Журнал "Information Security/ Информационная безопасность" #5, 2025

Быстрее получать информацию об актуальных угрозах Возможность оперативно реагиро- вать и правильно распознавать угрозы становится реальной благодаря Threat Intelligence, так называемой киберраз- ведке. Под этим термином понимают процесс сбора и анализа потенциаль- ных угроз безопасности, а также использование полученной информа- ции с целью защиты. Посредством Threat Intelligence воз- можно получить критически важные данные о противнике. О том, что он из себя представляет и какие цели пре- следует. TI позволяет также оценить имеющиеся ресурсы и возможности для атаки, выяснить, была ли она тар- гетированной. И самое главное – опре- делить индикаторы компрометации, поз- воляющие своевременно обнаружить и предпринять правильные действия в отношении угрозы. Существует огромное количество источников, в которых можно собирать данные для киберразведки. Наиболее популярными являются сле- дующие: l анализ произошедших инцидентов безопасности по всему миру; l отчеты о деятельности различных APT-группировок; l анализ данных об утечках, новых экс- плойтах и попытках купить вредоносное ПО из закрытых источников (ресурсы даркнета, закрытые чаты Telegram, под- польные форумы); l обмен информацией среди участни- ков определенной отрасли (актуально, например, для банковской отрасли в связи с постоянно меняющимся мошен- ническими схемами); l сведения из ФинЦЕРТ; l изучение новых образцов вредонос- ного программного обеспечения и полу- чение индикаторов компрометации; l анализ новых хакерских инструмен- тов; l системы мониторинга ботнет-угроз. Отдельно отметим способ получения разведданных через создание целых подсетей Honeypot (ловушек). Аналитики эмулируют организации со слабой защи- той, чтобы злоумышленник мог относи- тельно легко попасть внутрь инфра- структуры. Затем собираются все его тактики, техники и применяемые инстру- менты, изучаются дальнейшие шаги, вплоть до способов передачи украденной информации. Такой подход позволяет даже соби- рать индикаторы определенных APT- группировок, подстраивая уязвимости такой инфраструктуры под техники целе- вого злоумышленника. На основе полу- ченной информации формируются ана- литические материалы для каждого уровня принятия решений ИБ – начиная от технического специалиста по настрой- ке защиты и заканчивая руководителями компаний. Киберразведка на примере На примере отчета 1 об APT-группи- ровке Space Pirates кратко разберем, какую информацию о противнике может получить отдел ИБ-компании и что с этим можно сделать. Группировка Space Pirates атакует государственные учреждения, пред- приятия авиационно-космической и электроэнергетической отраслей России. Уже зафиксированы минимум две успешные атаки на российские организации. Общее число нападе- ний – около 16. Среднее время нахож- дения внутри сети компании – 12 меся- цев. Основная цель взлома – шпионаж и кража конфиденциальной информа- ции. Ключевыми способами проникновения являются фишинговые рассылки и уязви- мости для пробива внешнего периметра. При атаке используется разнообразный инструментарий – от хорошо известного ВПО PlugX и ShadowPad до нового Deed RAT, представляющего из себя модуль- ный бэкдор. Используя Threat Intelligence, можно получить различные индикаторы ком- прометации: l домены и IP-адреса С2-инфраструк- туры; l фишинговые сайты в связке с Email- адресами и другой сопутствующей информацией; l хеш-суммы вредоносных файлов; l имена процессов и используемые ключи реестра; l сигнатуры сетевой активности; l используемые инструменты. Помимо этого можно оценить техники и тактики группировки 2 , разобранные по MITRE ATT&CK. Это позволит нанести полученные данные на модель Cyber Kill Chain и анализировать происходящее на любом этапе. Например, при обнару- жении сработки систем защиты на внут- реннем периметре полученные знания позволят быстро сориентироваться в ситуации и понимать предыдущие и последующие шаги атаки. По количеству доменов и IP-адресов (73), атрибутированных к группировке, видно, что злоумышленники обладают хорошими ресурсами для ведения вре- доносной деятельности. В то же время срок жизни подобных индикаторов очень мал – например, многие вредоносные домены суще- ствуют лишь несколько дней, а то и часов. Ключевое значение имеет быст- рый цикл поставки новых данных и их применение. В итоге имеем огромный объем дан- ных, собрать и использовать который силами небольшого ИБ отдела нере- ально. Для этого существуют поставщи- ки данных киберразведки, предлагаю- щие под ключ процессы TI – от внедре- ния до сопровождения. Именно они пре- доставляют полный контекст угрозы, дополняют индикаторы аналитикой, чтобы можно было их эффективно использовать. 24 • СПЕЦПРОЕКТ Собственная разведка отдела ИБ hreat Intelligence помогает получать актуальные данные о киберугрозах и использовать их в работе. Это не теория, а практический инструмент: TI позволяет заранее выявлять подготовку атак, понимать методы злоумышленников и быстрее реагировать на инциденты. Правильно внедренная киберразведка делает защиту компании не реактивной, а упреждающей. T Алексей Шлейгер, специалист по тестированию на проникновение в RTM Group Фото: RTM Group 1 https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/ 2 https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-exploring-non-standard-techniques-new-attack-vec- tors-and-grouping-tools/