В мире сложных киберугроз каждый день посвящен анализу данных о новых атаках. В ходе этой работы мы в Solar 4RAYS сталкиваемся с огромным объемом предупреждений, бинарных файлов, фишинговых писем, сведений о регистрации доменов и прочих сетевых артефактов. Большинство этих атак проводятся специально подготовленными профессиональными киберпреступниками, которым зачастую удается избежать обнаружения традиционными механизмами защиты.

Обычный день исследователей в Solar 4RAYS включает реверс-инжиниринг новых образцов вредоносного ПО, исследование подозрительного сетевого трафика, отслеживание инфраструктуры APT-групп, корреляцию поведенческих аномалий и многие другие разведывательные активности, позволяющие получить больше контекста об атаке. В одном из случаев наша команда обнаружила сеть взломанных легитимных серверов по всему миру, которые атакующие использовали в качестве управляющих серверов для атаки на узкий круг организаций высокого ранга в России. Проанализировав все полученные данные, включая используемые группировкой импланты, мы смогли атрибутировать атаку одной азиатской хакерской группировки.

Это тот уровень глубины знаний об угрозах, который мы предоставляем нашим клиентам — и именно на нем основаны наши потоки данных о вредоносных активностях. Чтобы эффективно передавать такие сведения нашим пользователям, мы недавно представили свой сервис киберразведки — Solar Threat Intelligence Feeds.

Почему данные киберразведки так важны для безопасности бизнеса сегодня?

Современный цифровой ландшафт характеризуется наличием большого числа хакерских группировок высокого класса: структур с поддержкой государственного уровня и киберпреступных синдикатов, в том числе групп-вымогателей, которые ежедневно атакуют корпоративные сети. Бизнесы — независимо от размера или отрасли — являются целями этих атак.

Потоки данных киберразведки служат реальным механизмом раннего предупреждения, предоставляя сведения, которые могут быть интегрированы в файрволы, системы защиты конечных точек (EDR), SIEM и платформы XDR. Эти данные помогают командам безопасности предотвращать атаки, быстрее выявлять аномалии и эффективнее реагировать на инциденты. Рассмотрим три примера реальных атак, повлекших за собой крупный ущерб, который можно было бы митигировать использованием данных киберразведки:

  • В 2013 году торговая компания Target стала жертвой атаки, при которой хакеры использовали доступ к сети через подрядчика, обслуживающего системы кондиционирования воздуха. Согласно информации из СМИ, атакующим удалось разместить свой имплант, собирающий данные о банковских картах клиентов на большинстве терминалов компании. В результате было украдено более 40 миллионов данных кредитных карт, организация понесла убытки в размере более 200 миллионов долларов. При использовании актуальной базы индикаторов угроз (IOCs) и черных списков доменов/IP-адресов угроза могла быть обнаружена гораздо раньше.
  • В 2017 году американское бюро кредитной истории Equifax стало жертвой утечки данных, затронувшей 147 миллионов человек. Проблема возникла из-за незапатченной уязвимости Apache Struts, которая позволила хакерам перемещаться по сети в течение нескольких месяцев. Оперативные данные киберразведки могли бы выявить атаку на ранней стадии, уведомив представителей компании о факте эксплуатации уязвимости.
  • В 2021 году Colonial Pipeline, крупнейшая трубопроводная система, поставляющая нефть и газ, подверглась атаке группировкой кибервымогателей. Ее деятельность была парализована, т. к. все трубопроводы были остановлены на 5 дней. В результате атаки президент США объявил чрезвычайное положение. По причине дефицита топлива в нескольких регионах были закрыты АЗС, а авиакомпании по той же причине отменили несколько рейсов. По сообщениям в СМИ, руководство Colonial Pipeline выплатило киберпреступникам выкуп в размере 4.5 миллионов долларов.

Нельзя утверждать, что какое-либо из средств защиты гарантирует абсолютную кибербезопасность. Такие маркетинговые утверждения часто усыпляют бдительность и в конце концов приводят к печальным последствиям, разбиваясь о реальность, в которой хакеры каждый день совершенствуют свои методы для незаметного проникновения в инфраструктуру. Однако каждое усиление безопасности контура компании неуклонно повышает стоимость атаки на нее, тем самым отсекая все больше и больше потенциальных атакующих. Киберразведка — это не просто статический инструмент, это процесс регулярного получения новых знаний об актуальных угрозах, которым бизнес абсолютно всех уровней подвержен на ежедневной основе.

Тактический, оперативный и стратегический уровни киберразведки

Мы предоставляем данные с учетом потребностей на различных уровнях в структуре организации, охватывая как тактические и оперативные, так и стратегические аспекты безопасности.

  • Аналитики SOC получают тактические индикаторы, такие как IP-адреса, хеши файлов и домены, что позволяет немедленно интегрировать данные в системы обнаружения.
  • Инцидент-менеджеры используют более обогащенную информацию, включая TTPs (тактики, техники и процедуры), временные контексты и карты угроз.
  • CISO и исследователи угроз ориентированы на стратегическую разведку — профили группировок, активных в их регионе, их мотивацию — и тенденции развития компании для формирования ключевых бизнес-решений.

Мы уже успешно запустили Solar TI Feeds в нашем JSOC — крупнейшем в России коммерческом центре мониторинга и реагирования на инциденты кибербезопасности. Благодаря автоматическому обогащению индикаторов угроз и приоритизации алертов, мы видим существенное сокращение времени на обработку предупреждений. С помощью данных киберразведки, охватывающих все три уровня, организации могут как оперативно реагировать на угрозы, так и готовиться к новым нападениям.

Детектирующие сигнатуры

«Пирамида боли» Дэвида Бьянко наглядно демонстрирует, что детектирование таких тривиальных индикаторов, как файловые хеши, IP-адреса или домены, имеет минимальное влияние на операционные действия атакующих. А вот детектирование их инструментов, сетевого трафика и поведения порой заставляет группировку переписать код используемых в атаке компонентов.

Пирамида боли в охоте за киберугрозами
"Пирамида боли" в охоте за киберугрозами

Именно поэтому с самого начала работы над проектом мы высоко приоритизировали наличие детектирующих сигнатур в Solar TI Feeds. На данный момент там уже присутствуют наши IDS-правила, в ближайшем будущем появятся YARA- и Sigma-правила — все они нацелены на сегмент Tools в упомянутой пирамиде.

  • YARA-правила помогают обнаруживать вредоносные программы на основе структуры бинарных файлов и фрагментов кода. Качество детекта этими правилами напрямую зависит от экспертизы его автора. Наши исследователи стремятся достичь максимальной эффективности при их написании — детектируя даже измененные версии вредоносных программ, при этом не вызывая ложных срабатываний.
  • IDS-правила, такие как Suricata или Snort, выявляют различные поведенческие паттерны в сетевом трафике — туннелирование DNS, отстуки на управляющий сервер, отпечатки User-Agent, связанные с определенными имплантами и так далее.
  • Sigma-правила, описывающие поведенческие сценарии выявления атак. Правила легко преобразуются для использования в различных SIEM-системах.

Эти способы детектирования действуют на атакующих в самых болезненных точках: на инструментах и тактиках, которые они используют в своих кампаниях. В будущем мы планируем расширять список доступных сигнатур, добавив туда правила корреляции.

Поддержка актуальности на реальном трафике

Обладая ресурсами крупнейшего телекоммуникационного оператора, мы имеем уникальную возможность для мониторинга актуальной вредоносной активности в режиме реального времени. Наша инфраструктура позволяет отслеживать работающие серверы управления (С2) вредоносными имплантами и ботнеты, отсекая при этом неактуальные. Кроме того, мы используем эти возможности для:

  • Обнаружения новых С2-серверов — с первых минут их использования злоумышленниками.
  • Отслеживания географического распространения активных инфекций, их локализации.
  • Проверки релевантности обрабатываемых IOCs и снижения числа ложных срабатываний.

Этот замкнутый цикл — между обнаружением, верификацией и уточнением — делает наши потоки киберразведывательной информации особенно достоверными.

Реальный бизнес-эффект: ROI и регуляторная ценность

Важно помнить, что TI-фиды — это не просто дополнительный источник детектирования, но и инструмент приоритизации уведомлений о потенциальном инциденте. Данные из фидов помогают отчетливее выделять срабатывания, сигнализирующие о серьезных, требующих оперативного вмешательства угрозах. Это приводит к уменьшению количества уведомлений, которые аналитику SOC нужно отсмотреть вручную, не тратив время на ложные срабатывания, а также логичным образом улучшает показатель среднего времени обнаружения инцидента, а значит, снижает уровень рисков, связанных с недостаточно быстрым выявлением атаки.

Разведка угроз — это не просто улучшение безопасности, это инвестиция в бизнес. Согласно многочисленным исследованиям, таким как «Cost of a Data Breach» от Ponemon Institute и «Cybersecurity Risk Management» от Gartner, компании, использующие актуальные данные киберразведки, отмечают снижение среднего времени обнаружения (MTTD) и реакции на инциденты (MTTR), а также более эффективную работу аналитиков за счет приоритизации уведомлений и меньшего количества ложных срабатываний.

Кроме того, в России, как и во многих других странах, появляется законодательная база, обязывающая компании, оперирующие чувствительными данными, использовать в своей работе защитные решения. В мире это уже известные всем нормативные требования NIS2, HIPAA и GDPR. В России этот процесс был запущен относительно недавно, однако он активно развивается: закон № 187-ФЗ «О критической информационной инфраструктуре РФ» и закон № 152-ФЗ «О защите персональных данных граждан РФ» тому подтверждение. Безусловно, регуляторная база и дальше будет только расширяться в сторону усиления норм киберзащиты.

Ценность данных киберразведки очевидна и признана как советами директоров крупных компаний, так и регуляторами, их использование дает закономерный результат — от экономии на выкупах за расшифровку данных до предотвращения кражи интеллектуальной собственности.

Заключение

Кибербезопасность — это поле боя 24/7, и защитники нуждаются в любом доступном преимуществе. Наши данные киберразведки Solar Threat Intelligence Feeds являются результатом работы ручного анализа, автоматического обогащения и данных, полученных от инфраструктуры крупнейшего телеком-провайдера.

Будь вы CISO, готовящийся к аудиту, аналитик SOC, находящийся под давлением сотен уведомлений, или исследователь угроз, ищущий след в произошедшем инциденте — наша киберразведка всегда готова прийти вам на помощь.

Если вы заинтересованы в получении данных киберразведки Solar TI Feeds, свяжитесь с нами, чтобы подключить пилот сервиса.