Какие существуют комплексные специализированные сервисы для защиты от цифровых рисков? Как оперативно обнаруживать и устранять фишинговые страницы, прикрывающиеся именем компании? Чем может быть полезен мониторинг дарквеба и что скрывается под термином DRP (Digital Risk Protection)? Эти и другие вопросы мы задали ведущим экспертам по защите репутации компаний от цифровых рисков.
Введение
Современный ландшафт киберугроз включает в себя не только атаки связанные с прямым проникновением киберпреступников в инфраструктуру компании, не только эксплуатацию уязвимостей для нанесения вреда целевой организации, но и большой слой угроз связанных с информационным уроном, который могут нанести злоумышленники. Сюда относятся, в частности, использование бренда компании для осуществления вредоносных действий, создание фишинговых сайтов, сообщения обо мнимых или действительных утечках информации. Чтобы сохранить репутацию, компании необходимо отслеживать такие информационные атаки и оперативно реагировать на них.
Темой очередной онлайн-конференции AM Live стал новый набор технологий, сервисов, процессов, которые скрываются за аббревиатурой DRP (Digital Risk Protection). Это понятие включает в себя мониторинг дарквеба, контроль утечек паролей и других данных, приоритизацию уязвимостей, защиту репутации, а также многие другие составляющие. Многие технологии и продукты, объединённые под этим названием, уже знакомы потребителям услуг информационной безопасности. Мы собрали в студии прямого эфира экспертов отрасли, чтобы разобраться, является ли DRP чем-то большим, нежели просто новая маркетинговая упаковка известных инструментов.
Участники дискуссии:
- Андрей Бусаргин, руководитель департамента инновационной защиты бренда и интеллектуальной собственности компании Group-IB.
- Дмитрий Кирюшкин, руководитель группы защиты бренда компании BI.ZONE.
- Александр Вураско, руководитель отдела анализа цифровых угроз компании Infosecurity.
Ведущий и модератор дискуссии: Алексей Лукацкий, бизнес-консультант по безопасности Cisco.
Что такое DRP
Ведущий предложил начать беседу с базового вопроса: что такое DRP с точки зрения рынка информационной безопасности? Что стоит за этим обозначением — только маркетинг или же какие-то ранее неизвестные технологии и сервисы?
Андрей Бусаргин:
— Действительно, многие модули DRP известны давно, однако сейчас разрозненные продукты и утилиты собраны вместе и «обёрнуты» в единый сервис. Часто компании не имеют в своём штате сотрудников, которые способны разобраться со множеством отдельных технологий, и не хотят их растить. Такие заказчики хотят видеть сервис, который решит их «головную боль», связанную с минимизацией риска использования репутации бренда злоумышленниками.
Дмитрий Кирюшкин:
— DRP — это маркетинговый термин, и разные компании используют его для обозначения разного набора услуг и продуктов. В нашей компании такая услуга называется «Защита бренда», однако в целом это — собирательный термин, под которым каждый понимает то, что ему больше хочется понимать. В основном это — защита от неких внешних угроз, которые могут быть нацелены на компанию.
Александр Вураско:
— DRP — это собирательный термин для сервиса, который объединяет технические средства сбора и анализа информации, а также компетенцию сотрудников провайдера, которые работают на данном направлении. Как результат, заказчик получает выжимку данных, в которых не нужно дополнительно разбираться, а зачастую не нужно и анализировать их, поскольку там подсвечены конкретные проблемы и конкретные угрозы.
Алексей Лукацкий попросил спикеров уточнить, всегда ли DRP является симбиозом инструментов и экспертизы поставщика или же заказчик может купить только конкретные продукты и утилиты, если у него есть собственные специалисты, способные интерпретировать собранные данные. Эксперты отметили, что теоретически такой вариант возможен, однако покупатель столкнётся с проблемой внедрения и обучения. По словам гостей студии, такие запросы есть и некоторые клиенты выбирают путь самостоятельного анализа данных, приобретая только продукт.
Важно, что помимо обнаружения проблем сторонние DRP-сервисы предоставляют и услуги реагирования, что ещё больше усложняет задачу самостоятельного использования технологий заказчиком. В России рынок подобных сервисов ещё недостаточно зрел, поэтому найти специалиста с необходимой квалификацией очень сложно.
По результатам опроса зрителей прямого эфира мы выяснили, что лишь 8 % из них знают и используют большинство входящих в DRP сервисов. Ещё 12 % применяют отдельные инструменты, но не связывали их ранее с термином DRP. Слышали о таких сервисах, но не пользовались ими 40 % респондентов, столько же участников опроса даже не слышали о DRP.
Рисунок 1. Знакомы ли вы с решениями класса DRP?
Составляющие DRP
Чтобы разобраться в том, из чего состоит DRP, мы попросили экспертов рассказать об отдельных его составляющих и начали с понятия «защита бренда». Как пояснили наши спикеры, на Западе этот термин имеет преимущественно юридическое наполнение: в него входят, например, услуги по защите от контрафакта. В России же это понятие в первую очередь связано с информационной безопасностью. В зависимости от вендора защита бренда может включать в себя:
- мониторинг поддельных аккаунтов и информационных атак в социальных сетях, СМИ и открытых источниках,
- мониторинг и блокировку мошеннических доменов, сайтов и других ресурсов,
- мониторинг теневых форумов, утечек, ссылок для обмена фрагментами данных.
По сути, в России под DRP понимается мониторинг внешних источников, которые могут нанести ущерб компании. Из этого и складываются пакеты услуг, которые входят в соответствующие сервисы.
Ещё одна составляющая DRP — защита первых лиц. Эксперты AM Live рассказали, что в это понятие входит обеспечение безопасности «бренда» топ-менеджеров компании ото внешних репутационных угроз. Например, это может быть выявление случаев распространения ложной информации или вредоносных ссылок от имени первого лица организации. Другой фактор такой защиты — контроль утечек личных почтовых адресов. Сценариев атак с использованием поддельных профилей топ-менеджмента весьма много, начиная от целевых атак на компанию с рассылкой вредоносных писем сотрудникам и заканчивая прямыми хищениями, когда от имени руководителя бухгалтеру отправляются указания о переводе денег на подконтрольные злоумышленникам счета.
14 % зрителей прямого эфира AM Live используют для защиты своей компании мониторинг дарквеба, а 11 % — инструменты для защиты репутации. Отслеживают утечки паролей 9 % респондентов. Ещё 5 % занимаются приоритизацией уязвимостей. Столько же — применяют другие сервисы DRP. Большинство участников опроса (56 %) не пользуются продуктами и сервисами DRP.
Рисунок 2. Какими из указанных сервисов / продуктов DRP вы пользуетесь сейчас (неважно, внешними или самостоятельно реализованными)?
Продолжая разговор о составляющих DRP, эксперты обсудили методы мониторинга дарквеба. Существует мнение, что это — всего лишь исследование открытых или полуоткрытых источников, поскольку для создания аккаунта на действительно закрытой площадке необходимо пройти через большое количество проверок. Спикеры AM Live рассказали, что занимающиеся мониторингом дарквеба специалисты обычно имеют соответствующую репутацию и «прокачанные» учётные записи в таких сообществах. Таким образом, при помощи DRP-сервисов заказчик имеет возможность получить закрытую информацию, которую он никогда бы не смог узнать самостоятельно.
Специалисты отметили, что понятие дарквеба в последние годы размывается. Количество форумов по противоправной тематике снижается, а их аудитория мигрирует на другие площадки — например, в закрытые чаты и каналы в мессенджерах.
Подавляющее большинство зрителей прямого эфира считает мониторинг дарквеба полезным инструментом защиты репутации компании. Такого мнения придерживаются 90 % участников нашего опроса. Оставшиеся 10 % не видят необходимости в анализе информации с теневых форумов.
Рисунок 3. Считаете ли вы полезным мониторинг дарквеба?
Практика применения DRP
Потребителями услуг DRP могут быть различные подразделения компании: служба экономической безопасности, маркетинг и связи с общественностью, ИТ, в некоторых случаях даже кадровый департамент. Однако деньги на приобретение таких услуг обычно берутся из бюджета на информационную безопасность. Эксперты отметили, что DRP-сервис должен работать в режиме 24×7, оперативно реагируя на обнаруженные угрозы. По мнению спикеров онлайн-конференции, интерес к решениям по защите репутации в интернете будет расти на фоне увеличения потоков недостоверной информации. При этом рынок имеет некоторую инертность — с момента возникновения проблемы до закупки соответствующих инструментов или услуг пройдёт определённое время.
Говоря о разделении функций, специалисты по защите бренда пояснили, что оказывают заказчику консультативную поддержку и рекомендации по нивелированию инцидента, но напрямую пиар-задачи не решают. DRP-сервис обеспечивает реагирование только на «технические» угрозы и инциденты — например, в виде разделегирования фишинговых доменов. В случае информационной атаки заказчик получает максимально объёмный контекст и рекомендации.
Мы спросили зрителей прямого эфира о том, какое подразделение организации должно заниматься защитой её репутации в интернете. Большинство участников опроса — 36 % — придерживаются мнения, что эта деятельность лежит в сфере компетенции службы информационной безопасности. Ещё 29 % респондентов отдают эту роль пиар-департаменту, а 14 % считают, что такие функции должна выполнять служба экономической безопасности. Варианты «Другое подразделение» и «Не знаю» набрали 9 % и 12 % соответственно.
Рисунок 4. Какое подразделение должно заниматься защитой репутации в организации?
Один из зрителей онлайн-конференции задал экспертам вопрос о том, чем сервисы DRP отличаются от методов мониторинга открытых источников (Open Source Intelligence, OSINT). Как оказалось, методики OSINT используются в DRP: специалисты, отвечающие за анализ информации, применяют такие методы наряду с другими способами выявления атак. Мониторинг открытых источников — это в первую очередь ручная работа аналитика, в то время как сервисы DRP сфокусированы на автоматизации процесса сбора данных.
Рассуждая о различиях между инструментами Threat Intelligence и DRP, эксперты сравнили киберразведку со швейцарским ножом, которым не каждый сможет пользоваться. Такие продукты охватывают широкий спектр задач службы информационной безопасности. DRP же — это чаще всего сервис, который не требует специализированных навыков для использования. Кроме того, Threat Intelligence в первую очередь ориентирована на защиту инфраструктуры компании, в то время как DRP прежде всего обеспечивает безопасность пользователей и клиентов. TI и DRP могут работать совместно, обмениваясь данными для достижения наилучшего результата.
В прямом эфире принял участие Илья Сафронов, руководитель по информационной безопасности (CISO) компании Delivery Club. Эксперт поделился своим взглядом на DRP и рассказал, как организован этот процесс в его компании. По мнению Ильи, использовать сервисы мониторинга для многих компаний выгоднее, чем выделять для этого отдельного сотрудника и обучать его. В Delivery Club информационной безопасностью занимаются около 10 человек, компания не только использует DRP-сервисы, но и проводит мониторинг собственными силами. По словам специалиста, чаще всего им приходится иметь дело с фишинговыми сайтами и незаконным использованием бренда.
Рассуждая об этических аспектах мониторинга дарквеба, гости студии отметили, что сообщают найденную на теневых форумах информацию о потенциально опасных инцидентах даже тем компаниям, которые не являются их клиентами. Более того, такой шаг может быть началом сотрудничества с новыми заказчиками.
Спикеры рассказали, что помогают клиентам собрать доказательную базу для правоохранительных органов, однако не всегда способны назвать конкретного злоумышленника. В любом случае заказчику предоставляется максимально полная информация о проблеме; если при этом удаётся идентифицировать конкретного киберпреступника или хакерскую группу, то поставщик передаёт и такие данные. У некоторых сервис-провайдеров подобные услуги приобретаются дополнительно и не входят в базовый пакет.
Перспективы рынка DRP
Как будут развиваться DRP-сервисы в будущем? Станут ли они частью каких-то комплексных систем, поглотят Threat Intelligence или же трансформируются в другие продукты? По мнению наших экспертов, в ближайшее время DRP будут двигаться в сторону ещё большей автоматизации, а также наращивать интеграцию с другими инструментами информационной безопасности. В частности, SIEM-системы могут выступать источником дополнительных данных для DRP. Гости студии сошлись во мнении, что спрос на услуги мониторинга дарквеба и защиты бренда будет только расти, а число составляющих DRP постепенно будет увеличиваться.
Спикеры отметили, что применение методов киберразведки в DRP может значительно повысить эффективность таких сервисов. Каких-либо проблем в плане коммуникации с зарубежными компаниями (хостингами, администраторами доменных имён и другими службами) пока не предвидится. Эксперты порекомендовали потенциальным заказчикам стараться не сокращать состав услуг, предлагаемых поставщиком, а также использовать «пилотирование» для понимания актуальных потребностей.
По традиции мы спросили зрителей, наблюдавших за дискуссией, о том, каково их мнение о защите от цифровых рисков после эфира. Большинство респондентов — 42 % — считают DRP интересным, но пока избыточным для них инструментом. Ещё 36 % опрошенных заинтересовались этой темой и готовы тестировать, а 19 % уже подписаны на один из специализированных сервисов. Считают, что участники не смогли доказать необходимость DRP, 3 % участников опроса. Вариант «Ничего не понял, о чём вы сегодня говорили» не выбрал никто.
Рисунок 5. Каково ваше мнение относительно защиты от цифровых рисков после эфира?
Выводы
DRP-сервисы закрывают важный аспект информационной безопасности компании, обеспечивая защиту бренда от цифровых репутационных рисков. Эта сфера не всегда понятна и очевидна для специалистов ориентированных на технические методы противодействия киберпреступникам, однако должна хорошо восприниматься бизнес-подразделениями и руководством компании. В отличие ото многих сервисов, применение которых оправдано в первую очередь регуляторикой, DRP даёт понятную и ощутимую выгоду для бизнеса, защищая репутацию компании. В этом и состоят главное преимущество и основные возможности для роста таких систем.
Проект AM Live продолжает свою работу. Впереди вас ждут десятки дискуссий на наиболее актуальные для отечественного рынка информационной безопасности темы. Чтобы оставаться в курсе главных тенденций отрасли и иметь возможность задать вопрос экспертам, подпишитесь на YouTube-канал Anti-Malware.ru. До встречи в эфире!