Руководитель направления мониторинга и реагирования на киберугрозы «Ростелеком-Солар» Тимур Ниязов рассказал про пять уровней киберзлоумышленников, а также про необходимые инструменты защиты, которые позволят их детектировать и улучшить работу с инцидентами ИБ.
«На сегодняшний день мы отмечаем рост атак, целью которых является получение контроля над инфраструктурой. По сравнению с прошлым годом такие атаки стали появляться на 30% чаще, чем раньше. Больше 50% инцидентов ИБ невозможно детектировать прежними инструментами — требуется развитие в том числе инструментария», — начал свое выступление на IT Security Day 2021 Тимур Ниязов.
Среди трендов он назвал атаки, связанные с распространением вредоносного ПО, атаки на веб-приложения, повышение темпа использования новых уязвимостей, фишинг и вишинг— почтовые рассылки, рассылки с помощью СМС и звонки от сотрудников безопасности банков. Кроме того, он отметил расслоение подхода злоумышленников к реализации атак, их инструментария и цели атак.
Пять уровней злоумышленников
По словам Тимура Ниязова, раньше в «Ростелеком-Солар» выделяли три уровня злоумышленников: базовые атаки, профессиональные хакеры и прогосударственныекибергруппировки. Но на текущий день можно выделить уже пять уровней: автоматизированные системы, киберхулиганы, киберкриминал, кибернаемники и прогосударственныекибергруппировки. Эти злоумышленники отличаются как целями реализации атак, так и инструментарием, который они используют в своей работе.
Автоматизированные системы. Целью использования этих систем является взлом устройства и инфраструктуры с последующей перепродажей или использованием в массовых атаках.
Киберхулиганы. Злоумышленники, целью которых является нарушение целостности инфраструктуры либо какое-то негативное воздействие на инфраструктуры без каких-либо целей монетизации своей атаки.
«Первые два уровня — автоматизированые системы и киберхулиганы — как правило используют инструменты для быстрой настройки и эксплуатации известных опубликованных уязвимостей. Собственно, любой недостаток инфраструктуры, например, RDP на периметре, может быть точкой входа в инфраструктуру. Для защиты от данных злоумышленников, мы считаем, будет достаточно базовых средств защиты и своевременного устранения уязвимостей», — сказал Тимур Ниязов.
Киберкриминал. Злоумышленники, целью которых является монетизация атаки. В их своем арсенале – вирусы-шифровальщики, майнеры.
«Здесь злоумышленники используют более современные инструменты для реализации атак — это вредоносное ПО, стеганография, многоуровневая обфускация. Для борьбы с ними традиционных средств защиты может быть недостаточно,требуется постоянный мониторинг инцидентов ИБ с использованием автоматизированных систем, таких как SIEM», — пояснил Тимур Ниязов.
Кибернаемники. Злоумышленники, которые нацелены на заказные работы. Это может быть шпионаж в пользу конкурирующих организаций либо взлом с последующей крупной монетизацией и деструктивными воздействиями на инфраструктуру.
Профессиональные кибергруппировки, действующие в интересах иностранных государств. Все, что связано с кибершпионажем в пользу уже не конкурирующих организаций, а других стран. Это полный захват инфраструктуры жертвы для дальнейшего контроля и применения к ней любых необходимых действий.Такие злоумышленники представляют наибольшую опасность, потому что даже традиционные способы мониторинга и реагирования не гарантируют, что их присутствие в инфраструктуре будет своевременно заметить очень проблематично, используя.
«И последние два уровня — кибернаемники и прогосударственные группировки— имеют в своем арсенале такие инструменты как 0-day. Это могут быть самописные 0-day, могут быть коммерческие, купленные. В любом случае квалификация этих злоумышленников максимально высока. И их целью является длительное пребывание в инфраструктуре и, как правило, следы нахождения злоумышленников в инфраструктуре невозможно отследить без применения полного комплекса технологий защиты.
Именно поэтому мы постоянно развиваем наш технологически стек и методики выявления сложных целенаправленных атак», — рассказал Тимур Ниязов.
Три инструмента для борьбы
Как отметил спикер, чтобы успешнее обнаруживать новые типы злоумышленников и лучше работать с инцидентами, они решили сделать шаг в сторону увеличения угла обзора и внесения дополнительного контекста в каждый из инцидентов ИБ.
С точки зрения сетевой безопасности компания планирует использовать системы класса NTA, которые позволят обнаруживать следы злоумышленников в сетевом трафике как периметровом, так и во внутрисетевом.
«С помощью данных решений появляется возможность проведения работ по threat hunting и появляется возможность провести полноценное расследование и восстановить хронологию событий и действий злоумышленников в периметре», — пояснил Тимур Ниязов.
С точки зрения хостовой части они планируют использовать платформы EDR. Как и в случае с NTA, тут можно получить дополнительный контекст, с помощью которого можно обогатить инцидент, восстановить хронологию событий и также проводить ретроспективный анализ по имеющимся индикаторам компрометации. Все это позволяет эффективно бороться с злоумышленниками высокой квалификации.
И третий компонент, который «Ростелеком-Солар» планирует использовать, это платформы IRP — incident response platform. Они позволят им автоматизировать часть функций и наладить сквозную работу над инцидентом.
«Нам как сервис-провайдеру очень важно наладить эффективный процесс работы над инцидентом, поскольку часть функций по реагированию на инцидент зачастую ложиться у нас на заказчика. И в этом случае необходимо иметь подобный инструмент, чтобы какие-то задачи по разбору инцидента не потерялись и можно было найти ответственного за конкретный этап, посмотреть сроки исполнения и понять, на каком этапе инцидент сейчас находится», — заключил Тимур Ниязов.