Киберпреступники существенно усилили свою активность в период пандемии. По экспертным оценкам, весной 2020 г. количество киберпреступлений выросло приблизительно на 20-25%, по сравнению с аналогичным периодом предыдущего года. А нынешняя весна еще добавила активности киберпреступникам, организующим мощные DDoS-атаки и целевые APT-атаки против российских веб-ресурсов и значимых предприятий. Российские компании учатся в реальном масштабе времени искусству борьбы с угрозами в новых условиях. Глобальным актуальным трендам в области информационной безопасности посвятила недавнее исследование исследовательская компания Gartner. Там, в частности, содержится прогноз о том, что 60% организаций в мире к 2025 г. примут концепцию нулевого доверия (zero trust) в качестве отправной точки для обеспечения своей безопасности. Причем, как отмечается в отчете об исследовании, более половины этих организаций не смогут реализовать преимущества, ожидаемые от внедрения zero trust.

Дело в том, поясняют специалисты Gartner, что концепция zero trust – это не просто новый инструмент безопасности, а, скорее, всеобъемлющий набор принципов, касающихся кибербезопасности и обеспечения доступа к информационным системам. Так что в данном случае речь идет не столько о внедрении продуктов ИБ, сколько о новой культуре прозрачных коммуникаций.

Кроме того, аналитики Gartner прогнозируют, что к 2025 г. киберпреступники будут активно и главное – успешно использовать технологические среды для нанесения ущерба организациям и людям. Речь идет уже не только о захвате контроля над данными, а об атаках, которые имеют целью захват контроля над целыми инфраструктурами. Образно говоря, речь идет о широком тиражировании атаки на американскую трубопроводную систему Colonial Pipeline, которая остановила работу всех трубопроводов этой нефтяной инфраструктуры и заставила президента США объявить чрезвычайное положение, на другие предприятия в разных секторах экономики.

Новые тренды угроз ИБ

К вышеуказанным общемировым трендам сегодня добавляются новые риски, связанные с нынешней «горячей» геополитической ситуацией. Так, компания StormWall зафиксировала радикальным усилением в конце 2021- начале 2022 г. DDoS-атак – временами их сила достигала 1,2 Тбит/с.

Если раньше поток запросов на уровне 200 – 300 тыс. в секунду считался практически невероятным, то этой весной потоки запросов превысили миллион запросов в секунду,- рассказал Игорь Ляпунов, вице-президент по информационной безопасности компании «Ростелеком» на конференции TAdviser SummIT в конце мая.- И под дымовой завесой DDoS-атак шли целевые атаки.

Затем ботнеты эволюционировали с последующим распределением по регионам в зависимости от того, где находятся цели, намеченные злоумышленниками. Несмотря на то, что мощность атак при этом снизилась, их эффективность в целом повысилась, отмечают в компании StormWall, поскольку мощность точек фильтрации, имеющихся у большинства провайдеров услуг Anti-DDoS в разных регионах, оказывается недостаточной для отражения нынешних мощных узконаправленных атак.

Игорь Ляпунов отмечает также, что серьезно поменялся вектор атак. Уже в самом начале СВО в Darknet появился бесплатный инструментарий организации атак и все утекшие базы российских учетных записей.

Незащищенные корпоративные базы данных – это существенная характеристика нынешнего положения вещей в области ИБ. В период между I кв. 2021 г. и I кв. 2022 г. специалисты компании Group-IB повели глобальное исследование и выяснили, что к концу 2021 г. количество общедоступных баз данных в мире составляло 308 тыс., а в I кв. нынешнего года их количество достигло 399200.

Источник: «Ростелеком», 31 мая 2022 г.

Игорь Ляпунов отмечает также новые угрозы, связанные с ПО open source: в конце февраля – первой декаде марта в репозитории СПО оказалось залито больше 30 «закладок». Денис Батранков, руководитель направления сетевой безопасности компании Positive Technologies в своей статье на сайте НКЦКИ приводит примеры такого рода:

Например, бухгалтерская программа M.E.Doc внезапно разослала всем своим пользователям вредоносный код Petya, а программа мониторинга SolarWinds внезапно предоставила удаленный доступ к сетям 300000 компаний неизвестным хакерам. Все случилось после взлома серверов поставщиков программного обеспечения, куда злоумышленники внедрили нужный им функционал.

Это большой вызов для всей отечественной ИТ-отрасли: свободное ПО, которое сегодня очень популярно, нельзя сделать доверенным. К тому же выявились пробелы в знаниях ИТ- и ИБ-специалистов компаний собственной инфраструктуры: технологическое развитие опережает способности сотрудников удерживать в голове все необходимые знания.

Технологии ИБ сегодняшнего и завтрашнего дня

Все эти изменения требуют, по мнению Игоря Ляпунова, изменений сложившихся подходов к управлению корпоративной информационной безопасностью:

Изменилась сама парадигма архитектуры безопасности: вместо модели надежно защищенной крепости (с толстыми стенами периметра, через которые трудно перебраться) – эшелонированная защита, оперативное выявление атаки и быстрое реагирование еще до того, как нарушитель смог нанести какой-либо значимый ущерб.

Если добавить к этой картине мира потребности импортозамещения в сфере ИБ, то становится понятно, почему у специалистов нет сомнений в том, что российский рынок средств ИБ будет активно расти в ближайшие годы. Их точки зрения расходятся только в оценке конкретных темпов роста: от 7% в год с 2021 г. и до 2025 г. (J’son & Partners Consulting), 8% в 2021 г. («Информзащита»), 10–15% в 2021 г. (Positive Technologies), 25–30% (R-Vision).

Объем российского рынка информационной безопасности по итогам 2021 г. достиг уровня 98,6 млрд. руб., посчитали в компании «Ростелеком-Солар» (8% роста по сравнению с предыдущим годом). Согласно данным исследования, проведенного этой компанией, главным драйвером ИБ-рынка РФ остается госсектор: этот сегмент будет в ближайшие годы расти со средней скоростью 13% и достигнет к 2025 г. он достигнет 43,8 млрд. руб. при общем объеме ИБ-рынка на уровне 131,8 млрд. руб.

Новым условиям соответствуют новые инструменты корпоративной информационной безопасности. Причем, как настоящее, так и будущее сферы информационной безопасности связано с интеллектуальными ИТ-решениями. Так, на мировом рынке, по данным исследований Capgemini Research Institut за 2019 г., большинство организаций использует технологии ИИ для детектирования киберугроз, и почти половина респондентов заявили тогда, что их бюджеты на ИИ в сфере кибербезопасности увеличатся в 2020 г. в среднем на 29%

Средства защиты следуют здесь за злоумышленниками, которые используют механизмы искусственного интеллекта (ИИ) для формирования новых способов высокоэффективных атак.

Противодействие таким атакам требует применения сложных аналитических решений, говорит Руслан Косарим, заместитель технического директора по развитию бизнеса группы компаний Angara, и уже сегодня можно видеть, как классические решения модернизируются с помощью ИИ, достигая более эффективной защиты. Так произошло со средствами сетевой защиты и решениями для защиты конечных точек. ИИ помогает находить аномалии в данных, процессах, поведении пользователей. Именно свойство быстро анализировать большие потоки разнородных событий и находить в них аномальные подозрительные сочетания помогает решать широкий круг задач ИБ сегодня. А роль таких инструментов в складывающейся сегодня ситуации с угрозами ИБ вообще трудно переоценить.

Выявление теневых цифровых активов

Неуклонный рост цифровизации бизнес-процессов и операций приводят к постоянному росту цифровых активов. При этом часть из них оказывается в «тени»: к ним возможен доступ извне, но сама организация их не контролирует и не защищает.

Появление неконтролируемых ИТ-ресурсов подвергает организации серьезному риску,- говорит Тим Бобак, руководитель отдела Attack Surface Management компании Group-IB.- По нашим данным, более 50% инцидентов, расследованных Лабораторией цифровой криминалистики Group-IB в 2021 г., произошли в результате эксплуатации уязвимостей периметра и могли быть предотвращены. Для этого необходимы надежные инструменты для мониторинга и комплексной инвентаризации имеющихся цифровых активов.

Для защиты ресурсов компании, размещенных за пределами периметра, можно использовать класс продуктов для управления внешней поверхностью атаки (External Attack Surface Management, EASM). Они обеспечивают мониторинг всех доступных извне цифровых активов организации, выявляют, позволяют отслеживать эффективность принимаемых мер.

Решение Group-IB класса EASM с помощью данных киберразведки Threat Intelligence обеспечивает полный мониторинг всех доступных извне цифровых активов организации, выявляет уязвимости, приоритизирует критические риски. Для поддержки решения подразделение Group-IB Attack Surface Management ежедневно сканирует пространство интернет-адресов IPv4 и выявляет не только актуальные киберугрозы — вредоносное ПО, фишинговые панели, но и незащищенные корпоративные цифровые активы. К ним могут относиться забытые облачные сервисы с уязвимым программным обеспечением, некорректно сконфигурированные базы данных, случайно ставшие доступными из сети, или самостоятельно развернутые веб-сервера — все, что может привести к несанкционированному доступу к инфраструктуре компании.

Этот продукт позволяет на одном дашборде видеть все риски кибербезопасности компании в режиме реального времени: от утечек данных до открытого порта RDP, что существенно сокращает время и ресурсы ИТ-службы и команды безопасности, освобождая их для более приоритетных проектов.

Новое поколение «горшочков с медом»

Одно из направлений риска ИБ связано с ростом крупных проектов интернета вещей, вплоть до решений умного города: уровень цифровизации и интеллекта систем такого рода зачастую повышается в ущерб защищенности. Действительно, умные устройства без специальных мер защиты становятся легкими жертвами киберпреступников. По этой причине глобальный рынок ИБ для интернета вещей специалисты относят к числу самых быстрорастущих сегментов умных предприятий. По оценкам исследователей Markets&Markets, темпы его роста составляют около 24%.

Deception (создание ложных целей, расстановка ловушек) — это действенная технология корпоративной информационной безопасности. Организации используют ее для обнаружения злоумышленников и предотвращения атак на ранних этапах,- рассказывает Сергей Бортников, менеджер по продаже технологических решений Softline, в своей статье на ресурсе.

Решения класса Deception позволяют создать ловушки в инфраструктуре компании, чтобы обезвредить злоумышленника и понять его цели и мотивы.

Deception – это прямой потомок «горшочка с медом» (HoneyPot), который выполняет роль приманки, отвлекающей злоумышленника от его активности в атакованной сети. Если HoneyPot – это самостоятельное решение, которое фиксирует действия злоумышленника, то Deception (или Distributed Deception Platform, DDP) — это централизованная система, включающая множество связанных между собой «горшочков». Как поясняет Сергей Бортников, технология Deception автоматически изменяет среду, не оставляя ее статичной, как в случае HoneyPot.

Следовательно, хакеры проводят тщательную разведку и адаптируют свой инструментарий под специфику инфраструктуры жертвы. Для того чтобы успешно выявлять такие угрозы, приманки должны точно имитировать реальные рабочие станции сотрудников и провоцировать атакующих выдать себя,- рассказывает Сергей Бортников.

Поэтому при внедрении DDP ИТ-инфраструктура организации разделяется на две части. Первая — это настоящая сеть компании, вторая — имитированная среда, состоящая из ловушек. Причем, эти ловушки располагаются на реальной рабочей инфраструктуре: ложные записи о подключении к сетевым дискам, учетные данные и другие сущности. Смысл конструкции заключается в том, что если злоумышленник попал в реальную инфраструктуру организации, добрался до рабочей станции или сервера, то он наткнется на приманки и ловушки, будет обнаружен, и с ним начнется работа.

По словам Сергея Бортникова, системы DDP демонстрируют низкий уровень ложных срабатываний, поэтому им «показана» интеграция с другими средствами защиты информации: SIEM (оперативное оповещение о взломанных машинах в SIEM, автоматический поиск зараженных систем с помощью настроенных политик), межсетевые экраны (возможность отправки запросов на блокировку или карантин зараженных АРМ), EDR (блокировка и отправка на карантин зараженных станций, автоматическое реагирование на инциденты с помощью политик изоляции), песочницами (отправка подозрительных исполняемых файлов на анализ в C песочницами Sandbox).

Интересно, что платформа DDP может внедряться не только в ИТ-инфраструктуру, но и, например, сети АСУ ТП промышленных предприятий.

В реестре отечественного ПО присутствует платформа Xello Deception, разработанная компанией Xello.

В компании говорят, что платформа Xello Deception ускоряет реагирование на инциденты с помощью автоматического анализа атак, технологии скрытой приманки Dexem и обработки инцидентов. В числе ее особенностей следует упомянуть:

• Непрерывный сбор форензики, что обогащает данными SOC и сокращает время разбора инцидента.
• Подбор сценариев атаки. Анализируется тактика атакующего, и он вводится в заблуждение, для чего используется машинное обучение.
• Повышение защищенности VDI с помощью технологии распределенного обмана.

Xello Deception является безагентским решением, которое создает приманки на виртуальных хостах и с помощью собственной технологии распределяет их по сети предприятия. Приманками могут являться различные сохраненные пароли и сессии, ключи, ложные конфигурационные файлы, базы данных и другие. Их задачей является эмуляция реальных информационных активов с целью обнаружения присутствия злоумышленника внутри периметра компании. Это позволяет повысить защищенность VDI среды и способствует снижению рисков несанкционированного доступа к инфраструктуре компании. Количество приманок и способы их распространения постоянно увеличивается.

Поведенческий анализ

Системы анализа поведения пользователей и ИТ-сущностей (конечных станций, серверов, коммутаторов и т. д.) – User and Entity Behavioral Analytics (UEBA) – предназначены для сбора массивов данных о пользователях и ИТ-сущностях с помощью с целью последующего анализа для определения внутренних угроз и атак. Формально UEBA и UBA относятся к одному классу систем, но при этом имеют одно фундаментальное отличие, рассказывает Алексей Матвеев, обозреватель ресурса Anti-Malware.ru: UBA-системы берут за основу информацию, связанную только с пользовательской активностью и, соответственно, фокусируются на пользователях и их ролях. UEBA-системы информацию о пользователях и ролях обогащают информацией о системном окружении — хостах, приложениях, сетевом трафике и системах хранения данных.

Это позволяет UEBA-системам строить профили не только пользователей, но и всего ИТ-окружения. Благодаря этому UEBA-системы, в отличие от UBA, способны идентифицировать более широкий класс угроз, связанных не только с пользователями, но и с объектами ИТ-инфраструктуры,- отмечает Алексей Матвеев.

Решения UEBA используют машинное обучение, алгоритмы и статистический анализ, чтобы понять, когда происходит отклонение от установленных правил. Они автоматически определяют, какие из этих аномалий могут привести к потенциальной или реальной угрозе. Проактивный подход к безопасности на базе растущих объемов информации о поведении пользователей подразумевает, что, опираясь на массив собранных данных, UEBA-система строит модель нормального поведения пользователя и его взаимодействия с корпоративными системами, как с помощью статистических алгоритмов, так и с помощью алгоритмов машинного обучения, и выявляет отклонения каждого пользователя или их групп от общей модели.

Кроме того, система UEBA ведет ретроспективную статистику по каждому пользователю и на основе собранных данных по его аномальной активности умеет выставлять оценки риска каждому из них. Системы UEBA решают несколько основных блоков задач:

• Прикладная аналитика больших данных из различных источников: на основе методов математической статистики или с использованием машинного обучения.
• Быстрая идентификация атак и других нарушений, большинство из которых не определяются классическими средствами ИБ.
• Консолидация данных из разных источников (SIEM, DLP, AD и т. д.), выстраивание потоков событий и назначение им приоритетов. UEBA могут агрегировать данные, содержащиеся в отчетах и журналах, а также анализировать информацию о файлах, потоках и пакетах данных.
• Оперативное реагирование на события с высокой результативностью за счет того, что администраторы ИБ получают расширенную информацию об инциденте, включающую все объекты, вовлеченные в аномальную активность.

Таким образом, ядро любой UEBA-системы включает технологии аналитики больших данных, которые могут быть доступны «из коробки», либо подключаться в виде отдельных решений, например, Elastic Stack.

Системы поведенческого анализа сотрудников User Behavior Analitycs (UBA) относительно недавно появились на рынке. Однако весьма активно развиваются по различным направлениям, Вячеслав Божьев, бизнес-аналитик InfoWatch. Например, одни системы включают дополнительный функционал для построения психологического портрета сотрудника. Другие усиливают блок оценки уровней риска в зависимости от сработавших политик безопасности. Еще один подход базируется на динамическом анализе поведения сотрудников для прогнозирования рисков.

Система UBA, построенная с использованием данного подхода, позволяет вывести события из «серой» зоны, что многократно повышает эффективность работы с данными DLP-системы, отмечает Вячеслав Божьев.

Иногда возникает вопрос о сходстве двух классов систем: UEBA и SIEM (Security Information and Event Management). Действительно, SIEM – это тоже набор продвинутых инструментов и технологий, которые дают всестороннее представление о безопасности ИТ-системы. SIEM-системы также собирает данные и информацию о событиях, обеспечивая возможность видеть закономерности и тенденции, которые являются нормальными. Они также могут предупреждать об аномальных трендах и событиях.

Система UEBA делают то же самое применительно к поведению пользователя и ИТ-сущности, определяя, что является нормальной практикой, а что выходит за рамки нормы.

При этом SIEM-система базируется на политиках безопасности, предназначенных для немедленного обнаружения угроз, происходящих в режиме реального времени, так что продвинутые хакеры могут достаточно легко обойти их. Но продвинутые APT-атаки обычно занимают недели и месяцы, и для них лучше подходят системы UEBA, которые не полагаются на какие-либо правила, используя методы оценки рисков и умные алгоритмы, позволяющие обнаруживать аномалии с течением времени. Поэтому, советуют эксперты, наилучший вариант – комплексное использование SIEM и UEBA для максимального повышения уровня безопасности.

ИИ бдит: мониторинг работы персонала

Данные исследовательской компании IDC говорят, что компании, которые не занимаются анализом эффективности своих процессов, теряют 20 – 30% дохода, хотя этих потерь вполне можно избежать. Фактически речь идет об исполнительской дисциплине и результативности сотрудника. Кроме того, такие системы выполняют функции защиты компании от действий сотрудника, которые могут нанести вред ее бизнесу. Вторая ипостась систем наблюдения за сотрудниками – контроль их поведения на предмет мошенничества и неправомерных действий – и ранее интересовала банки в свете «эпидемии» мошенничеств с применением социальной инженерии. А в условиях тотального перехода на дистанционную работу эти вопросы переместились в разряд «горячих» тем.

Так, наблюдением за работой удаленных сотрудников занимается система StaffCop Enterprise новосибирской компании «Атом Безопасность». Акцент сделан на всестороннем мониторинге удаленного персонального компьютера. Проще говоря, после установки на него соответствующего приложения системный администратор получает полный контроль над действиями пользователя в корпоративной сети: он не только может видеть список программ, которые запускаются пользователем, но и изучать, какие окна открыты у сотрудника, и даже блокировать определенные ресурсы. Встроенный модуль распознавания лиц поможет администратору убедиться, что за компьютером работает тот самый сотрудник компании.

Поскольку каждое совершаемое пользователем действие регистрируется в системном журнале, возможно построение полной картины бизнес-процессов либо для целей их контроля и оптимизации, либо для восстановления картины нарушения правил ИБ, если таковое имело место.

Контроль неправомерных действий пользователя за компьютером, реализованный в ПО StaffCop, включает регистрацию действий пользователей, которые потенциально могут нести риск: подключение USB-устройств, флеш-накопителей, принтеров, факты печати на принтере и перехват содержимого буфера обмена, мониторинг конфигурируемых лог-файлов и перехват нажатий клавиш на клавиатуре ПК. Более того, аудиозаписи с микрофонов, содержимое буфера обмена и другая информация, которая может представлять интерес для службы безопасности, проходит лингвистический и контентный анализ на предмет выявления конкретной информации, к которой проявил интерес потенциальный инсайдер-злоумышленник. При этом анализ видеозаписей с веб-камеры рабочего места вместе с аудиозаписями дает возможность понять, какие люди находились в кабинете в конкретный момент времени, и какие события при этом происходили.

В новой версии Staffcop Enterprise, представленной в начале лета, появился перехват новых типов мессенджеров, а также преобразование аудиозаписей в текст. Специалисту по ИБ больше не нужно прослушивать разговоры, достаточно посмотреть на текстовую расшифровку или, воспользовавшись словарем и регулярными выражениями, автоматизировать процесс обработки текстовых данных. Реализовано также подключение парсера контента Apache Tika, который позволяет извлекать данные из перехваченных файлов более, чем 100 типов, что увеличивает возможности контроля утечек критичной информации.

Специальные возможности алгоритма позволяют реагировать на обнаружение в потоке контента описаний банковских карт UnionPay и МИР.

Похожий функционал «двойного назначения»: контроль использования сотрудниками рабочего времени и обеспечение информационной безопасности компании, – поддерживают другие программные комплексы данного класса, например, CleverControl или TimeDoctor. У каждого продукта – своя специфика. Например, в TimeDoctor хорошо проработан функционал записи с монитора ПК, веб-камеры и звука, а мониторинг в режиме реального времени, реализованный в CleverControl, отлично подойдет к ситуациям, когда необходимо знать, чем занимается персонал непосредственно в данный момент времени.

Прогресс методов хищений вкупе с общим ростом числа атак на финансовые организации увеличивает интерес к системам противодействия мошенничеству в банковской сфере,- подчеркивает Руслан Косарим из компании Angara.- Для предотвращения киберпреступлений все активнее применяются развитые антифрод-решения, позволяющие анализировать данные по клиентам и операциям в динамике и выявлять поведенческие аномалии.

Так, DLP-система InfoWatch Traffic Monitor предотвращает утечки конфиденциальной информации на основе полноценного контентного анализа информационных потоков. При этом лингвистический анализ текста обеспечивается на 42 языках. Благодаря многомерному анализу их содержимого, система «понимает», о какой информации идет речь, и потому способна выявлять и блокировать утечки конфиденциальной информации любого формата. Например, банк «ДельтаКредит» использует InfoWatch Traffic Monitor, в первую очередь, для того, чтобы обезопасить себя от попыток недобросовестных сотрудников скопировать клиентские данные из корпоративных информационных систем.

DLP-решение InfoWatch Traffic Monitor включает анализатор векторной графики, который идентифицирует присутствие любого фрагмента конфиденциального чертежа в составе другого чертежа, даже если он был модифицирован. Программа сможет обнаружить выдержки из документов с конфиденциальной информацией, а также обеспечить защиту документов по нескольким признакам, например, выявит скан документа заполненного договора с печатью.

Продукт умеет контролировать как стандартные каналы, так и уникальные: корпоративная и веб-почта, мессенджеры, облачные хранилища, сетевые папки, FTP, терминальные соединения, локальные и сетевые принтеры, съемные носители. Контроль подразумевает не только выявление, но и пресечение (блокировку операций) действий по передаче конфиденциальной информации за пределы организации, а также в другие сетевые папки внутри инфраструктуры компании. В компании отмечают, что InfoWatch Traffic Monitor «поймает» сложные текстовые и графические объекты даже, если инсайдер смог их видоизменить.

Собственные решения предлагает подобных задач предлагает компания EveryTag – они помогают контролировать возможные утечки из компании ценной информации: корпоративных документов, персональных данных, коммерческой тайны, уникальных разработок и разной деликатной информации.

Руслан Косарим уверен, что борьбе с социальной инженерией будет способствовать дальнейшая эволюция функционала антифрод-решений, особенно, внедрение систем кросс-канального мониторинга. Пример кросс-канального мониторинга – система Smart Fraud Detection компании «Фаззи Лоджик Лабс». В режиме реального времени система распознает и контролирует поведение сотрудников с помощью камер (фото, видеоданные) и микрофонов (аудиоданные). Анализ поведения сотрудника в целях противодействия мошенническим транзакциям осуществляется на основе оценки рисков. А для создания инцидентов по аномальным действиям сотрудников в системе используются преднастроенные правила.

Как правило, UEBA/DLP системы работают только с данными от программных агентов на рабочих станциях, серверах и сетевых маршрутизаторах/файерволлах,- поясняет Михаил Дудалев, начальник отдела анализа данных «Фаззи Лоджик Лабс» в статье в журнале PLUS (октябрь, 2021 г.). Сергей Парфенов, технический директор компании «Фаззи Лоджик Лабс, добавляет: При работе системы в банковском контексте можно использовать кроссканальную аналитику поведения пользователей, а значит, строить наиболее полную модель поведения пользователей, улучшая выявление аномалий и нелегитимных действий пользователей.

Этот функционал использует сегодня банк «Возрождение». Выбор системы Smart Fraud Detection пояснил Василий Окулесский, заместитель начальника службы информационной безопасности банка «Возрождение»:

Информация, получаемая через другие каналы обслуживания, помимо ДБО, также может повысить качество вычисления индикаторов для операций в СБП. С этой точки зрения, или внедрение многоканальной антифрод-системы для расчета индикаторов, согласно требованиям стандарта, для нас виделось наиболее подходящим вариантом.

Еще один способ выявления подозрительных поведенческих аномалий сотрудников – использование технологий машинного обучения на базе представительной обучающей выборки.

Подход предполагает постоянный мониторинг всех каналов обслуживания клиентов (даже без платежных операций), что наполняет аналитическую систему множеством данных о возможных подозрительных действиях, даже если они не являются непосредственно хищениями средств,- поясняет Иван Барчук, директор департамента сбора, хранения и анализа данных компании «ВС Лаб».

Борьба со скрытыми угрозами и целевыми атаками

В продукте Kaspersky Security Optimum «Лаборатории Касперского» реализована возможность находить скрытые угрозы — вредоносное программное обеспечение, использующее различные маскирующие механизмы. Это отдельный класс исследуемых объектов, который характеризуется тем, что вредоносное ПО уже внедрено в сеть организации, выполняет заложенные в него задачи, но не может быть обнаружено стандартными средствами защиты.

Инструмент анализа и блокировки скрытых угроз, оптимизированный для работы в небольших компаниях, включает песочницу – продвинутый элемент защиты, который ранее был доступен только в «тяжелых» решениях типа КАТА (Kaspersky Anti Targeted Attack) или KEDR (Kaspersky Endpoint Detection and Response).

Для борьбы с APT-атаками «Лаборатория Касперского» предоставляет единую платформу безопасности Kaspersky Expert Security. Центральный элемент платформы — решение класса SIEM Kaspersky Unified Monitoring and Analysis Platform (KUMA). Для борьбы с угрозами и Решение KUMA собирает и анализирует данные из всех подключенных к нему источников, которыми могут быть не только продукты «Лаборатории Касперского», но и третьих фирм. Компоненты экосистемы Kaspersky Expert Security дополняют друг друга и обмениваются информацией. В итоге ИБ-специалисты получают полную картину происходящего в инфраструктуре и могут сосредоточиться на оперативном отражении кибератак практически любой сложности, говорят в «Лаборатории Касперского».

Детектирование угроз класса APT – это трудоемкий процесс, который требует инструментов для анализа всего состояния сети, а также анализа удаленных подключений и пользователей, которые работают из дома. Это целый комплекс мер, который позволит ИБ-отделу повысить уровень информационной безопасности корпоративной ИТ-инфраструктуры, – подчеркивает Евгений Бударин, руководитель отдела предпродажной поддержки «Лаборатории Касперского».

Мало того, что комплексная природа APT-атак требует использования целого «портфеля» ИБ-инструментов. Полностью автоматизировать их выявление практически невозможно: окончательное решение о природе происходящих событий может принять только челвоке.

Компания Angara Professional Assistance объединила человеческий и машинный интеллект для защиты сети и конечных точек от сложных угроз и APT-атак в виде услуги ACR Service AntiAPT&EDR. Это совместный сервис Angara и «Лаборатории Касперского», построенный на платформе KATA. Он дополнительно усилен возможностями продукта KEDR, а данные обо всех выявленных подозрительных событиях, включая «песочницу», попадают на платформу Angara Cyber Resilience Center (ACRC), предназначенную для мониторинга, расследования и аналитики киберугроз. Там сведения об ИТ-активах заказчика вносятся в базу данных CMDB, которая содержит информацию о защищаемых ИТ-активах заказчика, а для обогащения инцидентов используются индикаторы компрометации (IоC) из проверенных источников и от регуляторов. Защита данных и каналов связи осуществляется при помощи SSL, возможна также организация VPN-туннеля по ГОСТ.

ML вместо SIEM?

Алексей Лукацкий, известный российский специалист в области ИБ, рассказывает в своей статье, опубликованной в BIS Journal в ноябре 2021 г., о том, как с помощью современных решений ML можно обойтись без приобретения системы SIEM.

Раньше люди покупали SIEM, чтобы снизить необходимость написания сигнатур для систем обнаружения атак, а также снизить число ложных срабатываний у них. Сейчас люди покупают или строят машинное обучение, чтобы не писать правила для SIEM или снизить число ложных срабатываний в них,- замечает Алексей Лукацкий.

Действительно, два классических подхода к обнаружению угроз — сигнатурный и «аномальный» – требуют моделирования «плохого» или «хорошего» поведения соответственно с последующим анализом отклонений. Однако крайне сложно моделировать то, что пока неизвестно. В этой ситуации на помощь приходит машинное обучение, которое позволяет сделать правильный вывод, опираясь на не модели, а на качественный датасет.

Именно качественный датасет является одним из залогов успеха: чем больше и разнообразнее набор обучающих данных, тем точнее окажется результат обнаружения.

Чтобы научиться определять спам, нам нужны десятки и сотни тысяч электронных сообщений для анализа. Чтобы научиться предсказывать поведение пользователя, нужно отслеживать все его действия в течение нескольких недель,- замечает Алексей Лукацкий и добавляет, что лучший датасет – этот тот, который будет создан непосредственно в компании на основании ее реальных данных: сетевой трафик, вредоносные файлы, URL, электронная почта, действия пользователей и т.д.

Затем необходимо провести предварительную обработку данных и выделить для каждого направления анализа свой набор признаков. Скажем, для системы мониторинга сетевых аномалий (NTA или NDR) такими признаками могут быть: порт источника, порт отправителя, протокол (UDP, ICMP, TCP, IPv6), идентификатор приложения и т.д.

У решений класса EDR (Endpoin Detection & Response) таких признаков больше 400 — это метаданные, ассоциированные с анализируемым файлом: наличие сетевых подключений, нестандартные протоколы, использование определенных вызовов, внесение изменений в файловую систему, разработка под определенную архитектуру, обращения к реестру, поддерживаемые языки, работа с оперативной памятью и жестким диском, запуск других процессов и т.д.

После формирования признаков происходит выбор соответствующей модели. Обучение с учителем эффективно в случае достаточно простых данных и понятных признаков, например, можно выявлять заражение вредоносным кодом, взаимодействие с командным C2-сервером, загрузку вредоносного кода, фишинг и спам, DGA-домены и т. п. Этим моделям нужны размеченные данные, которые можно сформировать на основе датасета.

Если размеченных данных нет, поможет обучение без учителя – оно позволяет искать внутреннюю структуру и зависимости в неразмеченных данных и делать выводы на их основе.

Таким образом, если обучение с учителем позволяет выявлять новые, но все-таки ранее известные типы угроз, то обучение без учителя фокусируется на угрозах неизвестных, например, расширение плацдарма злоумышленников в инфраструктуре (lateral movements), утечки данных, аномальный доступ к различным сервисам и серверам,- комментирует Алексей Лукацкий.

Например, сценариями для машинного обучения без учителя может стать несовпадение профиля трафика или загрузки центрального процессора на идентичных серверах или сетевых сегментах, что может говорить о работе шифровальщика или утечке данных, неизвестная ранее сетевая или пользовательская активность, нестандартные коммуникации с коллегами (выявление центров силы, интрижка между сотрудниками, сговор), пользователь осуществляет действия с редкоприменяемыми привилегиями и т.д.

Киберразведка (Threat Intelligence)

Сложность обстановки, в которой сегодня происходит деятельность служб ИБ, комплексный характер применяемых ИБ-решений требует серьезного информационного бэкграунда – контекста, в котором развиваются современные угрозы и методы их предотвращения. Эти функции сегодня берут на себя платформы киберразведки (Threat Intelligence), которые способны в реальном времени накапливать разнообразную информацию о возможных угрозах из различных источников (коммерческих и бесплатных, закрытых и открытых, государственных и частных), классифицировать ее, производить с ней различные операции, включая выгрузку в средства защиты и SIEM-системы.

Threat intelligence — это специфические знания, которые позволяют понимать текущие угрозы, их влияние на организацию или отрасль, сферу деятельности, помогают управлять рисками и принимать стратегические решения, помогают повысить качество обнаружения и реагирования на угрозы как проактивно, так и реактивно, дают возможность повысить осведомленность об угрозах и более адекватно подбирать защитные меры, подходящие под релевантный для организации ландшафт угроз (с учетом специфики ее деятельности/сектора экономики, индустрии),- рассказывают в компании R-Vision.

Исходя из указанных целей, платформа TI же должна не только собирать данные, но и давать возможность исследовать полученные сущности, взаимосвязи между ними для понимания картины атаки, развития вредоносного заражения, определения схожих черт различных вредоносных кампаний и группировок, атрибуции атак и аналогичных аналитических задач, в том числе автоматических. Зачем это может быть нужно?

Дело в том, что источников данных — множество, в реальной практике к платформе TI могут быть подключены десятки или даже сотни различных источников данных. Причем, каждый источник имеет свойство время от времени обновляться, изменять ранее предоставленные данные. «Платформа TI должна оперативно создавать новые сущности, актуализировать статусы старых, если они изменились, избавляться от дублей, приводить в единый, консистентный вид (нормализация), удалять старые сущности. Явные взаимосвязи между сущностями нужно выделить и связать их между собой, определяя характер связей. И это далеко не все выполняемые операции»,- рассказывают в R-Vision.

Специалисты ресурса Anti-Malware.ru провели в 2020 г. анализ мирового и российского рынка сервисов и платформ Threat Intelligence. Так, ожидается, что до 2024 г. мировой рынок платформ Threat Intelligence в среднем будет расти на 21,4% в год и достигнет к этому времени объема в 6,6 млрд. долл.

Неуклонный рост рынка платформ спровоцирован активным внедрением информационных технологий как в корпоративную, так и в личную жизнь (что провоцирует разрастание угроз безопасности), а также требованиями со стороны регуляторов, – комментирует Анатолий Мухин, обозреватель Anti-Malware.ru.

В мире использование Threat Intelligence (TI) постепенно входит в набор привычных инструментов SOC, однако в России применение этого инструмента только набирает популярность. Эксперты компании R-Vision провели специальное исследование, чтобы разобраться, как российские компании используют данные TI, каким образом их обрабатывают и с какими сложностями сталкиваются.

На данный момент доступны как бесплатные, так и платные базы фидов; обычно их распространением (продажами) и занимаются вендоры. Вместе с тем очевидным недостатком фидов является отсутствие контекста, ведь «сырые» данные не позволяют получить ответы на главные вопросы: какова связь индикаторов компрометации с конкретными атаками? Какое значение они имеют в рамках инфраструктуры злоумышленника? Для этого нужно проводить анализ связей между получаемыми и имеющимися данными, что весьма трудоемко.

Вот тут на помощь приходят платформы Threat Intelligence, позволяющие в автоматическом режиме получать фиды и обогащать их контекстом. Они помогают специалистам по ИБ предотвращать атаки на ранних стадиях (например, выявляя сетевое взаимодействие с известными серверами бот-сетей или блокируя адреса фишинговых доменов на почтовом сервере организации), а также извлекать максимальную пользу из получаемых сведений,- говорит Анатолий Мухин.

Он замечает, что фиды можно приобрести у конкретного поставщика (Group-IB, Palo Alto, ESET, Kaspersky, FireEye и др.), чтобы получить более специфичные данные, релевантные для конкретной инфраструктуры, а можно использовать такую платформу Threat Intelligence, которая способна взаимодействовать с множеством других источников.

Анатолий Мухин обращает внимание на то, что зачастую процесс Threat Intelligence воспринимается как сбор фидов различных типов и интеграция их в имеющиеся платформы Threat Hunting, Incident Response, SIEM-системы и т.д., в то время как они способны влиять на принятие не только операционных, тактических, но и стратегических решений.

Стратегический уровень в большей степени связан с решениями, принимаемыми руководством. На данном уровне рассматриваются отчеты, предоставляемые подразделением информационной безопасности, формируются цели и стратегии, а также новые задачи и нужды (люди, процессы и инструменты). На уровне тактических решений необходимо оперировать тактиками, техниками и процедурами (TTP), которые можно получать из MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge): базы знаний или матрицы, описывающей поведение злоумышленников. Операционный уровень представляет собой конкретные технические меры, которые принимаются на основе входящих данных (индикаторов компрометации).

Все платформы Threat Intelligence различаются характером реализации функциональности киберразведки на разных уровнях. Например, на российском рынке представлен ряд отечественных разработок:

Group-IB Threat Intelligence компании Group-IB. Решение позиционируется как продукт, который основан не на управлении индикаторами компрометации, а на информации о тех, кто стоит за каждой атакой. Предоставляется в виде сервиса по подписке и реализует мониторинг, анализ и прогнозирование угроз для организации, ее партнеров и клиентов. С помощью сформированной базы данных о злоумышленниках и системы слежения за ними можно узнать о будущих атаках на этапе их подготовки. Предоставляет карту активности атакующих и инструменты для атрибуции рисков, обзоры трендов, атак, APT-групп и применяемых ими инструментов, а также может содержать аналитику по запросу.

Оперативные данные — это целевые исследования о новом программном обеспечении и сервисах, применяемых злоумышленниками, о выявлении новых APT-групп, информация об утечках и т.д. Тактические данные представляют собой сведения о скомпрометированных учётных записях, банковских картах, атакованных мобильных телефонах, а также файлы настроек вредоносных программ, подозрительные IP-адреса и многое другое.

Kaspersky Threat Intelligence компании «Лаборатория Касперского». Портал Kaspersky TI – это сервис информирования об угрозах, предназначенный для оперативного реагирования на инциденты и их эффективного расследования. Пользователям предоставляются постоянно обновляемые данные по файлам, URL- и IP-адресам, доменам, контрольным суммам, названиям угроз, статистике и активности. Благодаря этому специалисты по реагированию на инциденты могут оперативно расставлять приоритеты, отслеживать хронологию, находить объекты инфраструктуры, являющиеся целями злоумышленников, а также изучать тактику и методы киберпреступников для определения контрмер.

PT Cybersecurity Intelligence компании Positive Technologies. Платформа предназначена для управления знаниями об угрозах информационной безопасности на основе бесплатных и коммерческих фидов, а также собственных данных вендора. Позволяет автоматически накапливать, приводить к требуемому виду и обогащать индикаторы компрометации, поступающие из внешних источников и из внутренних средств защиты.

С целью выявления массовых, целенаправленных и отраслевых атак платформа способна самостоятельно передавать обработанные данные на имеющиеся средства защиты и реагирования. За счет интеграции с продуктами компании Positive Technologies и других вендоров черезAPI, а также благодаря автоматической выгрузке данных об угрозах на имеющиеся средства защиты, платформа PT CybSI способна решить проблемы, связанные с пропуском атак, ложными срабатываниями, ручным разбором фидов.

R-Vision Threat Intelligence компании R-Vision. Централизованная платформа для аналитической работы с данными киберразведки, обеспечивающая сбор, обработку, хранение и анализ данных об угрозах, а также использование этих знаний для выявления и блокировки угроз, реагирования на инциденты и проведения расследований. R-Vision TIP поддерживает работу с коммерческими и бесплатными источниками, а также с данными от ФинЦЕРТ. Продукт в автоматическом режиме собирает данные из подключенных источников, осуществляет их нормализацию и дедупликацию, приводит к единой модели представления.

Источник: anti-malware.ru/analytics/Market_Analysis/Threat-Intelligence

Помимо самих индикаторов R-Vision TIP также подгружает связанные с ними отчеты, информацию об уязвимостях и вредоносных программах, анализирует взаимосвязи индикаторов, позволяя аналитику получить целостное представление об угрозе. За счет интеграции с внешними сервисами (VirusTotal, Shodan, RiskIQ, Whois и пр.)осуществляется обогащение индикаторов дополнительным контекстом. Обработанные и отсортированные данные можно автоматически выгрузить на внутренние средства защиты разных производителей. Предусмотрена возможность выполнения в автоматическом режиме всей последовательности операций с индикаторами компрометации — от сбора до блокировки средствами защиты.

Объединение усилий против злоумышленников, использование общих знаний и обмен данными об угрозах — то, ради чего создаются и внедряются платформы Threat Intelligence. С их помощью выстраивается процесс, позволяющий грамотно распоряжаться как информацией о способе возможной атаки, так и имеющимся временем для подготовки к ней, обеспечивая при этом полноту сведений об угрозе,- подчеркивает Анатолий Мухин.

Таким образом, интеллектуальные решения в сфере ИБ стремятся поддерживать процессы консолидации данных из разнообразных источников, процессов, нишевых продуктов и их совместного анализа. Сергей Войнов, генеральный директор компании EveryTag, полагает, что в конечном итоге ИБ-решения придут к интегральным сквозным продуктам, которые будут одновременно обеспечивать, надежное хранение документов, данных, прочей информации, так и безопасность цифровых активов.

А Игорь Ляпунов из «Ростелекома» полагает, что сращивание области кибербезопасности и ИТ уже произошло: кибербезопасность стала составной частью управления ИТ, с точки зрения управления непрерывностью и ИТ и бизнеса. Все это создает киберустойчивость организации, которая защищает бизнес,- подчеркивает Игорь Ляпунов.

Источник: https://www.tadviser.ru/