«Без надёжной системы безопасности данные даркнета будут бесполезны»

«Без надёжной системы безопасности данные даркнета будут бесполезны»

О том, что в новых условиях (особенно после начала СВО) меняется модель угроз и поведение служб безопасности в целом, мы говорили на BISummit в сентябре. Выяснилось, что компании, которые полноценно подготовились в области ИБ, достойно выдержали массированные атаки и не понесли значительного ущерба.

При этом их специалисты ИБ не увидели каких-то революционных действий злоумышленников, кроме повышенной активности и изменения пропорций в традиционной картине событий. Можно ли улучшить состояние ИБ в компании, если использовать системы киберразведки применительно к darknet и открытому интернету? Давайте разберёмся.

ЭКСПЕДИЦИИ НА ТЁМНУЮ СТОРОНУ

Термин «киберразведка»,ставший в последнее время популярным, на мой взгляд, включает два уровня. На первом компании, специализирующиеся на ИБ, исследуют угрозы интернет-среды и действия киберпреступников, потенциально опасные для государства и бизнеса. А на втором сотрудники ИБ обычной компании пытаются внедриться в сообщества даркнета, чтобы узнать, например, о спросе на закрытые данные своей компании и их наличии на чёрном рынке. С одной стороны, это позволяет зафиксировать утечки данных, выследить инсайдера, проверить уровень защищённости предприятия, а с другой — оценить вероятность будущих атак.

При правильной постановке задачи и высоком профессионализме исполнителей «экспедиции в даркнет» позволяют получать важную информацию, помогающую повысить защищённость компании. Однако нужно понимать, что прежде чем начинать поиск информации в даркнете, стоит изучить открытые данные об актуальных угрозах и уязвимостях. Кроме того, без постоянно обновляемой и хорошо контролируемой системы безопасности полученные на тёмной стороне данные будут просто бесполезны. Поэтому нужно начинать именно с создания такой системы, а уже потом регулярно проверять уровень её защищенности, руководствуясь полученной, в том числе и в даркнете, информацией.

ПРО ИНТЕГРАЦИЮ

Что касается возможности связать всё «защитное ПО» в одну платформу и использовать её в качестве универсального «зонтика». Следует уточнить, что речь идёт не обо всех средствах защиты информации, которые входят в состав классической системы ИБ, а именно о средствах анализа получаемой информации. Также надо понимать, что есть системы, анализирующие чисто техническую информацию (контролируют состояние софта, детектируют попытки подбора пароля), а есть ПО, «заточенное» на смысловые события, как, например, наша DLP-система InfoWatch Traffic Monitor. Она анализирует поведение сотрудников, работая со смысловой компьютерной информацией. Это принципиально разные задачи.

Я предложил бы аналогию с положением различных подразделений служб безопасности в оргструктуре компаний. Где-то службы ИБ, физической охраны и контроля доступа объединены в одно подразделение, а где-то они образуют разные департаменты, но у каждой есть свои технические и ИТ-средства для выполнения своих служебных обязанностей.

Так может обстоять дело и с аналитическими системами. Лично я не стал бы собирать все подобные системы в единую платформу, поскольку их специализация имеет значение. Но если вдруг кто-то захочет создать нечто универсальное, то получившаяся в результате система наверняка будет иметь модульную архитектуру, поскольку ей придётся работать с различными по своей сути событиями и источниками данных. Пожалуй, есть только одно исключение — надстройка над большим количеством разнородных систем для ситуационных центров масштаба региона, отрасли и т. п.