Сертификат AM Test Lab
Номер сертификата: 330
Дата выдачи: 19.02.2021
Срок действия: 19.02.2026
- Введение
- Функциональные возможности платформы Group-IB Threat Intelligence & Attribution
- 2.1. Данные киберразведки
- 2.1.1. Технические индикаторы
- 2.1.2. Оперативные данные
- 2.1.3. Стратегические данные
- 2.2. Контекст данных
- 2.3. Ранжирование данных
- 2.4. Порядок получения доступа к данным киберразведки Group-IB Threat Intelligence & Attribution
- 2.5. Взаимодействие с платформой Group-IB Threat Intelligence & Attribution
- 2.6. Мониторинг дарквеб-площадок
- 2.6.1. Краткий рецепт
- 2.6.2. Как это работает
- 2.6.3. Как это использовать
- 2.7. Отчётность по киберпреступным группировкам
- 2.8. Аналитические материалы
- 2.1. Данные киберразведки
- Системные требования для работы с платформой Group-IB Threat Intelligence & Attribution
- Сценарии использования платформы Group-IB Threat Intelligence & Attribution
- Выводы
Введение
Особенности процесса Threat Intelligence
Совсем недавно Group-IB Threat Intelligence & Attribution успешно прошла проверку одной из компаний «Большой четвёрки» (Big Four), подтвердившей её соответствие отраслевым рекомендациям в области сбора данных киберразведки Департамента юстиции США. В центре внимания TI&A — киберпреступники, прогосударственные хакерские группы, хакеры-одиночки. Вокруг них выстроена вся идеология экосистемы высокотехнологичных продуктов для исследования киберугроз и охоты за атакующими: главная задача — выявить не только угрозу, но и того, кто за ней стоит.
Начнём с того, что кибератака не происходит по щелчку пальцев — ей, как правило, предшествуют серьёзная подготовка, разведка и сбор данных об атакуемой системе. Да и само проникновение, так называемый «пробив», закрепление в сети и распространение по ней происходят поэтапно. Весь процесс можно представить по шагам:
- исследование векторов атаки и возможных каналов проникновения в систему;
- подготовка вредоносных программ и их компонентов, ориентированных на использование в конкретных каналах доступа;
- доставка вредоносных программ пользователям по электронной почте, распространение ссылок на вредоносные ресурсы и пр.;
- запуск эксплойта злоумышленником или провоцирование легитимного пользователя на эту операцию;
- установка запущенной вредоносной программы в системе для инсталляции модуля удалённого управления;
- дистанционное управление компонентами атакованной системы с помощью установленной вредоносной программы;
- скрытое выполнение нелегитимных действий в атакованной системе.
В тот самый момент, когда факт присутствия атакующих в системе обнаружен, говорят о случившемся инциденте в сфере информационной безопасности. При его расследовании эксперты движутся по тем же описанным выше шагам, только в обратном направлении, пытаясь установить, где и кем осуществлена инсталляция вредоносных компонентов, каким образом эти компоненты попали внутрь системы и почему стала возможной их инсталляция, какие средства и каналы были использованы для проведения атак, и самое главное — кто стоит за данной атакой. После расследования становится понятным, какие меры следует предпринять, чтобы блокировать возможность повторения атаки и воспрепятствовать использованию выявленных каналов доступа в атаках другого вида.
Особую помощь в расследовании инцидентов, организации мероприятий по защите ИТ-инфраструктуры могут оказать системы класса Threat Intelligence («платформы киберразведки»). Если обобщить существующие определения, то под термином «Threat Intelligence» в основном понимаются процесс и результат сбора данных о существующих угрозах информационной безопасности, включая такие сведения, как описание способов реализации угроз, признаков атак, используемого для проведения атак инструментария, способов противодействия / реагирования, откуда эти данные получены (контекст) и т. д. Рассмотрим некоторые категории собираемых сведений.
Признаки атаки (индикаторы компрометации, Indicators of Compromise, IoC) формируются по результатам проведённого расследования и указывают на возможную нелегальную активность в защищаемой системе. Например, это может быть действие вредоносной программы, незапланированное отключение активных процессов (или, наоборот, запуск неиспользуемых), несогласованное создание привилегированных учётных записей, попытки установки соединений с внешними недоверенными узлами и пр. Знание этих индикаторов может помочь в наиболее быстром выявлении атаки на ранних стадиях и, как следствие, позволяет инициировать процедуру реагирования на неё не дожидаясь момента, когда злоумышленник достигнет своей цели. Информация об этих индикаторах может быть получена из специализированных источников, т. н. фидов (Threat Intelligence Feeds). Технически это могут быть различные списки рассылки по электронной почте, FTP-серверы и пр., содержащие сведения в виде текста или файлов CSV, PDF, XML (например, в форматах STIX или OpenIOC).
Однако использование индикаторов компрометации сопряжено с рядом проблем:
- не все фиды гарантируют оперативную рассылку индикаторов компрометации, что снижает скорость принятия их в работу;
- индикатор компрометации описывает завершившуюся атаку и нет никакой гарантии, что она именно в таком же виде будет повторена в отношении ИТ-инфраструктуры другой организации;
- списки индикаторов компрометации сами по себе не указывают на их актуальность в текущий момент времени;
- в данных индикаторах компрометации зачастую нет деталей того, кто являлся источником атаки, каковы были её цели, время проведения и т. д., т. е. отсутствует контекст;
- наличие сведений о достоверности источника индикаторов компрометации и самих данных (т. е. метка репутации, степень доверия) по сути не даёт возможности принять однозначное решение о целесообразности доверия этим индикаторам.
Ещё одним важным параметром, характеризующим угрозу, являются данные об источнике этой угрозы, исполнителе атаки, авторе вредоносного инструментария, которые можно попытаться установить в рамках так называемого процесса атрибуции атаки (угрозы).
Для успешного противодействия угрозам важно знать детальную информацию о возможных способах проведения атаки, применяемых техниках и методах, на кого ориентирована атака (т. н. «описание тактик, техник и процедур», Tactics, Techniques and Procedures, TTP). По сути это — профиль поведения злоумышленника, а следовательно, на его основе можно определить, кто именно является источником угрозы. Одним из источников данных о TTP является специализированная база ATT&CK американской некоммерческой организации MITRE.
Объём накапливаемых данных, детализирующих различные угрозы, требует применения специализированных средств для их хранения и эффективного использования в работе. Такими специализированными средствами являются платформы кибербезопасности (TI-платформы). В нашем «Обзоре рынка платформ и сервисов киберразведки (Threat Intelligence) в России и в мире» представлена краткая информация по решениям различных вендоров, в том числе — Group-IB.
В рамках своей деятельности компания Group-IB накапливает, исследует и систематизирует данные Threat Intelligence. Для эффективной работы с ними создана платформа сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution (далее — «Платформа TI&A»).
Платформа TI&A предоставляет доступ к уникальным средствам, позволяющим эффективно решать сложнейшие задачи по противодействию злоумышленникам. В частности, использование графового анализа Group-IB позволяет быстро дойти до источника актуальной угрозы, отследить существующие связи участников киберпреступных группировок. В систему встроены механизмы, обеспечивающие автоматизацию деятельности аналитика и хорошую визуализацию всех компонентов и событий.
Источники информации
В платформе TI&A используются данные, собранные различными департаментами Group-IB за 18 лет работы. Источниками информации служат:
- подпольные форумы и сообщества теневого интернета;
- результаты исследований, полученные в ходе совместных проектов с международными правоохранительными организациями;
- данные работы реверс-инженеров, аналитиков, изучающих вредоносные программы;
- каналы информационного обмена с сообществами специалистов по информационной безопасности;
- результаты деятельности сертифицированной CERT (команды реагирования на компьютерные инциденты) компании Group-IB;
- сетевые сенсоры систем выявления вредоносных программ, установленные в инфраструктурах интернет-провайдеров, на рабочих станциях в инфраструктурах клиентов;
- сети приманок (ханипотов) и спам-ловушки;
- системы противодействия DDoS-атакам и исследования активности ботнет-сетей;
- результаты анализа командных серверов злоумышленников, узлов сбора данных фишинговых страниц;
- серверы хостинга контента;
- репозитории программного кода;
- социальные сети.
Это — лишь краткий перечень источников информации для платформы TI&A. Он даёт общее представление о том многообразии поставляемых данных, доступ к которым предоставляется подписчикам в удобной для них форме.
Функциональные возможности платформы Group-IB Threat Intelligence & Attribution
Данные киберразведки
Клиенты платформы TI&A могут получать технические индикаторы, оперативные и стратегические данные.
Технические индикаторы
Технические индикаторы используются для обогащения внутренних баз эксплуатируемых средств защиты. Ещё они применяются в работе служб информационной безопасности при расследовании инцидентов, а также для оперативной интеграции в существующую ИБ-инфраструктуру и выполнения незамедлительных действий.
Интеграция с внешними системами осуществляется через API / JSON или STIX, что позволяет осуществлять процедуру обогащения новыми данными в режиме реального времени.
К указанным данным, в частности, относятся хеш-суммы файлов, IP-адреса, доменные имена и URL-ссылки, скомпрометированные через фишинг параметры кредитных карт или аккаунтов, IMEI-номера скомпрометированных устройств, подозрительные IP-адреса и сведения из конфигурационных файлов вредоносных программ.
Оперативные данные
Оперативные данные используются для построения гипотез о возможных действиях атакующих на основании известных TTP. Клиенты платформы TI&A могут воспользоваться оперативными данными для ведения проактивной охоты на угрозы информационной безопасности, что позволяет планомерно повышать уровень защиты ИТ-инфраструктуры.
К оперативным данным относятся сведения о новых атакующих, проведённых кампаниях (сериях атак), изменениях в тактике проведения атак, новых видах мошенничества и т. п.
Стратегические данные
Стратегические данные пригодятся для формирования представления о ландшафте угроз и управления им, для информированного принятия решений о распределении бюджетов на обеспечение информационной безопасности и для выбора технических решений по защите ИТ-инфраструктуры.
Примерами таких данных являются: ежегодный отчёт с прогнозами, ежемесячные и ежеквартальные отчёты с анализом развития угроз, отдельные специальные отчёты по запросу клиентов, например с обзором дарквеб-форумов или сканированием сети.
Контекст данных
Особенность предоставляемых данных состоит в том, что все они сопровождаются контекстом, т. е. позволяют узнать о способах осуществления атак и об используемых для их осуществления инструментах, а также выявить, кто именно инициировал ту или иную атаку.
Ранжирование данных
Чтобы иметь возможность управлять распространением конфиденциальной информации, в платформе TI&A поддерживается ранжирование данных по протоколу TLP, где определённой категории информации сопоставляется конкретный цвет (рис. 1).
Рисунок 1. Пример данных, ранжированных по протоколу TLP
Дополнительно используется оценка собранных сведений по системе «Admiralty Code», отражающая степень надёжности источника информации и уровень достоверности самой информации (рис. 2). Шкала оценки надёжности источника выглядит следующим образом:
- «А» — абсолютно надёжный (completely reliable): нет сомнений в подлинности, надёжности или компетентности; имеет историю полной надёжности.
- «B» — скорее всего надёжный (usually reliable): незначительные сомнения в подлинности, надёжности или компетентности; большую часть времени имеет историю достоверной информации.
- «C» — возможно надёжный (fairly reliable): есть сомнения в подлинности, надёжности или компетентности, но в прошлом предоставлял достоверную информацию.
- «D» — сомнительный (not usually reliable): значительные сомнения в подлинности, надёжности или компетентности, но в прошлом предоставлял достоверную информацию.
- «E» — ненадёжный (unreliable): отсутствие достоверности, надёжности и компетентности; история неверной информации.
- «F» — оценка отсутствует (reliability cannot be judged): нет никаких данных, позволяющих выполнить оценку надёжности источника.
В отношении достоверности информации применяют следующую шкалу оценки:
- «1» — подтверждена другими источниками (confirmed by other sources): есть подтверждения из других независимых источников; логична сама по себе; соответствует другой информации по теме.
- «2» — вероятно правдива (probably true): не подтверждена; логична сама по себе; соответствует другой информации по теме.
- «3» — возможно правдива (possibly true): не подтверждена; разумно логична сама по себе; согласуется с другой информацией по этому вопросу.
- «4» — сомнительна (doubtful): не подтверждена; возможна, но не логична; нет другой информации по теме.
- «5» — недостоверна (improbable): не подтверждена; нелогична сама по себе; противоречит другой информации по теме.
- «6» — оценка отсутствует (truth cannot be judged): нет никаких данных, позволяющих выполнить оценку достоверности информации.
Порядок получения доступа к данным киберразведки Group-IB Threat Intelligence & Attribution
Процесс получения доступа к данным киберразведки через платформу TI&A состоит из нескольких простых шагов.
Клиент обращается с запросом в Group-IB о необходимости получения доступа к данным TI&A и формирует требования к данным киберразведки. На основе этих требований с каждым клиентом составляется индивидуальный план сбора данных (collection plan). Информация из плана используется для персонифицированной настройки доступа клиента к порталу платформы TI&A.
Получив регистрационные данные, клиент может подключиться к порталу платформы TI&A (рис. 2). С этого момента он будет получать только персонифицированную информацию в портале, а также в виде почтовых уведомлений и фидов.
Рисунок 2. Главное окно сервиса
В процессе работы с платформой TI&A у клиента формируется т. н. «ландшафт угроз» (рис. 3). Это — раздел, в котором представлена информация о преступных группировках или отдельных субъектах, которые атакуют конкретную компанию — клиента платформы TI&A, осуществляют атаки на организации, взаимодействующие с ней (например, на партнёров, клиентов, поставщиков), ведут противоправную деятельность в той отрасли, к которой принадлежит компания, или представляют потенциальную опасность для клиента по каким-либо иным причинам, отличным от указанных выше.
Рисунок 3. Пример раздела «Ландшафт угроз»
Инструментарий, используемый для построения «ландшафта угроз», фильтрует огромный объём технической и аналитической информации в соответствии с потребностями конкретного клиента в киберразведке. Таким образом, для каждого клиента платформы TI&A состав ландшафта угроз будет разным, персонифицированным, указывающим именно на тех субъектов, от которых следует защищаться в первую очередь.
Сведения по киберпреступным группировкам содержат:
- общее количество зафиксированных атак;
- количество известных индикаторов компрометации;
- тип группировки (криминальная, поддерживаемая каким-либо государством);
- количество дней, прошедших с момента последней зафиксированной активности.
Клиент может направлять индивидуальные запросы на предоставление дополнительной информации по той или иной ситуации. Составленный совместно с клиентом план сбора данных и формируемый в процессе работы ландшафт угроз позволяют аналитикам компании Group-IB эффективно обрабатывать поступающие запросы и предоставлять дополнительную информацию.
Таким образом, в платформе TI&A поддерживается высокий уровень индивидуализации, выражающийся в том, что клиент получает актуальные данные, имеющие отношение только к нему, на фоне снижения количества ложных уведомлений, предупреждений и лишних оповещений.
Взаимодействие с платформой Group-IB Threat Intelligence & Attribution
Интеграция с внешними системами и получение технических индикаторов от платформы TI&A
Платформа TI&A поддерживает возможность интеграции по данным с различными SIEM- и антифрод-системами.
Для того чтобы данные платформы TI&A попали во внешнюю систему, потребуется воспользоваться API, предоставляемым компанией Group-IB по запросу, или организовать выгрузку в формате JSON или STIX.
Стратегическое и тактическое использование платформы TI&A
Такое использование платформы TI&A даёт клиенту возможность получить детализированную информацию по злоумышленникам и выработать меры упреждающего характера или оперативного реагирования на проводимую атаку.
Клиент платформы TI&A получает необходимые данные, пример которых представлен на рисунке 4 ниже.
Рисунок 4. Интерфейс с отображением индикаторов компрометации в отношении активного злоумышленника
Использование аналитических инструментов и доступ к «сырым» данным
Клиенту сервиса TI&A предоставляется доступ к платформе принудительного запуска и анализа вредоносных программ, графовому анализу и результатам мониторинга теневого интернета.
Платформа принудительного запуска и анализа вредоносных программ (в терминологии производителя — «детонации и анализа вредоносного ПО») построена на основе разработанного компанией Group-IB модуля Polygon, входящего в состав решения Threat Hunting Framework (рис. 5). Этот модуль предназначен для проверки отдельных вложений, файлов и ссылок с их последующим динамическим анализом на предмет наличия известных и неизвестных угроз.
На платформе детонации выполняются запуск файлов в изолированной среде и их динамический анализ с имитацией действий пользователя. По итогам анализа доступен максимально подробный отчёт с файловой структурой, поведенческими маркерами, видеозаписью исполнения и другой информацией.
Рисунок 5. Интерфейс платформы детонации и анализа
Платформа детонации поддерживает анализ более чем ста расширений объектов, имеет широкие возможности в части анализа ссылок, различая те из них, которые даны в сокращённой форме записи, ведут в облачные хранилища или расположены в файлах.
Возможна проверка файлов больших размеров (от 50 МБ) с применением нескольких виртуальных машин, отличающихся многообразием версий и настроек, реалистичностью аппаратных характеристик, вариантами состава программного обеспечения и других параметров.
Осуществляется анализ с ускорением времени, проведением отдельных действий для борьбы с логическими бомбами и отложенным запуском. Поддерживается работа с проверками окружения со стороны вредоносного кода, с динамической настройкой виртуальных машин под характеристики проверяемого файла, с имитацией пользовательской активности, хранением метаинформации о сессиях и др.
Итоги работы платформы детонации отражаются в отчётных материалах различного вида. Наряду с вердиктом о вредоносности файла и поведенческими маркерами они могут содержать данные о сетевой активности, структуре файла, дереве исполняемых процессов, результатах разбора активности по матрице MITRE ATT&CK. Также доступна видеозапись исполнения файла.
Совместное использование платформы детонации с решением Group-IB Threat Hunting Framework позволяет организовать обработку непрерывного потока файлов и ссылок, направляемых на анализ. Предусматривается возможность по любому из проверяемых файлов отправить запрос аналитикам компании Group-IB для проведения дополнительного анализа, исследования, обогащения, атрибуции и получения дополнительной информации.
Сетевой граф Group-IB, в свою очередь, представляет собой инструмент для проактивной охоты на угрозы, исследования и поиска взаимосвязей, корреляции событий и атрибуции атак.
Доступ к графу осуществляется через соответствующий раздел платформы TI&A (рис. 6). В ходе анализа используется база данных, содержащая более миллиарда доменов (из них — сотни миллионов доменных имён второго уровня), SSL-сертификатов, сотни миллионов SSH-ключей и IP-адресов, а также историю всех изменений в глобальной сети за 10 лет.
Рисунок 6. Интерфейс для работы с графом
С помощью сетевого графа Group-IB можно построить и исследовать связи между доменными именами; IP-адресами; контактами, представленными с помощью адресов электронной почты, номеров телефонов, псевдонимов; сертификатами, используемыми при взаимодействии по протоколу SSL, и SSH-ключами; файлами, основываясь на значениях их хешей, определённых по алгоритму SHA-1; используемыми аккаунтами и обсуждаемыми темами на площадках теневого интернета.
Перед построением графа необходимо выбрать промежуток времени, на котором будет проходить исследование, и глубину детализации, а также включить или отключить фильтрацию нерелевантных данных.
При построении графа осуществляется автоматическое скрытие «лишних» элементов исходя из той же логики, которой обычно руководствуются аналитики в своей работе. Также в процессе построения графа учитывается многолетняя история изменений. Пользователь этого инструмента может выбрать конкретный период для проведения исследования. Предоставляется возможность рассматривать изменение связей между сущностями со временем.
Используемый механизм корреляции информации из различных источников в совокупности с дополнительными «скрытыми данными» позволяет нивелировать влияние локального законодательства ряда стран, предусматривающего скрытие данных различных категорий.
В графе используется специальная система поиска, анализа и визуализации данных, позволяющая учитывать неявные связи, недоступные в публичном сегменте интернета. Результат поиска формируется в приемлемое для пользователя время без некомфортных задержек.
Кроме указанных двух инструментов клиенту платформы TI&A предоставляется возможность ведения мониторинга активности в теневом интернете и каналов коммуникаций злоумышленников. Мониторинг может осуществляться в автоматическом режиме или с привлечением TI-аналитиков. Доступ к «сырым» данным из теневого интернета открыт в соответствующем разделе платформы TI&A (рис. 7).
Рисунок 7. Интерфейс доступа к «сырым» данным теневого интернета
Через интерфейс мониторинга имеется возможность осуществлять поиск ключевых слов и их сочетаний в сообщениях, которыми обмениваются пользователи теневого интернета, или в публикациях на закрытых ресурсах. По каждому из отфильтрованных сообщений можно узнать:
- дату публикации;
- псевдоним автора;
- связанные учётные записи;
- количество сообщений;
- даты первой и последней публикации;
- упомянутые в сообщении контакты мессенджера Telegram, адреса электронной почты и номера телефонов;
- идентичные публикации или профили на разных площадках теневого интернета.
Мониторинг дарквеб-площадок
Краткий рецепт
Таблица 1. Что нужно для мониторинга дарквеб-площадок
Результат | • Доступ к «сырым» данным из дарквеба: информация по аккаунтам злоумышленников (никнеймы, даты публикаций, количество сообщений), тексты их сообщений на закрытых форумах (с переводом), связанные контактные данные. • Проведение дополнительных исследований активности злоумышленников в дарквебе исходя из своих задач и требований к киберразведке. |
Вам понадобятся | • Собственные системы парсинга и мониторинга андеграундных форумов. • Аккаунты «с репутацией» на ряде площадок. • Внедрённые «агенты», которые говорят с участниками площадок на одном языке, ориентируются в происходящем. или • Подписка на Group-IB Threat Intelligence & Attribution. |
Как это работает
Мониторинг андеграундных площадок всегда входил в подписку, Group-IB много лет развивала свои системы и возможности собирать информацию из дарквеба. Однако начиная с этой версии портала Group-IB Threat Intelligence & Attribution открывается доступ ко всему пополняемому архиву сообщений, собранных в последние годы.
В разделе можно осуществлять поиск по определённым ключевым словам и их сочетаниям, чтобы получить все релевантные сообщения из дарквеба. Для каждого из них можно изучить дату публикации, никнейм автора, связанные аватары, количество сообщений, даты первой и последней публикаций, собранные связанные контакты (телеграм, электронная почта, номер телефона, если таковые упоминались), а также идентичные посты или профили на других площадках.
Как это использовать
- Самостоятельные исследования. Поиск информации по ключевым словам, контексту, никнеймам. Дополнительные данные для решения любых задач, связанных с андеграундными площадками.
- Релевантные упоминания. Получаемые в разделе сообщения добавляются в соответствии с общими настройками портала и требованиям к киберразведке каждой конкретной компании, чтобы получать из дарквеба только то, что по-настоящему важно.
- Атрибуция. Злоумышленники на пути своего «становления» часто оставляют следы на площадках в дарквебе, где они изучают новое, пробуют инструменты, запрашивают или предлагают свои услуги. По прямым или косвенным связям можно сделать ряд открытий и связать отдельных киберпреступников с их старыми аккаунтами, раскрыв их личность.
- Тренды андеграунда. Появление новых инструментов, эксплойтов, обсуждение конкретных событий, компаний, новостей, общее изменение трендов и т. п. Возможность «держать руку на пульсе» мира дарквеба.
Отчётность по киберпреступным группировкам
Платформа TI&A предоставляет своим клиентам возможность получить информацию о киберпреступных группировках, действующих в конкретном регионе. Это позволяет своевременно корректировать модель угроз и на её основе обновлять политику безопасности; также появляется возможность провести тренинги персонала, максимально приближенные к реальным опасным ситуациям.
Описание (профиль) любой кибергруппировки состоит из разделов «Таймлайн», «Атаки» и «Подробная информация» (рис. 8).
Рисунок 8. Общий вид профиля кибергруппировки
В разделе «Таймлайн» указан интервал времени, по которому отображается информация об активности конкретной группировки, а также дан общий обзор по динамике её активности (рис. 9).
Рисунок 9. Пример данных раздела «Таймлайн»
Полная информация об атаках со стороны рассматриваемой группировки содержится в разделе «Атаки». Там же указываются события, связанные с преступной группой (рис. 10).
Рисунок 10. Пример данных раздела «Атаки»
Сведения, дополняющие разделы «Таймлайн» и «Атаки», отражаются в разделе «Подробная информация» (рис. 11). В частности, это могут быть подробности либо по всей группировке в целом, либо по каждому отдельному отчёту. Для отдельных атак предоставляются оценка надёжности и достоверности источника, оценка по протоколу TLP, значимость события и ссылки на источники при их наличии.
Рисунок 11. Пример данных раздела «Подробная информация»
Аналитические материалы
Пользователи платформы TI&A получают доступ к специальному разделу аналитической информации, сформированной экспертами компании Group-IB, который содержит:
- персонализированную аналитику, формируемую по запросам различных компаний и доступную непосредственно заказчикам такой информации;
- ежегодные отчёты об угрозах и трендах «High Tech Crime Trends», содержащие результаты исследований происходящего в мире информационной безопасности за уходящий год по отраслям вместе с прогнозами на следующий период;
- ежемесячные и ежеквартальные отчёты о развитии угроз, представляющие собой постоянно обновляемые сборники концентрированной информации по ключевым событиям за более короткие прошедшие периоды;
- детализированные отчёты по результатам исследований различных киберугроз, событий, киберпреступных группировок.
Все отчёты имеют предопределённую структуру, что позволяет быстро ориентироваться в представленной информации (рис. 12).
Каждый отчёт сопровождается оценкой по протоколу TLP. Персонализированные специфические отчёты, созданные по запросу, видны только соответствующим компаниям-участникам.
Рисунок 12. Пример отчёта
Такая отчётная информация позволяет в лаконичной форме донести до пользователей сервиса TI&A самые актуальные сведения о текущей киберкриминальной обстановке в мире, а также даёт возможность прослеживать прогресс конкретных киберугроз и прогнозировать дальнейшее развитие ситуации.
Системные требования для работы с платформой Group-IB Threat Intelligence & Attribution
Для доступа к сервису TI&A клиенту требуется рабочая станция с доступом к сети «Интернет». Требования к составу программного обеспечения или к аппаратной платформе не предъявляются.
Сценарии использования платформы Group-IB Threat Intelligence & Attribution
Построение модели угроз
При построении модели угроз организации потребуется описать актуальные угрозы безопасности, модель нарушителя, возможные уязвимости и способы реализации угроз.
Для аналитической работы с актуальными угрозами в платформе TI&A следует войти в раздел «Ландшафт угроз» и получить ответы на следующие вопросы:
- Кто представляет угрозу для организации сейчас?
- Кто будет представлять непосредственную угрозу моей организации в будущем?
Ответы на указанные вопросы будут получены при переходе в раздел «Ландшафт угроз» (рис. 13).
Рисунок 13. Пример раздела «Ландшафт угроз»
В результате будет отфильтрован перечень группировок, ведущих атаки в отношении организации, её клиентов или отрасли, к которой принадлежит сама организация (рис. 13).
Для того чтобы выяснить, насколько велик интерес злоумышленников к организации в перспективе, можно воспользоваться мониторингом активности теневого интернета. Интерес будут представлять упоминания наименований организации, её партнёров и клиентов (существующих и потенциальных), а также отрасли, к которой принадлежит организация. Пример соответствующего поискового запроса представлен на рисунке 14.
Рисунок 14. Формирование поискового запроса по ресурсам теневого интернета
В результате будут выведены сообщения, соответствующие сделанному запросу. Пример данных демонстрируется на рисунке 15.
Рисунок 15. Перехваченные сообщения и публикации теневого интернета
Из полученных данных теневого интернета есть возможность выделить сообщения, переданные за последнее время, и их авторов. Имеющийся в платформе TI&A инструментарий позволяет связать авторов сообщений с конкретными киберпреступными группировками. В частности, такие связи можно выявить с помощью сетевого графа Group-IB. Для этого потребуется перейти в раздел «Graph» и ввести поисковый запрос (рис. 16).
Рисунок 16. Поисковый запрос в разделе «Graph»
В результате будет получено название конкретной группировки киберпреступников, к которой имеет отношение злоумышленник, опубликовавший сообщения в теневом интернете (рис. 17).
Рисунок 17. Поисковый запрос в разделе «Graph»
В результате рассмотренных действий становится известен перечень кибергруппировок, представляющих прямую или косвенную опасность для организации.
На следующем шаге необходимо выяснить характерные действия этих группировок при проведении атак. Эта информация может быть получена из раздела «Threat Actors». Для этого выполняется соответствующий запрос, пример которого представлен на рисунке 18.
Рисунок 18. Поисковый запрос в разделе «Threat Actors»
В результате будет получена информация об атаках, сопоставленных с искомой группировкой, а также дополнительные данные по ней. В частности, интерес будет представлять набор данных «ATT&CK Matrix», по которому будут понятны способы реализации угроз и эксплуатируемые уязвимости.
На рисунке 19 демонстрируется результат, содержащий перечень эксплуатируемых уязвимостей. Далее, на рисунке 20, показаны детали по одной уязвимости из списка, в том числе перечислены публичные эксплойты. Если нажать на один из них, то будет показан текст публичного эксплойта.
Рисунок 19. Результат обработки запроса по киберпреступной группировке: перечень CVE
Рисунок 20. Результат обработки запроса по киберпреступной группировке: раскрытие данных по уязвимости
В результате всех предпринятых действий будет получена информация, необходимая для формирования актуальной модели угроз.
Атрибуция угрозы
В случае проведения расследования в отношении зафиксированного инцидента в ИБ возникает задача выявления источника угрозы, желательно — до уровня конкретного человека. В решении данной задачи также поможет платформа TI&A. Сценарием здесь может служить следующая последовательность действий.
Вначале устанавливается, какие именно изменения произошли в атакованной инфраструктуре, выявляются аномальные события и иные факты, указывающие на нелегитимную активность. В частности, такие сведения может предоставить развёрнутая система обнаружения вторжений, SIEM-система, комплекс анализа сетевого трафика.
Используя полученные данные, клиент формирует запросы в платформе TI&A, и в качестве результата ему указывается наиболее вероятная киберпреступная группировка. Далее с помощью сетевого графа выполняются действия, позволяющие выйти на источник угрозы. Примеры — на рисунках 16 и 17 выше.
Выявление и блокировка фишинговых атак
С использованием инструментальных средств платформы TI&A выявляются и далее выгружаются данные о фишинговых ресурсах. Эта информация является исходной для средств защиты, развёрнутых в инфраструктуре клиента и обеспечивающих блокировку доступа к нелегитимным ресурсам.
Разработка превентивных мер противодействия угрозам
В современных реалиях бизнес во всём мире ориентируется на повсеместное использование ИТ. При этом взаимодействие с клиентами (да и с собственными сотрудниками) переходит в режим «онлайн». С одной стороны, такая ситуация даёт широкие возможности по привлечению клиентов, в том числе в отдалённых от фактического расположения организации регионах. С другой стороны, недобросовестные конкуренты получают большие возможности по дестабилизации работы легитимных организаций и вытеснению их с рынка. Для этого достаточно нарушить работоспособность внутренней ИТ-инфраструктуры организации, скомпрометировать содержимое её внешнего веб-сайта или оказать от лица этой организации услуги ненадлежащего качества.
В борьбе с указанными угрозами и в выработке превентивных мер, нивелирующих негативные последствия от действий недобросовестного конкурента, вновь может помочь платформа TI&A. С этой точки зрения возможны следующие подходы.
Проводя мониторинг теневого интернета, можно выявить интерес со стороны злоумышленников к конкретной организации, её продукции или услугам. Для этого достаточно, чтобы клиент передал в адрес аналитиков компании Group-IB перечень своих доменов и IP-адресов сетевых узлов. Аналитики сформируют запрос, и клиент сможет сразу ознакомиться с его результатами. Примером такого запроса может служить слайд, представленный выше на рисунке 14.
Следующая последовательность действий обеспечит атрибуцию угрозы:
- перейти в раздел графового анализатора Graph;
- ввести искомые данные (псевдоним, домен, IP-адрес, хеш файла);
- выполнить запрос.
Клиент увидит атрибуцию и отображение «маршрута» до конкретных объектов. Пример такого сценария продемонстрирован выше на рисунках 16 и 17.
Наконец, собранный материал следует передать в правоохранительные органы для принятия мер по предотвращению планируемого преступления.
Выводы
Платформа Group-IB Threat Intelligence & Attribution представляет собой решение, которое позволяет получать информацию о киберугрозах в объёмах достаточных для принятия мер защиты от актуальных угроз безопасности. Во многих случаях это позволит свести к минимуму ущерб от реализации таких угроз, а порой — и исключить его полностью.
При использовании системы Group-IB Threat Intelligence & Attribution в рамках проведения расследований компьютерных инцидентов становится возможным выявить реальные источники атак, а при определённых обстоятельствах — также и их заказчиков.
Система не требует какой-либо установки на компьютерах клиентов, что избавляет от ограничений в выборе программно-технических средств. Однако для более комфортного восприятия материала стоит обратить внимание на подбор мониторов.
Интерфейс системы выглядит вполне логичным, расположение элементов управления интуитивно понятно и не вызывает какого-либо негативного ощущения.
Достоинства:
- Использование системы не требует установки дополнительного программного обеспечения на компьютерах пользователей.
- Пользователям системы предоставляются только данные, что не подпадает под ограничения в рамках политики импортозамещения.
- Состав данных, накапливаемых в системе, не является узкоспециализированным, охватывает объекты, относящиеся к различным экономическим отраслям и преступным группировкам.
- Формируемые сведения ориентированы непосредственно на конкретного заказчика, что позволяет ему сосредоточиться на решении исключительно собственных задач по противодействию актуальным угрозам безопасности информации.
- Наличие уникального графа;
- Возможность создать и управлять ландшафтом угроз;
- Отслеживание утечек;
- Широкий набор предоставляемых данных.
Недостатки:
- Отсутствие поддержки русского языка в интерфейсе, однако клиенты отчёты получают на русском языке, поэтому необходимости перевода нет.
- Отсутствие в открытом доступе эксплуатационной документации не позволяет потенциальному заказчику сделать предварительную оценку целесообразности использования данной платформы, что приводит к необходимости проведения тестовой апробации с участием специалистов Group-IB.