Подписаться
Читать в телеграм
За последние три года угроза уничтожения ИТ-инфраструктуры предприятий в результате хакерских атак перестала быть гипотетической. Она перешла в категорию реальных наравне с техногенными авариями, финансовыми кризисами и санкционными ограничениями. Минимизировать риски и не допустить реализации негативного сценария — ключевая цель информационной безопасности. И ценность мониторинга внешних цифровых угроз — не столько в попытках предсказывать катастрофы («черных лебедей»), сколько в возможности находить уязвимые места, которые делают систему чувствительной к ударам, и заранее укреплять ее там, где уже видна трещина.
Кроме геополитики, фактором расширения поверхности атак становится цифровизация: применение облачных технологий, удаленная работа и прочие аспекты увеличивают количество потенциальных точек входа в ИТ-инфраструктуру.
Кейс
Недавно при мониторинге GitHub (веб-сервиса для хостинга ИТ-проектов) наша команда выявила публичный репозиторий, используемый злоумышленниками для подготовки масштабной фишинг-атаки на нашего клиента — государственную организацию.
В ходе анализа в репозитории были обнаружены:
- HTML-код поддельного сайта, полностью имитирующего официальный портал госорганизации;
- PDF-документы для создания легенды наполненности сайта;
- два APK-файла (формат файлов приложений для Android): «Официальное приложение организации» и «Антивирус организации».
Анализ APK показал наличие вредоносной нагрузки, функции перехвата данных, доступа к системе и скрытого управления устройством. Специалисты компании «Инфосистемы Джет» своевременно оповестили клиента и отреагировали на выявленную угрозу. Наши рекомендации клиенту включали выпуск предупреждения через официальные каналы, проверку пользовательских устройств и блокировку доменов.
Кошки-мышки и базовая гигиена
Хакерские группировки, как правило, используют в своих атаках давно известные уязвимости и мисконфигурации ИТ-инфраструктуры. По статистике наших команд коммерческого SOC (Security Operations Center — центр мониторинга ИБ) Jet CSIRT и лаборатории практического анализа защищенности, на получение повышенных привилегий в инфраструктуре уходит не более одного дня с момента получения первоначального доступа.
При реализации мягкого сценария реагирования «выбивание» хакеров зачастую превращается в игру в кошки-мышки, так как специалисты ищут иголку в стоге сена. Поэтому крайне важноусложнить путь хакерам по времени, реализовав меры базовой гигиены. К ним относятся:
- устранение уязвимостей и мисконфигураций на сетевом периметре;
- сетевая сегментация;
- харденинг (усиление защиты) и устранение высококритичных мисконфигураций в базовых ИТ-сервисах: корпоративном домене, центре сертификации, корпоративной почте, среде виртуализации;
- устранение высококритичных уязвимостей в инфраструктуре;
- обеспечение безопасности среды виртуализации.
Взгляд на инфраструктуру со стороны
Для построения антихрупкости важны сигналы: они заставляют систему адаптироваться и эволюционировать. Но даже идеальный SOC видит только то, что уже внутри периметра. Чтобы обнаружить угрозу до входа, нужен взгляд со стороны. Мониторинг внешних цифровых угроз, который входит в более широкое понятие киберразведки, позволяет заметить такие сигналы до того, как угрозы перерастут в инцидент, поскольку показывает инфраструктуру глазами злоумышленников. Это способ превратить хаос атак в конструктивный стресс. Не защититься от неизвестного, а снизить уязвимости там, где их видно снаружи.
Мониторинг внешних цифровых угроз помогает:
- заметить утечки данных и обсуждение вашей компании на хакерских форумах до атаки;
- найти уязвимые точки на внешнем периметре (старые домены, открытые порты, незащищенные сервисы), которые видны злоумышленникам;
- понять, кто может атаковать (конкуренты, киберпреступники), какие методы (фишинг, эксплуатация уязвимостей) и инструментыиспользует злоумышленник, а также на что он нацелен;
- отследить риски атаки через подрядчиков — часто нападают не напрямую, а через слабое звено в цепочке поставок;
- быстро блокировать фишинговые домены и поддельные ресурсы, защищая бренд и сотрудников.
Мониторинг внешних киберугроз позволяет перейти от реакции к действиям — заранее закрыть слабые места, представляющие опасность для компании. Это экономит время, деньги и бережет репутацию.
Интернет дает больше, чем кажется
Источники для мониторинга внешних цифровых угроз можно перечислять бесконечно, но на практике все строится на одном фундаменте — открытых данных. Весь интернет, от публичных репозиториев до соцсетей и утечек, дает больше полезной информации, чем кажется.
От аналитика уже зависит дальнейшее:
- как быстро находить сигнал в шуме — например, украденные креды (учетные данные) сотрудников в утечках или обсуждение инфраструктуры компании на форумах;
- как работать с даркнетом: понимать логику площадок, видеть разницу между шумом и реальной угрозой, не светить себя при сборе данных;
- когда и как вести легендированную переписку — не для «охоты на хакеров», а чтобы получить контекст: какие данные продаются, кто в них заинтересован.
Главный принцип простой: не гнаться за количеством источников. Лучше глубоко освоить 3–4 рабочих канала и встроить их в процессы — мониторинг, реагирование, оценку рисков. Инструменты приходят и уходят, а ценность создает аналитик, который умеет задавать правильные вопросы и видеть картину целиком.
Практические рекомендации
Добавив мониторинг внешних цифровых угроз в процессы мониторинга, команда SOC получает возможность увидеть инфраструктуру глазами хакера и проактивно отреагировать на атаку еще на этапе ее подготовки. Это не формальная процедура ИБ, а эффективный инструмент защиты критически важных активов компании. На основе получаемой аналитики формируются конкретные рекомендации для команды внутренней ИБ: что поставить на контроль и усилить в реализуемых мерах.
Таким образом, внешний мониторинг собирает информацию о потенциальных и реальных стрессорах. И это знание помогает превратить ее в возможности для усиления системы. По Талебу, для построения антихрупкости важно выявлять трещины до того, как по ним ударят, — и не просто заклеивать их, а перестраивать архитектуру.
Ценность мониторинга внешних угроз
Мониторинг внешних угроз формирует устойчивое преимущество компании по четырем направлениям:
Преимущество во времени. Компания еще до начала атаки обнаруживает ее признаки: утечку учетных данных сотрудников, подготовку DDoS-атак или обсуждение ее инфраструктуры в закрытых сообществах. Это дает дни или недели на устранение уязвимостей — вместо часов после взлома.
Снижение ущерба. Даже при успешном проникновении злоумышленника компания, обладающая данными внешней разведки, быстрее идентифицирует вектор атаки и сокращает время реагирования. Часто удается остановить атаку на этапе разведки — до компрометации критических активов.
Информационная асимметрия в пользу компании. Раньше злоумышленник действовал с преимуществом: он знал слабые места инфраструктуры, а компания — нет. Мониторинг внешних угроз меняет баланс: компания видит свой периметр глазами хакера.
Формирование культуры осведомленности. Регулярное получение сведений о реальных угрозах трансформирует отношение к информационной безопасности внутри коллектива. Разработчики закрывают уязвимости осознанно, сотрудники становятся осторожнее с письмами, руководство быстрее принимает решения по ИБ. Это меняет мышление — с «надо бы» на «мы видим угрозу — действуем».
На три хода вперед
Использование данных внешнего мониторинга позволяет сфокусироваться на актуальных угрозах, специфичных для организации, оптимизировать распределение ресурсов ИБ с учетом текущих рисков и обосновать необходимость инвестиций в информационную безопасность. Но главное —перейти от реактивной защиты к опережающей. Вместо ожидания инцидента организация заранее укрепляет наиболее уязвимые точки, основываясь на данных о реальных угрозах. Это дает возможность подготовиться к атаке.
Можно провести аналогию с шахматами: побеждает не тот, кто быстрее двигает фигуры, а тот, кто видит на три хода вперед. Эксплуатировать базовые и известные критические уязвимости начинают достаточно быстро, поэтому наличие одного лишь внутреннего мониторинга не является гарантией безопасности. Однако мониторинг внешних цифровых угроз помогает проактивно реагировать и обеспечивать компании преимущество в этой игре. Он не гарантирует, что атаки не будет, но позволяет усилить защиту перед нападением.
