Киберразведка своими руками

Киберразведка своими руками, или Альтернативный взгляд на управление рисками.

Защита организации в современном динамичном окружении напоминает виндсерфинг, когда серфер должен находиться в нужной ему части волны. Нельзя действовать слишком рано или слишком поздно: мы снизим эффективность инвестиций в систему информационной безопасности (ИБ) или нас накроет кибератакой, последствия которой для акционеров могут обернуться огромными убытками, а для менеджмента и директора — потерей работы, а то и карьеры.

Наука серфинга считает первоочередной задачей понимание ситуации вокруг, что в цифровом мире называется киберразведкой. Если не понимать, кто и как угрожает твоей организации, каковы его возможности и мотивы, что делают в области ИБ другие предприятия, то сложно держаться той самой нужной части волны и достигать единственно возможного состояния реальной безопасности — большей защищенности от актуальных угроз, чем у компаний сходного размера и профиля (так называемых peers). Если же понять всё это, злоумышленникам будет выгоднее атаковать другие организации, следуя шаблону из известного анекдота о том, что охотник должен бежать быстрее коллеги, а отнюдь не быстрее медведя.

Не пытаясь изобрести велосипед, построим нашу систему киберразведки на практиках одного из лидеров цифрового мира — компании Intel, благо они были описаны и представлены широкой публике еще в 2012-м.Дополним их методиками «ухода от медведя» — бенчмаркинга ИБ и практиками ежедневного мониторинга защищенности корпоративных ИТ-ландшафтов крупнейших российских нефтегазовых и высокотехнологичных компаний.

Полученная система киберразведки предоставит нам реальные данные о том, какие угрозы, уязвимости и тактики используются в мире, какие инциденты и маркеры атак есть в нашей сети и с какими угрозами борются наши коллеги по отрасли. В результате на основе этих данных мы получим ответ на вопрос, когда и какой угрозой нужно заниматься.

Ясно, что если определенная угроза активна вo внешнем мире, мы видим атаки на нашу сеть и коллеги по отрасли уже борются с ней, то нам необходимо проанализировать, как эта угроза может повлиять на бизнес. С другой стороны, даже тысяча статей в прессе о всяких там «супер-дупер-вирусах», «гига-мега-уязвимостях» и «злобно-сурово-регуляторах» не должна волновать нас, если, имея развитую систему киберразведки, мы не видим реальной активности угрозы во внешнем мире, её активности в нашей сети и проектов по снижению связанных с нею рисков у конкурентов.

Таким образом, освоив серфинг на одной волне (в цифровом мире — угрозе), можно научиться видеть разные волны и переходить с одной на другую, не только предупреждая девятый вал критической по последствиям атаки, но и облегчая обсуждение с бизнесом вопросов финансирования и поддержки инициатив службы ИБ.

Большинство организаций уже занимаются киберразведкой в той или иной мере, и далее мы расскажем, как такой, казалось бы, экзотический и сложный предмет можно реализовать небольшими ресурсами, одновременно сохранив потенциал для масштабирования, повышения охвата и точности процесса.

Так как тематика довольно обширная и заслуживает целой книги, то в данной статье ограничимся основными элементами программы киберразведки:

• цикл управления угрозами;
• источники внешних признаков;
• источники внутренних признаков;
• источники признаков у конкурентов;
• юридическая защита киберразведки.

Цикл управления угрозами

Тематика управления угрозами (threat manаgement) обсуждается годами — в том числе это касается и самого термина: как можно управлять вроде бы внешними по отношению к организации силами? Однако вот уже на протяжении десятилетий человечество управляет чрезвычайными ситуациями, основываясь в первую очередь на мониторинге их появления и применении проактивных мер для их предотвращения там, где это возможно (скажем, укрепление берегов горных рек с целью предотвратить наводнения).

В 2012 г. в книге «Управление риском и информационной безопасностью: защитить, чтобы сделать возможным» вице-президент и директор по безопасности и конфиденциальной информации корпорации Intel Малкольм Харкинс описал оригинальную модель жизненного цикла угроз (созданную по аналогии с моделью жизненного цикла продуктов Intel). Созданная им модель соединяет в единое целое информацию о развитии угроз, структурированный подход к оценке своевременности разворачивания мер безопасности и ориентацию на мониторинг внешних источников. Вероятно, на её развитие повлиял карьерный путь Малкольма, помимо прочего включавший должности руководителя подразделения конкурентной разведки и ИТ-бенчмаркинга, а также финансового менеджера глобальной ИТ-службы Intel.

Модель Харкинса включает пять фаз развития угрозы: теоретические исследования; экспериментальные исследования; доказательство концепции (proof of concept — PoC); эксплуатация уязвимости; коммодитизация уязвимости. От первой фазы к пятой угроза из высказанной на исследовательской конференции идеи превращается в дешевый общедоступный инструмент атаки на корпоративные инфраструктуры.

Мы адаптировали модель Харкинса, создав более универсальную, полную и понятную для многих отраслей модель интегрированного мониторинга угроз. Естественно, что модель эта в большей мере рассчитана на выявление развития ландшафта угрозы массовых атак, тактик и инструментов киберпреступности. Она основана на оценке наших гипотез об актуальности того или иного типа угроз по совокупности косвенных признаков.

Этап развития угрозы «Эмбрион»

Гипотеза: существует вероятность новой угрозы или нового типа атаки, реализовать которую очень сложно по любым меркам.

Возможный нарушитель: спецслужбы или кибервойска иностранных государств.

Внешние признаки: угроза обсуждается на конференции, но пока нет её практической реализации.

Внутренние признаки: организация имеет потенциально уязвимые информационные активы (системы, подрядчиков и т. п.).

Признаки у конкурентов: конкуренты обсуждают угрозу.

Этап развития угрозы «Младенец»

Гипотеза: существует вероятность новой угрозы — нового типа атаки или эксплуатации, реализация которой сложна по любым меркам.

Возможный нарушитель: дополнительно кибернаемники (целевые атаки).

Внешние признаки: продемонстрировано подтверждение, но всех деталей и инструментов для атаки нет в общем доступе.

Внутренние признаки: организация имеет потенциально уязвимые информационные активы, доступные на периметре (сетевой периметр, рабочие станции, подключения подрядчиков, BYOD) либо бизнес-критичные (содержащие интеллектуальную собственность, обрабатывающие и хранящие клиентские данные, внешнюю финансовую отчетность и т. п.).

Признаки у конкурентов: конкуренты начали оценивать влияние возможной атаки на бизнес.

Этап развития угрозы «Ребенок»

Гипотеза: существует возможность новой угрозы — нового типа атаки или эксплуатации, реализация которой имеет среднюю степень сложности.

Возможный нарушитель: дополнительно организованная киберпреступность.

Внешние признаки:

• PoC в общем доступе;
• сообщения о реализации угрозы.

Внутренние признаки:

• организация имеет потенциально уязвимые информационные активы;
• отсутствие исправлений от производителя либо невозможность их установки;
• срабатывание характерных для угрозы показателей компрометации (IoС) — взаимодействие с внешними ресурсами, yara-правил (описывают признаки наличия malware), созданных на основании PoC;
• срабатывание антиAPT-решений на поздних стадиях атаки.

Признаки у конкурентов: конкуренты начали прорабатывать проектные идеи противодействия угрозе.

Этап развития угрозы «Подросток»

Гипотеза: существует возможность новой угрозы — нового типа атаки или эксплуатации, реализация которой имеет низкую степень сложности.

Возможный нарушитель: дополнительно массовая киберпреступность.

Внешние признаки:

• в общем доступе обнаружены эксплойты;
• сообщения о реализации угрозы.

Внутренние признаки:

• организация имеет уязвимые информационные активы;
• отсутствие исправлений от производителя либо невозможность их установки;
• срабатывание характерных для угрозы IoС, антивирусов, IDS (Intrusion Detection System);
• срабатывание антиAPT-решений на поздних стадиях атаки.

Признаки у конкурентов: конкуренты начали реализовывать проекты по противодействию угрозе.

Этап развития угрозы «Взрослый»

Гипотеза: ландшафт киберугроз пополнился еще одной угрозой, тактики и уязвимости активно используются в атаках на организации.

Возможный нарушитель: дополнительно хактивисты и хулиганы.

Внешние признаки: эксплойты и методы атаки широкодоступны и дешевы, сообщения в прессе, жалобы клиентов.

Внутренние признаки:

• организация имеет уязвимые информационные активы;
• срабатывание характерных для угрозы IoС, антивирусов, IDS;
• срабатывание антиAPT-решений на поздних стадиях атаки.

Признаки у конкурентов: конкуренты завершили реализацию проектов по противодействию угрозе.

Внедрение модели

Коммерческим компаниям, работающим на конкурентных рынках и стремящимся ограничить корпоративную ответственность, обеспечить непрерывность бизнес-процессов и защитить интеллектуальную собственность, разумно начинать проработку планов защиты от угрозы уже на стадии «Ребенок». Таким образом компании смогут предвосхитить полноценную атаку на свои сети, не неся при этом бремя затрат на этапах «Младенец» или «Эмбрион».

Вместе с тем детальная для предприятий меньших размеров пятистадийная модель может нуждаться в существенном упрощении, ведь ее основы заложила глобальная компания Intel. Однако меньше трех стадий (классический светофор) использовать нерационально, так как будет некогда провести банальное своевременное планирование и бюджетирование проектов.

Можно начать с анализа политики ИБ (подход top-down — «сверху вниз»), вычленив угрозы, которые организация уже считает актуальными (для простоты подразумеваем, что политика содержит модель угроз/архитектуру ИБ прямо или опосредованно, через перечисление ключевых мер снижения рисков информационной безопасности).

Параллельно стоит развернуть IDS и посмотреть, что видно в сети (даже на правилах детектирования по умолчанию), — применим подход bottom-up («снизу вверх»).

Комбинация подходов «сверху вниз» и «снизу вверх» создает подход down-up » вниз и вверх «. Такой подход не только обеспечивает больший обзор угроз, но и повышает авторитет службы ИБ в бизнесе, который обычно использует именно down-up для бизнес-планирования, управления продуктами и бюджетирования. Вообще, применяя используемые бизнесом управленческие практики, служба ИБ позиционирует себя как прагматичное бизнес-подразделение, а не как «очередные гики-айтишники» или «витающие в облаках консультанты».

Сформировав перечень угроз, можно определить, на каком этапе развития угроза находится. К примеру, мобильные угрозы (mobile threats) за последние несколько лет выросли до этапа «Взрослый». Об этом свидетельствуют как статистика вирусов и нашумевшие уязвимости в Android, так и статистика аналитических агентств по намерениям организаций инвестировать защиту мобильных технологий (IT Security Budget Spending Priorities).

Для крупных и глобальных организаций могут быть выделены десятки и даже сотни угроз, для малого бизнеса стоит ограничиться тремя-пятью, возможно до десяти. Слишком большое количество управляемых угроз превратит киберразведку из процесса поддержки принятия решений в очередную «работу в стол». Организация должна быть способна предпринимать действия по итогам мониторинга.

Источники внешних признаков

Внешние признаки можно собрать из трех категорий источников:

• открытая информация (Open Sources, OSINT Sources);
• бесплатные сервисы ИБ-компаний;
• платные сервисы ИБ-компаний.

Открытая информация может быть собрана как в онлайн-, так и в офлайн-источниках:

• специализированные порталы;
• тематические конференции;
• онлайн-СМИ и печатные издания;
• новостные ленты киберкоманд быстрого реагирования;
• базы уязвимостей;
• аналитические отчеты ИБ-компаний;
• хакерские форумы.

Ясно, что организовать полноценный мониторинг внешних источников можно только в очень большой организации, например входящей в ТОП-20 по выручке в стране. Однако кроме очевидной приоритизации (читаем только один отчет-лидер по сетевой безопасности, только один — по безопасности конечных точек и т. п.) существуют как минимум три стратегии организации мониторинга:

• самостоятельный мониторинг внешних источников;
• потребление внешнего мониторинга;
• смешанная стратегия.

На российском рынке присутствует целый ряд компаний — лидеров мирового рынка киберразведки: Dell (SecureWorks), CheckPoint, FireEye (iSIGHT Partners), IBM (X-Force Lab), RSA, Symantec. Есть и локальные игроки, в частности, о своем выходе в этот сегмент заявили «Лаборатория Касперского» и Group-IB (отмеченная в Market Guide агентства Gartner наравне с глобальными игроками, но заточенная под банковскую отрасль и угрозы для банковского рынка).

Продукты киберразведывательных компаний делятся на три уровня — стратегический, тактический и операционный.

Стратегический уровень состоит из четырех основных продуктов:

• отчеты о региональных ландшафтах киберугроз;
• отчеты об угрозах, адресованных конкретным индустриям (например, gaming);
• годовые отчеты об угрозах и форкасты на следующий год;
• отчеты по специфичным угрозам для конкретного заказчика (обычно компании из Fortune 500 со значительной зависимостью бизнеса от ИТ).

Тактический уровень состоит из двух основных продуктов:

• отчеты Situational Awareness о текущей ситуации, например, во время массовых атак на российские банки и сайты государственных организаций;
• отчеты о значимых группировках киберпреступников, уязвимостях и вредоносном коде, в том числе рекомендации по выявлению угроз и закрытию уязвимостей.

Операционный уровень состоит из подписок (feeds), обычно в машиночитаемом виде, содержащих потенциальные индикаторы атак — такие, как IP-адреса атакующих, хэш-суммы вредоносного ПО, выходные ноды TOR, DNS-имена управляющих центров ботнетов и др. Теоретически подписки позволяют повысить детектирующие возможности уже установленных средств защиты, увеличив тем самым отдачу от вложенных в них средств, что особенно актуально в текущих экономических условиях. На практике автор использовал подписки от производителей SIEM в SIEM-проектах, и они действительно помогали находить ранее неизвестные клиентам проблемы в корпоративных сетях банков из ТОП-50.

Обычно существует некий портал, где клиенты могут ознакомиться с доступными им материалами, оставить запрос на новые или посмотреть технические параметры подключения к машиночитаемым подпискам.

В России существует ряд поставщиков, имеющих достаточно информации об угрозах, чтобы де-факто быть ведущими игроками на рыке киберразведки. Это «Лаборатория Касперского», Group-IB, Positive Technologies, Solar Security (приведены в алфавитном порядке). Всем им было разослано предложение рассказать о бесплатных сервисах в области киберразведки.

Уточняющие вопросы и последующее отсутствие комментариев от Positive Technologies и Solar Security показали, что эти компании пока не очень «в теме» киберразведки, и это логично: подобных сервисов на рынок они не выводили.

«Лаборатория Касперского» не представила комментариев, породив ощущение дежавю: в 2015-м компания указала на своем глобальном сайте целый ряд новых продуктов и услуг — по противодействию целевым атакам, сервисы киберразведки и т. д., — никак не отразив их на российском сайте.

Group-IB представила ответ, опираясь на определение Gartner, и описала свои бесплатные сервисы. Модель продаж сервисов этой компании напомнила мне модель крупнейших новостных агентств, которые продают актуальные уникальные новости лицам, принимающим решения, задолго до того, как эти новости попадут в свободный доступ.

Источники внутренних признаков

Во многих организациях доступен целый ряд внутренних источников:

• журналы доступа пользователей в Интернет;
• журналы событий сетевого оборудования;
• журналы сетевого трафика (внутреннего и проходящего через периметр);
• журналы событий LDAP-каталога;
• журналы работы сервисов;
• журналы средств защиты — IDS, AV и т. п.;
• собственные правила корреляции (handmade IoC);
• аналитика поведения пользователей;
• программы поощрения исследователей за найденные уязвимости (в том числе занимающихся этим ради славы);
• сообщения пользователей.

Умелое использование всех этих инструментов позволит выявить угрозы, которые уже проникли в периметр сети организации.

Источники признаков у конкурентов

Информация о проектах и мерах ИБ у конкурентов по умолчанию закрыта, но и ее можно почерпнуть в целом ряде источников:

• отчеты аналитических агентств (IT Budget Stats, State of Security и т. п.);
• отчеты консалтинговых фирм, в первую очередь Big4 (Global Security Reports и др.);
• тематические конференции;
• тематические СМИ;
• уведомления о закупках;
• личное общение с коллегами;
• собеседования со специалистами;
• услуги по бенчмаркингу службы ИБ, предоставляемые аналитическими агентствами или консалтинговыми фирмами.

Юридическая защита

Ведение разведывательной деятельности исторически являлось прерогативой государства. В связи с этим киберразведка без соблюдения определенных правил может иметь негативные как для сотрудника, так и для организации в целом последствия.

Для безопасного ведения киберразведывательной деятельности рекомендуется сформировать список информации, запрещенной к сбору, и, отслеживая изменения в законодательстве, периодически обновлять его.

В список могут войти:

• информация о военных возможностях в киберпространстве страны, резидентом которой является данная организация;
• персональные данные;
• информация с грифом «Коммерческая тайна», «Государственная тайна» и любая другая защищаемая законодательством страны, резидентом которой является организация.

Кстати, специализированные ИБ-компании могут вести киберразведку более свободно, так как обычно имеют тесные связи с правоохранительными органами и специальными службами (помогают им ловить киберпреступников либо выступают экспертами в суде).

Заключение

Используя собранную киберразведкой информацию об угрозах и добавив к ней знания о важности бизнес-процессов, бизнес-систем и активов, можно проактивно управлять рисками, снижая экономическую выгоду атак на конкретную организацию.

Постоянный мониторинг позволит автоматически насыщать базу знаний и релеватной и понятной информацией, помогающей выбрать правильный момент и способ развития ИБ-системы и провести убедительную презентацию перед руководством.

Резюмируя, можно утверждать: киберразведка помогает управлять рисками ИБ, а для компаний, относящихся скептически к такому управлению, может де-факто заменить управление ИБ-рисками с точки зрения внешних угроз.

Приложение 1. Пример списка источников

Информация от ИТ-вендоров

• Adobe Security Notification Service
• Oracle Security Alerts
• Технический центр безопасности Microsoft
• Обновления безопасности Red Hat
• Центр безопасности Cisco
• Центр киберразведки Juniper

Информация от ИБ-вендоров и киберкоманд быстрого реагирования

• Исследовательский центр Digital Security
• Публичная лента уязвимостей iDefense
• Исследовательский центр Positive Technologies
• Центр предотвращения угроз CheckPoint
• Центр безопасности Symantec
• Центр угроз HP Enterprise
• Центр угроз IBM X-Force
• Лаборатория безопасности McAfee
• Исследования интернет-угроз TrendMicro
• Аналитика угроз «Лаборатории Касперского»
• Анализ вирусной активности от DrWeb
• Статистика cервиса анализа угроз ThreatExpert
• ККБР (компьютерная команда быстрого реагирования) США (US-CERT)
• ККБР АСУ ТП США (ICS CERT US-CERT)
• Старейшая ККБР (CERT) Университета Карнеги — Меллона (США)
• FireEye M-Trends
• Блог по безопасности Verizon
• Hacker Intelligence Initiative от Imperva

Информация от провайдеров сервисов anti-DDoS

• Библиотека знаний Arbor
• Портал безопасности Radware
• Центр знаний Akamai

Базы данных угроз

• Реестр взломов сайтов Zone-H
• Рассылки по безопасности Seclists
• Рассылка по уязвимостям FullDisclosure
• Мониторинг деструктивных вирусов Ransomware, проводимый Abuse.ch.
• База данных вредоносного ПО и ссылок Malc0de
• База данных вредоносного ПО и ссылок MalwareDomainList

Александр Бодрик — сертифицированный специалист по управлению информационной безопасностью корпоративных и облачных ландшафтов, член ISACA, ASIS, ACFE.