Лучшие практики противодействия киберугрозам

Незнание деталей приводит к тому, что при разработке стратегии противодействия киберугрозам, оценке рисков и закупках средств защиты часто принимаются неверные решения. Практически полностью отсутствуют данные о том, сколько и каких атак было вчера, какие новые угрозы появились, как злоумышленники действуют в определенных ситуациях. Им невозможно противостоять вслепую. Эту ситуацию можно сравнить с тем, как вести войну без данных о количестве и дислокации врага, используемом им вооружении, источниках подкреплений и т.п. Именно это является одной из основных причин, почему злоумышленники настолько успешны в своих действиях и почему увеличение бюджетов на ИБ не приводит к снижению уровня киберпреступности.

Осознание этой проблемы привело к появлению такого направления у частных компаний, как Cyber Intelligence. В своей статье я буду использовать именно англоязычный термин, поскольку его русский перевод – киберразведка – вызывает у людей ложное ощущение, связанное со взломами и шпионажем. На самом деле это не так. Забегая немного вперед, скажу, что многие вендоры средств защиты подхватили эту тенденцию и начали заявлять о том, что они теперь тоже предоставляют такую услугу, однако на практике все сводится к тому, что вместо Cyber Intelligence вам дают черные списки IP-адресов, доменных имен, хеши файлов. Такое "нововведение" не имеет никакого отношения к реальной Cyber Intelligence. Как и в обычной разведке, выясняющей, какие у атакующего возможности, намерения и текущие действия, Cyber Intelligence добывает сведения о том:

• какие атаки уже произошли или могут произойти;
• как действия атакующего могут быть распознаны и обнаружены;
• как эти действия могут быть смягчены;
• кто стоит за этими атаками;
• каковы мотивы атакующих и чего они пытаются добиться;
• каковы их возможности с точки зрения тактики, техники, процедур, используемых ими ранее и в скором будущем;
• какие уязвимости, ошибки конфигурации они эксплуатируют;
• какие действия они предпринимали в прошлом, и т.д.

Хороша реакция вовремя

Лучшая практика противодействия киберугрозам – это сочетание знаний, полученных от Cyber Intelligence, и уже внедренных средств защиты. Но такие знания имеют значения, только если они получены оперативно. Сейчас же о чем-то новом узнают с недопустимыми задержками из аналитических отчетов или какой-то новости, просочившейся в СМИ, и, как всегда, очень многое остается неосвещенным. Приведу пример.

Пример

Было обнаружено, что одна из преступных групп начала проводить целевые атаки на банки. То есть их целью является получение доступа к банковским системам, которые позволят злоумышленникам перевести несколько сотен млн руб. (только за 1 год насчитывается более 36 случаев).

Чтобы остановить злоумышленников до момента получения доступа в сеть банка или уже после того, как они этот доступ получили, банкам необходимо предоставить сведения о том, как эта преступная группа работает, и индикаторы, по которым можно определить действия данной преступной группы во время атаки. К таким индикаторам могут относиться:

• текст письма, рассылаемого злоумышленниками;
• адрес отправителя;
• номера телефонов, с которых они "прозванивают" банки;
• IP-адреса серверов, на которые их вредоносные программы передают данные;
• легальные инструменты, которые используются злоумышленниками для изучения внутренней инфраструктуры банка, и т.д.

Если такая информация будет предоставлена через месяц после обнаружения, то, скорее всего, злоумышленники уже успеют значительно закрепиться в сети банка или даже украсть деньги, за которыми они пришли. Если по индикаторам скомпрометированные банки не смогли найти следов работы злоумышленников (бывает и такое), то можно исследовать серверы, используемые злоумышленниками, и дать точные адреса банков и названия компьютеров и серверов, которые уже находятся под контролем этой преступной группы.

Эффективное противодействие киберугрозам

Cyber Intelligence – крайне полезный инструмент для эффективного противодействия киберугрозам, но основной проблемой является именно получение значимой информации. Например, в компаниях вроде Google, Facebook, City Group, HSBC существуют целые подразделения с сотнями людей, которые занимаются изучением киберугроз. Но гиганты, работающие по всему миру, могут позволить себе такое подразделение, а компаниям поменьше это недоступно. Специалистов очень мало, и чтобы они эффективно работали, им нужно предоставить соответствующую инфраструктуру мониторинга, постоянно погружаться в разбор самых разных инцидентов.

Подводя итог

Реагировать на инцидент после того, как он уже произошел, очень дорого как с точки зрения управления последствиями, так и для искоренения атакующего из внутренней инфраструктуры. Для того, чтобы стать проактивным, необходимо останавливать продвижение злоумышленника еще до этапа эксплуатации и получения контроля над системами.

Подводя итог, еще раз подчеркну, что для эффективного противодействия киберугрозам необходимо точно знать своего врага и как он действует. Источником такой информации может быть Cyber Intelligence, использование которой поможет службам безопасности получать сведения о самых актуальных угрозах, что улучшит их ситуационную осведомленность, поможет в выработке мер защиты и принятия верных оперативных и стратегических решений.

Колонка эксперта

Преступления

Петр Ляпин

Начальник службы информационной безопасности, “НИИ Транснефть”

Что такое киберпреступление? С одной стороны, это преступление, имеющее специальный состав, как, например, "неправомерный доступ к компьютерной информации" или "создание, использование и распространение вредоносных компьютерных программ". С другой стороны, это преступление с классическим составом, но совершаемое с помощью ИКТ, как, например, "мошенничество". Сложности, связанные с транснациональностью киберпреступлений, указывают на необходимость унификации составов по возможности во всех странах мира. Нельзя привлекать к ответственности лицо за деяние, которое на территории государства его текущего пребывания преступлением не является, даже если другое заинтересованное государство содержит в своем уголовном законе необходимые составы. Реализация ответственности в таком случае станет возможной лишь при нахождении лица под юрисдикцией соответствующего государства.

Сразу вспоминается история с пребыванием основателя сайта WikiLeaks Джулиана Ассанжа в посольстве Эквадора в Лондоне (где он находится с середины 2012 г.).

Решение задачи унификации уголовного законодательства заключается в разработке и принятии общеобязательного международного акта, содержащего единую терминологию и составы киберпреступлений, которые затем будут включены в национальные уголовные законы.

В 2010 г. по инициативе Генеральнои Ассамблеи ООН (резолюция 65/230) Комиссиеи UNODC была создана межправительственная группа экспертов для всестороннего исследования проблемы киберпреступности, в результате которого были выделены 14 составов киберпреступлений: незаконныи доступ к компьютернои системе; незаконныи доступ, перехват или получение компьютерных данных; незаконное вмешательство в данные или в систему; производство, распространение или хранение средств неправомерного использования компьютеров; нарушение конфиденциальности или мер защиты данных; компьютерное мошенничество или подлог; компьютерные преступления, связанные с использованием личных данных; компьютерные преступления, касающиеся авторских прав и товарных знаков; компьютерные преступления, связанные с причинением личного вреда; компьютерные преступления, связанные с расизмом или ксенофобиеи; использование компьютера с целью производства, распространения или хранения детскои порнографии; использование компьютера для завлечения или "груминга" детеи; использование компьютера для содеиствия террористическим преступлениям.

Следует отметить, что большинство из них нашли свое отражение в УК РФ.