Как киберразведка помогает бизнесу предотвращать атаки и обнаруживать инциденты на ранних стадиях

По данным аналитической компании Statista, в 2023 году общий ущерб от киберинцидентов составил более $8 млрд, а через пять лет превысит 13 миллиардов. На этом неприятности не кончаются: после кибератаки компания вынуждена восстанавливать репутацию, бороться с оттоком клиентов, а в некоторых случаях — например, если злоумышленникам удалось похитить персональные данные, — еще отвечать перед регуляторами.

Предотвратить атаку проще, чем справиться с ее последствиями, и именно здесь на сцену выходят специалисты по киберразведке. Они собирают из множества источников и анализируют данные о существующих угрозах, чтобы бизнес мог работать на опережение и своевременно принимать решения по защите ИТ-систем. Из этой статьи вы узнаете, что такое киберразведданные, как их собирать и правильно интерпретировать и в чем специфика российского ландшафта киберугроз.

Главная задача киберразведки — заранее узнать, откуда может прийти атака и как ее отразить. Для этого необходимо постоянно исследовать данные об актуальных угрозах. Но откуда их взять?

В России возможностями киберразведки пользуется не так много компаний. До недавнего времени основной спрос был со стороны западных клиентов, и провайдеры фокусировались больше на угрозах, актуальных для этих стран, что значительно снижало количество данных, которые мог использовать локальный бизнес. Часто организации просто полагались на вердикты средств защиты (скажем, антивирусного программного обеспечения), которые могут выглядеть, например, так: Trojan.Win32.Generic!BT.

Безусловно, эту информацию все еще можно использовать для обнаружения, например, вредоносных файлов. Некоторые вендоры даже формируют потоки таких данных – они называются threat feeds. Их недостаток в том, что мы не получаем контекста. Например, мы знаем, что есть некий вредоносный файл, но понятия не имеем, о чем, собственно, говорит его наличие в системе: откуда он появился, какие у него функциональные особенности, с какой именно атакой мы имеем дело, какой у нее источник и на что еще следует обратить внимание. Всего этого по одним индикаторам не определишь.

Кто-то выбирает еще более простой путь и собирает данные об угрозах из публичных источников. К сожалению, такой метод не годится для российских компаний, потому что исследований киберландшафта СНГ очень мало: из 1000 отчетов, которые вышли в 2023 году, для России актуальны всего 40. К тому же от обнаружения угрозы до публикации отчета по ней в среднем проходит 1,5 месяца, и к этому времени обнаруженные индикаторы теряют актуальность, а злоумышленники достигают своей цели. По сути, единственное, для чего можно использовать такие данные, — это ретроспективный анализ, то есть исследование уже состоявшихся атак.

Какие данные использует киберразведка?

Информация превращается в киберразведданные только после анализа, проведенного человеком. Представим, что у нас есть некий IP-адрес. Сам по себе он не представляет особой ценности, нужно больше контекста: например, выяснить, что с этим адресом связан сервер, который использует определенная группировка для атак на такие-то организации. Теперь это уже киберразведданные — их можно использовать для защиты организации.

Некоторые специалисты утверждают, что анализ можно автоматизировать, но это не так. Ускорить можно лишь обработку данных, которая поможет подготовить их к дальнейшему исследованию. Здесь, как в медицине: современное оборудование и искусственный интеллект помогают увидеть более четкую картину болезни, но окончательный диагноз ставит только врач и он же выбирает стратегию лечения.

Важно помнить: если киберразведчик использует только открытые источники, он не киберразведчик. Публичные отчеты могут дополнить картину, но ключевое слово здесь —«дополнить». Основной костяк киберразведданных приходит из совершенно других источников:

• Компании, специализирующиеся на кибербезопасности, могут собрать много полезной информации с собственных сенсоров. 
• Немаловажную часть данных предоставляют компании, которые обращаются к экспертам по киберразведке за помощью и консультацией. Продолжая аналогию с медициной, это похоже на опрос и осмотр пациента.
  
• Следующий важный источник — произошедшие инциденты, когда ущерб уже нанесен, и атаки, которые удалось остановить на начальной стадии.
  
• Наконец, чтобы получить еще больше информации о тактиках, техниках и процедурах атакующих, используются ханипоты — специальные приманки, практически неотличимые от настоящих корпоративных сетей. Если злоумышленник попробует атаковать такую мишень, он раскроет свои приемы, а реальный ущерб нанести не сможет.

Чем больше у вас источников киберразведданных, тем более полной и объективной получится картина. И уж конечно, ни в коем случае нельзя ограничиваться каким-то одним источником — даже если кажется, что в нем есть всё необходимое.

Какие бывают киберразведданные?

Киберразведданные можно разделить на четыре уровня. Первые три предназначены для технических специалистов, а информация с последнего, четвертого уровня идет к руководителям организаций и владельцам бизнеса, которые на их основе принимают стратегические решения.

Уровень 1. Технические данные

Кто использует: технические специалисты.

Что содержат: индикаторы компрометации, например IP-адреса или контрольные суммы файлов — последовательность цифр и букв, которая позволяет идентифицировать файл (можно сказать, это цифровой отпечаток его пальца).

Пример. Так выглядят некоторые индикаторы компрометации, связанные с группировкой Core Werewolf: clodmail[.]ru, seemsurprise[.]com, moscowguarante[.]com, linux-tech-world[.]net. (

Уровень 2. Тактические данные

Кто использует: технические специалисты.

Что содержат: данные о тактиках, техниках и процедурах, которые используют атакующие. Тактики определяют цель, которой хотят достичь злоумышленники, а техники и процедуры — то, каким образом они это делают.

Пример. К тактическим данным относится информация, что группировка Leak Wolf получает первоначальный доступ к ИТ-инфраструктуре с помощью легитимных аутентификационных данных, которые крадет у организаций-подрядчиков, либо использует вредоносное ПО класса «стилер» (программы для кражи логинов, паролей и другой ценной информации).

Уровень 3. Операционные данные

Кто использует: технические специалисты.

Что содержат: техническую информацию общего характера. Например, от чьего имени преступники рассылали фишинговые письма или какую уязвимость они эксплуатировали.

Пример. В ходе кампании, нацеленной на российские промышленные организации, группировка Mysterious Werewolf рассылает фишинговые письма от имени Министерства промышленности и торговли РФ. К письмам приложены архивы, их открытие приводит к эксплуатации уязвимости CVE-2023-38831 в WinRAR и последующей загрузке в скомпрометированную систему агента Athena, который получает команды через Discord.

Уровень 4. Стратегические данные

Кто использует: руководители организаций и лица, принимающие решения.

Что содержат: сведения об общем состоянии киберландшафта. В стратегических киберразведданных почти нет технической информации, но они помогают понять, с какими угрозами может столкнуться компания и какие риски для нее это несет. На основе этих данных компания может круто изменить свой курс.

Пример. В последние год-полтора значительно изменился ландшафт угроз, связанных с хактивизмом, но многие организации не обратили на это внимания. В результате более 50 крупных российских компаний стали жертвами группировки Leak Hyena, а их данные оказались в Телеграм-канале злоумышленников. При этом организации, вооруженные качественными киберразведданными, смогли заранее защитить наиболее критичные части ИТ-инфраструктуры и отразить атаки. Утечки удалось предотвратить, а связанные с этим финансовые издержки и репутационные риски обошли бизнес стороной.

Какие киберразведданные могут использовать российские компании?

Мы провели небольшой опрос среди наших клиентов, чтобы понять, с какими данными предпочитают работать российские организации.

Данные о техниках, тактиках и процедурах атакующих (76% компаний)

Знание тактик, техник и процедур позволяет обнаруживать индивидуальный почерк той или иной группировки, заниматься проактивным поиском угроз и проверять, насколько эффективны против них имеющиеся средства защиты. А еще именно эти данные помогут обнаружить вторжение, если вы столкнулись с новой кампанией, для которой еще никто не выявил индикаторы компрометации.

Пример. Группировка Mysterious Werewolf предприняла целую серию атак на промышленные организации. В каждом случае использовались разные командные серверы, а инструменты, которые применяли злоумышленники, имели разные контрольные суммы. По сути, группировка каждый раз меняла внешность, и имеющиеся индикаторы компрометации не помогали ее обнаружить.

А вот техники и процедуры группировка не меняла. Каждый раз преступники использовали уязвимость в WinRAR для выполнения кода на скомпрометированной системе, PowerShell для загрузки инструментария и т. д. Разведданные о техниках и процедурах позволили защитникам распознать уникальный почерк группировки, обнаружить и предотвратить развитие даже атак с неизвестными индикаторами компрометации.

Данные о вредоносном ПО (50% компаний) и инструментах атакующих (57% компаний)

Современные злоумышленники используют для атак не только вредоносные программы, но и вполне легитимные инструменты. В руках преступников на темную сторону переходят даже программы, создававшиеся для служб безопасности.

Пример. AnyDesk — легитимное средство для удаленного доступа. Группировка Shadow Wolf использовала его, чтобы обеспечить резервный канал для доступа к скомпрометированной ИТ-инфраструктуре. Поскольку ПО было абсолютно легальным, обнаружить злоумышленников было сложно — они буквально сливались со скомпрометированной инфраструктурой, ведь этот же инструмент использовали в своей работе сотрудники компании.

Данные с теневых ресурсов (46% компаний)

На подпольных форумах и сайтах можно найти массу объявлений о продаже вредоносного ПО и сопутствующих услуг — например, по взлому ИТ-сервисов или угону аккаунтов. Эту информацию можно превратить в данные о тактиках, техниках и процедурах, чтобы убедиться в защите организации до того, как к ней применят подобные методы.

Пример. Преступники, сумевшие проникнуть в корпоративные системы, обычно не используют открывшиеся возможности сами, а продают их на черном рынке. Если организация стала жертвой таких злоумышленников, именно данные с теневых ресурсов помогут выявить угрозу на начальной стадии и предотвратить развитие атаки.

Данные о группировках (35% компаний)

При слове «группировка» многие представляют себе людей в капюшонах и масках. Реальность куда прозаичнее: терминами «атакующий», «противник» или «группировка» специалисты по киберразведке обозначают всё, что относится к определенному классу активности. Это кампании и атаки, тактики, техники и процедуры, вредоносное ПО и инструменты, используемые уязвимости и индикаторы компрометации. Именно такие данные предоставляют массу информации для расследования и устранения злоумышленников из скомпрометированной ИТ-инфраструктуры.

Данные о скомпрометированных учетных записях (53% компаний)

Стилеры используются повсеместно, а пользователи могут сохранять учетные данные к корпоративным ресурсам на слабо защищенных личных устройствах. Таким образом злоумышленникам удалось проникнуть не в одну сотню корпоративных сетей.

Пример. Стилеры легко приобрести на теневых ресурсах или даже найти их исходные коды на GitHub. Как и в случае с брокерами первоначального доступа, зачастую похищенный аутентификационный материал оказывается в продаже на теневых маркетплейсах. Если компания вовремя обнаружит, что доступ к ее учетным записям продается на черном рынке, это позволит быстро сменить логины и пароли, а значит, предотвратить атаку и связанный с ней ущерб.

Данные об активных кампаниях (31% организаций)

Такая информация позволяет видеть текущее состояние ландшафта угроз, то есть фактически наблюдать за преступниками в режиме реального времени. 

Пример. Игнорирование изменений в ландшафте угроз в большинстве случаев и приводит к инцидентам. Чтобы отреагировать вовремя, нужны данные операционного уровня: например, о новых реализациях известных процедур, новых инструментах или вредоносном программном обеспечении.

Данные об уязвимостях (64% компаний)

А вот эти данные не так полезны, как кажутся. Каждый день появляются тысячи новых уязвимостей, но в настоящих кибератаках применяются лишь единицы. Это не означает, что такая информация совсем не нужна, но важно научиться правильно с ней работать и основное внимание уделять тем уязвимостям, которые действительно используются в атаках.

Индикаторы компрометации (77% компаний)

Наборы индикаторов компрометации давно представлены на рынке, довольно доступны и просты в применении. Но, как мы выяснили выше, без контекста их польза невелика.

Пример. Мнгогие системы одной крупной компании оказались скомпрометированы в результате нескольких атак, а индикаторы компрометации были только для одной из них. Компания смогла обнаружить вредоносный файл, но это не помогло понять, с какой атакой он связан и какие шаги следует предпринять в дальнейшем.

Вместо заключения

До недавнего времени многие компании, специализирующиеся на киберразведке, ориентировались в основном на зарубежных клиентов и поэтому уделяли внимание в основном зарубежным угрозам. Такая информация малоприменима для России. Именно по этой причине многие российские организации пока не до конца осознают, зачем им киберразведка и в чем ее практическая польза.

Но обстановка меняется. В последние годы целенаправленных атак на российские компании стало значительно больше, а методы злоумышленников усложнились. Всё это превращает киберразведку в насущную потребность. Действовать превентивно и заранее выстроить комплексную защиту для организации куда проще (и дешевле!), чем разбираться с последствиями успешных атак.