Контакты
Подписка
МЕНЮ
Контакты
Подписка

Лучшие практики противодействия киберугрозам

Лучшие практики противодействия киберугрозам

В рубрику "Кибервойна" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Лучшие практики противодействия киберугрозам

Все уже давно осознают, что злоумышленники всегда на шаг впереди. Они диктуют правила, а производители средств защиты им следуют и постоянно пытаются догнать. Сам подход к противодействию киберугрозам не изменился – он носит четко оборонительный характер. В некоторых случаях люди защищаются от того, о чем имеют крайне поверхностное понимание. Все знают, что есть киберпреступники и они используют уязвимости, вредоносные программы, что есть целевые атаки, но лишь очень маленький процент специалистов по ИБ знает, как эти уязвимости эксплуатируются, почему все известные уже несколько лет вредоносные программы по-прежнему не детектируются средствами антивирусной защиты, как именно проходят целевые атаки, почему злоумышленникам удается попасть в жестко изолированные сегменты сети и т.д.
Дмитрий Волков
Руководитель направления предотвращения и расследования
инцидентов информационной безопасности, Group-IB

Cyber Intelligence позволяет собрать сведения о том:

  • какие атаки уже произошли или могут произойти;
  • как действия атакующего могут быть распознаны и обнаружены;
  • как эти действия могут быть смягчены;
  • кто стоит за этими атаками;
  • каковы мотивы атакующих и чего они пытаются добиться;
  • каковы их возможности с точки зрения тактики, техники, процедур, используемых ими ранее и в скором будущем;
  • какие уязвимости, ошибки конфигурации они эксплуатируют;
  • какие действия они предпринимали в прошлом, и т.д.

Незнание деталей приводит к тому, что при разработке стратегии противодействия киберугрозам, оценке рисков и закупках средств защиты часто принимаются неверные решения. Практически полностью отсутствуют данные о том, сколько и каких атак было вчера, какие новые угрозы появились, как злоумышленники действуют в определенных ситуациях. Им невозможно противостоять вслепую. Эту ситуацию можно сравнить с тем, как вести войну без данных о количестве и дислокации врага, используемом им вооружении, источниках подкреплений и т.п. Именно это является одной из основных причин, почему злоумышленники настолько успешны в своих действиях и почему увеличение бюджетов на ИБ не приводит к снижению уровня киберпреступности.

Осознание этой проблемы привело к появлению такого направления у частных компаний, как Cyber Intelligence. В своей статье я буду использовать именно англоязычный термин, поскольку его русский перевод – киберразведка – вызывает у людей ложное ощущение, связанное со взломами и шпионажем. На самом деле это не так. Забегая немного вперед, скажу, что многие вендоры средств защиты подхватили эту тенденцию и начали заявлять о том, что они теперь тоже предоставляют такую услугу, однако на практике все сводится к тому, что вместо Cyber Intelligence вам дают черные списки IP-адресов, доменных имен, хеши файлов. Такое "нововведение" не имеет никакого отношения к реальной Cyber Intelligence. Как и в обычной разведке, выясняющей, какие у атакующего возможности, намерения и текущие действия, Cyber Intelligence добывает сведения о том:

  • какие атаки уже произошли или могут произойти;
  • как действия атакующего могут быть распознаны и обнаружены;
  • как эти действия могут быть смягчены;
  • кто стоит за этими атаками;
  • каковы мотивы атакующих и чего они пытаются добиться;
  • каковы их возможности с точки зрения тактики, техники, процедур, используемых ими ранее и в скором будущем;
  • какие уязвимости, ошибки конфигурации они эксплуатируют;
  • какие действия они предпринимали в прошлом, и т.д.

Хороша реакция вовремя

Лучшая практика противодействия киберугрозам – это сочетание знаний, полученных от Cyber Intelligence, и уже внедренных средств защиты. Но такие знания имеют значения, только если они получены оперативно. Сейчас же о чем-то новом узнают с недопустимыми задержками из аналитических отчетов или какой-то новости, просочившейся в СМИ, и, как всегда, очень многое остается неосвещенным. Приведу пример.

Пример

Было обнаружено, что одна из преступных групп начала проводить целевые атаки на банки. То есть их целью является получение доступа к банковским системам, которые позволят злоумышленникам перевести несколько сотен млн руб. (только за 1 год насчитывается более 36 случаев).


Чтобы остановить злоумышленников до момента получения доступа в сеть банка или уже после того, как они этот доступ получили, банкам необходимо предоставить сведения о том, как эта преступная группа работает, и индикаторы, по которым можно определить действия данной преступной группы во время атаки. К таким индикаторам могут относиться:

  • текст письма, рассылаемого злоумышленниками;
  • адрес отправителя;
  • номера телефонов, с которых они "прозванивают" банки;
  • IP-адреса серверов, на которые их вредоносные программы передают данные;
  • легальные инструменты, которые используются злоумышленниками для изучения внутренней инфраструктуры банка, и т.д.
Для эффективного противодействия киберугрозам необходимо точно знать своего врага и как он действует. Источником такой информации может быть Cyber Intelligence, использование которой поможет службам безопасности получать сведения о самых актуальных угрозах, что улучшит их ситуационную осведомленность, поможет в выработке мер защиты и принятия верных оперативных и стратегических решений.

Если такая информация будет предоставлена через месяц после обнаружения, то, скорее всего, злоумышленники уже успеют значительно закрепиться в сети банка или даже украсть деньги, за которыми они пришли. Если по индикаторам скомпрометированные банки не смогли найти следов работы злоумышленников (бывает и такое), то можно исследовать серверы, используемые злоумышленниками, и дать точные адреса банков и названия компьютеров и серверов, которые уже находятся под контролем этой преступной группы.

Эффективное противодействие киберугрозам

Cyber Intelligence – крайне полезный инструмент для эффективного противодействия киберугрозам, но основной проблемой является именно получение значимой информации. Например, в компаниях вроде Google, Facebook, City Group, HSBC существуют целые подразделения с сотнями людей, которые занимаются изучением киберугроз. Но гиганты, работающие по всему миру, могут позволить себе такое подразделение, а компаниям поменьше это недоступно. Специалистов очень мало, и чтобы они эффективно работали, им нужно предоставить соответствующую инфраструктуру мониторинга, постоянно погружаться в разбор самых разных инцидентов.

Подводя итог

Реагировать на инцидент после того, как он уже произошел, очень дорого как с точки зрения управления последствиями, так и для искоренения атакующего из внутренней инфраструктуры. Для того, чтобы стать проактивным, необходимо останавливать продвижение злоумышленника еще до этапа эксплуатации и получения контроля над системами.


Подводя итог, еще раз подчеркну, что для эффективного противодействия киберугрозам необходимо точно знать своего врага и как он действует. Источником такой информации может быть Cyber Intelligence, использование которой поможет службам безопасности получать сведения о самых актуальных угрозах, что улучшит их ситуационную осведомленность, поможет в выработке мер защиты и принятия верных оперативных и стратегических решений.

Колонка эксперта

Преступления

Петр Ляпин
Начальник службы информационной безопасности, “НИИ Транснефть”

Что такое киберпреступление? С одной стороны, это преступление, имеющее специальный состав, как, например, "неправомерный доступ к компьютерной информации" или "создание, использование и распространение вредоносных компьютерных программ". С другой стороны, это преступление с классическим составом, но совершаемое с помощью ИКТ, как, например, "мошенничество". Сложности, связанные с транснациональностью киберпреступлений, указывают на необходимость унификации составов по возможности во всех странах мира. Нельзя привлекать к ответственности лицо за деяние, которое на территории государства его текущего пребывания преступлением не является, даже если другое заинтересованное государство содержит в своем уголовном законе необходимые составы. Реализация ответственности в таком случае станет возможной лишь при нахождении лица под юрисдикцией соответствующего государства.

Сразу вспоминается история с пребыванием основателя сайта WikiLeaks Джулиана Ассанжа в посольстве Эквадора в Лондоне (где он находится с середины 2012 г.).

Решение задачи унификации уголовного законодательства заключается в разработке и принятии общеобязательного международного акта, содержащего единую терминологию и составы киберпреступлений, которые затем будут включены в национальные уголовные законы.

В 2010 г. по инициативе Генеральнои Ассамблеи ООН (резолюция 65/230) Комиссиеи UNODC была создана межправительственная группа экспертов для всестороннего исследования проблемы киберпреступности, в результате которого были выделены 14 составов киберпреступлений: незаконныи доступ к компьютернои системе; незаконныи доступ, перехват или получение компьютерных данных; незаконное вмешательство в данные или в систему; производство, распространение или хранение средств неправомерного использования компьютеров; нарушение конфиденциальности или мер защиты данных; компьютерное мошенничество или подлог; компьютерные преступления, связанные с использованием личных данных; компьютерные преступления, касающиеся авторских прав и товарных знаков; компьютерные преступления, связанные с причинением личного вреда; компьютерные преступления, связанные с расизмом или ксенофобиеи; использование компьютера с целью производства, распространения или хранения детскои порнографии; использование компьютера для завлечения или "груминга" детеи; использование компьютера для содеиствия террористическим преступлениям.

Следует отметить, что большинство из них нашли свое отражение в УК РФ.

Статьи про теме