Узнавать, чтобы защищать. Роль киберразведки на данном этапе эволюции ИБ

Узнавать, чтобы защищать. Роль киберразведки на данном этапе эволюции ИБ

Вопрос превентивной защиты корпоративных информационных систем становится всё более актуальным. Один из подходов к её обеспечению заключается в использовании методов киберразведки. Какие инструменты, изначально создававшиеся для нишевых специальных задач, могут быть использованы для обеспечения информационной безопасности в корпоративном секторе? И какие особенности интеграции киберразведки в традиционно оборонительный арсенал ИБ придётся учитывать?

Вместе со всем ИТ-рынком отрасль информационной безопасности проходит очередной этап жёстких испытаний на прочность информационных бизнес-систем и вызовов, открывающих новые горизонты. Предыдущим таким этапом стала пандемия, обернувшаяся в результате мощным взлётом информатизации в русле удалённой работы сотрудников и соответствующих систем ИБ. В феврале прошлого года начался новый виток в развитии информационных систем безопасности бизнеса, вызванный беспримерным санкционным давлением, информационными войнами и многократно усилившимися кибератаками.

У КИБЕРУГРОЗ МЕНЯЕТСЯ ХАРАКТЕР

Одно из ярких проявлений пандемии — всплеск онлайн-мошенничества в банковском секторе. Как отмечают в компании Positive Technologies, в 2021 г. число атак на финансовые компании было сопоставимо с уровнем 2020 г. Но при этом злоумышленники стали обращать меньше внимания на платёжные карты и банкоматы, а в фокусе их внимания оказалось онлайн-мошенничество (кредитный фрод, обход онлайн-проверок, использующих технологии KYC/AML) (рис. 1).

Рисунок 1. Методы атак на компании в 2021 г. Источник: Positive Technologies, апрель 2022 г.

В 2022 г. онлайн-банкинг остался одной из главных целей злоумышленников. Но запомнился этот год в первую очередь как год хакерских атак на отечественные интернет-ресурсы. По оценкам вице-премьера Правительства РФ Дмитрия Чернышенко, было отражено почти 50 тыс. хакерских атак. При этом, по данным компании StormWall, количество DDoS-атак на платёжные системы РФ, совершённых в августе 2022 г., выросло на 126% по сравнению с аналогичным периодом прошлого года. По оценкам специалистов компании, максимальная мощность атак составила 400 тыс. запросов в секунду, а максимальная длительность атак составила 8 часов.

Примечательно, что мощные DDoS-атаки были организованы группой хактивистов, главной целью которых было не извлечение финансовой выгоды, а нарушение работы российских финансовых сервисов. Замеченная тенденция лежит в русле подготовки к масштабной войне в глобальном киберпространстве.

Об этом говорила директор ДИП МИД Роcсии Мария Захарова, комментируя публичный анонс о найме желающих поработать «государственными хакерами», который появился в конце августа в официальном твиттер-аккаунте Кибершколы Министерства обороны США от имени руководителя этой организации Брайана Вайла. «Подобным рекрутингом США на самом деле занимаются давно, но вот открыто термин nation state hackers — хакеры, состоящие на службе у государства и осуществляющие атаки от его лица, — публично использовали впервые», — подчеркнула Мария Захарова.

ПРОТИВОСТОЯНИЕ ЩИТА И МЕЧА

А это значит, что вечное противостояние щита и меча продолжается. Согласно отчёту «Атаки на российские компании в III квартале 2022 г.» компании «Ростелеком-Солар», количество инцидентов с высокой степенью критичности, выявленных командой Solar JSOC, сократилось (рис. 2). С одной стороны, это хорошая новость — «градус» инцидентов снизился по сравнению с началом года. С другой стороны, говорят в «Ростелеком-Солар», расслабляться не стоит, так как снижение числа критичных инцидентов не столько говорит о стабилизации ситуации, сколько указывает на то, что злоумышленники концентрируют усилия на определённых целях и более сложных подходах к атакам: «DDoS- и веб-атаки сделали своё дело, и теперь злоумышленники активно применяют различное ВПО. Фишинг будет одним из двух основных векторов проникновения в инфраструктуру компаний в ближайшие месяцы».

Рисунок 2. Распределение инцидентов ИБ в июле — сентябре 2022 г. по степени критичности. Источник: «Ростелеком-Солар»

ДАННЫЕ — НАШЕ ВСЁ

С 2018 г. основной мотив атак преступников — получение данных. Согласно исследованию Positive Technologies, в 2021 г. две трети атак на организации были совершены именно с этой целью. В том числе атакам подвергались и производители решений для хранения данных (рис. 3).

Рисунок 3. Мотивы кибератак (доля атак). Источник: Positive Technologies, апрель 2022 г.

«НОВЫЕ ТОВАРЫ»

Во второй половине прошлого года было отмечено усиление активности киберпреступников в части торговли доступами в корпоративную сеть банков и поиска нелояльных сотрудников. Осенью на «чёрном рынке» интернета новый «горячий товар» — Access-s-a-Service, то есть «доступ как услуга».

Интересная деталь: по итогам первых трёх кварталов 2022 г., подсчитали в Positive Technologies, общее количество атак на российские финансовые организации снизилось на 16% по сравнению с аналогичным периодом 2021 г., что стало результатом усилий по обеспечению информационной безопасности банков. При этом общий объём продаж в даркнете доступов к корпоративным сетям банков вырос в два раза. Естественно, рука об руку с этими процессами идёт постоянный активный поиск сотрудников банков, готовых предоставить доступ к системам или конфиденциальную информацию.

По сведениям Роскомнадзора, с начала спецоперации России на Украине произошло более 140 утечек персональных данных в Сеть, в интернет попало 600 млн записей о россиянах: клиентах сети «Спортмастер», страхового маркетплейса mafin.ru, покупателей ювелирной сети ADAMAS, пользователей услуги аренды самокатов и т. д.

Понятно, что всё обилие данных, связанных с бизнесом компаний, которые циркулируют в интернете, можно использовать для уточнения потенциальных угроз. Причём можно анализировать содержимое и публичного интернета, и его «тёмной части».

OSINT НА МАРШЕ

Аббревиатура OSINT (Open Source INTelligence), подразумевающая сбор данных по открытым источникам интернета, сегодня становится всё более известной в бизнес-среде. OSINT —это фактически бизнес-разведка, которая обеспечивает специалистов по ИБ самой разной информацией, почерпнутой из публичного интернета, например:

• Метаданные файлов. Можно найти дату создания документа, имена пользователей, модели принтеров, ПО, установленное на компьютерах, иногда данные геолокации.
• Конфиденциальные документы. Они не должны попадать в публичный интернет, но всё же регулярно там обнаруживаются. Нужно только уметь их искать, говорят специалисты по технологиям OSINT.
• Данные о корпоративном домене. Можно узнать не только адреса электронной почты и телефоны, но и, например, технологии, на которых построен сайт, а также криптографические сертификаты, которые используются на конкретном домене.

Кстати, технологии OSINT видятся перспективными и профессиональным разведкам. Например, Эми Зегарт, старший научный сотрудник Института Гувера, говорит в своей статье «Открытые секреты. Украина и следующая революция в разведке»: «Развитие разведывательных возможностей США для XXI века требует создания чего-то нового: специального разведывательного агентства с открытым исходным кодом, ориентированного на изучение несекретных данных и определение их значения». (Статья опубликована в новогоднем номере (2023 г.) журнала Foreign Affairs, а Владимир Овчинский сделал её перевод с комментариями для ресурса zavtra.ru.)

Здесь под агентством с открытым исходным кодом подразумевается государственная разведслужба, которая специализируется на обработке открытой информации в сети Интернет, получаемой с помощью добровольных помощников — «граждан-сыщиков».

В утилитарных целях для поиска разнообразной корпоративной информации, оказавшейся в открытом доступе, компаниям доступен широкий спектр инструментов OSINT, например:

• Shodan — поисковик по устройствам, подключённым к сети, в том числе камер видеонаблюдения, оборудования интернета вещей и др.
• Spyse — поисковик по технической информации веб-сайтов. С его помощью можно обнаружить разнообразные данные, например уязвимости, IP-адреса, субдомены и SSL/TLS.
• Опенсорсная утилита Maigret (форк программы Sherlock) проверяет наличие определённого ника (имени пользователя) на более чем 2500 сайтах.
• Foca — программа, помогающая анализировать удалённый веб-сервер.
• Maltego Maltego — ПО, которое визуализирует собранные данные в виде дерева, выстраивающего в единую систему IP-адреса, почтовые адреса, телефоны, домены и т. д.
• Lampyre — инструмент для поиска и визуализации найденных данных со встроенными шаблонами для поиска Mongo DB, анализа социальных профилей, розыска пользователей сети Интернет по их частичным идентификаторам.

КУДА ВЕДЁТ ТРЕНД ПОИСКА В ОТКРЫТОМ ИНТЕРНЕТЕ

Мощный тренд услуг поиска информации в публичном интернете подпитывает индустрию деанонимизации. Пожалуй, наибольшую известность у нас получил телеграм-бот «Глаз Бога» (Eye Of God ВОТ) — он обещает поиск точных либо возможных взаимосвязей об искомом объекте по имени, телефону, адресу электронной почты, фотографии, номеру автомобиля и его окружении в соцсетях. Однако услуг такого рода гораздо больше: услуги деанонимизации составляют отдельный большой рынок.

РЫНОК ДЕАНОНИМИЗАЦИИ НА ЗАПАДЕ

Так, западный рынок услуг деанонимизацииво многом построен вокруг связки параметра MAID (Mobile Advertising ID — некий ID пользователя, который не содержит его личных данных, его фиксирует практически любое приложение с рекламой на мобильном телефоне) и персональными данными пользователей (Personally Identifiable Information, PII). На сопоставлении баз данных MAID и PII специализируются многие американские компании — дата-брокеры. Самые известные из них:

• BIGDBM. Содержит более миллиарда адресов электронной почты, постоянно анализирует новые письма. Компания утверждает, что автоматическая обработка проверки актуальности электронной почты BIGDBM может увеличить успех почтовых рекламных кампаний в несколько раз.
• FullContact. 223 млрд элементов данных и профили более 275 млн совершеннолетних пользователей США — это на порядок больше, чем у российских агрегаторов.
• AGR Marketing. Данные PII могут связываться с любыми демографическими данными, правами собственности, датой рождения, ветеранскими параметрами.
• Datastream Group. Данные MAID связываются с PII и другими параметрами, например особенностями пользовательского поведения (просмотром информации на телефоне, совершением соответствующей покупки на планшете и т. д.).
• Techsalerator. Глобальная база данных потребителей Techsalerator (1 млрд записей) охватывает демографическую и контактную информацию потребителей по всему миру (249 стран) с точностью 95%.

Параметры услуг поражают воображение: от сотен миллионов до миллионов миллиардов записей (например, 100M Billion у AGR Marketing) о людях, месяцы и годы исторических данных, процент совпадений: 95–100%. И при этом вполне демократичные расценки. Например, ценник Datastream Group (900 миллионов записей, 48 месяцев исторических данных, процент совпадений — 100%) начинается с 1,90 долл.

В РОССИИ

В России рынок деанонимизации представлен так называемыми услугами пробивапо базам. В январе сервис DLBI провёл ежегодное исследование этого рынка, которое включало анализ предложений почти 80 посредников, осуществляющих торговлю такого рода услугами, предоставляемыми на теневых форумах в интернете, даркнете, среде Telegram.

Выяснилось, что стоимость банковского пробива за год практически не изменилась и составляет 25,4 тыс. руб. за выписку по счетам/картам клиента за один месяц. При этом объём предложения сокращается второй год подряд — крупнейшие коммерческие банки один за другим исчезают с этого рынка в результате принятых мер по борьбе с инсайдерами. Стабильное предложение присутствует только по Сбербанку, отмечают аналитики DLBI, которому, судя по всему, пока не удаётся справиться с данной проблемой. Количество посредников, предлагающих банковский пробив, также сокращается и составляет на январь 2023 г. менее 27% от всех игроков этого криминального рынка.

Однако в целом медианная стоимость пробива всех типов выросла на 22% по сравнению с 2021 г. При этом мобильный пробив за год вырос в цене на 60% — до 27 тыс. руб. за месяц детализации звонков и СМС абонента. Причём у «Билайна», МТС и Tele2 стоимость пробива выросла в два раза и более, достигнув 15, 40 и 28 тыс. руб. соответственно, а у «Мегафона» осталась практически на прежнем уровне — 25,5 тыс. руб.

«Мы видим, как банки, хоть и после нескольких лет скандалов, занялись проблемой и добились результатов. Несмотря на то что полностью искоренить пробив невозможно, цена на него растёт, что сужает возможности преступников, — говорит Ашот Оганесян, основатель сервиса DLBI. — Также мы видим, что начали решать проблему и мобильные операторы».

ПРАВОВОЙ АСПЕКТ

У тренда деанонимизации есть существенный аспект — правовой. На Западе дата-брокеры, по сути, научились обходить требования европейского законодательства о защите персональных данных (GDPR) и американского акта CCPA (California Consumer Privacy Act), который вступил в силу в 2020 г. Правда, они стараются не афишировать свою деятельность и с этой целью предоставляют услуги исключительно по корпоративным контрактам в секторе B2B.

В России сервисы пробива, которые предлагаются российским клиентам, находятся в «серой» бизнес-зоне после того, как 1 марта 2021 г. вступили в силу очередные поправки к закону о персональных данных.

ПРОЗРАЧНАЯ ЭКОНОМИКА ТЁМНОГО ИНТЕРНЕТА

В даркнете работает настоящая теневая экономика, в которой действуют привычные бизнес-цепочки, состоящие из производителей товара (хакеров), оптовых покупателей и дистрибьюторов, потребителей, которые приобретают данные с целью использования их для совершения кибератак.

Согласно исследованию компании Arstechnica, опубликованному в декабре, 2158 продавцов предлагают в даркнете более 96 тыс. наименований «товаров» из украденных данных на 30 торговых площадках. Доход поставщиков за 8 месяцев 2022 г. составил более 140 млн долл. При этом на три крупнейших торговых площадки — Apollon, White House и Agartha — приходится 58% всех продавцов.

Доходность предприятий теневой экономики позволяет отнести их к «крепким предприятиям» среднего бизнеса, отмечают исследователи из Arstechnica. Например, доход Agartha — самой коммерчески успешной площадки — достигает 91,5 млн долл.

КАК ИСПОЛЬЗОВАТЬ ВСЕ ДОСТУПНЫЕ ДАННЫЕ?

Для обеспечения превентивного анализа угроз компаниям необходимо идти на шаг впереди злоумышленников, предвидя возможность осуществления кибератаки в недалёком будущем. На практике для этих целей предлагаются инструменты класса Threat Intelligence (TI), которые нередко называют инструментами киберразведки. Действительно, с информационной точки зрения, основа киберразведки — это знания о происходящем вокруг объекта интереса, а ПО Threat Intelligence подразумевает активный сбор информации об угрозах как внутри ИТ-инфраструктуры, так и за пределами её периметра.

На нижнем уровне платформы TI находятся данные об угрозах — так называемые TI-фиды, то есть потоки данных, которые поступают от внешних поставщиков. Но главный результат работы системы TI — это аналитические суждения, помогающие специалистам компании принимать верные управленческие решения по поводу выявляемых угроз.

Аналитические возможности TIопираются, в частности, на формализованные знания о совершённых кибератаках, применяемых техниках и методах аналитики, например, о техническом «почерке» тех или иных APT-группировок и профилях атакуемых компаний, а также методах вывода похищенных денежных средств. Эти знания формируются во многом за счёт мониторинга и анализа крупных теневых форумов и интернет-площадок.

С точки зрения структуры, системы Threat Intelligence принято представлять в виде трёх уровней: стратегического, операционного и тактического (рис. 4).

Рисунок 4. Архитектура системы Threat Intelligence, согласно стандартам ENISA [1]. Источник: anti-malware.ru, сентябрь 2022 г.

На стратегическом уровне решения принимают топ-руководители бизнеса и эксперты, которые оценивают всю совокупность существующих киберугроз и их влияние на бизнес. На операционном уровне действует средний менеджмент компании — он обеспечивает выполнение поставленных задач и вносит коррективы в операционную деятельность. Здесь, в частности, используется популярный инструмент — матрица MITRE ATT&CK.На тактическом уровне представлены сведения о группировках злоумышленников и конкретные тактические приёмы, методики и процедуры, помогающие распознавать угрозы и противостоять им (рис. 5).

Рисунок 5. Какие уровни Threat Intelligence реализуются в российских компаниях? Источник: онлайн-опрос anti-malware.ru, сентябрь 2021 г.

В декабре 2022 г. глобальная исследовательская компания Market Research Future опубликовала исследование мирового рынка решений Threat intelligence с прогнозом до 2030 г. Ожидается, что до этого времени глобальный рынок TI будет уверенно развиваться с двузначными цифрами роста — в среднем 15,7% в годовом исчислении.

Комплексный подход к угрозам, который реализуется в решениях Threat Intelligence, обусловливает специфические особенности внедрения и практического использования таких решений. В первую очередь речь идёт о поддержке аналитической составляющей и правильном выстраивании соответствующих бизнес-процессов.

ЭВОЛЮЦИЯ ПОНЯТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Сегодня на рынке можно найти решения и сервисы буквально по каждому направлению корпоративной безопасности, как традиционной ИБ, так и физической безопасности, а также различных аспектов безопасности бизнеса. По большому счёту, цифровизация становится неким общим знаменателем, который способен объединить разные системы технических решений информационной безопасности на логическом уровне принятия решений. Действительно, помимо киберузроз, приходящих извне, для компании имеют значение аспекты экономической безопасности (например, происки конкурентов в виде «чёрного PR», утёкшие базы клиентских данных), кадровой безопасности (фальшивые аккаунты ведущих сотрудников или сведения об активном поиске работы ключевыми специалистами), безопасности бренда (появление фальшивых сайтов и аккаунтов соцсетей) и т. д. Все эти сведения можно найти в разных сегментах интернета, если грамотно использовать методы киберразведки.

В конечном итоге всё уходит в некоторую цифру. Но эти «цифры» разные. Наиболее продвинутой сферой с точки зрения сбора и анализа данных является область технических решений. Например, системы класса SOAR (Security Orchestration Automation and Response Market) умеют не только интегрировать данные об угрозах безопасности из разных источников, но и автоматизировать этот процесс (рис. 6).

Рисунок 6. Основные функции систем SOAR/СОАР. Источник: anti-malware.ru, 2020 г.

По сути, традиционная ИБ превращается в Информационную Безопасность (c большой буквы), пронизывающую все аспекты безопасности бизнеса. Но сегодня мы находимся в начале этого пути — для охвата всех аспектов безопасности бизнеса в их информационной ипостаси важны, во-первых, аспекты логической интеграции разнородных данных, с точки зрения оценки соответствующих рисков и угроз. Во-вторых, связь получаемых данных с деятельностью организации: бизнес-процессами, направлениями развития бизнеса, конкурентной средой, кадровым потенциалом и т. д. При этом для полномасштабной реализации этих аспектов требуется участие человека-профессионала, и даже не одного.

Какие конкретные задачи в русле информационной интеграции решений безопасности сегодня могут решать российские организации? Какие методы и технические возможности им доступны и каких результатов позволяют добиться? Как будут выглядеть следующие шаги по автоматизации поддержки принятия решений для обеспечения безопасности бизнеса? Своими мнениями по этим вопросам с BIS Journal поделились российские эксперты.

[1] ENISA (European Network and Information Security Agency) — европейское агентство сетевой и информационной безопасности, ведущая организация Евросоюза, ответственная за проведение киберучений.