«Киберразведка помогает закрыть множество ИБ-задач»

«Киберразведка помогает закрыть множество ИБ-задач»

Чтобы построить эффективную защиту организации, необходимо понять, какой уровень квалификации может соответствовать атакующей стороне и какие техники и тактики могут использовать злоумышленники. Важную роль в этом играет киберразведка, помогающая организации взглянуть на себя глазами киберпреступника.

КЛАССИКА

Исходя из квалификации злоумышленника, киберзащиту организации можно разделить на несколько уровней. Базовый уровень включает исследование собственного периметра и уязвимостей на нём (Vulnerability Management, VM), повышение осведомлённости сотрудников о киберугрозах (Security Awareness, SA) и тестирование на проникновение (пентест). Таким образом компания сможет защититься от двух самых популярных методов проникновения: фишинга и эксплуатации уязвимостей.

Если компания уверена, что на неё направляется целевая атака, то базовый уровень стоит дополнить CPT (Continuous Penetration Testing). Это более продвинутый вариант VM, позволяющий проверить применимость и актуальность конкретного вектора атак. Ещё один важный инструмент — OSINT, то есть разведка по открытым источникам. Она позволит нивелировать риски, связанные с утёкшими базами данных, скомпрометированными аккаунтами, адресами электронной почты и т. п.

Также для выявления сложных атак с использованием ВПО стоит подключить Sandbox, а обычный SA дополнить Assumed Breach, то есть проверкой навыков ИБ-команды через имитацию атаки злоумышленника определённого уровня.

А для защиты от группировок, действующих в интересах иностранных государств, и сложных APT-атак потребуются полноценные тренировки команды защиты в части противодействия внешним злоумышленникам (Red Teaming, Purple Teaming, Киберучения), а также организация собственной команды исследования угроз.

ИНСАЙДЕРЫ И УТЕЧКИ

Параллельно с классической историей защиты существует и тематика защиты от инсайдера, экономическая безопасность и проблематика защиты бренда. Если говорить про инсайдера и защиту от утечек, то на помощь организациям приходят решения класса DLP. А для защиты бренда, что крайне важно в контексте репутации, можно использовать системы и сервисы классов DRP, ASM, OSINT.

КИБЕРРАЗВЕДКА. ВЕЕР ВОЗМОЖНОСТЕЙ

Глобально киберразведка помогает закрыть множество ИБ-задач. Эта тематика затрагивает не только интересы информационной безопасности, но и экономическую, и даже HR. Главное — определить, какие задачи нужно решить с помощью разведки.

Например, можно защищать клиентов компании, выявляя и блокируя фишинговые сайты, или выявлять уязвимости на периметре с помощью Shodan и оперативно закрывать их. Можно искать утёкшие базы данных, выявляя вектор утечки в рамках расследования инцидента, или находить скомпрометированные утечки, принудительно меняя их пароли, чтобы минимизировать вероятность атаки через эти данные, или искать фейковые аккаунты топ-менеджеров в социальных сетях. Наконец, с помощью киберразведки можно мониторить новостной фон и отслеживать негатив в отношении бренда. Последнее стало особенно актуально в 2022 году, который показал, что информационные сбросы иногда имеют больший резонанс, чем реальная ситуация. Основная проблема сейчас связана с поиском утечек, ведь отличить компиляции старых слитых данных или фейковые базы от реальных сложно.

КЛЮЧЕВОЙ ЭЛЕМЕНТ

Ключевой элемент — это экспертная команда. Без профессиональных аналитиков корректно проанализировать собранные данные не получается. В будущем наверняка появятся инструменты автоматизации, но в ближайшие два-три года ключевым фактором всё равно останутся люди. Причём квалификация для OSINT, форензики, SOC совершенно различна. По аналогии со стоматологами: удаляют зубы, ставят пломбы, проводят сложные операции разные специалисты, хотя общее название профессии у них одно.