Что злоумышленники знают о вашей компании, какие атаки они готовят? Как вовремя узнать об утечке, мошенническом сайте-клоне и успеть отреагировать? Что может рассказать грамотно выстроенный процесс мониторинга дарквеба? Как защитить репутацию компании и её сотрудников в сети? Какие специализированные сервисы существуют на российском рынке и как они работают?
- Введение
- Цели и задачи мониторинга дарквеба
- Практика мониторинга дарквеба и управления цифровыми рисками
- Тренды и прогнозы развития рынка
- Итоги эфира
- Выводы
Введение
За последние несколько лет значительно выросла доля кибератак на российские инфраструктуры. Злоумышленники действуют не только ради извлечения выгоды, но и по политическим мотивам. Компании становятся жертвами фишинга, утечек и компрометации данных. Для предотвращения всего этого эксперты советуют пользоваться специальными сервисами защиты от цифровых рисков (Digital Risk Protection, DRP), которые помогают в том числе выявить угрозы в теневой Сети. Однако можно ли мониторить даркнет самостоятельно или всё-таки следует обращаться к специалистам? Об этом и о том, как защитить свою репутацию в интернете, рассказали ведущие эксперты рынка в рамках прямого эфира проекта AM Live.
Рисунок 1. Гости прямого эфира в студии Anti-Malware.ru
Спикеры онлайн-конференции:
- Константин Мельников, руководитель отдела анализа и оценки цифровых угроз, Infosecurity a Softline Company;
- Александр Вураско, эксперт центра аналитики внешних цифровых рисков Solar AURA, «РТК-Солар»;
- Юлия Новикова, руководитель отдела мониторинга цифровых угроз, «Лаборатория Касперского»;
- Станислав Гончаров, директор по развитию бизнеса (DRP), F.A.C.C.T.
Ведущий и модератор прямого эфира — Иван Чернов, менеджер по развитию UserGate.
Цели и задачи мониторинга дарквеба
Что такое дарквеб
В преддверии дискуссии Иван Чернов совместно с ведущими ИБ-экспертами разобрался в таком размытом понятии, как дарквеб (или даркнет). «Тёмная сторона» интернета сейчас — это любая доступная площадка, которая может обеспечить анонимность киберпреступников. В чём заключается мониторинг дарквеба и какие риски он помогает смягчить?
Юлия Новикова:
— Площадки дарквеба расширились. Теперь это любой инструмент, которым пользуется киберпреступник. Даже легальные площадки становятся инструментами хакеров. К ним теперь относятся мессенджеры, торренты, форумы.
Юлия Новикова, руководитель отдела мониторинга цифровых угроз, «Лаборатория Касперского»
Александр Вураско:
— Противоправная активность стремительно мигрирует в Telegram. Он предоставляет прекрасные условия для этого — например, приватные каналы и чаты. Кроме того, порог вхождения в киберпреступность за последние годы очень снизился. И это — одна из причин, почему атаки становятся всё более массовыми.
Константин Мельников:
— Один из основных моментов мониторинга даркнета состоит в ручной работе аналитиков: внедрение в сеть своих сотрудников либо вербовочные мероприятия. Здесь киберразведка пересекается с мониторингом, потому что недостаточно обнаружить только факт преступления, необходимо понять причину произошедшего и то, как не допустить этого в будущем.
Станислав Гончаров:
— Защита от цифровых рисков позволяет охранять пользователей компании-заказчика от неправомерных действий преступников с использованием бренда клиента. К ним относятся, например, неправомерный сбор персональных данных, мошенничество с помощью бренда, компрометация топ-менеджмента и утечки в дарквебе. Это как раз и есть Digital Risk Protection (DRP).
Станислав Гончаров, директор по развитию бизнеса (DRP), F.A.C.C.T
Зачем нужен мониторинг дарквеба и какие риски он помогает снизить
Digital Risk Protection — это онлайн-платформа для выявления и устранения внешних цифровых угроз, в т. ч. на основе искусственного интеллекта. Эксперты сошлись во мнении о том, что DRP позволяет снизить не только риски связанные с кибербезопасностью, но и финансовые, репутационные, юридические. При этом если компания не использует инструментов мониторинга даркнета, то она может так и не узнать об утечке конфиденциальной информации. К тому же, не все в принципе понимают обусловленные утечками риски.
Среди того, что стоит выявлять, эксперты назвали продажу доступов, утёкшие логины и пароли, документы, исходные коды, фотографии критической инфраструктуры компании, а также планы киберпреступников. По мнению экспертов, одним из самых популярных инструментов кражи информации являются сейчас т. н. стилеры — вредоносные программы, которые собирают с заражённого компьютера конфиденциальные данные (рабочие логины и пароли, данные банковских карт и проч.).
Эксперты привели реальный пример того, как удалось смягчить последствия кибератаки. Безопасники смогли завербовать администратора одного из теневых форумов. На этом портале преступники выложили информацию, которая компрометировала внутренние сервисы одной крупной компании. Благодаря вербовке удалось удалить эти конфиденциальные данные. Объявление провисело не более 45 минут.
При всех перечисленных экспертами угрозах и описанных преимуществах мониторинга дарквеба большая часть опрошенных (45 %) компаний ничего не слышали о таком инструменте, как DRP. Почти столько же организаций слышали о нём, но не используют (41 %). Лишь 7 % респондентов пробовали такие инструменты и сервисы, и ещё 7 % активно их применяют.
Рисунок 2. Что вы знаете о мониторинге дарквеба и сервисах DRP?
Практика мониторинга дарквеба и управления цифровыми рисками
Можно ли проводить мониторинг дарквеба своими силами?
Все эксперты сошлись во мнении, что заниматься этим можно, но тяжело и неэффективно. Одна из причин связана с подбором источников для поиска компрометирующей информации. Спикеры подчеркнули, что источники крайне динамичны, многие из них требуют специализированных технических решений, а некоторые и вовсе непубличны. Сложность состоит, в том числе, в обнаружении связей и составлении статистики по киберактивности.
Ещё один важный вопрос, поднятый во время дискуссии, — кто именно в компании будет заниматься мониторингом: специальный штат или сторонние специалисты? Спикеры подчеркнули, что информационные активы в компании зачастую децентрализованы. Это требует подключения к мониторингу разных подразделений. Так, защитой цифровых рисков должны заниматься не только ИБ-специалисты, которые выполняют основную работу по реагированию на инциденты: им могут помочь отдел маркетинга, а также экономисты и юристы. Достоинство DRP — ничто не мешает использовать этот сервис для решения задач разных подразделений.
Как показал проведённый нами опрос, количество компаний, которые не пользуются сервисами DRP, к 2023 г. увеличилось. Их доля с 56 % выросла до 60 %. Однако в этом году стало больше компаний, которые следят за утёкшими паролями (14 % в 2023 г. против 9 % в предыдущем). Только 12 % занимаются мониторингом дарквеба, по 6 % — приоритизацией уязвимостей и защитой репутации. 2 % используют другие продукты.
Рисунок 3. Какими из указанных сервисов DRP вы пользуетесь сейчас?
Какие каналы нужно отслеживать
При мониторинге невозможно сосредоточиться на определённом списке каналов. Для поиска уязвимостей необходимо следить не только за даркнетом, но и за соцсетями, форумами, где может всплыть критически важная для компании информация. Поиск осложняется и тем, что данные в разных источниках могут дублироваться, отметили эксперты. Вручную с этим справиться нельзя.
Из-за того что источники постоянно меняются, без разработки и автоматизации DRP-систем уровень мониторинга резко снизится. К тому же, информация в сети быстро удаляется и модерируется. Если компания вовремя не обнаружила данные, то вручную их уже не найти.
Как следует из опроса, компании при выборе DRP-сервиса по большей части ориентируются на компетенции вендора (37 %). Часть компаний (26 %) затрудняются ответить на этот вопрос. Для 24 % респондентов немаловажными являются технологичность и функциональность сервиса. Также компании при выборе ориентируются на возможности технической поддержки (9 %) и стоимость решения (4 %).
Рисунок 4. Что для вас наиболее важно при выборе сервиса DRP?
Техническая специфика DRP-решений заключается в том, что алгоритмы, которые направлены на поиск информации в открытых источниках, не всегда корректно работают с более приватными, непубличными ресурсами. В этом случае необходимо пересматривать алгоритм для поиска и отбора информации.
Что заказчик получает на выходе: только отчёты или активные действия по смягчению рисков?
Компания, которая хочет защитить себя от цифровых рисков, после приобретения DRP закрывает все свои потребности — от мониторинга, оповещения и анализа до реагирования на инциденты. Помимо этого организация получает и отчёты о проделанной работе.
Например, если заказчик сталкивается с фишингом, то эксперты заботятся о прекращении работы поддельного ресурса; если с публикацией конфиденциальных данных — специалисты берут на себя коммуникацию с продавцом-распространителем. В том числе эксперты помогают сформировать пакет документов для обращения в правоохранительные органы и взаимодействуют с ИБ-отделом заказчика для помощи в реагировании на инциденты.
Большинство зрителей прямого эфира полностью устраивают DRP-сервисы, с которыми они работают. Для 19 % опрошенных непонятен внутренний заказчик. Около 15 % не понимают ценности таких решений, а 11 % считают их технически незрелыми. Часть респондентов не устраивает цена продуктов (11 %). Вариант ответа «другое» выбрали 7 % опрошенных.
Рисунок 5. Что останавливает вас от использования DRP?
Для определения внутреннего заказчика DRP-сервиса эксперты посоветовали понять, какие потребности есть у отдела по информационной безопасности, экономического и маркетингового отделов. Например, фишингом может заниматься одно подразделение, а внутренними утечками — другое. Заказчик должен понять, кто в его компании умеет работать с определёнными данными. Так, отдел маркетинга может заниматься мониторингом СМИ.
Тренды и прогнозы развития рынка
Александр Вураско:
— За последние год-два существенно повысился интерес к DRP-решениям и расширилась аудитория заказчиков. Если пять лет назад этот сервис был нишевым продуктом, то теперь мы видим заинтересованность и малого бизнеса в таких решениях. DRP становится для многих отраслей и организаций необходимостью, а не прихотью.
Александр Вураско, эксперт центра аналитики внешних цифровых рисков Solar AURA, «РТК-Солар»
Юлия Новикова:
— Если раньше основными потребителями этих сервисов были госучреждения и крупный бизнес (enterprise), то теперь профиль заказчика немного размазался в части сфер и индустрий. Среди клиентов сейчас присутствуют и мелкий бизнес, и ретейл, электронная коммерция, а также различные сервисы и службы. Эта тенденция сохранится и в дальнейшем.
Константин Мельников:
— Инциденты будут только расти. Единственный вопрос — какого качества они будут. Из перспектив и трендов, которые надо развивать в этой связи, — коллаборация с иными сервисами, например центром мониторинга информационной безопасности (SOC).
Константин Мельников, руководитель отдела анализа и оценки цифровых угроз, Infosecurity a Softline Company
Станислав Гончаров:
— Объём рынка вырос примерно в шесть-семь раз. Компании начали понимать, что цифровые угрозы их касаются и от них можно защищаться. В ближайшие два-три года рост продолжится и, возможно, тех, кто не понимает необходимости данного решения, уже не останется.
Итоги эфира
Финальный опрос зрителей AM Live на тему «Каково ваше мнение относительно защиты от цифровых рисков после эфира?» принёс следующие результаты. Большинство зрителей посчитали DRP-сервисы интересными, однако пока избыточными для себя. Почти треть опрошенных (29 %) заинтересовалась ими и готова их протестировать. Некоторые (13 %) не поняли темы беседы, 8 % не поверили в необходимость таких решений. Оставшиеся 8 % уже пользуются DRP.
Рисунок 6. Каково ваше мнение относительно защиты от цифровых рисков после эфира?
Выводы
Число кибератак будет только расти, а вместе с этим станет повышаться и спрос на DRP-решения. Компании, которые хотят защитить себя от утечек, компрометации, фишинга и других рисков, могут заниматься мониторингом даркнета для выявления угроз самостоятельно. Однако эксперты не считают этот метод эффективным и экономически оправданным. Источники распространения украденной информации постоянно меняются, при этом для мониторинга закрытых ресурсов требуются дополнительные финансовые вложения, а также специальные навыки.
Эксперты, предоставляющие услуги защиты от цифровых рисков, закрывают все потребности клиента — от мониторинга, оповещения и анализа до реагирования на инциденты. Помимо этого ИБ-специалисты занимаются внедрением и вербовкой людей в теневых сетях для оперативного сбора и удаления информации. И самое главное — они автоматизируют DRP-системы и подстраивают их под меняющиеся источники, что требует экспертизы.
Ещё не все компании осознали связанные с утечками риски, а некоторые и вовсе не знают о фактах взлома. Однако заинтересованных в защите бренда и репутации, а также в борьбе с экономическими рисками актуальных и потенциальных пользователей DRP-инструментов становится всё больше — от малого и среднего бизнеса до госкомпаний, ретейла и промышленности.
Проект AM Live продолжает свою работу. Впереди нас ждут обсуждения самых актуальных тем с ведущими экспертами отрасли. Чтобы всегда быть в курсе событий, новых продуктов и тенденций, не пропускайте предстоящие эпизоды онлайн-конференций, обязательно подпишитесь на YouTube-канал проекта. До встречи в эфире!