Сиэтл считают серым и дождливым городом, расположенным в самом отдаленном уголке США, почти на границе с Канадой. В нем нет всемирно известных исторических памятников или культурных мест, а главная туристическая достопримечательность башня Space Needle в два раза ниже Эйфелевой. Однако за этим скромным обликом скрывается один из крупнейших в мире центров киберразведки.
Microsoft активно перестраивает подход к кибербезопасности и выводит на передний план подразделение Digital Crimes Unit (DCU) - центр мониторинга глобального трафика данных и цифровых угроз. Аналитики называют его, возможно, самым масштабным частным узлом наблюдения за данными в сети.
На прошедшей в Сан‑Франциско конференции Microsoft Ignite компания устроила демонстрацию комплексной защиты инфраструктуры, представив новые инструменты и обновления в линейке Microsoft Security и, по сути, предложив рынку отказаться от классических киберподрядчиков и сосредоточить защиту AI-систем (также: ИИ-систем) на ее платформах.
Глава корпорации Сатья Наделла ранее заявлял, что текущий приоритет компании - защита ИИ‑систем от кибератак. В Microsoft Security за стратегию отвечает топ-менеджер Су Жакель, управляющая бюджетом в 20 млрд долларов.
Microsoft традиционно входит в самые перспективные рынки и масштабирует чужие инновации — от MS‑DOS и Excel до AI Copilot. Сегодня она оценивается примерно в 3,5 трлн долларов, что, по мнению экспертов, и делает ее способной диктовать правила в новых нишах безопасности ИИ.
При этом компания честно признает главную уязвимость отрасли - человеческий фактор. По внутренней статистике Microsoft, 20% корпоративных взломов происходят через учетные записи сотрудников, а использование ИИ в рабочих задачах привело к росту утечек данных на 80%. Специалисты подчеркивают: как и прежде, основная проблема - не технологии, а люди.
В Microsoft объясняют: ответом на растущие угрозы станет новая "сквозная" платформа кибербезопасности на базе ИИ, ориентированная на защиту самих ИИ-систем. Основой, как утверждают в компании, служит разведывательный хаб DCU в Сиэтле, ежедневно собирающий 100 триллионов цифровых сигналов - индикаторов угроз.
Вторая составляющая - запуск единой платформы, объединяющей инструменты для разных сегментов угроз: Defender for Endpoint, Entra, Purview и Foundry Control Panel. В систему также интегрированы продуктивные сервисы вроде Microsoft 365 и Work IQ, которые, по словам разработчиков, повышают эффективность анализа и мониторинга.
В Microsoft Corporation прогнозируют, что к 2028 году разные компании будут задействовать примерно 1,3 млрд ИИ-агентов. Большинство компаний пока не имеет инструментов для их мониторинга и контроля, из-за чего они рискуют превратиться в неконтролируемый "теневой IT" - неэффективный и уязвимый к атакам.
Гендиректор Microsoft Сатья Наделла заявил, что стратегическая цель - превратить Windows в рабочую ИИ-среду, где агенты будут выполнять задачи: обобщать документы, искать и структурировать данные, управлять почтой и даже предлагать помощь без запроса пользователя. То есть пользователи могут описать желаемый результат, а ИИ-агенты выполнят остальное.
Однако компания сталкивается с критикой: анонс обновлений вызвал волну недовольства в соцсетях. "Никто этого не хотел", - писали пользователи, обвиняя Microsoft в игнорировании традиционных запросов на изменения, но активном внедрении новых ИИ-функций. В компании признают, что итоговая полезность обновлений станет очевидна только со временем.
Центр DCU, который иранские и арабские СМИ также назвали "секретным", расположен на территории кампуса Microsoft в Редмонде, сопровождение в который, по словам присутствовавших журналистов, строго ограничено - большинство сотрудников не имеют доступа в здание без специального допуска и сопровождения.
Старший руководитель DCU Стив Масада (Steven Masada) отметил, что Microsoft не обладает прямыми полномочиями правоприменения, как государственные структуры, но компенсирует это юридическими механизмами и партнерством с госорганами.
Он рассказал, что специалисты из ФБР и Департамента внутренней безопасности регулярно работают в центре два-три раза в неделю, получая доступ к данным Microsoft, которые недоступны по другим каналам. По словам Масады, партнерство включает и зарубежные службы из Великобритании, Австралии и Евросоюза, а также совместные расследования с конкурентами - Google и Amazon.
"Мы сотрудничаем даже с технологическими соперниками, когда это помогает бороться с киберпреступностью", - подчеркнул он.
►Идентификация, описание, обнаружение, отслеживание
Инструменты, разработанные в DCU, позволяют выявлять киберпреступников вплоть до определения их местоположения и особенностей их деятельности, обнаруживать инфраструктуру, на которой они работают, отслеживать переводы средств в криптовалюте и инициировать действия, которые их остановят. Другие эксперты центра анализируют вредоносные киберприложения, выполняют их обратную разработку и способны точно понять механизм их действия.
При этом преступники тоже становятся все более изощренными, отмечают в компании. Так, в период с 2000 по 2023 год было выплачено выкупов на сумму 1,1 миллиарда долларов российским, иранским и другим группам. "Атаки с вымогательством, вероятно, являются самыми недооцененными преступлениями. Мы можем утверждать, что реальное число экспоненциально выше", - поясняет эти данные Стив Масада.
В 2024 году одна атака с вымогательством заставила коммерческую компанию выплатить 75 миллионов долларов, чтобы освободить свои системы. "Можно понять экстремальное влияние этого на компанию. Можно также понять, почему все больше киберпреступников входят в игру. Это невероятно прибыльно", - добавляет он.
По его словам, стирается грань между преступлениями ради денег и преступлениями ради политических целей: "Киберпреступники, мотивированные финансово, сотрудничают с правительствами, обмениваются инструментами и техниками, чтобы служить целям обеих сторон".
Деятельность DCU по сбору данных в значительной степени основана на тесном наблюдении за движением данных при помощи клиентов, которых они защищают. Масада описывает это как оперативную группу из 34.000 инженеров по информационной безопасности на полной ставке.
Это глобальное разведывательное направление фильтрует триллионы данных и отслеживает те, которые имеют признаки риска. В таких случаях можно внимательно отслеживать источник и даже обнаруживать инфраструктуру для атак в момент ее создания.
На данный момент центр отслеживает 1500 активных групп угроз, сталкивается с 600 тысячами атак в день и выполняет 72 миллиарда превентивных действий ежедневно. В некоторых случаях, когда преступники идентифицированы, Microsoft инициирует аресты и судебные процессы.
Есть и другая интересная техника, которую в компании называют "воронкой": оставляют активными интернет-адреса преступников, но в защищенной системе, что позволяет выявлять продолжающуюся активность других участников и задерживать их тоже.
►Инициатива безопасного будущего
За несколько дней до конференции Ignite Microsoft опубликовала свой документ "Инициатива безопасного будущего" (SFI) - полугодовой отчет, публикуемый в третий раз, которому компания придает большое значение. Инициатива началась после взлома систем компании китайскими группами в 2023 году, что привело к заключению Департамента внутренней безопасности США о наличии в Microsoft "цепочки ошибок в сфере безопасности", позволивших злоумышленникам проникнуть в почтовые аккаунты 22 клиентских организаций, включая несколько федеральных агентств.
Дэвид Уэстон, вице-президент по корпоративным системам и безопасности операционных систем, сказал в интервью: "Я считаю, что отчет SFI - очень важная инициатива прежде всего потому, что клиенты приходят к Microsoft из-за доверия. Они должны быть уверены в том, как мы работаем, и в нашей безопасности. Для меня SFI демонстрирует нашу приверженность тому, чтобы кибербезопасность всегда стояла на первом месте - и в продуктах, которые мы продаем, и во всех системах, которыми пользуются клиенты, чтобы удостовериться, что наши решения развиваются и опережают атаки на шаг".
Среди прочего Уэстон отвечает за "красные команды" - группы Microsoft, которые пытаются взломать различные системы и тем самым помогают специалистам по безопасности лучше защищать свои компании. "Красные команды имитируют кибератаки на системы и выявляют слабые места. У меня есть команды по всему миру, включая команду в Израиле", - говорит он.
- Заменят ли новые системы людей?
- Мы продолжаем испытывать нехватку специалистов по кибербезопасности, особенно в областях, требующих высокого уровня навыков, как, например, в Герцлии. И поскольку ресурсы ограничены, мы хотим сделать их доступными для всех, а ИИ - отличный способ для этого. Мы берем навыки и экспертизу людей и обучаем по ним модели ИИ", - поясняет он.
И добавляет: "Я считаю, что ИИ - не универсальное решение, но есть области, где он работает почти как магия. Вы спросили, заменят ли агенты ИИ специалистов по кибербезопасности. Сейчас - нет. Но могут ли они экономить эксперту многие часы рутинной работы? Определенно да.
- Какой вклад в вашу работу вносят команды из Израиля?
- В Израиле невероятные стартапы в сфере кибербезопасности. Я всегда поражаюсь уровню инноваций и предпринимательского мышления. Это сочетание технического таланта, сильной венчурной среды и умения решать реальные задачи клиентов, - говорит он. - Со стороны Microsoft у нас в Израиле отличные специалисты, которых мы можем привлекать, и благодаря их присутствию мы можем предлагать местным клиентам, включая критическую инфраструктуру, современные возможности обнаружения и реагирования на кибератаки.