Создание и поддержание ожидаемого уровня безопасности бизнеса - сложная и трудоемкая задача, требующая принятия решений об оптимальном использовании имеющихся ресурсов. Поэтому необходимы точные входные данные для получения точных результатов, когда, где и как их использовать в тех или иных целях. Одной из важнейших обязательных задач является знание агентов угроз, их возможностей и применяемых инструментов, поскольку они являются источником угроз (и рисков).
В области информационной безопасности риски происходят в физическом и логическом мире, которые могут быть взаимосвязаны. В связи с этим агенты угроз могут быть разделены на:
- агенты угроз,
- агенты угроз окружающей среды,
- агенты угроз природного происхождения и
- агенты артифактуальной разведки.
Различные агенты угроз появляются в качестве злоумышленников, если угроза материализуется. В киберпространстве угрозы всегда исходят от людей, когда они создают и используют инструменты. Однако по мере развития искусственного интеллекта он становится агентом угроз. Таким образом, в кибербезопасности злоумышленником является реальное лицо, группа людей или подразделение ИИ, которое причиняет или имеет тенденцию причинять ущерб в результате полного или частичного нарушения обслуживания целевой системы или причинять прямой вред в физическом мире (например, в промышленных системах управления) или получать несанкционированную информацию.
Инфраструктура, используемая злоумышленниками, является широкомасштабной - от полностью ручной системы до полностью автоматизированной системы, содержащей сотни и тысячи узлов. Ботнет - это, точнее, группы узлов (конечные точки или сетевые устройства) в сети Интернет, использующие ресурсы зараженных узлов без ведома и согласия их владельцев для незаконной деятельности. Преимущество подхода злоумышленников заключается в том, что если вредоносный код делает объект сети частью ботнета, его хранилище, вычислительная мощность, обрабатываемые данные и сетевые ресурсы становятся доступными для сети.
Кроме того, ресурсы локальной сети потенциально доступны через эти узлы. АЕССИБ (Агентство Европейского Союза по сетевой и информационной безопасности) классифицировало ботнет как наиболее опасные в силу их функциональных возможностей и типа атак (АЕССИБ). Цель применения таких инструментов, как ботнет, а также современные технологические возможности определяют их архитектурные атрибуты.
Существуют различные элементы в структуре, возможностях и технической реализации ботнет, что делает их практически уникальными, но в целом, всегда есть бот-мастер (или разработчик), один или несколько командных и управляющих (C&C или C2) серверов и по крайней мере один (но обычно тысячи или миллионы) управляемых узлов (бот).
Бот - это агент на зараженных узлах для выполнения принятых команд, который пытается скрыться от защиты от вредоносного ПО. Хозяин ботов является лидером для всего ботнета.
В случае Сервисной инфраструктуры для борьбы с киберпреступностью, как правило, только часть узлов сети ботнета может частично контролироваться арендатором. Набор команд, доступный арендатору, обычно является подмножеством всего набора команд. По сути, кто бы ни контролировал ботнет в определенное время, он или она является настоящим злоумышленником.
Из действующих агентов кибершпионажа исследователи выбрали группу под кодовым названием APT28. У него есть несколько альтернативных названий: Ласточкин хвост, Медведь, Ломбард, Группа Софси, Седнит, Стронций, Царь-команда. Эта группа действует по крайней мере с января 2007 года, и, по всей видимости, ее спонсором является российское правительство. Ведущие показатели - последовательное использование русского языка, время компиляции вредоносного ПО соответствовало рабочим дням в московском часовом поясе.
Несомненно, как показали исследователи до 2014 года, его основные интересы касаются Кавказа, правительств и вооруженных сил стран Восточной Европы, НАТО и других европейских организаций по безопасности, включая Европейские оборонные выставки. На Кавказе его конкретной мишенью является Грузия, где действуют министерство внутренних дел Грузии и министерство обороны Грузии, и даже журналист, освещающий эту сферу. В Восточной Европе ее цели были расположены в Балтии, Польше и Венгрии.
Согласно последним статистическим данным и отчетам антивирусных компаний, за последние два десятилетия использование зараженных компьютеров в качестве агентов атак (ботнет) стало более изощренным. Цели ботнет стали более разнообразными и теперь включают не только уничтожение, но и утечку данных, а также кибершпионаж. В связи с безопасностью бизнеса и шпионажем Менделл написал в своей книге о трех парадоксах.
- Первая касается отношения и ограниченности ресурсов, имеющихся для проведения операции по обеспечению безопасности.
- Второй парадокс "вытекает из структуры самого информационного товара". [...] Электронная информация [...] подвержена тонким манипуляциям".
- Третий парадокс связан с динамичной природой современного бизнеса, так как вся среда, экономика, клиенты меняются почти плавно.
Учитывая факт существования каждого парадокса, системы жертв в настоящее время также более разнообразны, чем 10 лет назад. Помимо традиционных настольных и мобильных компьютеров со всеми видами операционных систем, смартфоны, устройства Интернета вещей, а также любые "смарт" устройства могут быть заражены и использованы в целях заботливых людей или арендаторов.
Поэтому набор векторов атак сильно вырос, и, вероятно, будет расти и в будущем. С техническим прогрессом, затрагивающим важнейшие объекты инфраструктуры, такие как банки, государственные службы и т.д., с ростом ценности информации, мотивы злоумышленника также эволюционировали на протяжении многих лет. Из многочисленных инфузионных групп злоумышленников исследователи показали хорошо документированную деятельность группы АРТ28 в последнее время. Ученые представили важнейшую деятельность группы и ее VPN Filter Botnet, которая доказывает, что даже контролируемый государством (или финансируемый государством) кибершпионаж активно использует эту технику и достигает политического, военного и экономического успеха с помощью таких сложных инструментов, как ботнет.
