и других. Каждый участник проектов Нетоскоп и Доменный патруль обладает собственной обширной базой знаний, алгоритмов поиска вредоносных доменов и способов борьбы с ним. Поэтому в итоге КЦ не ограничивается какими-то единожды определенными рамками. Много экспертов – много алгоритмов – эффективнее борьба – качественней результат.
Какие механизмы задействует Координационный центр для предотвращения использования национальных доменных имен в противоправных целях? Насколько эффективны эти механизмы?
Например, нам удалось снизить количество претензий к национальным доменным зонам со стороны зарубежных коллег. В середине 2000-х годов домен .RU считался одним из главных «злодеев» глобального рынка доменных имен. Сегодня же национальные российские домены и российские регистраторы имеют в мире совсем другую, положительную репутацию.
За почти 10 лет существования проекта Нетоскоп налажен механизм эффективного контроля вредоносной активности в национальных доменных зонах. В базе данных проекта накоплена информация о почти 5 млн доменных имен как второго, так и более низких уровней, которые в том или ином виде были использованы для ведения вредоносной деятельности.
Сегодня эксперты КЦ и компетентных организаций исследуют и применяют на практике различные способы выявления групп подозрительных доменов. Например, агрегирование доменов по аккаунтам администраторов показало свою эффективность в противодействии фишингу и распространению ботнетов.
Также у нас налажено и продолжается международное сотрудничество с другими национальными доменами и экспертами в области кибербезопасности.
Нетоскоп регулярно публикует аналитику по данному направлению. В отчете за первый квартал этого года сообщается об обнаружении 4 850 681 зловредных доменов. Расскажите подробнее об этом проекте и сервисе проверки доменного имени на его использование для ресурсов с нежелательной сетевой активностью.
Отчет за второй квартал уже опубликован: число «зловредов» немного увеличилось – их уже 4,9 млн.
Нетоскоп – это первый в России информационно-аналитический ресурс, посвященный информационной безопасности в доменном пространстве.
Участники научно-технического сотрудничества совместно развивают исследовательскую платформу для агрегации информации о вредоносных ресурсах в сети Интернет, проводят анализ источников «зловредов» и обмениваются аналитическими данными.
Основной принцип проекта: если домен был ассоциирован одним или несколькими участниками проекта с каким-либо видом вредоносной активности, и информация о таком домене попала в базу, то она там хранится «вечно». Это связано с тем, что многократные исследования подтверждают: если на ресурсе с определенным доменом было размещено, например, вредоносное ПО, то с высочайшей вероятностью рано или поздно домен опять будет использован злоумышленниками. Сервис проверки домена на его наличие в базе проекта позволяет, например, пользователям оценить риски использования их сайта в противоправной деятельности.
Прокомментируйте результаты свежего аналитического отчета Нетоскопа. В частности, расскажите о структуре полученных данных по категориям «зловредов» и уровням доменов.
Как я уже говорил, по итогам второго квартала в базе Нетоскопа содержится 4,9 млн доменных имен. Из них 45,9% второго уровня и 54,1% третьего и более низких уровней. Вполне логично, что львиная доля доменов в базе приходится на домен .RU (96,4% доменов второго уровня и 97,7% более низких уровней). При сборе данных мы выделяем несколько категорий «зловредов»: распространение вредоносного ПО (malware), фишинг, спам (тоже связанный с распространением ВПО), контроллеры ботнет-сетей. Домены, связанные с распространением вредоносного ПО, составляют 90% «плохих» доменов в базе проекта. Однако не стоит забывать, что не всегда количество играет первостепенную роль. Один действующий или несвоевременно остановленный ботнет-контроллер может нанести гораздо больший урон, чем все остальные «зловреды», вместе взятые.
Второй ваш крупный проект в сфере ИБ – Доменный патруль. Расскажите, как и зачем он был создан. Чем он отличается от Нетоскопа, каковы результаты его деятельности?
Если Нетоскоп – это информационно-аналитическая платформа, с помощью которых участники могут обмениваться данными и совершенствовать механизмы поиска зловредных доменов, то Доменный патруль – это инструмент который помогает участникам системы регистрации и экспертам в области кибербезопасности совместными усилиями оказать правоохранительным органам помощь в минимизации ущерба, который могут понести пользователи от действий лиц, вовлеченных в противоправную деятельность с использованием доменных имен в национальных российских доменах .RU и .РФ.
Практика взаимодействия с организациями, компетентными в определении нарушений в сети Интернет, была внедрена в систему регистрации Координационным центром еще в 2012 году Такие организации обладают необходимыми знаниями и навыками для выявления в сети ресурсов с противоправным контентом, сбора и предоставления информации о случаях фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен, находящихся в зонах .РФ и .RU. Эти организации были наделены Координационным центром правом направлять аккредитованным регистраторам требования о прекращении делегирования доменных имен для подобных ресурсов. В свою очередь, регистраторы получили право прекращать делегирование доменных имен по запросам компетентных организаций. Позднее этот институт взаимодействия обрел свое настоящее имя – Доменный патруль. Проект включает как открытую часть (сайт, где пользователи могут ознакомиться с регламентом взаимодействия сторон, и где в одном месте собрана информация о горячих линиях КО, с помощью которых любой пользователь может подать жалобу на подозрительный ресурс), так и закрытый функционал, благодаря которому участники процесса могут оперативно обмениваться информацией, принимать и обрабатывать запросы о прекращении делегирования. Эффективность работы многократно повысилась по сравнению с временами, когда участники обменивались бумажными письмами «с синей печатью».
Координационный центр аккредитует регистраторов в доменах .RU и .РФ. Какую ответственность несут регистраторы в связи обнаружением зловредных доменов? Как они реагируют на факты их обнаружения, и какие меры предпринимают? Как, например, происходит разделегирование? Кто в этой ситуации принимает решение? На каких основаниях?
Взаимодействие сторон осуществляется в рамках Правил регистрации доменных имен в доменах .RU и .РФ. В соответствии с пунктом п.5.7 Правил регистратор вправе прекратить делегирование домена при поступлении регистратору мотивированного обращения организации, указанной координатором как компетентной в определении нарушений в сети Интернет.
То есть прекращение делегирования по запросу компетентной организации – это право регистратора, а не его обязанность. Но, так как регистраторы живут и работают не в вакууме, они крайне ответственно относятся к вопросу оперативного прекращения доступности противоправных ресурсов. Особенно когда речь идет о фишинге и возможных финансовых потерях простых пользователей. Решение принимает ответственный сотрудник регистратора, руководствуясь установленными в компании процедурами, бизнес-процессами, а иногда требованиями собственной службы безопасности. В любом случае основанием всегда служит запрос компетентной организации, которая несет ответственность за свои действия.
Что вы думаете о необходимости создания отдельного регистратора доменов для госорганов РФ? Нужен ли такой регистратор? Должны ли у него быть специальные полномочия и механизмы предотвращения инцидентов ИБ?
Министерством цифрового развития, связи и массовых коммуникаций разрабатывается законопроект, направленный на обеспечение стабильности и безопасности функционирования сайтов госорганов, который предусматривает создание спецрегистратора. КЦ всегда положительно относится к инициативам, способствующим более безопасному использованию информационных технологий.
Актуальна ли действующая нормативная база системы регистрации доменов? Учитывает ли она новые угрозы ИБ? Нужно ли что-то изменить в действующих правилах и процедурах регистрации в связи с меняющимся ландшафтом угроз?
Однозначно, существующая нормативно-правовая база нуждается в изменениях. Как минимум, очень болезненным вопросом является отсутствие закрепленного понятия фишинга, что вызывает коллизии в области борьбы с этим видом мошенничества. И в целом, к сожалению, пока изменение нормативно-правовой базы отстает от темпов изменения нашей с вами жизни во всех областях. Есть простор для совместной работы.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
