Уровень 2

Киберхулиганы

Сфокусированы на поиске стандартных уязвимостей с целью прокачки своих навыков и мелкого хулиганства, редко самостоятельно занимаются монетизацией взлома. Используют общедоступные инструменты для анализа защищенности.

Защитные меры

Для защиты от киберхулиганов необходимо установить и настроить антивирус, антиспам, решения класса UTM и WAF, задать правило о своевременной установке патчей и обновлений. Анализ журналов аудита средств защиты повысит шансы выявления атак.

Уровень 3

Кибермошенники

Нацелены на получение прямой финансовой выгоды путем кражи денег, получения выкупа и использования вычислительных мощностей атакуемой компании для майнинга криптовалютных активов. Часто объединяются в организованные группировки.

Защитные меры

Для предупреждения угрозы базовых средств защиты уже недостаточно. Преступники научились их обходить. Необходимо добавить в стратегию инструменты непрерывного мониторинга и реагирования, подобные сервису IRP, и анализаторы периметрового трафика. Или подключить сервис мониторинга 24/7 от коммерческого центра кибербезопасности. Положительное влияние на уровень защищенности оказывает киберграмотность сотрудников.

Уровень 4

Кибернаемники

Действуют в интересах заказчика либо охотятся за крупной монетизацией, например, за счет продажи базы клиентских данных в даркнете. Объединяются в иерархические группы, самостоятельно разрабатывают инструменты и методики взлома.

Защитные меры

Необходима установка не только базовых, но и продвинутых средств защиты: Anti-APT, Sandbox, контроль технологических сегментов. Выявить их присутствие в инфраструктуре помогает продвинутый инструментарий SOC, включая такие сервисы, как EDR и NTA. Дополнительная глубокая аналитика регистрируемых событий позволяет не только идентифицировать инциденты, но и выявлять взаимосвязи между ними.

Уровень 5

Проправительственные группировки

Служат интересам государственных структур и террористических организаций. Ориентированы на перехват полного контроля над инфраструктурой, хактивизм. Отличаются максимально длительным скрытым присутствием внутри периметра.

Защитные меры

Противодействие требует выделенного пула экспертов и опыта раскрытия киберпреступлений для выявления неочевидных аномалий на сети и хостах. Используется весь доступный спектр инструментов и сервисов, необходима высокая зрелость ИТ-, ИБ-инфраструктуры и процессов. Каждый инцидент должен рассматриваться как цепочка взаимосвязей, приводящих к потенциальной кибератаке. Реализовать это можно, как минимум используя маппинг по Killchain+Mitre ATT&CK.