Киберразведка в России и мире. Цифры и факты
Алексей Плешков, 04/12/19
В 2019 г. многие отечественные и иностранные организации по-новому взглянули на вопросы обеспечения кибербезопасности. В линейке первостепенных задач комплексное противодействие высокотехнологическим атакам резко повысило свой приоритет и ворвалось в топ-5 наиболее критичных задач для современной цифровой компании или корпорации. В первую очередь это обусловлено тем, что 2/3 компаний в начале 2019 г. честно заявили о том, что их активы (процессы, системы, сервисы), работники, клиенты и/или родственники воочию столкнулись с кибератаками в течение 2018 г.
Поскольку злоумышленники постоянно совершенствуют сценарии проведения атак, изменяют векторы и адаптируют методики под конкретную цель, для многих экспертов по защите информации вопросы выявления угроз, осознания типовых схем, концептуальных основ для реализации преступных действий в отношении потенциальных жертв становятся ключевыми. А принцип "знай своего врага", помимо прямого значения, воспринимается как призыв к действиям по тестированию на себе, в лабораторных условиях, применяемых инструментов и технологий. Вместе с тем в большинстве случаев подход "ловля на живца" позволяет
намного быстрее достичь желаемых результатов и на себе испытать все детали кибератаки.
Если провести логическую грань где-то между двумя описанными выше принципами, то полученное множество методов, организационных и технических инструментов получило название
киберразведка (англ. Cyber Intelligence).
Дефицит компетенций
Направление киберразведки сравнительно новое для отечественного рынка услуг по защите информации и кибербезопасности. 8–10 лет назад единицы в России знали о нем и были готовы этим серьезно заниматься. К сожалению, даже сегодня немногие профильные компании могут похвастаться наличием специалистов, работающих в направлении киберразведки.
Еще меньше могут сказать о том, что имеют реальный опыт или успешные проекты в этой области. Но это не значит, что киберразведка – это что-то технически сложное или требующее огромных ресурсных вложений. Забегая вперед, можно с уверенностью утверждать, что при наличии готового специалиста уровня сильного выпускника вуза по специальности, связанной с защитой информации, а также имея в наличии немного свободного от текущей работы времени и точно сформулировав задачу, внутренние компетенции по киберразведке в команде могут быть быстро накоплены и доведены до базового уровня без существенных материальных затрат. Но нужно быть готовыми к тому, что молодые специалисты, которым поручено заниматься киберразведкой, быстро потеряют интерес к другой, не менее важной для организации, но менее перспективной с их точки зрения работе.
Человеческий фактор и русский авось
Согласно опубликованной в 2018 г. статистике, общие потери от деятельности киберпреступников в мире составили более 1 трлн долларов (и это только те потери, о которых стало официально известно).
94% всех кибератак достигают цели благодаря (а в некоторых формулировках – вопреки) человеческому фактору. То есть они рассчитаны таким образом, чтобы предугадать максимальное количество возможных реакций со стороны потенциальной жертвы и при любой из них достичь выгодного злоумышленникам результата. Это касается как атак с применением технических средств (трояны, вредоносное программное обеспечение, фишинг и др.), так и с применением иных методов и средств, таких как социальная инженерия и ее реализация в различных каналах получения информации.
В 2019 г. только четверть всех атакованных злоумышленниками компаний имели сформулированный, понятный и доведенный до всех заинтересованных лиц план реагирования на киберинциденты. Все остальные компании продолжают считать, что им "это не нужно", "они никому не интересны", "им скрывать/терять нечего", "их и так защитят", и они смогли среагировать постфактум, спустя большой промежуток времени после успешно реализованной киберпреступниками атаки.
В открытом доступе находятся уже более 2 тыс. записей с данными платежных карт Сбербанка:
- ФИО;
- дата рождения держателя;
- паспорт;
- номер карты;
- срок действия карты;
- состояние карты по WAY4;
- состояние договора по WAY4;
- номер счета карты;
- ОСБ;
- филиал;
- лимит;
- адрес работы;
- дата опердня;
- место работы;
- почтовый индекс (р);
- регион (р);
- район (р);
- город (р);
- населенный пункт (р);
- улица (р);
- дом (р);
- строение (р);
- корпус (р);
...
На текущий момент мы обнаружили в совершенно свободном доступе (даже без пароля) 2 499 строк из утекшей базы. Мы, разумеется, не знаем точного количества утекших записей, но уже каждому понятно, что это не 200 карт, про которые официально заявлял Сбербанк и про которые раструбили продажные Telegram-каналы.
Источник: Telegram (07.10.2019 г.), стилистика автора сохранена
Процедура Red Teaming
Киберразведка – это один из тех инструментов и навыков, которые способны превентивно детектировать угрозу, оценить и предсказать
возможные сценарии ее реализации применительно к конкретной организации, заранее устранить имеющиеся уязвимости и своевременно предложить комплексные меры защиты, которые наиболее адекватно будут противодействовать методам атакующего. В связке с инструментами для реализации функции Red Teaming эффект от киберразведки может быть существенно увеличен.
Red Teaming (англ. "действия красной команды") – термин, определяющий набор функций работников службы защиты информации для выявления имеющихся в системе уязвимостей и попытки их скрытой эксплуатации с целью получения доступа к объектам защиты в обход установленных правил.
Методы Red Teaming позволяют эксперту симулировать действия реального злоумышленника и испробовать/применить те же инструменты и методы, которые могут быть использованы при реализации современных кибератак.
Red Teaming представляет собой регулярную, не ограниченную по времени процедуру, позволяющую "прочувствовать на себе" сложность и эффективность применения инструментов из арсенала самых известных хакерских группировок. По своей сути, это комплексные учения, скрытые от всех (в первую очередь от системы мониторинга и выявления инцидентов информационной безопасности), целью которых является получение и актуализация ответов на пять наиболее сложных вопросов из области практической защиты информации:
- Готова ли компания в данный момент к целевым кибератакам?
- Способны ли работники организации, ответственные за обеспечение информационной безопасности, адекватно реагировать на инциденты ИБ в случае их возникновения?
- Правильно ли настроена система мониторинга инцидентов ИБ?
- Возможно ли принципиально что-то (и что именно) поменять в системе защиты информации в организации, чтобы снизить вероятность успешной реализации известных сценариев
кибератак? - Насколько серьезным может быть ущерб для отдельных компонентов и организации в целом в случае проведения атаки со стороны киберпреступников?
В отличие от общеизвестных тестов на проникновение процедуры Red Teaming:
- могут и должны применяться регулярно в рамках общего цикла непрерывного улучшения процессов и систем в организации;
- носят исключительно системный характер, что позволяет достаточно просто измерять и оценивать эффективность для данной функции внутри организации.
Специалисты на вес золота
Для освоения базовых методов киберразведки специалисту с высшим техническим образованием в области защиты информации не потребуется много времени и сил. Знания структуры и особенностей базы данных, современных языков программирования, понимание профессиональной терминологии, математический склад ума, аналитические навыки, умение выделять суть из большого объема проходящей информации и системный подход к решению любой поставленной задачи составляют базис для погружения в особенности киберразведки.
Из этого можно сделать совершенно резонный вывод о том, что вне зависимости от гендера и достигнутых ранее высот киберразведка сможет стать отрывной ступенью для быстрого и успешного развития молодого специалиста в области кибербезопасности.
Тем не менее востребованность у крупнейших корпораций в компетенциях по киберразведке в настоящее время на отечественном и мировом рынке стабильно высокая. Международные компании, специализирующиеся на расследовании киберпреступлений, топ-10 российских банков, аналитические подразделения "большой четверки" консалтинговых компаний, известные ИТ-компании – вот тот небольшой список работодателей, заинтересованных в сотрудничестве с экспертами по Cyber & Threat Intelligence.
"Удаленная биометрическая идентификация: разоблачение обмана" читать >>>
В отличие от российского рынка, компетенции специалистов по киберразведке в крупных международных компаниях востребованы намного больше. В английском банке из топ-5 профильное подразделение киберразведки состоит из не менее чем 100 специалистов и обрабатывает более 1 тыс. запросов и техническо-аналитических отчетов ежедневно. Отчеты собираются из более 50 различных источников по всему миру в универсальном формате STIX и обрабатываются в полуавтоматическом режиме с целью определения потенциальной угрозы для компании. Основными целями работы такого подразделения в компании являются:
- Сбор актуальных индентификаторов компрометации для прикладных и инфраструктурных компонентов системы защиты в организации.
- Фильтрация оперативно-аналитической информации по имеющимся поисковым образам в контексте основного бизнес-процесса.
- Детектирование потенциальных угроз и определение векторов для стратегического управления рисками в организации.
Каждая из этих целей продиктована требованиями конкурентного рынка и плотно интегрирована с бизнес-процессами в организации.
Факты, отчеты и выводы, сделанные по результатам анализа информации, полученной методами киберразведки в английском банке, принимаются во внимание при принятии ключевых решений по цифровизации бизнеса и внедрении на рынок и внутри организации новых высокорискованных продуктов.
Неудивительно, что стоимость одного такого специалиста по киберразведке в английской компании сопоставима со стоимостью менеджера среднего звена в бизнес-подразделении.
Американский онлайн-магазин одежды Shein.com сообщил об утечке клиентской базы в 2018 г. – всего 6,42 млн записей: https://t.me/XXX.
А сейчас стали доступны 29,2 млн логинов и расшифрованных паролей к ним. Это явно говорит о том, что Shein соврали о реальном размере утечки. Мы проверили эти записи, и на 82% пары логин/пароль оказались уникальными и никогда раньше не встречались в утечках.
Кроме того, мы добавили в свою "коллекцию" почти 500 тыс. уникальных пар логин/пароль летом этого года от сервиса CafePress.com, заявившего о компрометации данных 23 млн клиентов. Судя по имеющейся у нас информации, утечка произошла 20 февраля 2019 г. На сегодняшний день расшифровано 11 млн паролей, но только 700 тыс. из них свободно доступны.
Источник: Telegram, стилистика автора сохранена
Профессия будущего
В связи с информатизацией большинства сфер деятельности человека, стремительным ростом числа киберпреступлений во всех сферах деятельности, появлением новых угроз в информационном пространстве (в том числе регулярных вмешательств киберпреступников в интересы национальной безопасности разных стран) компетенции специалистов по киберразведке гарантированно будут востребованы в течение ближайших пяти лет.
Специалист по киберразведке сможет найти себе применение при решении таких задач, как:
- превентивная борьба с киберпреступностью во всех ее проявлениях, включая кибертерроризм и вымогательство;
- разработка превентивных методов борьбы с вредоносным ПО;
- защита частной информации и интеллектуальной собственности;
- обеспечение стабильности работы общественно важных информационных систем;
- предотвращение ситуаций коллапса банковской системы;
- защита и предотвращение внешнего вмешательства в инфраструктуру (в том числе энергосети);
- многие другие сферы.
Наличие компетенций по киберразведке внутри организации позволит решать более сложные задачи, помимо указанных выше, достигая при этом высокого и ранее неизвестного синергетического эффекта. Киберразведка вообще полна сюрпризов…