BIS Journal №1(48)2023

13 марта, 2023

«Киберразведка помогает закрыть множество ИБ-задач»

Чтобы построить эффективную защиту организации, необходимо понять, какой уровень квалификации может соответствовать атакующей стороне и какие техники и тактики могут использовать злоумышленники. Важную роль в этом играет киберразведка, помогающая организации взглянуть на себя глазами киберпреступника.

 

КЛАССИКА

Исходя из квалификации злоумышленника, киберзащиту организации можно разделить на несколько уровней. Базовый уровень включает исследование собственного периметра и уязвимостей на нём (Vulnerability Management, VM), повышение осведомлённости сотрудников о киберугрозах (Security Awareness, SA) и тестирование на проникновение (пентест). Таким образом компания сможет защититься от двух самых популярных методов проникновения: фишинга и эксплуатации уязвимостей.

Если компания уверена, что на неё направляется целевая атака, то базовый уровень стоит дополнить CPT (Continuous Penetration Testing). Это более продвинутый вариант VM, позволяющий проверить применимость и актуальность конкретного вектора атак. Ещё один важный инструмент — OSINT, то есть разведка по открытым источникам. Она позволит нивелировать риски, связанные с утёкшими базами данных, скомпрометированными аккаунтами, адресами электронной почты и т. п.

Также для выявления сложных атак с использованием ВПО стоит подключить Sandbox, а обычный SA дополнить Assumed Breach, то есть проверкой навыков ИБ-команды через имитацию атаки злоумышленника определённого уровня.

А для защиты от группировок, действующих в интересах иностранных государств, и сложных APT-атак потребуются полноценные тренировки команды защиты в части противодействия внешним злоумышленникам (Red Teaming, Purple Teaming, Киберучения), а также организация собственной команды исследования угроз.

 

ИНСАЙДЕРЫ И УТЕЧКИ

Параллельно с классической историей защиты существует и тематика защиты от инсайдера, экономическая безопасность и проблематика защиты бренда. Если говорить про инсайдера и защиту от утечек, то на помощь организациям приходят решения класса DLP. А для защиты бренда, что крайне важно в контексте репутации, можно использовать системы и сервисы классов DRP, ASM, OSINT.

 

КИБЕРРАЗВЕДКА. ВЕЕР ВОЗМОЖНОСТЕЙ

Глобально киберразведка помогает закрыть множество ИБ-задач. Эта тематика затрагивает не только интересы информационной безопасности, но и экономическую, и даже HR. Главное — определить, какие задачи нужно решить с помощью разведки.

Например, можно защищать клиентов компании, выявляя и блокируя фишинговые сайты, или выявлять уязвимости на периметре с помощью Shodan и оперативно закрывать их. Можно искать утёкшие базы данных, выявляя вектор утечки в рамках расследования инцидента, или находить скомпрометированные утечки, принудительно меняя их пароли, чтобы минимизировать вероятность атаки через эти данные, или искать фейковые аккаунты топ-менеджеров в социальных сетях. Наконец, с помощью киберразведки можно мониторить новостной фон и отслеживать негатив в отношении бренда. Последнее стало особенно актуально в 2022 году, который показал, что информационные сбросы иногда имеют больший резонанс, чем реальная ситуация. Основная проблема сейчас связана с поиском утечек, ведь отличить компиляции старых слитых данных или фейковые базы от реальных сложно.

 

КЛЮЧЕВОЙ ЭЛЕМЕНТ

Ключевой элемент — это экспертная команда. Без профессиональных аналитиков корректно проанализировать собранные данные не получается. В будущем наверняка появятся инструменты автоматизации, но в ближайшие два-три года ключевым фактором всё равно останутся люди. Причём квалификация для OSINT, форензики, SOC совершенно различна. По аналогии со стоматологами: удаляют зубы, ставят пломбы, проводят сложные операции разные специалисты, хотя общее название профессии у них одно.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

14.02.2025
Oracle готова построить «оракул» с помощью ДНК американцев
14.02.2025
Мнение: У владельцев ГИС часто отсутствует чётко выстроенный процесс работы с уязвимостями
13.02.2025
Standoff 15: кибербитва в мае соберёт около полусотни команд белых хакеров и защитников со всего мира
13.02.2025
Эксперты ВТБ представили краткий скам-обзор января
13.02.2025
В ближайшем будущем QR-коды будут содержать антифрод-измерение
13.02.2025
Минцифры начинает строить свой маленький валидатор навыков
13.02.2025
Мишустин — о весне в российском телеком-законодательстве
13.02.2025
ViPNet SafeBoot 3.2 сертифицирован по требованиям двух регуляторов
12.02.2025
UniCredit торопится выйти из России
12.02.2025
ФСТЭК России объявила о начале масштабных испытаний статических анализаторов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных