1015
Киберразведка для банка. Что, где, когда и зачем
Одна из самых опасных разновидностей атак на финансовые организации — это атаки, связанные с проникновением в банковскую инфраструктуру.
Как киберразведка помогает расследовать инциденты
Существует масса методов реализовать подобную атаку, поэтому такие инциденты может быть крайне сложно отследить. А самое главное — один раз получив доступ к инфраструктуре, преступник может затаиться «в ней» в ожидании новых возможностей.
Кейс. Взлом банкоматов
Что произошло
В ходе одной из атак злоумышленники получили доступ к банкоматной сети крупного банка и вывели несколько десятков миллионов рублей. Наличные из взломанных банкоматов забирали сообщники преступников, те самые дропы.
Как действовал банк
Команда кибербезопасности банка первым делом исследовала образ диска одного из банкоматов и определила, что злоумышленники проникли в инфраструктуру, взломав компьютер кого-то из администраторов. Удалось также выяснить, какое вредоносное программное обеспечение (ВПО) при этом использовалось. Но этого было мало: у преступников почти наверняка оставались бэкдоры — дополнительные средства доступа к скомпрометированной инфраструктуре — а значит, хищение могло повториться в любой момент.
Как помогла киберразведка
Специалисты по кибербезопасности передали команде киберразведки информацию о программе, которую злоумышленники использовали для доступа. Уже через несколько минут они получили ответ: такое ВПО использовала только одна группировка — Silence. Она специализировалась на атаках на кредитно-финансовые организации: вначале только российских, а впоследствии и зарубежных.
Киберразведчики сообщили подробности о последних атаках группировки: как именно хакеры проникали в систему, какие инструменты для этого применяли и каким образом заметали следы. Кроме ВПО, в том числе самописного, Silence использовала легитимные программы, чтобы обнаружить взлом было сложнее.
Чем закончилось расследование
Информация о группировке помогла быстро установить первоначально скомпрометированную систему, а за ней — все остальные, и защитить их от повторной атаки. Без участия киберразведки расследование заняло бы от нескольких дней до нескольких недель, и у злоумышленников были бы все шансы успеть нанести повторный удар.
Что такое киберразведданные и где их взять
Сведения о группировке Silence, которыми воспользовалась служба безопасности банка, — классический пример киберразведданных. Их собирают разными способами:
· получают в обезличенном виде с защищаемых устройств (обычно это сотни тысяч компьютеров в организациях из самых разных отраслей);
· ищут в даркнете на теневых форумах;
· поднимают данные из предыдущих расследований и дополняют информацией из открытых источников;
· используют ханипоты — специальные ловушки для злоумышленников, в которых преступники оставляют следы, уникальные, как отпечатки пальцев.
Чем больше источников, тем полнее картина.
Киберразведданные делятся на четыре уровня:
· Технические. Например, подозрительные ссылки, файлы, IP-адреса и домены. Они позволяют идентифицировать вредоносные файлы или сетевые соединения, а также предоставляют контекст, который помогает понять, что это за атака и кто за ней стоит.
· Тактические. Данные о тактиках, техниках и процедурах, которые используют атакующие. Тактики обозначают цель, которую хотят достичь злоумышленники, а техники и процедуры — способ ее достижения.
· Операционные. Контекст становится еще шире: на этом уровне видно данные об атаке, совершаемой в конкретный момент. Сюда входят тактические и технические данные, а также информация общего характера, например, от чьего имени преступники рассылали фишинговые письма.
· Стратегические. На этом уровне почти нет технических данных, но зато мы видим общую информацию о ландшафте киберугроз: какие группировки сейчас представляют наибольшую опасность, какова их мотивация и насколько велик риск подвергнуться атаке.
Данные первых трех уровней предназначены в основном для технических специалистов. Именно эти сведения чаще всего используются при расследовании уже случившихся инцидентов, а еще — для тестирования средств защиты, проактивного поиска угроз и разработки логики, по которой они будут детектироваться. А стратегические киберразведданные помогают руководителям организаций и владельцам бизнеса в планировании и принятии важных решений.
Как киберразведданные помогают в бизнес-планировании
Кибератаки — один из ключевых факторов риска для бизнеса. Они грозят штрафами, проверками от регуляторов, финансовыми и репутационными потерями. Например, в результате утечки, случившейся из-за хакерской атаки, одно кредитное агентство потеряло 13% стоимости акций. Также, по статистике, 71% клиентов не возвращаются к компании, если утратили доверие к ней.
Киберразведданные можно применять не только для расследования уже случившихся инцидентов. Для организации выгодно опираться на них на этапе стратегического планирования – это помогает не только избежать некоторых угроз, но и усилить позиции компании на рынке.
Например, за последние полтора года киберландшафт в России резко изменился. Значительную угрозу стали представлять так называемые хактивисты, чья основная цель — не получить выкуп, а предать инцидент как можно более широкой огласке (на начало 2024 года отмечался спад активности хактивистов, но это не означает, что угроза потеряла свою актуальность – Ред.).
Не все организации обратили на это внимание и приняли нужные защитные меры. В результате хактивистcкая группировка Leak Hyena похитила и опубликовала в своем телеграм-канале данные более 50 крупных российских компаний, в том числе из финансового сектора.
Но если компании благодаря киберразведке узнают об угрозе заранее, оценивают риски и успевают защитить инфраструктуру, то, отразив атаку, они могут использовать этот кейс для продвижения собственного бренда. Таким образом формируется имидж надежных партнеров и поставщиков.
Какие ошибки компании допускают при использовании киберразведки
Неверный подход к киберразведке может свести ее преимущества почти к нулю. Чтобы этого не случилось, важно избегать типичных ошибок.
Ошибка №1. Полностью полагаться на публичные отчеты
Это может сработать за рубежом, но, к сожалению, не в нашей стране. Из более чем 1000 отчетов, опубликованных в 2023 году, киберландшафту России и СНГ были посвящены всего 40 документов. А значит, для российских организаций такая информация почти не актуальна.
Кроме того, публичный отчет появляется в среднем через 1,5 месяца после первого обнаружения угрозы, и полученные данные к этому моменту уже устаревают.
Как исправить
Публичные отчеты полезны тем, что в той или иной степени помогают сформировать общее представление о киберландшафте и повышают осведомленность компаний существующих на настоящий момент угрозах. Однако для принятия стратегических решений их нужно обогащать дополнительной актуальной информацией, которую можно получить только у внешних источников киберразведданных.
Ошибка №2. Использовать только данные технического уровня
Многие компании ограничиваются данными технического уровня — как правило, индикаторами компрометации. Их контекст может сводиться к вердикту антивирусного ПО, а может и идентифицировать угрозу — например, семейство ВПО или группировку. В первом случае данные указывают на вредоносный файл или процесс, но почти никогда не дают достаточно контекста, чтобы понять, что именно угрожает компании и как ей на это реагировать. Поэтому для принятия решений таких данных недостаточно.
Информацию с теневых форумов используют только 46% российских организаций, данные о действующих группировках — 35%, об активных кампаниях — всего 31%. Так организации лишают себя возможности увидеть полную картину, а значит, вовремя понять, к каким атакам нужно готовиться и что будет, если этого не сделать.
Как исправить
Использовать технические данные, которые предоставляют контекст, а не просто вердикт антивирусной системы, а также дополнять их данными других уровней, полученные из максимально широкого круга источников. Это поможет заранее понять, как предпочитают действовать злоумышленники, и убедиться, что организация в безопасности. А если нет — успеть исправить ошибки и усилить защиту.
Ошибка №3. Пытаться автоматизировать анализ киберразведданных
Автоматизация помогает сократить издержки и ускорить процессы. Для обработки данных ее, разумеется, используют и киберразведчики. Только этого недостаточно: обработанные данные нужно еще проанализировать, а это уже задача человека-аналитика. Искусственный интеллект еще не достиг здесь такого уровня, чтобы потягаться с живым экспертом.
Как исправить
Следует автоматизировать обработку данных, чтобы подготовить их к дальнейшему исследованию. А глубокий анализ – доверить специалисту.
Какие киберугрозы ждут финсектор в 2024 году
В 2024 году число группировок продолжит расти. При этом, с одной стороны, будут усложняться тактики и техники профессиональных кибепреступников, а с другой — благодаря доступному коммерческому вредоносному ПО в атаки будут вовлекаться все больше людей без специальных навыков. Это приведет к дальнейшему росту спроса на вредоносное ПО, а значит, и к увеличению его предложения.
Для российских финансовых организаций это означает, что поток атак будет расти. И это несмотря на то, что деньги стало похищать сложнее, ведь банки выстраивают мощную систему защиты. Но, помимо денег, в финансовых организациях есть и другие цели, интересные злоумышленникам, например, персональные данные клиентов, которые можно перепродать на черном рынке, сети, которые можно зашифровать и потребовать выкуп.
Поэтому киберразведка — это насущная потребность российского бизнеса. В 2023 году спрос на инструменты киберразведки вырос на 20-40%, и эта тенденция сохранится. В целом можно сказать, что киберразведка становится неотъемлемой составляющей стратегического планирования.
