Журнал "Системы безопасности" #5, 2019

S E C U R I T Y A N D I T M A N A G E M E N T 43 Процедура Red Teaming Киберразведка – это один из тех инструментов и навыков, которые способны превентивно детектировать угрозу, оценить и предсказать возможные сценарии ее реализации примени- тельно к конкретной организации, заранее устранить имеющиеся уязвимости и своевре- менно предложить комплексные меры защиты, которые наиболее адекватно будут противодей- ствовать методам атакующего. В связке с инструментами для реализации функции Red Teaming эффект от киберразведки может быть существенно увеличен. Red Teaming (англ. "действия красной коман- ды") – термин, определяющий набор функций работников службы защиты информации для выявления имеющихся в системе уязвимостей и попытки их скрытой эксплуатации с целью получения доступа к объектам защиты в обход установленных правил. Методы Red Teaming позволяют эксперту симу- лировать действия реального злоумышленника и испробовать/применить те же инструменты и методы, которые могут быть использованы при реализации современных кибератак. Red Teaming представляет собой регулярную, не ограниченную по времени процедуру, позво- ляющую "прочувствовать на себе" сложность и эффективность применения инструментов из арсенала самых известных хакерских группиро- вок. По своей сути, это комплексные учения, скрытые от всех (в первую очередь от системы мониторинга и выявления инцидентов инфор- мационной безопасности), целью которых является получение и актуализация ответов на пять наиболее сложных вопросов из области практической защиты информации: 1. Готова ли компания в данный момент к целе- вым кибератакам? 2. Способны ли работники организации, ответ- ственные за обеспечение информационной без- опасности, адекватно реагировать на инциден- ты ИБ в случае их возникновения? 3. Правильно ли настроена система мониторин- га инцидентов ИБ? 4. Возможно ли принципиально что-то (и что именно) поменять в системе защиты информа- ции в организации, чтобы снизить вероятность успешной реализации известных сценариев кибератак? 5. Насколько серьезным может быть ущерб для отдельных компонентов и организации в целом в случае проведения атаки со стороны кибер- преступников? В отличие от общеизвестных тестов на проник- новение процедуры Red Teaming: l могут и должны применяться регулярно в рамках общего цикла непрерывного улуч- шения процессов и систем в организации; l носят исключительно системный характер, что позволяет достаточно просто измерять и оце- нивать эффективность для данной функции внутри организации. Специалисты на вес золота Для освоения базовых методов киберразведки специалисту с высшим техническим образова- нием в области защиты информации не потре- буется много времени и сил. Знания структуры и особенностей базы данных, современных языков программирования, понимание про- фессиональной терминологии, математический склад ума, аналитические навыки, умение выделять суть из большого объема проходящей информации и системный подход к решению любой поставленной задачи составляют базис для погружения в особенности киберразведки. Из этого можно сделать совершенно резонный вывод о том, что вне зависимости от гендера и достигнутых ранее высот киберразведка сможет стать отрывной ступенью для быстрого и успеш- ного развития молодого специалиста в области кибербезопасности. Тем не менее востребованность у крупнейших корпораций в компетенциях по киберразведке в настоящее время на отечественном и миро- вом рынке стабильно высокая. Международные компании, специализирующиеся на расследо- вании киберпреступлений, топ-10 российских банков, аналитические подразделения "боль- шой четверки" консалтинговых компаний, известные ИТ-компании – вот тот небольшой список работодателей, заинтересованных в сотрудничестве с экспертами по Cyber & Threat Intelligence. В отличие от российского рынка, компетенции специалистов по киберразведке в крупных меж- дународных компаниях востребованы намного больше. В английском банке из топ-5 профиль- ное подразделение киберразведки состоит из не менее чем 100 специалистов и обрабатывает более 1 тыс. запросов и техническо-аналитиче- ских отчетов ежедневно. Отчеты собираются из более 50 различных источников по всему миру в универсальном формате STIX и обрабаты- ваются в полуавтоматическом режиме с целью определения потенциальной угрозы для компа- нии. Основными целями работы такого подраз- деления в компании являются: 1. Сбор актуальных индентификаторов компро- метации для прикладных и инфраструктурных компонентов системы защиты в организации. 2. Фильтрация оперативно-аналитической информации по имеющимся поисковым обра- зам в контексте основного бизнес-процесса. 3. Детектирование потенциальных угроз и опре- деление векторов для стратегического управле- ния рисками в организации. Каждая из этих целей продиктована требова- ниями конкурентного рынка и плотно интегри- рована с бизнес-процессами в организации. Факты, отчеты и выводы, сделанные по резуль- татам анализа информации, полученной мето- дами киберразведки в английском банке, при- нимаются во внимание при принятии ключевых решений по цифровизации бизнеса и внедре- нии на рынок и внутри организации новых высокорискованных продуктов. Неудивительно, что стоимость одного такого специалиста по киберразведке в английской компании сопоставима со стоимостью менед- жера среднего звена в бизнес-подразделе- нии. А мериканский онлайн-магазин одежды Shein.com сообщил об утечке клиентской базы в 2018 г. – всего 6,42 млн записей: https://t.me/XXX. А сейчас стали доступны 29,2 млн логинов и расшифрованных паролей к ним. Это явно говорит о том, что Shein соврали о реальном размере утечки. Мы проверили эти записи, и на 82% пары логин/пароль оказа- лись уникальными и никогда раньше не встречались в утечках. Кроме того, мы добавили в свою "кол- лекцию" почти 500 тыс. уникальных пар логин/пароль летом этого года от сервиса CafePress.com, заявившего о компрометации данных 23 млн клиен- тов. Судя по имеющейся у нас инфор- мации, утечка произошла 20 февраля 2019 г. На сегодняшний день расшиф- ровано 11 млн паролей, но только 700 тыс. из них свободно доступны. Источник: Telegram, стилистика авто- ра сохранена Профессия будущего В связи с информатизацией большинства сфер деятельности человека, стремительным ростом числа киберпреступлений во всех сферах деятель- ности, появлением новых угроз в информацион- ном пространстве (в том числе регулярных вмеша- тельств киберпреступников в интересы националь- ной безопасности разных стран) компетенции спе- циалистов по киберразведке гарантированно будут востребованы в течение ближайших пяти лет. Специалист по киберразведке сможет найти себе применение при решении таких задач, как: l превентивная борьба с киберпреступностью во всех ее проявлениях, включая кибертерро- ризм и вымогательство; l разработка превентивных методов борьбы с вредоносным ПО; l защита частной информации и интеллекту- альной собственности; l обеспечение стабильности работы обще- ственно важных информационных систем; l предотвращение ситуаций коллапса банков- ской системы; l защита и предотвращение внешнего вмеша- тельства в инфраструктуру (в том числе энер- госети); l многие другие сферы. Наличие компетенций по киберразведке внутри организации позволит решать более сложные задачи, помимо указанных выше, достигая при этом высокого и ранее неизвестного синергети- ческого эффекта. Киберразведка вообще полна сюрпризов… n www.secuteck.ru октябрь – ноябрь 2019 СПЕЦПРОЕКТ БЕЗОПАСНОСТЬ БАНКОВ И ФИНАНСОВЫХ УЧРЕЖДЕНИЙ Ваше мнение и вопросы по статье направляйте на ss @groteck.ru