Взгляд изнутри на бизнес по обнаружению и пресечению киберугроз

Интернет изменил то, как мы живем, делаем покупки, ведем бизнес и даже то, как мы общаемся. Но Интернет также является очень опасным местом, и с каждым днем он становится все более опасным. Каково это работать экспертом по обнаружению киберугроз, чья работа заключается в обнаружении и анализе новейших угроз для нашего подключенного мира? Чтобы выяснить это, я недавно поговорил с Дэниелом Адамитисом, директором по анализу разведданных в Prevailion, компании по кибербезопасности, в команду экспертов которой входят бывшие старшие технические руководители АНБ и ЦРУ, а также одни из самых опытных коммерческих киберэкспертов в мире. Сам Дэнни ранее был исследователем безопасности в группе реагирования на инциденты Cisco Talos, и в настоящее время он проводит свои дни, исследуя целевые атаки и ища новые инновационные подходы для более эффективного обнаружения и отслеживания вредоносной активности. Он регулярно пишет в блоге Prevalion, а также пишет в Твиттере: @dadamitis.

МИТЧ: Итак, Дэнни, каково сейчас работать в области обнаружения/анализа киберугроз? Должно быть, это захватывающе, а?

ДЭННИ: Работа аналитиком по обнаружению киберугроз — чрезвычайно сложная и полезная карьера. Ландшафт киберугроз постоянно меняется, и для адаптации вы должны постоянно узнавать о новых, а иногда и устаревших, тактиках и методах, используемых различными субъектами угроз. Со временем эти кампании становятся все более изощренными как с точки зрения их широты, так и с точки зрения количества тактик, используемых для того, чтобы избежать обнаружения. Чтобы по-настоящему понять всю кампанию, я считаю, что вам нужно разбить все отдельные компоненты кампании, именно тогда у меня обычно наступает момент ясности. Когда вы совершаете прорыв и открываете новый способ отслеживания злоумышленника и лучшей защиты клиентов, это невероятно приятное ощущение.

Ландшафт киберугроз постоянно меняется, и для адаптации вы должны постоянно узнавать о новых, а иногда и устаревших, тактиках и методах, используемых различными субъектами угроз.

МИТЧ: Кажется, в наши дни появилось много новых подходов в области целевого фишинга, и кажется, что с ними становится все труднее бороться и бороться с ними. Можете ли вы привести несколько примеров? Кто является мишенью и как эксплойты ориентированы на них?

ДЭННИ: Я бы грубо разделил попытки фишинга на две отдельные группы. Первый кластер можно считать сравнительно простым, поскольку эта группа действий полагается на социальную инженерию своих жертв, чтобы выдать себя за законные деловые взаимодействия, такие как новый «счет-фактура» или «запрос» по электронной почте. Тем не менее, такого рода деятельность по-прежнему представляет серьезную угрозу для бизнеса, поскольку злоумышленник, получивший доступ к вашей сети, может украсть интеллектуальную собственность или развернуть программу-вымогатель. Хорошим примером этого может быть ботнет MasterMana, о котором мы сообщали ранее в этом году.

Второй кластер является более сложным и адаптированным в своем подходе. Примером операции из этой группы может быть кампания, которую мы назвали Operation BlockChain Gang. От таких атак гораздо сложнее защититься, поскольку они иногда используют скомпрометированные учетные записи электронной почты и используют более целенаправленный язык. В операции «Блокчейн» первое электронное письмо, отправленное жертве, было совершенно безобидным. Кроме того, злоумышленник использовал учетную запись электронной почты престижного университета и просил абитуриентов просмотреть заявки на конкурс, который проводится каждый год. Только после того, как жертва ответила злоумышленникам, они в конечном итоге отправили жертвам вредоносную ссылку на веб-сайт водопоя.

МИТЧ: На что, по вашему мнению, идут лица, стоящие за этими фишинговыми атаками, чтобы получить доступ к ценной сети?

ДЭННИ: В нашем последнем отчете мы обсуждали, как злоумышленники компрометируют учетные записи в законном домене, а затем заражают веб-браузеры, посещающие определенное имя хоста. Затем веб-сайт Waterhole заражал веб-браузеры жертв, используя то, что в то время считалось эксплойтом нулевого дня. Если эксплойт был эффективно выполнен, он доставил модифицированную полезную нагрузку. По нашим оценкам, у злоумышленников был многоплатформенный инструментарий, что позволяет предположить, что у них были агенты для заражения компьютеров с Windows, Linux и macOS. На момент обнаружения все эти агенты имели очень низкий уровень обнаружения, а двоичный файл Windows был подписан легитимным сертификатом. Хотя я бы назвал это случайным случаем, я считаю, что эти субъекты угроз, которые, как представляется, имеют финансовую мотивацию, демонстрировали высокоразвитые возможности, которые ставят их на тот же уровень, что и некоторые субъекты национального государства.

МИТЧ: Как крупные криптобиржи, корпорации и другие организации, находящиеся в опасности, которые хранят конфиденциальную информацию о клиентах, могут предпринять шаги для обнаружения и потенциального предотвращения взлома? Какие рекомендации вы бы дали себе в этой области и почему?

ДЭННИ: Можно принять несколько мер предосторожности, чтобы уменьшить вероятность нарушения и помочь обнаружить его, если оно все же произойдет. Прежде всего, чтобы предотвратить их, особенно от относительно неискушенных злоумышленников, мы рекомендуем использовать продукт для обеспечения безопасности электронной почты, антивирус и брандмауэры, как хостовые, так и сетевые. Для защиты от более сложных угроз мы рекомендуем объединять журналы безопасности в центральном репозитории, таком как SIEM, и проверять эти журналы обученными аналитиками безопасности.

МИТЧ: Как организации могут узнать, была ли скомпрометирована их компания или сторонняя цепочка поставок? Бьюсь об заклад, вы знаете о многих организациях, в которые было совершено проникновение, и вы даже не подозреваете, что с ними это произошло.

ДЭННИ: Определить, был ли скомпрометирован один из ваших сторонних поставщиков, — чрезвычайно сложная задача. Такие компании, как Prevailion, в настоящее время работают над решениями, помогающими предоставлять данные о компрометации на основе собственных телеметрических данных и алгоритмов. Это дает Prevailion уникальную информацию о текущих кампаниях и позволяет компаниям лучше понимать ландшафт угроз. Это должно помочь информировать лиц, принимающих решения, об угрозах, которые в настоящее время нацелены на их вертикаль, и в отчетах Prevailion мы даем рекомендации о том, как защититься от таких угроз. Однако, прежде чем рассматривать какие-либо решения, лица, принимающие решения, должны рассмотреть ограничения продуктов, поскольку ни одна компания не обладает всесторонней видимостью.

МИТЧ: Как вы думаете, что нас ждет в новом году в области обнаружения киберугроз? Держу пари, у тебя впереди много работы, верно?

ДЭННИ: Хотя я считаю, что организации будут продолжать сталкиваться с традиционными угрозами, такими как попытки фишинга, я считаю, что самая большая угроза для крупных организаций, заботящихся о безопасности, будет исходить от сторонних сервисов и программного обеспечения. В прошлом году было еще больше случаев компрометации организаций через сторонние сервисы, такие как перехват DNS, серверы обновления программного обеспечения и даже компании, предоставляющие услуги виртуализированных сред.

Одна особенно тревожная тенденция заключается в том, что по мере того, как компании продолжают улучшать свою систему безопасности, преступники теперь нацеливаются на отдельных лиц, а не на организации. Мы уже начали видеть, как преступники нападают на отдельных лиц, особенно на энтузиастов криптовалюты, посредством замены SIM-карты. Это привело к резкому увеличению количества случаев подмены SIM-карт в течение года со стороны Министерства юстиции США.

Одна особенно тревожная тенденция заключается в том, что по мере того, как компании продолжают улучшать свою систему безопасности, преступники теперь нацеливаются на отдельных лиц, а не на организации.

МИТЧ: Дэнни, большое спасибо за то, что дали нам представление о том, что включает в себя обнаружение киберугроз. И спасибо, что помогаете нам защищать наши предприятия и организации от киберпреступников.

ДЭННИ: Не за что.