Журнал "Information Security/ Информационная безопасность" #6, 2020

Один из таких инструмен- тов, которым раньше поль- зовались только мы сами, представляет суперценность с точки зрения сбора дан- ных по угрозам, – это наш граф. всегда использовали внутри Group-IB. Мы поняли, что вла- деем большим массивом информации, а учитывая зре- лость рынка, у клиентов и рабо- тающих у них специалистов воз- никает потребность в глубоком исследовании этих данных. Один из таких инструментов, которым раньше пользовались только мы сами, представляет суперценность с точки зрения сбора данных по угрозам – это наш граф. Кстати, запатенто- ванный. Он строится по данным из четырех основных категорий. Первая – мы сканируем весь Интернет и создаем снимки состояний того, как выглядит глобальная сеть: где какие сер- веры запущены, какое ПО на них работает, с какими уни- кальными параметрами оно настроено и т.д. Такие отпечат- ки мы снимаем на ежедневной основе. Сюда же входят регист- рационные данные о доменных именах и сайтах. Вторая категория – это все, что связано с вредоносным ПО. У нас собрана большая коллек- ция вредоносных файлов, кото- рую мы анализируем в динами- ке: мы запускали их, они совер- шали взаимодействие с Интер- нетом, скачивали файлы, отправляли команды на серве- ры и т.п. В какой-то момент мы поняли, как всю эту огромную базу дан- ных лучше всего использовать. Мы знаем все про удаленный сервер: когда он активизиро- вался, что на нем запускалось, на кого он зарегистрирован, менялись ли у него владельцы, момент взаимодействия с вре- доносными программами – мы все это читаем автоматически и можем построить необходи- мые связи, чтобы увязать раз- розненные факты в одну общую историю. Третья категория – все, что связано с хакерами: псевдони- мы, сообщения с хакерских форумов, контактная информа- ция, которую они оставляют, телеграм-каналы, адреса элек- тронной почты и даже аватарки, которые они оставляют, – это все признаки, по которым мы могли определить атакующего. Теперь же мы автоматизирова- ли все доступные методики. Четвертая категория – это данные из социальных сетей. Ни для кого не секрет, что, зная контактную информацию чело- века, достаточно легко найти его в социальной сети. Когда у нас есть сведения о хакере либо регистрационные данные домена, который он оставил, мы можем определить его про- филь, к примеру, в Фейсбуке, Вконтакте или еще где-то. Наш граф соединяет все эти данные друг с другом и строит связи, он это делает автомати- чески, используя всю инфор- мацию из четырех основных категорий. То есть мы можем просто задать глубину, с кото- рой хотим осуществлять поиск, а дальше все происходит в автоматическом режиме. Все действия, которые в ручном режиме требовали нескольких недель, теперь делаются авто- матически, иногда – за минуты. И весь этот функционал досту- пен нашим клиентам, которые точно так же могут анализиро- вать данные. – Можно ли считать TI&A панацеей от атак шифро- вальщиков? – Конечно же, нет. Прежде всего, TI&A – это знание об угрозах. А вот как воспользо- ваться этими знаниями – другой вопрос. С одной стороны, наша задача – предоставить клиен- там максимально подробную информацию о действиях ата- кующих, их инструментах и характеристиках их исполь- зования, чтобы зрелые компа- нии могли правильно выстроить у себя ИБ-процессы: более пра- вильно ориентироваться в угро- зах, принимать решения о том, как строить систему защиты и, конечно же, проверять состоя- ние защищенности. Почему мы добавили слово Attribution? Потому что уже недо- статочно просто анализировать угрозы. Когда вы сталкиваетесь с реальной угрозой, вам нужен ответ на один из важных вопро- сов: кто вас атакует и с помо- щью чего? Данные мы даем, инструменты для работы с этими данными мы тоже даем, ну и предоставляем наш собст- венный сервис, который пере- кладывает часть активных задач на плечи наших специа- листов, которые уже обладают необходимым опытом и навы- ками. – Дмитрий, расскажите о наиболее интересном случае из вашей практи- ки. Group-IB кто-нибудь пытался атаковать? – Вообще такое происходит регулярно, но один кейс был особенно интересным. Так вот, мы достаточно быстро поняли, кто проводит атаку: это был не хакер из России, и, по нашему представлению, хакеры из его страны Россию атаковать не должны, и уж тем более частную компанию вроде нашей, – это к вопросу о важности атрибу- ции. Мы создали Honeypot, куда впустили этого товарища, и оставили ему сообщение: "Слушай, мы понимаем, кто ты, откуда, но не понимаем, зачем ты это делаешь. Давай разбе- ремся". В итоге он оставил кон- такт, по которому мы смогли пообщаться и выяснить, ради чего он к нам приходил. Атаки прекратились. Иногда достаточ- но понять, в чем мотивация тех людей, которые вас атакуют, и решить вопрос нестандартным способом. l 20 • В ФОКУСЕ Ваше мнение и вопросы присылайте по адресу is@groteck.ru