CyberDef: External Threats & Human Intelligence Center

Автор: Игорь Сергиенко, заместитель генерального директора компании «Инфосекьюрити»

За последнее десятилетие количество преступлений, совершаемых с использованием информационных и телекоммуникационных технологий, растет по экспоненте. Причем следует понимать, что в современном мире кибератака – это необязательно взлом компьютерной системы, это сочетание технических методов, социальной инженерии и многого другого. По мере перемещения общественных отношений и бизнес-процессов в сеть растет и количество векторов атак на организацию или ее клиентов.

И тут становится очевидно, что традиционная модель обеспечения безопасности, на которую все полагались в последние десятилетия, уже не так эффективна, как хотелось бы.

На чем базируется традиционная модель? На выстраивании защищенного периметра, сегментирования внутренней сети, применения политик безопасности, на мониторинге происходящего внутри периметра и попыток проникновения извне. Все эти методы актуальны и сейчас, но их уже недостаточно. Дело в том, что ни одна организация не находится в вакууме. Она осуществляет внешние контакты с клиентами, партнерами или поставщиками, использует системы дистанционного банковского обслуживания, продвигает бренд в Интернете, ее сотрудники общаются в соцсетях, размещают объявления о поиске работы и т.д. Это означает, что внутренние процессы, протекающие в компании, так или иначе проявляются за ее пределами – в глобальном информационном пространстве. Так что, если вы хотите выстроить комплексную систему безопасности, вы должны отслеживать все, что происходит не только внутри организации, но и снаружи.

Это можно сравнить с обороной средневекового замка. У него могут быть высокие и прочные стены, но если вы будете прятаться за ними, не высылая дозоры разведчиков, то обнаружите армию со стенобитными орудиями лишь тогда, когда она перейдет к осаде вашего замка. Если же вы будете мыслить масштабнее, то сможете предотвратить значительное количество угроз еще на этапе их подготовки или, по крайней мере, как следует подготовитесь к осаде.

Именно поэтому наша компания решила предложить своим клиентам новую концепцию обеспечения безопасности, основанную на выявлении потенциально опасных действий и событий за пределами «защищенного периметра», в глобальных информационных и телекоммуникационных сетях, что позволяет своевременно реагировать на них, не допуская наступления негативных последствий или минимизируя их. Причем речь идет не только об угрозах информационной безопасности. Выявляемые действия могут затрагивать экономическую или собственную безопасность, тем более что сейчас эти направления достаточно тесно переплетены.

С этой целью мы запустили облачный сервис CyberDef: External Threats & Human Intelligence Center – комплексный контроль и выявление цифровых угроз бизнесу.

Главное преимущество сервиса заключается в том, что мы берем на себя всю трудоемкую работу по поиску, классификации, анализу угроз, а в ряде случаев и по немедленному реагированию на них. Это значительно экономит время и ресурсы заказчика, а все выявляемые сведения верифицируются командой опытных аналитиков. Мы максимально автоматизировали данный процесс, разработав для этого собственное программное решение.

Если вы хотите выстроить комплексную систему безопасности, вы должны отслеживать все, что происходит не только внутри организации, но и снаружи

Все события и угрозы отражаются в личном кабинете заказчика в простой и понятной форме. Имеется возможность ранжировать их по уровню опасности, помечать события как отработанные и пр.

Вторым преимуществом является модульность сервиса, обеспечивающая его гибкость, ведь перечень угроз может значительно варьироваться в зависимости от направления деятельности компании. Поэтому мы разделили сервис на десять независимых модулей – заказчик сам выбирает объем услуг, который ему нужен. Например, модули «Услуги» и «Утечки» предназначены для выявления объявлений о нелегальных услугах, имеющих непосредственное отношение к заказчику, а также его информационных активов, намеренно или случайно опубликованных в Интернете. С этой целью мы анализируем контент, размещенный в социальных сетях, мессенджерах, на хакерских площадках, в даркнете и в других источниках.

Информация, которую мы выявляем, крайне разнообразна. Это могут быть, например, объявления о вербовке сотрудников компании для их вовлечения в криминальные схемы, предложения «пробить» какие-либо данные с использованием корпоративных ресурсов, объявления о продаже банковских карт или дампов, скомпрометированные учетные записи и многое другое. Причем мы не ограничиваемся выявлением информации, мы проводим комплекс мероприятий, направленных на установление лиц, причастных к противоправной активности, что значительно упрощает для заказчика как проведение внутренних расследований, так и подготовку материалов для обращения в правоохранительные органы.

Примерно так же дело обстоит с фишингом. Ежечасно мы сканируем более 3 тыс. доменных зон на предмет регистрации новых доменных имен, имеющих сходство с охраняемым брендом заказчика. И, если обычно реагирование на фишинг осуществляется по факту возникновения инцидента (обнаружение работающего фишингового ресурса), то использование CyberDef позволяет выявлять потенциально фишинговые доменные имена до наступления негативных последствий и отслеживать все происходящие с ними метаморфозы – от изменения DNS-записей до появления ассоциированного с ними веб-ресурса. Как только такой домен начинает представлять реальную угрозу, мы немедленно принимаем необходимые меры.

Функционирование на базе нашей компании центра мониторинга и реагирования на инциденты информационной безопасности (Infosecurity CERT) позволяет обмениваться информацией о выявленных фишинговых доменах как с регистраторами, так и с международным сообществом центров реагирования на инциденты ИБ, в кратчайшие сроки добиваться блокировки подобных доменных имен в российских и зарубежных доменных зонах. По нашему опыту, среднее время, требуемое для блокировки веб-ресурса, составляет около трех рабочих дней.

Модули «Негатив» и «Бренд» позволяют выявлять негативные и компрометирующие публикации, касающиеся деятельности заказчика, а также обнаруживать и пресекать случаи неправомерного использования бренда в социальных сетях и мессенджерах. Причем сценарии использования этих модулей могут быть весьма разнообразными – от мониторинга PR-атак на компанию до выявления коррупционных схем или случаев злоупотреблений со стороны сотрудников.

Важным элементом сервиса является и модуль «Юридические лица». Мы отслеживаем тысячи объявлений о продаже как фирм однодневок, так и компаний, имеющих долгую и хорошую репутацию, необходимые лицензии и коды ОКВЭД, не замеченные ранее в участии в сомнительных схемах (то есть успешно проходящих традиционную комплаенс-проверку).

Нередко о какой-нибудь инструменте говорят: «В умелых руках он способен творить чудеса». Сервис CyberDef отличается тем, что способен творить их не только в умелых руках – обо всем уже позаботились наши сотрудники. Работа с ним предельно проста, при этом он обеспечивает вас всей необходимой информацией о том, что творится за стенами вашей компании, но имеет к ней отношение. Поэтому его возможности смогут в полной мере оценить как специалисты по информационной безопасности, мыслящие в технической плоскости, так и сотрудники экономической или собственной безопасности, для которых важен глубокий анализ не только технических, но и социальных аспектов поведения злоумышленников. Кроме того, сервис CyberDef может быть задействован и для повышения эффективности работы на HR- и PR-направлениях.

Мир быстро меняется. Безопасность современной компании не может находиться в статике, она должна постоянно развиваться, отвечая веяниям времени. Немало организаций погорело на том, что, внедрив однажды хорошую и дорогую ИБ-систему, они понадеялись, что она будет защищать их вечно. Угрозы эволюционируют, и методы противодействия развиваются вместе с ними. Когда мы разрабатывали сервис CyberDef, нашей целью было создать решение, которое дополнит имеющиеся в компании защитные механизмы и значительно расширит возможности выявления и предупреждения угроз без дополнительной нагрузки на сотрудников и инфраструктуру. Я думаю, у нас это получилось.