Киберразведка в России и мире. Цифры и факты

В 2019 г. многие отечественные и иностранные организации по-новому взглянули на вопросы обеспечения кибербезопасности. В линейке первостепенных задач комплексное противодействие высокотехнологическим атакам резко повысило свой приоритет и ворвалось в топ-5 наиболее критичных задач для современной цифровой компании или корпорации. В первую очередь это обусловлено тем, что 2/3 компаний в начале 2019 г. честно заявили о том, что их активы (процессы, системы, сервисы), работники, клиенты и/или родственники воочию столкнулись с кибератаками в течение 2018 г.

Поскольку злоумышленники постоянно совершенствуют сценарии проведения атак, изменяют векторы и адаптируют методики под конкретную цель, для многих экспертов по защите информации вопросы выявления угроз, осознания типовых схем, концептуальных основ для реализации преступных действий в отношении потенциальных жертв становятся ключевыми. А принцип "знай своего врага", помимо прямого значения, воспринимается как призыв к действиям по тестированию на себе, в лабораторных условиях, применяемых инструментов и технологий. Вместе с тем в большинстве случаев подход "ловля на живца" позволяет
намного быстрее достичь желаемых результатов и на себе испытать все детали кибератаки.

Если провести логическую грань где-то между двумя описанными выше принципами, то полученное множество методов, организационных и технических инструментов получило название
киберразведка (англ. Cyber Intelligence).

Дефицит компетенций

Направление киберразведки сравнительно новое для отечественного рынка услуг по защите информации и кибербезопасности. 8–10 лет назад единицы в России знали о нем и были готовы этим серьезно заниматься. К сожалению, даже сегодня немногие профильные компании могут похвастаться наличием специалистов, работающих в направлении киберразведки.

Еще меньше могут сказать о том, что имеют реальный опыт или успешные проекты в этой области. Но это не значит, что киберразведка – это что-то технически сложное или требующее огромных ресурсных вложений. Забегая вперед, можно с уверенностью утверждать, что при наличии готового специалиста уровня сильного выпускника вуза по специальности, связанной с защитой информации, а также имея в наличии немного свободного от текущей работы времени и точно сформулировав задачу, внутренние компетенции по киберразведке в команде могут быть быстро накоплены и доведены до базового уровня без существенных материальных затрат. Но нужно быть готовыми к тому, что молодые специалисты, которым поручено заниматься киберразведкой, быстро потеряют интерес к другой, не менее важной для организации, но менее перспективной с их точки зрения работе.

Человеческий фактор и русский авось

Согласно опубликованной в 2018 г. статистике, общие потери от деятельности киберпреступников в мире составили более 1 трлн долларов (и это только те потери, о которых стало официально известно).

94% всех кибератак достигают цели благодаря (а в некоторых формулировках – вопреки) человеческому фактору. То есть они рассчитаны таким образом, чтобы предугадать максимальное количество возможных реакций со стороны потенциальной жертвы и при любой из них достичь выгодного злоумышленникам результата. Это касается как атак с применением технических средств (трояны, вредоносное программное обеспечение, фишинг и др.), так и с применением иных методов и средств, таких как социальная инженерия и ее реализация в различных каналах получения информации.

В 2019 г. только четверть всех атакованных злоумышленниками компаний имели сформулированный, понятный и доведенный до всех заинтересованных лиц план реагирования на киберинциденты. Все остальные компании продолжают считать, что им "это не нужно", "они никому не интересны", "им скрывать/терять нечего", "их и так защитят", и они смогли среагировать постфактум, спустя большой промежуток времени после успешно реализованной киберпреступниками атаки.

В открытом доступе находятся уже более 2 тыс. записей с данными платежных карт Сбербанка:

• ФИО;
  
• дата рождения держателя;
  
• паспорт;
  
• номер карты;
  
• срок действия карты;
  
• состояние карты по WAY4;
  
• состояние договора по WAY4;
  
• номер счета карты;
  
• ОСБ;
  
• филиал;
  
• лимит;
  
• адрес работы;
  
• дата опердня;
  
• место работы;
  
• почтовый индекс (р);
  
• регион (р);
  
• район (р);
  
• город (р);
  
• населенный пункт (р);
  
• улица (р);
  
• дом (р);
  
• строение (р);
  
• корпус (р);
  ...
  

На текущий момент мы обнаружили в совершенно свободном доступе (даже без пароля) 2 499 строк из утекшей базы. Мы, разумеется, не знаем точного количества утекших записей, но уже каждому понятно, что это не 200 карт, про которые официально заявлял Сбербанк и про которые раструбили продажные Telegram-каналы.
Источник: Telegram (07.10.2019 г.), стилистика автора сохранена

Процедура Red Teaming

Киберразведка – это один из тех инструментов и навыков, которые способны превентивно детектировать угрозу, оценить и предсказать
возможные сценарии ее реализации применительно к конкретной организации, заранее устранить имеющиеся уязвимости и своевременно предложить комплексные меры защиты, которые наиболее адекватно будут противодействовать методам атакующего. В связке с инструментами для реализации функции Red Teaming эффект от киберразведки может быть существенно увеличен.

Red Teaming (англ. "действия красной команды") – термин, определяющий набор функций работников службы защиты информации для выявления имеющихся в системе уязвимостей и попытки их скрытой эксплуатации с целью получения доступа к объектам защиты в обход установленных правил.

Методы Red Teaming позволяют эксперту симулировать действия реального злоумышленника и испробовать/применить те же инструменты и методы, которые могут быть использованы при реализации современных кибератак.

Red Teaming представляет собой регулярную, не ограниченную по времени процедуру, позволяющую "прочувствовать на себе" сложность и эффективность применения инструментов из арсенала самых известных хакерских группировок. По своей сути, это комплексные учения, скрытые от всех (в первую очередь от системы мониторинга и выявления инцидентов информационной безопасности), целью которых является получение и актуализация ответов на пять наиболее сложных вопросов из области практической защиты информации:

1. Готова ли компания в данный момент к целевым кибератакам?
   
2. Способны ли работники организации, ответственные за обеспечение информационной безопасности, адекватно реагировать на инциденты ИБ в случае их возникновения?
   
3. Правильно ли настроена система мониторинга инцидентов ИБ?
   
4. Возможно ли принципиально что-то (и что именно) поменять в системе защиты информации в организации, чтобы снизить вероятность успешной реализации известных сценариев
   кибератак?
   
5. Насколько серьезным может быть ущерб для отдельных компонентов и организации в целом в случае проведения атаки со стороны киберпреступников?
   

В отличие от общеизвестных тестов на проникновение процедуры Red Teaming:

• могут и должны применяться регулярно в рамках общего цикла непрерывного улучшения процессов и систем в организации;
  
• носят исключительно системный характер, что позволяет достаточно просто измерять и оценивать эффективность для данной функции внутри организации.

Специалисты на вес золота

Для освоения базовых методов киберразведки специалисту с высшим техническим образованием в области защиты информации не потребуется много времени и сил. Знания структуры и особенностей базы данных, современных языков программирования, понимание профессиональной терминологии, математический склад ума, аналитические навыки, умение выделять суть из большого объема проходящей информации и системный подход к решению любой поставленной задачи составляют базис для погружения в особенности киберразведки.

Из этого можно сделать совершенно резонный вывод о том, что вне зависимости от гендера и достигнутых ранее высот киберразведка сможет стать отрывной ступенью для быстрого и успешного развития молодого специалиста в области кибербезопасности.

Тем не менее востребованность у крупнейших корпораций в компетенциях по киберразведке в настоящее время на отечественном и мировом рынке стабильно высокая. Международные компании, специализирующиеся на расследовании киберпреступлений, топ-10 российских банков, аналитические подразделения "большой четверки" консалтинговых компаний, известные ИТ-компании – вот тот небольшой список работодателей, заинтересованных в сотрудничестве с экспертами по Cyber & Threat Intelligence.

"Удаленная биометрическая идентификация: разоблачение обмана" читать >>>

В отличие от российского рынка, компетенции специалистов по киберразведке в крупных международных компаниях востребованы намного больше. В английском банке из топ-5 профильное подразделение киберразведки состоит из не менее чем 100 специалистов и обрабатывает более 1 тыс. запросов и техническо-аналитических отчетов ежедневно. Отчеты собираются из более 50 различных источников по всему миру в универсальном формате STIX и обрабатываются в полуавтоматическом режиме с целью определения потенциальной угрозы для компании. Основными целями работы такого подразделения в компании являются:

1. Сбор актуальных индентификаторов компрометации для прикладных и инфраструктурных компонентов системы защиты в организации.
   
2. Фильтрация оперативно-аналитической информации по имеющимся поисковым образам в контексте основного бизнес-процесса.
   
3. Детектирование потенциальных угроз и определение векторов для стратегического управления рисками в организации.
   

Каждая из этих целей продиктована требованиями конкурентного рынка и плотно интегрирована с бизнес-процессами в организации.
Факты, отчеты и выводы, сделанные по результатам анализа информации, полученной методами киберразведки в английском банке, принимаются во внимание при принятии ключевых решений по цифровизации бизнеса и внедрении на рынок и внутри организации новых высокорискованных продуктов.

Неудивительно, что стоимость одного такого специалиста по киберразведке в английской компании сопоставима со стоимостью менеджера среднего звена в бизнес-подразделении.

Американский онлайн-магазин одежды Shein.com сообщил об утечке клиентской базы в 2018 г. – всего 6,42 млн записей: https://t.me/XXX.

А сейчас стали доступны 29,2 млн логинов и расшифрованных паролей к ним. Это явно говорит о том, что Shein соврали о реальном размере утечки. Мы проверили эти записи, и на 82% пары логин/пароль оказались уникальными и никогда раньше не встречались в утечках.

Кроме того, мы добавили в свою "коллекцию" почти 500 тыс. уникальных пар логин/пароль летом этого года от сервиса CafePress.com, заявившего о компрометации данных 23 млн клиентов. Судя по имеющейся у нас информации, утечка произошла 20 февраля 2019 г. На сегодняшний день расшифровано 11 млн паролей, но только 700 тыс. из них свободно доступны.
Источник: Telegram, стилистика автора сохранена

Профессия будущего

В связи с информатизацией большинства сфер деятельности человека, стремительным ростом числа киберпреступлений во всех сферах деятельности, появлением новых угроз в информационном пространстве (в том числе регулярных вмешательств киберпреступников в интересы национальной безопасности разных стран) компетенции специалистов по киберразведке гарантированно будут востребованы в течение ближайших пяти лет.

Специалист по киберразведке сможет найти себе применение при решении таких задач, как:

• превентивная борьба с киберпреступностью во всех ее проявлениях, включая кибертерроризм и вымогательство;
  
• разработка превентивных методов борьбы с вредоносным ПО;
  
• защита частной информации и интеллектуальной собственности;
  
• обеспечение стабильности работы общественно важных информационных систем;
  
• предотвращение ситуаций коллапса банковской системы;
  
• защита и предотвращение внешнего вмешательства в инфраструктуру (в том числе энергосети);
  
• многие другие сферы.
  

Наличие компетенций по киберразведке внутри организации позволит решать более сложные задачи, помимо указанных выше, достигая при этом высокого и ранее неизвестного синергетического эффекта. Киберразведка вообще полна сюрпризов…

Опубликовано в журнале "Системы безопасности" №5/2019