Автор: Константин Ларин, руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион»
От утечек информации и других инцидентов не застрахованы даже корпорации с развитой службой информационной безопасности. Поэтому компаниям полезно регулярно проводить киберразведку. Она охватывает широкое поле для сбора «разведданных» и помогает бизнесу и ИБ-службам выявить реальные внешние угрозы.
В статье расскажем о киберразведке, ее необходимости для компаний и пользе для бизнеса. Обсудим источники данных и методы реализации таких мероприятий.
Что такое киберразведка и кому она нужна
Киберразведка — это сбор и анализ информации о планируемом или уже произошедшем негативном воздействии на ИТ-инфраструктуру компании. Она помогает бизнесу понять, к каким угрозам готовиться, как их предотвратить и устранить уязвимости.
Одна из ключевых задач киберразведки — поиск сведений об утечках данных на различных площадках, включая даркнет. В процессе работы специалисты по киберразведке часто выявляют системные проблемы в защите корпоративной сети и предлагают решения для повышения уровня цифровой безопасности.
В некоторых случаях киберразведка помогает выявить индикаторы компрометации (IOC) и следы вредоносных программ, поэтому ее зачастую связывают с Threat Hunting и Threat Intelligence. Однако эти направления расходятся и все больше специализируются.
Основная работа киберразведчиков связана с социальным взаимодействием. Например, они находят продавцов утекших данных и стараются получить максимум информации о действиях злоумышленников.
Киберразведка включает элементы различных практик: Threat Intelligence, OSINT, HUMID и упомянутый Threat Hunting. Поговорим подробнее о методах и реализации киберразведки.
Кому нужна киберразведка
Киберразведка актуальна в первую очередь для крупного бизнеса. Ее проведение требует привлечения значительных ресурсов и зрелых ИБ-процессов. Кроме того, чтобы такого рода мероприятия были оправданы, компания должна быть привлекательной целью для злоумышленников. Если риск утечек и последующих атак невелик, киберразведка может быть избыточной.
Важный фактор — наличие внешней ИТ-инфраструктуры, критичной для прибыли. Например, для крупного медиахолдинга или соцсети серьезная атака на сайты или сервисы может парализовать бизнес. Киберразведкой занимаются не только организации, зарабатывающие на внешней инфраструктуре. Это может быть, скажем, производственный или добывающий концерн с собственной тендерной площадкой. От успешных атак на такие ресурсы бизнес не остановится, но может понести серьезные потери.
Реализация киберразведки
Специфика бизнеса, масштабы и важность внешней инфраструктуры влияют на процесс киберразведки. Однако базовые методики и этапы остаются неизменными.
Основные источники данных
При проведении киберразведки используются три основные группы источников информации.
Логи стилеров и троянов
Это не обычные системные логи, а конфиденциальные файлы, пароли и директории, похищенные у жертвы программами-стилерами. После достижения целей злоумышленники часто выкладывают их в даркнет. Эти массивы данных можно парсить на наличие адресов электронной почты, никнеймов и доменов, чтобы получить информацию о компрометации отдельных сотрудников или целых организаций.
Эффективность киберразведки во многом зависит от скорости получения этих логов. Некоторые специализированные ИБ-компании сотрудничают с агрегаторами подобных данных. Такое взаимодействие позволяет узнать об утечке до появления украденной информации в даркнете.
Боты-агрегаторы в мессенджерах
Похищенные базы с коммерческой информацией и персональными данными сотрудников все активнее агрегируются в специальных ботах в Telegram, Discord и различных мессенджерах.
Даркнет и полулегальные площадки
К этой категории относятся не только популярные теневые сети, например, Onion или I2P. Сюда входят заблокированные в разных странах ресурсы, анонимные мессенджеры и другие источники.
Этапы киберразведки
После определения конкретных источников информации можно приступать к киберразведке. Обычно этот процесс включает четыре этапа.
Этап 1. Подготовка и настройка автоматизированных инструментов
Хотя киберразведчики выполняют большую часть задач вручную, некоторые процессы поддаются автоматизации. Например, можно настроить специальные краулеры и парсеры для поиска в даркнете определенных слов, адресов и доменов.
Этап 2. Анализ скоупа данных по компании
На этом этапе собирается вся доступная информация о компании: домены, IP-адреса, данные ключевых сотрудников, ИНН, зарегистрированные товарные знаки. Важны любые сведения, которые могут указать на компанию в закрытых источниках и открытых форумах. В результате формируется набор ключевых слов для выявления утечек данных.
Этап 3. Взаимодействие с продавцами и злоумышленниками
Когда на теневом форуме появляется объявление о продаже, например, клиентской базы компании, киберразведчик сначала проверяет репутацию продавца. Опытные торговцы данными обычно используют один никнейм на всех площадках даркнета для поддержания личного бренда. Анализируются аккаунты автора, объявления на форумах, количество размещенных постов и очки репутации.
Если продавец имеет устойчивую репутацию, а не является новым пользователем с сомнительными предложениями, киберразведчик начинает переписку под видом покупателя. Он намеренно затягивает переговоры, чтобы дать время ИБ-службе или отделу расследований компании выяснить причины утечки данных и устранить уязвимости. Иногда в процессе диалога удается получить от собеседника информацию, указывающую на точку проникновения в инфраструктуру компании.
Этап 4. Отчетность
Промежуточные и финальные результаты киберразведки фиксируются в отчетных документах. Как правило, отчеты составляются раз в две недели или ежемесячно.
Наиболее критичные сведения, которые требуют быстрой реакции, доводятся до руководства компании незамедлительно.
Например, обнаружение объявления о продаже действующего доступа к FTP-серверу организации требует срочных мер. В таком случае ИБ-специалисты должны быть оперативно оповещены для смены паролей. Эта информация затем включается в очередной отчет для документирования.
Менее критичные находки сообщаются в плановом порядке. Например, если в утечку данных из сети магазинов попало имя сотрудника компании, это не представляет серьезных рисков для бизнеса. Такая информация может быть включена в следующий плановый отчет.
Кто выполняет киберразведку, и какие типичные ошибки допускают компании
Полноценное проведение киберразведки требует глубокого погружения и специфической экспертизы. Отдельные подразделения, отвечающие за это направление, есть только в ИБ-компаниях. В других отраслях даже отдельные специалисты такого профиля встречаются редко.
В большинстве организаций этим занимается специалист, который при необходимости ищет информацию об утечках в Интернете и проверяет, не появились ли данные сотрудников в нежелательных местах. По нашим наблюдениям, эти дополнительные обязанности обычно возлагаются на специалистов из отделов расследований, ИБ-служб, SOC или экономической безопасности.
Поскольку киберразведка часто выполняется по остаточному принципу, нередко допускаются ошибки, снижающие эффективность этой работы. Вот наиболее распространенные из них:
Неоптимальный подбор начальных входных данных
При использовании общих ключевых слов для сбора информации об утечках результаты поиска оказываются заполненными нерелевантными данными. Например, если ориентироваться только на название компании, краулеры и парсеры выдадут много лишней информации. Чтобы избежать этого, следует конкретизировать и расширить ключевые слова. Например, добавить к названию организации вид юридического лица (ООО или АО), указывать домены, ИНН, зарегистрированные компанией товарные знаки. Так получится сузить область поиска.
Неправильная расстановка приоритетов
ИБ-специалисты могут обращать внимание на менее опасные отклонения, игнорируя более серьезные угрозы. Допустим, стоит сотруднику зарегистрироваться на сторонних ресурсах в личных целях с рабочей почты, как ИБ-специалисты проведут для него тренинги по цифровой гигиене. В то же время, когда данные того же самого человека появляются в логах стилеров, никаких превентивных мер уже не предпринимается.
Зачем нужна киберразведка
Ранее мы обозначили общую цель киберразведки. Теперь рассмотрим конкретные выгоды таких мероприятий для бизнеса.
Киберразведка помогает предотвратить атаки
Представьте: киберразведчики узнают, что данные сотрудника попали на черный рынок. Они проверяют его компьютер и находят вирус. Зараженную машину сразу отключают от сети компании и чистят. Так удается остановить атаку до ее начала.
Случаются и менее тривиальные ситуации, когда киберразведчики обнаруживают в логах стилера, например, логин и пароль от внешнего файрвола компании. Узнав об утечке, ИБ-специалисты быстро отключают учетку и меняют способы аутентификации.
Получение важной информации от киберпреступников
Иногда продавцы краденых данных в теневом Интернете бывают неосторожны. Они могут поделиться ценными сведениями с киберразведчиками, не подозревая об этом.
Например, чтобы доказать актуальность украденной базы данных, преступник может отправить скриншот с логинами и паролями администраторов. Это помогает специалистам по безопасности найти взломанные аккаунты и проверить соответствующие компьютеры. Так удается обнаружить, как злоумышленники проникли в систему.
Бывает, что продавец показывает снимки экрана с консолью базы данных. У каждой такой программы свой способ вывода информации. По этим особенностям можно определить, какие именно элементы ИТ-инфраструктуры компании были взломаны.
Стратегические рекомендации по повышению кибербезопасности
Анализ утечек данных помогает выявить слабые места в системе безопасности организации. Если в украденных базах обнаруживаются действующие, но простые пароли сотрудников, компании стоит ужесточить требования к их созданию. Это затруднит взлом учетных записей в будущем.
Другой тревожный симптом — когда данные сотрудников постоянно встречаются в утечках торговых сетей. Тогда бизнесу не помешает провести для персонала тренинги, лекции, вебинары или другие обучающие мероприятия по цифровой гигиене.
Востребованность киберразведки растет из-за повышения числа утечек данных и хакерских атак.
Киберразведка:
- Помогает обнаружить утечки информации и быстро на них отреагировать.
- Выявляет слабые места в системе безопасности компании.
- Предлагает способы усиления защиты корпоративной сети.
Для лучших результатов стоит привлекать специалистов по информационной безопасности. Они помогут избежать типичных ошибок: неправильной настройки поиска утечек, неверной оценки угроз или использования устаревших данных о прошлых атаках.
Оригинал публикации на сайте CISOCLUB: "Киберразведка: этапы, польза для бизнеса и распространенные ошибки ".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.