Журнал "Information Security/ Информационная безопасность" #6, 2020

Крупных вендоров сферы безопасности тоже атакуют, и их инфраструктуру тоже могут использовать для атаки на объекты, которые они защищают. Редко, но такое случается. Для нас Threat Intelligence – это прежде всего данные об атакующих. входят в том числе в состав Threat Hunting Framework. Это очень важная для нас техноло- гия, работающая очень хорошо. Следующее это наше реше- ние – Huntpoint. Это агент, кото- рый устанавливается на рабо- чие станции внутри организа- ции. Некоторые проводят ана- логию с антивирусом, но сразу скажу, что это точно не так. Huntpoint не заменит антивирус. Антивирус – это начальный уро- вень защиты, и он обязательно должен стоять на рабочей стан- ции. А мы говорим уже о сле- дующем эшелоне защиты, пото- му что антивирус можно обойти почти со стопроцентной веро- ятностью, особенно если хоро- шо подготовиться. Задача нашего агента – следить за тем, как ведут себя уже рабо- тающие программы. Вот по этому поведению мы и можем судить, осуществляет ли про- грамма какие-либо вредонос- ные действия, либо, поскольку часть атак проходит без исполь- зования вредоносного ПО, мы видим, что эти действия выпол- няются легитимными инстру- ментами, но с машин хакеров, которые имеют удаленный доступ в сеть. Следующее решение, которое мы запустили в этом году, – Sensor Industrial. Это средство для анализа сетевого трафика, которое мы ставим в промыш- ленные сети, потому что они абсолютно нестандартные, у них свои протоколы взаимодей- ствия между устройствами и их системами контроля. И еще один важный компо- нент, который называется HuntBox. Это сердце всего реше- ния, потому что он позволяет управлять всем комплексом, а самое главное – выполнять авто- матизированные операции по Threat Hunting. Неважно, какие технологии вы разработали, их все можно обойти. Поэтому необходимо немного изменить подход: не всегда правильно добавлять детектирующую логи- ку, например, или сигнатуры. Важно предполагать, как будет действовать атакующий, и искать признаки вредоносного поведе- ния. Процесс Threat Hunting для нас очень важен, поэтому устрой- ство называется HuntBox. Оно реализует идеологию охоты за действиями атакующих. – Возможно ли удален- ное подключение вашего центра компетенций? – Да, но очень ограниченно. Здесь тоже есть момент... В нашем понимании это Back- door. То есть вы даете Backdoor какой-то компании, чтобы ее представители удаленно управ- ляли вашими устройствами. Но крупных вендоров сферы без- опасности тоже атакуют, и их инфраструктуру тоже могут использовать для атаки на объ- екты, которые они защищают. Редко, но такое случается. Поэтому мы сразу исключаем такую возможность. Большую часть проблем мы можем решить удаленно, но поскольку комплекс работает автомати- зированно, он выявляет, что-то блокирует и сигнализирует об этом нашим операторам и опе- раторам внутри защищаемого объекта. В ограниченном режи- ме мы можем помочь удаленно, но только с разрешения самого клиента, если он в курсе, что мы сейчас будем какие-то дей- ствия выполнять, и подтвер- ждает это. Но если мы понима- ем, что удаленно проблему лучше не решать, то у нас на такой случай есть собственный центр реагирования с нужным оборудованием, специалисты которого готовы выехать на объект. Мы всегда отправляем команду, состоящую минимум из двух специалистов – крими- налиста и специалиста по вре- доносному коду. Такой вариант применим только в случае, когда мы понимаем, что это единственный наилучший на данный момент способ. Мы все- гда готовы решать проблемы, и неважно, в какой стране нахо- дится объект. – Вторая ваша новинка – система Threat Intelligence & Attribution, для кого она? Что добавляет Attribution к TI в традиционном пони- мании? – Этот продукт вообще уни- кален, потому что сейчас рынок Threat Intelligence сводится к банальной поставке черных списков – списка "плохих" адре- сов, "плохих" доменов. Иногда этот подход оправдывает себя, потому что есть угрозы, которые невозможно выявить какими- то технологическими решения- ми. Все превратились в постав- щиков таких черных списков, которыми мы, например, нико- гда не были и не планируем становиться. Для нас Threat Intelligence – это прежде всего данные об атакующих. И у нас хорошая позиция: мы реагируем на инциденты, участвуем в реальных расследованиях с рос- сийскими и международными правоохранительными органа- ми. Мы видим хакеров: с кем они взаимодействуют, как они работают, какие процессы у них налажены, кто является их парт- нерами, кто является их разра- ботчиками, куда они пытаются развиваться и т.п. Мы всегда поставляли данные именно такого качества, а технические индикаторы идут вдовесок. Сейчас мы колоссально рас- ширили объем собираемых дан- ных. Теперь мы даем не просто отдельно взятые профайлы ата- кующих, а уже рассказываем о конкретных лицах, если смог- ли найти их через нашу систему. Мы также открыли доступ к дан- ным и инструментам, которые • 19 ПЕРСОНЫ www.itsec.ru