Превентивный удар. Бизнес хочет знать о готовящихся кибератаках заранее

Превентивный удар. Бизнес хочет знать о готовящихся кибератаках заранее

На фоне беспрецедентного роста кибератак в 2022 году и ухода из России иностранных вендоров мы в Group-IB наблюдали повышенный (а весной и летом — просто ажиотажный спрос!) со стороны бизнеса на данные Threat Intelligence (киберразведки). Компании хотели заранее узнавать о готовящихся кибератаках, оперативно получать индикаторы компрометации и фиды, чтобы превентивно защититься от актуальных киберугроз.

БИЗНЕС ХОЧЕТ ЗАЩИТИТЬСЯ

Несомненно, «благоприятной» средой для размножения киберпреступности являются военные конфликты и сопутствующие им политико-социальные и финансово-экономические кризисы. Киберугрозой номер один для бизнеса остаются программы-вымогатели. Группы операторов шифровальщиков быстро развиваются с помощью партнёрских программ.

Второй по значимости угрозой являются стилеры — вредоносное ПО, которое похищает данные пользователей. Стоит отметить, что злоумышленники начали использовать данные со стилеров не только для совершения классических хищений денег с банковских аккаунтов, но и для поиска доступов на устройства сотрудников для дальнейшей атаки на сами компании.

Мы прогнозируем, что украденные с помощью стилеров данные станут основным способом доступа в сети атакуемых организаций. К примеру, за период с 1 июля 2021 г. по 30 июня 2022 г. в продаже было обнаружено более 280 тыс. веб-шеллов (вредоносных скриптов, которые используются злоумышленниками для управления чужими сайтами и серверами).

Подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 году на андеграундных форумах и тематических телеграм-каналах, были выложены бесплатно в публичный доступ. На фоне текущего геополитического кризиса у киберпреступников изменился мотив: не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам. Антирекорд 2022 года по числу утечек баз данных российских компаний в наступившем году может быть побит, а целевой фишинг и таргетированные атаки на сотрудников компаний снова будут в тренде.

В целом, для того чтобы защититься от кибератаки, необходимо понимание, кто, с помощью каких методов и по каким причинам атакует конкретную компанию и индустрию, где она работает. И Threat Intelligence (TI) отвечает на эти вопросы, предоставляя подписчикам оперативный доступ к аналитике как о самих атакующих — финансово мотивированных хакерах, прогосударственных атакующих (APT), хактивистах, мошенниках, так и об их тактиках и инструментах.

ОТ БУМАЖНОЙ ИБ — К РЕАЛЬНОЙ

Традиционно информационная безопасность в крупных российских компаниях создавалась с учётом соблюдения стандартов и требований со стороны регуляторов. Без «бумажной» безопасности не обойтись, но на практике лучшим решением для построения эффективной ИБ является фокусировка на основных киберугрозах, которые актуальны на данный момент для региона, индустрии или самой организации. Как раз здесь помогают решения TI.Как известно, они поддерживают анализ данных в трёх разрезах: стратегическом, оперативном и тактическом.

На стратегическом уровне компании получают информацию о злоумышленниках, текущих трендах, типах атак и т. п., которые связаны с определённым регионом, индустрией или самой компанией. Обычно на этом уровне формируется ландшафт киберугроз, которые представляют опасность для организации. Всё это позволяет топ-менеджерам или CISO в компаниях правильно планировать бюджеты и развитие компании.

Простой пример: организация решает, где лучше открыть новый бизнес: в регионе А или регионе B? Анализируя стратегический срез информации, можно будет понять, где и какие атаки встречаются чаще всего, какова будет цена защиты против таких атак и прочее, чтобы не реализовывать везде одни и те же дорогие защитные меры.

На операционном уровне CISO или ИТ-команда может с помощью матриц MITRE проанализировать основные сочетания тактик, техник и процедур (TTP, Tactics, Techniques and Procedures), которые используются злоумышленниками, нацеленными на организацию, и сфокусироваться на защитных мерах именно против этих техник. Например, если компания видит, что чаще всего злоумышленники в их регионе или индустрии используют фишинговые рассылки, то, вероятно, стоит приобрести решение, которое позволит анализировать все письма и выявлять потенциально вредоносные.

Кроме того, на операционном уровне потребители TI узнают, например, об основных уязвимостях, которые эксплуатируют злоумышленники для атак на их индустрию. Если у компании не хватает времени или бюджета на обновление всей инфраструктуры, то, вероятно, следует сфокусироваться именно на исправлении критичных уязвимостей в инфраструктуре, которые злоумышленники используют против них.

Тактический уровень TI обычно связан исключительно со сбором индикаторов компрометации (IoCs). Однако его тоже можно использовать более целенаправленно, например, не сгружать все индикаторы злоумышленников, которые могут периодически фолсить (давать ложные сигналы), а использовать их только в том случае, когда вы уведомлены об атаке или ожидаете её. Например, если у вас есть информация о том, что та или иная группировка злоумышленников в данный момент начала DDoS-атаку вашей компании или смежной индустрии, то стоит обновить правила на файрволах с теми proxy, которые обычно использует именно эта группа, а после атаки отключить лишние правила.

ИНТЕРНЕТ + DARKWEB

Одним из источников данных о текущих трендах злоумышленников и их атаках может стать darkweb. Это понятие описывает любые ресурсы, которые используют злоумышленники для осуществления различной противозаконной деятельности. Это может быть и обсуждение уязвимостей, и продажа эксплойтов к ним, продажа баз данных, доступов, вредоносного ПО, и просто публикация данных, как делают операторы шифровальщиков. По этой причине darkweb охватывает как классические андеграундные форумы, так и андеграундные маркеты, а также интернет-мессенджеры (Telegram, Discord, Jabber) и иные ресурсы, которыми пользуются злоумышленники.

Своевременное получение данных об угрозах из этих источников очень полезно. Например, злоумышленники часто используют андеграундные форумы для продажи доступов к корпоративным сетям. В недавнем аналитическом отчёте «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023» отмечается, что Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2300 предложений на даркнет-форумах. Самыми активными были злоумышленники под никами Novelli, orangecake, Pirat-Networks, Sub Comandante VPN, zirochka — их предложения в сумме составили 25% от всего рынка продажи доступов.

Своевременное использование подобных данных позволяет предотвратить дальнейшее проникновение и шифрование инфраструктуры компании.

Другой пример — получение информации о текущих трендах и потенциальных новых атаках. Например, в ходе текущего кризиса на многих специализированных площадках злоумышленники обсуждали уязвимости, которые были найдены в тех или иных компаниях, и делились ими. Кроме того, тренд на новые DDoS-атаки также зародился в андеграунде.

Информация об утечках в других компаниях также может быть крайне полезной, учитывая, что это могут быть компании-интеграторы, которые разрабатывали то или иное ПО для внутренних информационных систем компании. Информация о подобных атаках должна быть сигналом команде ИБ внутри компаний для проверки, где и какое ПО используется и не могли ли у скомпрометированной компании остаться какие-либо доступы к внутренним системам.

Отдельно отмечу, что количество информации, полученной из darkweb, может быть очень большим и анализировать его своими силами может оказаться крайне ресурсозатратным мероприятием. Поэтому использование такой системы TI, которая предоставляет компании ещё и экспертизу аналитиков, способных найти в этом объёме данных угрозы именно для этой компании, может сильно упростить построение системы безопасности и своевременное реагирование на внешние угрозы.

Для большей сфокусированности своего ИБ-подхода также можно использовать информацию из darkweb. Так, если TI сообщает вам об угрозах в виде различных вариантов предоставления конфиденциальной информации из ваших систем, то необходимо нацелить свои силы на борьбу с инсайдерскими угрозами и разграничение прав доступа.

В целом ключевую функциональность решений TI можно описать на примере Group-IB Threat Intelligence:

• выявление фактов взлома компаний благодаря мониторингу преступных групп, бот-сетей и теневого интернета;
• обнаружение недетектируемых атак с помощью уникальных индикаторов компрометации;
• атрибуция, приоритизация угроз и более быстрое реагирование за счёт данных об атакующих, их инструментах и тактиках;
• создание правил корреляции и детектирования угроз, специфичных для их клиентов, за счёт оперативных бюллетеней о новых угрозах, вредоносных кампаниях и группах;
• оптимизация процесса управления уязвимостями за счёт сведений об активно эксплуатируемых уязвимостях, наличии эксплойтов, обсуждений на хакерских форумах. Все данные собраны в подробные профили уязвимостей.
• обогащение индикаторов компрометации и используемых средств защиты с помощью встроенных аналитических инструментов, например Graph и Malware Detonation Platform.

АВТОМАТИЗАЦИЯ АНАЛИТИЧЕСКИХ ПРОЦЕССОВ

Человек будет оставаться ключевой фигурой при принятии решений о реакции на ту или иную угрозу. Однако сбор и оценку угроз можно автоматизировать, чтобы упростить человеку-аналитику дальнейшую обработку потенциального инцидента.

Обычно все данные киберразведки привязаны к определённой группировке, которая, кстати, может состоять из одного человека. Для соотнесения данных с той или иной группировкой используется идея о том, что отдельные злоумышленники в своей деятельности используют схожие TTP, вредоносное ПО и т. д., что и позволяет классифицировать их в отдельные блоки. Данный подход очень удобен, так как позволяет фокусировать внутреннюю безопасность против специфичных угроз, а не всех сразу.

Для обогащения и консолидации таких данных используются TI-платформы: аналитики TI постоянно изучают новые атаки, инструменты и атрибутируют их в отношении тех или иных злоумышленников. Например, если в атаке на ту или иную компанию был обнаружен новый троян удалённого доступа (RAT), то обычно для управления таким ПО необходимы C2-сервера инфраструктуры управления и контроля. Под новые вредоносы можно написать YARA-правила (описание сигнатур целевых атак и вторжений в ИТ-инфраструктуру организации) для процесса хантинга (то есть создания правил корреляции путём анализа скрытых или ранее неизвестных индикаторов и признаков атаки) на них. Поскольку настройка и установка серверов также происходит схожим образом у разных групп, это позволяет написать правила для хантинга и на них. В результате это даёт возможность аналитикам TI узнавать об угрозах заранее и уведомлять об этом своих клиентов.

ОСНОВНАЯ ЦЕЛЬ

Надо подчеркнуть, что основная цель TI заключается в том, чтобы предоставлять данные проактивно. А для этого необходимо знать об атаках ещё до момента их совершения. С этой целью можно использовать разные способы.

Например, нашим аналитикам и клиентам доступен аналитический инструмент «Граф», который изначально создавался для автоматизированного графового анализа сетевой инфраструктуры злоумышленников. Эта система собирает большой массив данных о состоянии глобальной сети в разные моменты времени и позволяет выявлять скрытые связи между различными элементами. На данный момент система агрегирует данные из различных источников TI и других продуктов, что позволяет строить более сложные связи и, что более важно, — выявлять различные паттерны, которые используют злоумышленники. Благодаря этим паттернам мы можем выявлять новые управляющие C2-сервера и другие индикаторы, которые могут помочь предотвратить атаку ещё до её совершения.