Игра на опережение: как киберразведка помогает бизнесу защищаться от угроз
В современном ландшафте данные о киберугрозах меняются быстро, поэтому обновлять информацию нужно постоянно. Именно этим и занимаются специалисты в области TI — Threat Intelligence, или киберразведка. TI-специалисты собирают данные, анализируют их, делают выводы и доносят их до бизнеса в понятном формате.
Об основах киберразведки, о том, как ее результаты интегрируются в продукты Positive Technologies и что ждет российский рынок TI, рассказал Денис Кувшинов, руководитель TI-департамента экспертного центра безопасности (PT ESC) Positive Technologies.
Лучше предотвратить киберинциденты, чем разбираться с их последствиями. И хотя ни одна компания не может быть защищена на 100%, минимизировать риски может постоянный мониторинг ландшафта угроз. Так в сфере кибербезопасности называют все выявленные и потенциальные киберугрозы для конкретной отрасли, группы пользователей или компании.
Получить нужные данные и выстроить стратегию защиты помогает киберразведка. Данные, полученные во время нее, можно разделить на три уровня: стратегический, операционный и тактический. Информация на каждом из них предназначена для разных команд и должностей.
— На стратегическом уровне речь идет о верхнеуровневых отчетах для топ-менеджеров (C-level). Как правило, в них нет подробных данных о группировках и инструментах — описываются общие тренды. Например, в атаках на организации из финансовой индустрии сейчас часто используют вирусы-шифровальщики. Эта тенденция, скорее всего, будет актуальна и в ближайший год. Подобная информация помогает менеджменту решить, в какие средства защиты вкладывать.
— На операционном уровне предоставляют данные для руководителей технических отделов: операционный центр безопасности, команда по реагированию, по пентестам (тестированию на безопасность). Информация по-прежнему верхнеуровневая, но с большим фокусом на техническую сторону. Обычно в отчетах упоминаются популярные векторы атак, техники, уязвимости, через которые хакеры попадают в инфраструктуру.
— На техническом уровне собирают данные, которые полезны аналитикам и специалистам по расследованию инцидентов. В том числе их могут использовать профессионалы в области киберразведки из компании-заказчика для обогащения собственных отчетов. Описываются конкретные угрозы, инструменты, индикаторы компрометации. Так называют цифровые артефакты, которые указывают на вредоносную активность: подозрительные файлы, приложения и процессы, IP-адреса и домены, принадлежащие серверам вредоносного ПО, и так далее.
Все эти данные мы храним в своих архивах. Их ценность становится очевидной не сразу, а в перспективе. Когда происходит инцидент, датасет TI-департамента может помочь распознать конкретную группировку. А еще архивы позволяют меньше зависеть от внешних источников. Это было актуально, в частности, в 2022 году, когда российским компаниям закрыли доступ ко многим сервисам и базам данных.
Как устроена киберразведка
Киберразведка обычно начинается с запроса компании: клиент объясняет, какая именно информация и для какого отдела ему нужна. Запрос также может сформировать сам отдел киберразведки, если он проактивно исследует рынок. Мы в Positive Technologies постоянно изучаем, какие угрозы актуальны для России, СНГ и некоторых зарубежных регионов сегодня.
Следующий этап — автоматизированный сбор информации из открытых и закрытых источников с помощью парсера (программы для сбора и систематизации информации). Открытые источники — это сервисы, которые хранят данные о доменах, IP-адреса и их репутации, коллекции вредоносных файлов от энтузиастов, публичные отчеты исследователей из других компаний. Закрытые — это платные сервисы, которые дают больше информации, чем открытые источники, и, как правило, эта информация более качественная. К этой категории также относятся каналы и форумы в дарквебе, где происходит подготовка к атакам. Для того чтобы получать оперативную информацию из некоторых каналов в дарквебе, мы используем автоматизированные средства, которые пересылают в наши чаты эту информацию, где мы можем ее обрабатывать.
Следующая стадия — фильтрация. В процессе ненужная информация отсеивается с помощью специальных алгоритмов. Некоторые алгоритмы по специальным параметрам определяют, что угроза актуальна и на нее нужно обратить внимание. Так можно, например, выделять трендовые рассылки или интересные техники, которые использовались в инструментах хакеров. Из интересных техник — это стеганография, использование документов с привлекательными для жертвы темами, маскировка файлов. А можно, наоборот, исключать определенные форматы файлов: изображения, видео, аудио. Алгоритмы также можно настроить на отслеживание хакерских групп, целевых регионов.
К тому же у нас также есть лаборатория анализа вредоносного кода. Эта система обрабатывает поток вредоносных файлов и извлекает из них метаданные. Результаты ее работы помогают находить связи между индикаторами компрометации, инструментами и группировками.
В некоторых случаях клиент просит передать ему данные уже на этом этапе. Но чаще после него переходят к четвертой фазе — ручной анализ. Аналитики оценивают, насколько результаты автоматического сбора релевантны для конкретного заказчика, ищут недостающую информацию, делают выводы, оформляют их. Если по каким-то причинам результат не удовлетворяет команду, она возвращается на этап сбора. В конце специалисты отдают результат клиенту и получают от него обратную связь, а потом вносят правки.
Как видно из описания процесса, ключевую роль в киберразведке играет автоматизация. В своем TI-департаменте мы разрабатываем собственные системы для сбора и фильтрации данных и связываем их в едином интерфейсе, чтобы аналитик мог провести максимально быстрый анализ. Он может, например, ввести в систему индикатор и получить всю связанную с ним информацию.
Что в итоге: отчеты, фиды и правила
Результатом работы TI-департамента становятся структурированные данные в нескольких форматах. Во-первых, это отчеты, в том числе по конкретным угрозам. Отдел может уведомить компанию-клиента, если был скомпрометирован почтовый ящик или сервер. Во-вторых, это автоматизированные фиды индикаторов компрометации. Так называют потоки данных с признаками, по которым можно распознать угрозу, — хэши вредоносных файлов, IP-адреса, домены и URL, связанные с преступной активностью.
В Positive Technologies мы передаем фиды заказчикам и встраиваем их в свои продукты. Это решение PT NAD для сетевой безопасности, песочница PT Sandbox, которая позволяет обнаруживать новые вирусы, инструмент для противодействия сложным целенаправленным атакам MaxPatrol EDR и многие другие. Фиды дают нашим продуктам преимущество, так как они позволяют быстрее и точнее распознавать действия злоумышленников.
Многие компании, которые публикуют отчеты киберразведки, ограничиваются базовой информацией об атаке. Мы же стараемся исследовать хронологию, от момента отправки условного фишингового письма до действий злоумышленника в инфраструктуре и последствий для компании. Благодаря этому мы можем, например, обнаруживать серверы киберпреступников уже на этапе их разворачивания по внешним признакам: SSL-сертификат, контент на странице и так далее.
Третий вид выхлопа работы TI-департамента — это помощь в написании детектирующих правил. Это правила, которые помогают обнаруживать подозрительные активности или потенциальные угрозы в ИТ-инфраструктуре. Они интегрируются в продукты нашей компании и выявляют аномалии. Если такие аномалии обнаружены, система срабатывает и оповещает специалистов.
В Positive Technologies есть отдельная команда, которая специализируется на детектировании популярных угроз. В свою очередь наш департамент занимается именно сложными и редкими угрозами и помогает разработать для них детектирующие правила. Для этого мы проводим глубокие исследования кибератак и пытаемся выявить схожие паттерны кода или поведения злоумышленников.
Наконец, мы выступаем с результатами киберразведки на конференциях и публикуем исследования в открытом доступе. Это не только позволяет нам оставаться в инфополе, но и дает возможность поделиться информацией со специалистами из других компаний. Наши отчеты, которые в том числе включают в себя анализ вредоносного ПО, расширяют видимость угроз и помогают ускорять процесс реагирования для всей российской индустрии.
Тенденции в сфере киберугроз
Наши исследования показывают, что с 2022 года подходы киберзлоумышленников изменились: мотивация сменилась с финансовой на идеологическую. До этого злоумышленники, как правило, действовали скрытно и старались атаковать точечно. Однако они редко выкладывали украденные данные в публичный доступ. Такую информацию обычно пытались продать на специализированных форумах или использовать в личных целях. За последние два года кибератаки все чаще стали организовывать группы хактивистов. Они взламывают ИТ-системы компаний и выкладывают логины, пароли, документы, переписки и другую чувствительную информацию на публичное обозрение. Так, в начале этого года в период новогодних праздников было опубликовано 116,5 млн записей с данными россиян общим объемом 5 Тб. Больше всего пострадали финансовый сектор, телеком, ретейл, госсектор, услуги, ИТ. Цель таких атак — нанести репутационный ущерб компаниям и подорвать доверие к ним со стороны пользователей. Также киберпреступники могут полностью уничтожить данные, чтобы остановить критические процессы и нанести компании еще и финансовый вред.
Другое направление — атаки на цепочки поставок (supply chain). В этом случае злоумышленники взламывают разработчиков программ или аккаунты разработчиков, которые работают с открытым исходным кодом, и встраивают вредоносный код в легитимные программы. После пользователи получают Подобные атаки теперь часто сопровождаются политическими лозунгами, плюс в некоторых случаях во вредоносное ПО добавляют функционал для определения страны. Если код запускает компания из России, происходят деструктивные действия: шифрование данных, скачивание дополнительных программ.
Этот тренд актуален не только для России, но и для всего мира в целом, и на этом фоне в Positive Technologies мы создали отдельный сервис — PyAnalysis. Это сервис, где разработчики могут найти проверенные и безопасные программные пакеты, пока что только для языка python. Сейчас мы проводим расширение поддерживаемых языков программирования.
Будущее российской киберразведки
Российский рынок киберразведки сегодня занимает совсем небольшую долю от мирового, объем которого, по оценкам глобальных исследовательских агентств, может превышать $12 млрд. Проблема в том, что далеко не все компании пока еще понимают ценность TI-данных. Руководителям неочевидно, зачем отслеживать ландшафт угроз. Они устанавливают стандартный набор решений для кибербезопасности и подразумевают, что этого достаточно.
Однако хакеры постоянно совершенствуют свои инструменты и методы. И если специалисты компании пользуются TI-данными, они могут вовремя увидеть информацию о новой киберугрозе, проверить, нет ли в инфраструктуре компании уязвимости, и принять меры — например, докупить ИБ-продукты или сервисы. В противном случае компания узнает об инциденте уже по факту. Она потеряет деньги из-за остановленных бизнес-процессов и потратит ресурсы на расследование и восстановление данных.
К счастью, мы видим, как повышается осознанность российских компаний в вопросах TI. Спрос на TI за последнее время вырос: в 2023 году мы фиксировали рост интереса к этим услугам на 40%. Многие корпорации развивают у себя собственные отделы TI. Но чтобы сделать TI качественным, нужно иметь продвинутые системы сбора данных, тщательно их обрабатывать и налаживать взаимодействие между отделами, которые могут информацию поставлять или потреблять — в частности, между TI-отделом и командой реагирования.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Об основах киберразведки, о том, как ее результаты интегрируются в продукты Positive Technologies и что ждет российский рынок TI, рассказал Денис Кувшинов, руководитель TI-департамента экспертного центра безопасности (PT ESC) Positive Technologies.
Лучше предотвратить киберинциденты, чем разбираться с их последствиями. И хотя ни одна компания не может быть защищена на 100%, минимизировать риски может постоянный мониторинг ландшафта угроз. Так в сфере кибербезопасности называют все выявленные и потенциальные киберугрозы для конкретной отрасли, группы пользователей или компании.
Получить нужные данные и выстроить стратегию защиты помогает киберразведка. Данные, полученные во время нее, можно разделить на три уровня: стратегический, операционный и тактический. Информация на каждом из них предназначена для разных команд и должностей.
— На стратегическом уровне речь идет о верхнеуровневых отчетах для топ-менеджеров (C-level). Как правило, в них нет подробных данных о группировках и инструментах — описываются общие тренды. Например, в атаках на организации из финансовой индустрии сейчас часто используют вирусы-шифровальщики. Эта тенденция, скорее всего, будет актуальна и в ближайший год. Подобная информация помогает менеджменту решить, в какие средства защиты вкладывать.
— На операционном уровне предоставляют данные для руководителей технических отделов: операционный центр безопасности, команда по реагированию, по пентестам (тестированию на безопасность). Информация по-прежнему верхнеуровневая, но с большим фокусом на техническую сторону. Обычно в отчетах упоминаются популярные векторы атак, техники, уязвимости, через которые хакеры попадают в инфраструктуру.
— На техническом уровне собирают данные, которые полезны аналитикам и специалистам по расследованию инцидентов. В том числе их могут использовать профессионалы в области киберразведки из компании-заказчика для обогащения собственных отчетов. Описываются конкретные угрозы, инструменты, индикаторы компрометации. Так называют цифровые артефакты, которые указывают на вредоносную активность: подозрительные файлы, приложения и процессы, IP-адреса и домены, принадлежащие серверам вредоносного ПО, и так далее.
Все эти данные мы храним в своих архивах. Их ценность становится очевидной не сразу, а в перспективе. Когда происходит инцидент, датасет TI-департамента может помочь распознать конкретную группировку. А еще архивы позволяют меньше зависеть от внешних источников. Это было актуально, в частности, в 2022 году, когда российским компаниям закрыли доступ ко многим сервисам и базам данных.
Как устроена киберразведка
Киберразведка обычно начинается с запроса компании: клиент объясняет, какая именно информация и для какого отдела ему нужна. Запрос также может сформировать сам отдел киберразведки, если он проактивно исследует рынок. Мы в Positive Technologies постоянно изучаем, какие угрозы актуальны для России, СНГ и некоторых зарубежных регионов сегодня.
Следующий этап — автоматизированный сбор информации из открытых и закрытых источников с помощью парсера (программы для сбора и систематизации информации). Открытые источники — это сервисы, которые хранят данные о доменах, IP-адреса и их репутации, коллекции вредоносных файлов от энтузиастов, публичные отчеты исследователей из других компаний. Закрытые — это платные сервисы, которые дают больше информации, чем открытые источники, и, как правило, эта информация более качественная. К этой категории также относятся каналы и форумы в дарквебе, где происходит подготовка к атакам. Для того чтобы получать оперативную информацию из некоторых каналов в дарквебе, мы используем автоматизированные средства, которые пересылают в наши чаты эту информацию, где мы можем ее обрабатывать.
Следующая стадия — фильтрация. В процессе ненужная информация отсеивается с помощью специальных алгоритмов. Некоторые алгоритмы по специальным параметрам определяют, что угроза актуальна и на нее нужно обратить внимание. Так можно, например, выделять трендовые рассылки или интересные техники, которые использовались в инструментах хакеров. Из интересных техник — это стеганография, использование документов с привлекательными для жертвы темами, маскировка файлов. А можно, наоборот, исключать определенные форматы файлов: изображения, видео, аудио. Алгоритмы также можно настроить на отслеживание хакерских групп, целевых регионов.
К тому же у нас также есть лаборатория анализа вредоносного кода. Эта система обрабатывает поток вредоносных файлов и извлекает из них метаданные. Результаты ее работы помогают находить связи между индикаторами компрометации, инструментами и группировками.
В некоторых случаях клиент просит передать ему данные уже на этом этапе. Но чаще после него переходят к четвертой фазе — ручной анализ. Аналитики оценивают, насколько результаты автоматического сбора релевантны для конкретного заказчика, ищут недостающую информацию, делают выводы, оформляют их. Если по каким-то причинам результат не удовлетворяет команду, она возвращается на этап сбора. В конце специалисты отдают результат клиенту и получают от него обратную связь, а потом вносят правки.
Как видно из описания процесса, ключевую роль в киберразведке играет автоматизация. В своем TI-департаменте мы разрабатываем собственные системы для сбора и фильтрации данных и связываем их в едином интерфейсе, чтобы аналитик мог провести максимально быстрый анализ. Он может, например, ввести в систему индикатор и получить всю связанную с ним информацию.
Что в итоге: отчеты, фиды и правила
Результатом работы TI-департамента становятся структурированные данные в нескольких форматах. Во-первых, это отчеты, в том числе по конкретным угрозам. Отдел может уведомить компанию-клиента, если был скомпрометирован почтовый ящик или сервер. Во-вторых, это автоматизированные фиды индикаторов компрометации. Так называют потоки данных с признаками, по которым можно распознать угрозу, — хэши вредоносных файлов, IP-адреса, домены и URL, связанные с преступной активностью.
В Positive Technologies мы передаем фиды заказчикам и встраиваем их в свои продукты. Это решение PT NAD для сетевой безопасности, песочница PT Sandbox, которая позволяет обнаруживать новые вирусы, инструмент для противодействия сложным целенаправленным атакам MaxPatrol EDR и многие другие. Фиды дают нашим продуктам преимущество, так как они позволяют быстрее и точнее распознавать действия злоумышленников.
Многие компании, которые публикуют отчеты киберразведки, ограничиваются базовой информацией об атаке. Мы же стараемся исследовать хронологию, от момента отправки условного фишингового письма до действий злоумышленника в инфраструктуре и последствий для компании. Благодаря этому мы можем, например, обнаруживать серверы киберпреступников уже на этапе их разворачивания по внешним признакам: SSL-сертификат, контент на странице и так далее.
Третий вид выхлопа работы TI-департамента — это помощь в написании детектирующих правил. Это правила, которые помогают обнаруживать подозрительные активности или потенциальные угрозы в ИТ-инфраструктуре. Они интегрируются в продукты нашей компании и выявляют аномалии. Если такие аномалии обнаружены, система срабатывает и оповещает специалистов.
В Positive Technologies есть отдельная команда, которая специализируется на детектировании популярных угроз. В свою очередь наш департамент занимается именно сложными и редкими угрозами и помогает разработать для них детектирующие правила. Для этого мы проводим глубокие исследования кибератак и пытаемся выявить схожие паттерны кода или поведения злоумышленников.
Наконец, мы выступаем с результатами киберразведки на конференциях и публикуем исследования в открытом доступе. Это не только позволяет нам оставаться в инфополе, но и дает возможность поделиться информацией со специалистами из других компаний. Наши отчеты, которые в том числе включают в себя анализ вредоносного ПО, расширяют видимость угроз и помогают ускорять процесс реагирования для всей российской индустрии.
Тенденции в сфере киберугроз
Наши исследования показывают, что с 2022 года подходы киберзлоумышленников изменились: мотивация сменилась с финансовой на идеологическую. До этого злоумышленники, как правило, действовали скрытно и старались атаковать точечно. Однако они редко выкладывали украденные данные в публичный доступ. Такую информацию обычно пытались продать на специализированных форумах или использовать в личных целях. За последние два года кибератаки все чаще стали организовывать группы хактивистов. Они взламывают ИТ-системы компаний и выкладывают логины, пароли, документы, переписки и другую чувствительную информацию на публичное обозрение. Так, в начале этого года в период новогодних праздников было опубликовано 116,5 млн записей с данными россиян общим объемом 5 Тб. Больше всего пострадали финансовый сектор, телеком, ретейл, госсектор, услуги, ИТ. Цель таких атак — нанести репутационный ущерб компаниям и подорвать доверие к ним со стороны пользователей. Также киберпреступники могут полностью уничтожить данные, чтобы остановить критические процессы и нанести компании еще и финансовый вред.
Другое направление — атаки на цепочки поставок (supply chain). В этом случае злоумышленники взламывают разработчиков программ или аккаунты разработчиков, которые работают с открытым исходным кодом, и встраивают вредоносный код в легитимные программы. После пользователи получают Подобные атаки теперь часто сопровождаются политическими лозунгами, плюс в некоторых случаях во вредоносное ПО добавляют функционал для определения страны. Если код запускает компания из России, происходят деструктивные действия: шифрование данных, скачивание дополнительных программ.
Этот тренд актуален не только для России, но и для всего мира в целом, и на этом фоне в Positive Technologies мы создали отдельный сервис — PyAnalysis. Это сервис, где разработчики могут найти проверенные и безопасные программные пакеты, пока что только для языка python. Сейчас мы проводим расширение поддерживаемых языков программирования.
Будущее российской киберразведки
Российский рынок киберразведки сегодня занимает совсем небольшую долю от мирового, объем которого, по оценкам глобальных исследовательских агентств, может превышать $12 млрд. Проблема в том, что далеко не все компании пока еще понимают ценность TI-данных. Руководителям неочевидно, зачем отслеживать ландшафт угроз. Они устанавливают стандартный набор решений для кибербезопасности и подразумевают, что этого достаточно.
Однако хакеры постоянно совершенствуют свои инструменты и методы. И если специалисты компании пользуются TI-данными, они могут вовремя увидеть информацию о новой киберугрозе, проверить, нет ли в инфраструктуре компании уязвимости, и принять меры — например, докупить ИБ-продукты или сервисы. В противном случае компания узнает об инциденте уже по факту. Она потеряет деньги из-за остановленных бизнес-процессов и потратит ресурсы на расследование и восстановление данных.
К счастью, мы видим, как повышается осознанность российских компаний в вопросах TI. Спрос на TI за последнее время вырос: в 2023 году мы фиксировали рост интереса к этим услугам на 40%. Многие корпорации развивают у себя собственные отделы TI. Но чтобы сделать TI качественным, нужно иметь продвинутые системы сбора данных, тщательно их обрабатывать и налаживать взаимодействие между отделами, которые могут информацию поставлять или потреблять — в частности, между TI-отделом и командой реагирования.
