Сегодня аналитики компании наблюдают за трафиком в собственных сетях, но вместе с тем они получают информацию почти от 50 оборонных предприятий, которые также привлечены к работе над засекреченными государственными программами. Помимо прочего, Lockheed является основным подрядчиком Центра защиты от киберпреступности – крупнейшей государственной киберкриминалистической организации, которая ведет антитеррористическую и контрразведывательную деятельность. Также компания администрирует «Глобальную информационную сеть» – Global Information Grid (GIG), внедряя свою методологию cyber kill chain в защищенной всемирной информационной технологической сети Министерства обороны. Сумма контракта составляет $4,6 млрд. Только в собственных сетях Lockheed анализирует около 2 млрд отдельных транзакций в сутки – каждое отправленное и полученное письмо, каждый посещенный сайт, каждое регистрируемое в логах или цифровых журналах безопасности действие. Все данные хранятся в течение одного года, а любая информация о вредоносной активности сохраняется в течение неограниченного времени. Компания Lockheed построила эффективную библиотеку хакерской истории, из которой можно получать информацию при изучении новых взломов и вторжений. Привлекая старые данные, аналитики обнаружили, что недавние вторжения, на самом деле, всего лишь часть более масштабных кампаний, начавшихся несколько месяцев или даже лет назад и направленных против конкретных фирм и организаций. Крум говорит, что, когда в 2008 г. он уволился из военного ведомства, Министерству обороны удалось идентифицировать и отследить около пятнадцати операций общенационального масштаба. Сегодня Lockheed отслеживает примерно сорок хакерских операций. Министерство обороны следит за некоторыми из них – Крум не говорит, за какими именно, – и Lockheed делится своей информацией с государством в рамках программы DIB. По словам Крума, Lockheed выявил шесть операций, о которых Министерству обороны не было известно. Все подробности на данный момент засекречены.
Единственное, что Lockheed не может сделать, во всяком случае, легально – это взломать чужую компьютерную систему для сбора информации. Эта сфера деятельности все еще остается за АНБ. Однако компания пристально следит за теми же иностранными оппонентами, за которыми наблюдает государство. В главном центре управления NexGen Center на стене висят часы, которые показывают текущее время во всех странах, где Lockheed имеет станции кибернаблюдения. И есть часы, которые показывают текущее время в Пекине. Компания в течение семи лет собирала информацию об операциях APT, и аналитики имеют доступ ко всем этим данным. Огромный монитор на стене отображает сведения обо всех операциях, за которыми Lockheed следит по всему миру. Преимущественно, это сведения о попытках взлома собственных сетей компании, состоящих из 3 млн интернет-адресов, разбросанных по почти 600 локациям в 60 странах. Чем крупнее компания, ставшая объектом атаки, тем большим источником информации она становится. Выполнение государственных контрактов по-прежнему остается основным бизнесом компании, поскольку эта деятельность приносит более 80 % оборота, который в 2012 г. составил $47,2 млрд. Однако, по словам Крума, в 2011 г. Lockheed развернулась в коммерческом секторе, сосредоточившись на технологических услугах для 200 компаний из верхней части списка Fortune 500, отдавая особое предпочтение операторам ключевых объектов инфраструктуры. Компания хочет открыть еще один кибернетический центр на Ближнем Востоке и таким образом воспользоваться преимуществом растущей потребности этого региона в сетевом наблюдении и обеспечении безопасности.
Вряд ли Lockheed – это единственная компания, которая взяла кибероборону в свои руки. С момента атак на банковские сайты в 2012 г. американские финансовые организации создали собственные подразделения кибернаблюдения. (Некоторые из них, несомненно, являются клиентами компании Lockheed.) Их работа была в самом разгаре, когда ужасающий поток трафика вызвал масштабные сбои, и этим подразделениям пришлось ускорить свою работу. Сегодня все самые крупные банки США содержат собственный персонал, отвечающий за кибербезопасность. Эти специалисты обладают необходимыми знаниями и опытом для обнаружения уязвимостей в программном обеспечении и сетевых конфигурациях, анализа вредоносного ПО, его архитектуры и предназначения, а также для отражения проникновений и атак. Американские военные ведомства и разведывательные агентства – основные поставщики талантливых кадров для работы в банках.
Бывший руководитель отдела информационной безопасности Bank of America раньше возглавлял технологическую службу в администрации директора национальной разведки США, который начал свою карьеру в качестве лингвиста-криптографа в военно-воздушных силах. Руководитель отдела информационной безопасности в Wells Fargo отслужил 20 лет в военно-морских силах, в том числе на должности офицера по информационной войне, а позже работал в ФБР. Руководитель отдела информационных рисков в JPMorgan Chase никогда не был на госслужбе, однако один год проработал в компании SAIC, которая получает мощную поддержку в виде контрактов с разведывательными агентствами, часто ее называют «АНБ-Запад». Еще год он проработал в Booz Allen Hamilton, одном из ведущих подрядчиков федеральных властей в сфере кибербезопасности, в котором нашел пристанище бывший директор АНБ Майкл Макконнелл.
«Через пару лет все ребята из киберотделов, оставшиеся в игре, будут работать в банках. Они закроют свои сети и будут только обмениваться информацией друг с другом», – говорит бывший офицер военной разведки, участвовавший в кибератаке на Ирак в 2007 г., а позже перешедший на работу к крупному оборонному подрядчику.
Согласно мнению экспертов, банки ведут агрессивную кампанию по переманиванию и найму сотрудников военных и разведывательных служб, которые прошли обучение по высочайшим государственным стандартам и желают удвоить или утроить свои доходы, перейдя на работу в коммерческий сектор. Кроме того, банки все более активно приобретают информацию об уязвимостях нулевого дня и эксплоитах у частных исследователей, крупнейшим клиентом которых обычно считается АНБ. Эксперт в области безопасности, который имеет тесные связи с продавцами эксплоитов, говорит, что банки накапливают кибервооружение на случай, если они почувствуют необходимость ответных действий против кибервзломщиков. Если суждено будет начаться «частной» кибервойне, то, скорее всего, запустит ее какой-нибудь банк.
Тем не менее не только финансовые компании разрабатывают собственные оборонные операции. Список компаний, которые нанимают офицеров информационной безопасности на должности уровня руководителей отделов и вице-президентов, включает такие компании, как Johnson&Johnson, T-Mobile USA, Automated Data Processing, Coca-Cola, Intel, AstraZeneca, eBay, FedEx, и сотни других. Когда компании не могут обеспечить собственную защиту, они обращаются за помощью во внешние организации, и этот сегмент рынка услуг в сфере безопасности растет. В своем ежегодном отчете перед акционерами, опубликованном в 2012 г., Lockheed Martin заявила, что «компания столкнулась с возрастающей конкуренцией, особенно в сфере информационных технологий и кибербезопасности… со стороны необычных соперников, пришедших не из аэрокосмической и оборонной промышленности». Это был завуалированный намек на недавно возникшие и быстро развивающиеся компании, такие как CrowdStrike, Mandiant и Endgame, которые искали собственные источники информации и разрабатывали методы ее сбора и анализа.