Спецпроекты

Станислав Фесенко, Group-IB: Мы помогаем бизнесу «видеть» угрозы, против которых бессильны традиционные средства защиты

Безопасность

Уходящий 2020 г. установил новые антирекорды в сфере киберпреступности, поставив бизнес и госорганизации сразу перед несколькими важными вопросами. Эффективны ли используемые ими технологии защиты, если утечки все равно происходят, доступы к взломанным инфраструктурам продаются в даркнете, а операторам шифровальщиков по-прежнему платят многомиллионные выкупы за возврат данных. О том, какие технологии кибербезопасности может противопоставить бизнес таким угрозам, зачем нужен «хантинг» за хакерами и почему существующая защита «не работает», CNews рассказал руководитель департамента системных решений Group-IB Станислав Фесенко.

CNews: Рынок информационной безопасности насчитывает не менее 30 лет, компании уже давно установили системы защиты от различных угроз — внутренних и внешних. Почему атаки все равно «проходят» и останавливают бизнес, как в случае с теми же шифровальщиками?

Станислав Фесенко: Ответ лежит в технологической плоскости: системы защиты должны минимизировать риски, автоматизированно распознавая и сопоставляя события внутри и вне сети, с тем чтобы выявить атаку, предотвратить ее и изучить данные по ней. То, что мы можем противопоставить киберпреступникам, это скорость реакции и полнота данных: этот «технологический ответ» предполагает наличие на стороне компании технологий хантинга за угрозами и атакующими.

CNews: Group-IB представила отчет Hi-Tech Crime Trends 2020/21. В нем указаны конкретные кейсы и угрозы сразу по нескольким ключевым отраслям: банковский сектор, телекоммуникации, энергетика. Насколько схожи схемы атак на эти с первого взгляда противоположные сектора?

Станислав Фесенко: Есть угрозы «индустриальные», а есть — универсальные. Например, оператору программы-шифровальщика абсолютно все равно, кто вы — банк, дистрибьютор или ритейлер. Для него единственный критерий — ваша платежеспособность. Буквально недавно в России был кейс, в рамках которого компания выплатила операторам шифровальщика, полностью остановившего все бизнес-процессы компании, крупную для нашей страны сумму — в несколько миллионов рублей.

fesenko800.jpg
Станислав Фесенко: Threat Intelligence & Attribution — не просто новый продукт, это новый класс решений по киберразведке, выстроенный вокруг атакующих

В нашем отчете Hi-Tech Сrime Trends 2020/2021, представленном Group-IB на CyberCrimeCon2020, мы приводим ущерб от вымогателей в прошлом году: более $1 млрд. И это — по минимальным подсчетам. Однако реальные цифры многократно выше: пострадавшие компании не горят желанием светить инциденты, предпочитая заплатить злоумышленникам, либо атака не сопровождается публикацией данных из сети пострадавших.

Бум шифровальщиков вызвали еще два фактора. Во-первых, вымогатели начали «партнериться» с хакерами, продающими доступы к взломанным сетям. Об одном таком — под ником Fxmsp — в этом году мы выпустили подробный аналитический отчет, раскрывающий механизмы этого рынка в даркнете, инструменты и способы атак на компании. Продажа доступов к скомпрометированным сетям компаний — редкий «товар» в андеграунде, однако в свете пандемии, когда удаленные сотрудники покинули защищенный периметр офисной сети, при этом продолжая работать с корпоративными системами, сети компаний стали более простой мишенью для атакующих. Это привело к расцвету рынка продажи доступов: его объем составил $6 189 млн, что выше в 2,6 раза, чем в прошлом периоде.

Во-вторых, в этом году часть киберкриминальных групп переключилась на работу с вымогателями. Например, Cobalt и Silence, основной целью которых раньше были банки, переключились на использование шифровальщиков и стали участниками приватных партнерских программ. Таким образом можно заработать не меньше, чем в случае успешной атаки, например, на банк, а техническое исполнение — значительно проще.

Всего за последний год стало известно публично о более чем 500 атаках вымогателей на компании в более чем 45 странах мира. Основными целями вредоносов в 2020 году были США, Великобритания, Канада, Франция и Германия. В топ-5 наиболее пострадавших от шифровальщиков отраслей вошли: производство (94 жертвы), ритейл (51), госучреждения (39), здравоохранение (38), строительство (30).

CNews: Помимо отчета, на CyberCrimeCon 2020 Group-IB также представила новый продукт Threat Intelligence & Attribution. Заявлено, что TI&A является универсальной и представляет из себя целую экосистему. Что конкретно она включает в себя и каково ее предназначение?

Станислав Фесенко: Threat Intelligence & Attribution — не просто новый продукт, это новый класс решений по киберразведке, выстроенный вокруг атакующих. TI&A способна формировать карту угроз под конкретную компанию, динамически выстраивая связи между разрозненными событиями и атрибутируя атаку до конкретной хакерской группы или даже физического лица. Она стала результатом многолетней разработки собственных технологий Group-IB для исследования киберугроз и охоты за атакующими. Эта система предназначена для зрелого бизнеса и продвинутых команд в области кибербезопасности, которым необходим инструмент для сбора данных об угрозах и атакующих, релевантных для их организации, с целью исследования, проактивной охоты за хакерами и защиты своей сетевой инфраструктуры. Аналогов системы сегодня на мировом рынке нет.

Объединяя в себе уникальные источники данных, опыт расследования высокотехнологичных преступлений и реагирования на сложные многоступенчатые атаки по всему миру, именно TI&A во многом «накачивает» данными для хантинга за атакующими и угрозами все остальные продукты Group-IB.

Как я уже говорил, идеология системы выстроена вокруг атакующих, ее задача — выявить не только угрозу, но и того, кто за ней стоит. Это и есть атрибуция, что и подчеркивается в ее названии. TI&A оперирует большими данными, которые помогают оперативно связывать атаку с группировкой или конкретными хакерами. TI&A умеет анализировать и атрибутировать угрозы, с которыми уже столкнулась компания, обнаруживать утечки и компрометацию пользователей, идентифицировать инсайдеров, торгующих данными компании на андеграудных ресурсах, выявлять и блокировать атаки, нацеленные на компанию и ее клиентов, независимо от отрасли.

Таким образом, мы даем возможность бизнесу «видеть» угрозы, не покрываемые традиционными средствами защиты, глубже понимать методы работы продвинутых атакующих, а также оценивать, может ли им противостоять защищаемая инфраструктура. Такой подход помогает мотивировать и совершенствовать внутренние команды кибербезопасности, а также усиливать их экспертизу за счет глубокого понимания ландшафта угроз для защищаемой инфраструктуры.

CNews: То есть Threat Intelligence & Attribution — система, которую могут использовать специалисты по информационной безопасности в любой отрасли — от финансов до ритейла. За счет чего удалось достичь такого результата и диверсифицировать ее возможности?

Станислав Фесенко: В первую очередь, за счет максимального количества данных, которые мы обрабатываем. Система хранит сведения о хакерах и их связях, доменах, IP, инфраструктуре за 15 лет, включая те, что преступники пытались удалить. Мощная функциональность позволяет настраивать ее под ландшафт угроз не только отдельной отрасли, но и отдельной компании в конкретной стране. Поскольку то, что угрожает, допустим, ритейлу в Сингапуре, может отличаться от того, что актуально для компаний из России. Понимание того, что угрожает именно тебе, позволяет в итоге не тратить бешеные бюджеты на все подряд и при этом эффективно защищаться.

Во-вторых, инструменты, которые мы встроили в платформу, универсальны. Так, например, запатентованная технология графа, который моментально позволяет выстроить связи между IP, доменами, инфраструктурой, профайлами атакующих. Это инструмент хантинга, а хантинг — это постоянный процесс, построенный на умении использовать огромные массивы данных для выявления, исследования и выработки мер защиты против угрозы.

CNews: Кого вы видите конечным бенефициаром данной технологии? Кто ваша целевая аудитория для предложения TI&A? Какие выгоды от ее использования получат корпоративные специалисты, независимые исследователи, аналитики?

Станислав Фесенко: Это комплекс технологий для бизнеса, обладающего хорошим уровнем зрелости с точки зрения понимания технологий кибербезопасности. Под защитой продукта — крупнейшие финансовые, страховые и телекоммуникационные компании из Европы, Ближнего Востока, Африки, Юго Восточной Азии и СНГ.

Если речь о профиле специалистов, то TI&A предназначена для команд, занимающихся мониторингом (SOC), тестированием на готовность к кибератакам (Red team), управлением системами безопасности, реагированием на инциденты (DFIR) и Threat Hunting экспертам. В целом, использование данных киберразведки позволяет повысить эффективность существующих команд, отвечающих за безопасность, минимум на 30%.

Поскольку это SaaS-решение, оно не требует CAPEX-затрат на внедрение и запуск в промышленную эксплуатацию. Для автоматизации некоторых процессов есть готовые интеграции с SIEM (Security information and event management) и TIP (Threat Intelligence Platform): используются гибкие API (JSON, STIX).

Среди преимуществ — невероятно обширные возможности создавать и управлять ландшафтом угроз, собирать и исследовать данные, которые нужны именно тебе. Из инструментов, доступных каждому пользователю TI&A, это, например, продвинутая модель профилирования криминальных групп и прогосударственных атакующих. Это доступ к аналитике, к поиску по крупнейшей коллекции данных Darkweb и многим другим уникальным источникам знаний.

CNews: Правильно ли будет сказать, что, приобретая TI&A, специалист также получает экспертизу самой Group-IB? Каким опытом и навыками надо обладать, чтобы полностью раскрыть потенциал системы для себя?

Станислав Фесенко: Да, верно. Внутри мы говорим, что TI&A — это про умные команды по кибербезопасности, которые хотят стать еще умнее. Сами технологии, заложенные в продукт, очень гибкие: вы можете сами адаптировать наборы данных «под себя», немедленно получать результат и, развивая свои знания, использовать новые типы данных без необходимости переобучения. Это инструмент «на вырост». Да, он позволяет получать экспертизу специалистов Group-IB на аутсорсе. Во-первых, каждый пользователь TI&A первым получает нашу аналитику — отчеты по новым угрозам, появившиеся в продаже базы данных в даркнете, аналитика по хакерским группам и многое другое. Во-вторых, это возможность исследования конкретной угрозы для клиента, в том числе с помощью реверс-инжиниринга. В-третьих, это доступ к технологиям Group-IB, например, к системе «детонации» вредоносного кода — она детектирует угрозы за счет поведенческого анализа электронных писем, файлов и содержимого ссылок. А дальше вредоносный код запускается в изолированной среде, происходит его «детонация» — максимально полное выполнение, позволяющее получить обогащенные индикаторы атаки и выполнить атрибуцию обнаруженной угрозы.

CNews: Какова схема продажи для такого решения как TI&A? Можно ли подключиться к демо-стенду?

Станислав Фесенко: Здесь нет никаких секретов. Демо можно запросить на сайте: вам сразу же будет доступен весь функционал TI&A, можно будет оценить ее работу, возможности настройки, коллекции данных. В целом, это лицензионная продажа. При этом такие базовые вещи, как знания об угрозах или индикаторы, необходимые для выявления угроз, содержатся в TI&A, но автоматически подгружаются в необходимых объемах в каждый продукт Group-IB. В этом смысле компания, использующая любой из наших продуктов, получает надежную защиту, построенную в том числе на данных киберразведки.