Продолжаю рассказывать об интересных людях, чьи доклады я не смог послушать на PHD. Ещё одна новая область, новый термин — киберразведка. Когда я увидел тему доклада, я посчитал, что опять не во всей области ИБ разбираюсь. Например, что такое OSINT, я узнал только в прошлом году, а разведка по открытым источникам существует уже давно. И как раз это был второй доклад, куда я не смог прорваться из‑за забитой битком аудитории. Поэтому решил поймать докладчика Махаева Дмитрия из «Ростелеком‑Солар» и задать вопросы по его выступлению. Оказалось, и термин новый, и тема интересная.
Вы занимаетесь киберразведкой?
Да, одно из направлений.
Расскажите, пожалуйста, подробнее, что такое киберразведка, чем это отличается от OSINT, HUMINT и «пробива»?
В первую очередь киберразведка отличается от OSINT, HUMINT и прочих связанных с ними тем, что OSINT — разведка, собирающая данные в открытых источниках, но данные преимущественно не технические (сведения о людях, местах, событиях и т. п.), позволяющие выявить индикаторы кибератаки. Например, индикаторы компрометации (IOC), данные об уязвимости и используемых эксплойтах, конкретные способы атаки (техники, тактики, процедуры атакующих).
Есть другой стык — это Threat Intelligence (TI). Здесь уже речь о сборе технических данных, в том числе индикаторов компрометации (IOC), способов атак, используемых эксплойтов и уязвимостей. Эти данные предоставляются в виде фида конечному потребителю. Однако Threat Iintelligence не занимается тем, чем занимается OSINT.
К примеру, возьмём шифрование жёсткого диска группой злоумышленников. Эта группа скинула жертвам в качестве средства взаимодействия аккаунт в каком‑то мессенджере и, возможно, Bitcoin‑кошелёк. Threat Intelligence не сможет рассказать только на основе аккаунта в мессенджере и, возможно, «чистого» (т. е. такого, которым ни разу не пользовались при вредоносных активностях) Bitcoin‑кошелька, кто стоит за атакой, каковы конечные цели атакующего (политические или банально заработать денег) и как снизить риски атак этой группой на другую компанию.
Как раз на границе Threat Iintelligence и OSINT рождается киберразведка. Она берёт немного из OSINT и по максимуму из Threat Iintelligence. Почему из Threat Iintelligence берётся больше, чем из OSINT? Потому что в последнем есть очень много направлений. OSINT включает и научно‑техническую разведку, и разведку, связанную с визуальными образами, и многое другое. Киберразведке интересно только несколько областей из большого количества направлений разведки по открытым источникам — в первую очередь, всё связанное со взаимодействием с людьми.
Первое — это HUMINT. Например, идёт общение, я могу задать какие‑то наводящие вопросы, получу на них ответы, и у меня появится некое представление о той предметной области, в которой общаемся — это будет HUMINT.
Далее, SOCINT — это разведка по соцсетям, когда мы пытаемся получить информацию на основе анализа профилей.
И ещё FININT — финансовая разведка. Тут в конкретном случае киберразведка ограничивается областью криптовалют, поскольку конечная цель — с помощью специализированных методов получить на основе данных Bitcoin-кошелька электронный почтовый адрес, который с ними ассоциирован (может быть, не конкретно к этому криптокошельку, а тому, который использовался при выводе фиатных денежных средств), либо другие данные, которые помогут установить профиль пользователя в соцсетях, в мессенджерах или ещё где-то, а также провести атрибуцию с известными киберпреступными группировками. На основе атрибуции можно вывести техники и тактики атакующих, понять, где (и какие) нужно искать признаки компрометации, используемые инструменты и иные значимые для реагирования и расследования данные, а также для предотвращения (снижения рисков) возможных атак.
Получается такое разделение:
— часть людей работает в сфере OSINT, они могут чуть глубже решать задачи;
— часть людей работает в сфере Threat Iintelligence (TI), они выявляют уязвимости, описывают их, собирают индикаторы компрометации, ищут эксплойты, формируют технические фиды;
— часть людей занимается аналитикой, они объединяют полученные данные двух предыдущих подразделений, составляют алгоритмы автоматизации рутинных задач.
— и есть отдельная часть людей, занимающихся разработкой. Они автоматизируют и предоставляют в удобочитаемом виде объединённые аналитиками данные, а также делают много другой важной работы по автоматизации обработки и упрощению работы аналитиков. На выходе получается удобный, красивый, понятный отчёт для конкретного получателя.
Сколько вы занимаетесь киберразведкой?
Именно киберразведкой около года, это относительно новое направление, я им начал заниматься, когда пришёл в «Ростелеком‑Солар».
До этого я занимался около семи лет чисто техническим отражением атак в различных организациях. OSINT был для меня как хобби — что‑то найти, что‑то посмотреть. Идея и запрос соединить техническую часть и разведку по открытым источникам возникли уже в нынешней компании.
То есть в целом эта область новая?
В целом да, эта область новая не только для «Ростелеком‑Солар», но и вообще по стране.
Опишите примерно стандартный кейс в киберразведке.
Здесь можно и на несколько фаз разделить. Первая — это рутина, когда начинается исследование всех доступных нам источников на предмет наличия в них любых утечек данных. Вторая — отдельный автоматизированный процесс. Он собирает всевозможные данные о любых уязвимостях, эксплойтах к ним и способах их эксплуатации. И третья фаза — тоже автоматизированный процесс. Он собирает данные от вендоров — различные отчёты — и находит в них индикаторы компрометации.
Это просто фоновые задачи.
Далее уровнем выше — типичный кейс. Заказчик говорит — есть подозрение, что его взломали, надо посмотреть, есть ли где‑то намёк на слив данных. И тут вступает киберразведка и начинается поиск, исходя из существующей базы данных. Либо начинается поиск руками по доступным ресурсам, попутно, возможно, открывая какие‑то новые, и накладывается на знания о периметре заказчика. Например, идёт аудит серверов, смотрящих вовне, какие на них есть потенциальные уязвимости и в какой области они применяются. Возьмём абстрактно — телеком. Прикидываем, кто им может интересоваться, и, исходя из этих знаний, появляется понимание, где его данные могут всплыть и кто заинтересован. Затем соединяем полученные данные и либо подтверждаем факт возможного взлома, либо находим доказательства (слитые базы данных, предложения о продаже и так далее), после чего уже начинают работать другие ИБ‑специалисты, либо не подтверждаем, после чего заказчик может успокоиться (хотя не всегда). Но работа не заканчивается, идёт фаза наблюдения, поскольку такие заявления на пустом месте не возникают.
Второй типовой кейс. В процессе ежедневного мониторинга выясняется, что произошла утечка данных заказчиков (не предположение, а именно свершившийся факт). Тут уже начинает работать традиционное оповещение (в том числе связанных организаций, если присутствуют какие‑то критичные данные), начинается проработка предположений, как заказчиков могли взломать.
И третий типовой кейс. Выявляется намерение атаковать кого‑то, пусть будет какая‑то абстрактная организация интересующей сферы. Чаще всего это не выходит за рамки простого обсуждения в чате какого‑то мессенджера или форума и выглядит так: «давайте мы просто атакуем и посмотрим», за которым ничего, кроме пустого разговора, нет. Однако может начать собираться конкретная команда с целью взлома конкретной организации.
Ну и четвёртый кейс, совсем специфический, необязательный: иногда надо провести какие‑то мероприятия, направленные на установку возможных продавцов этих данных, здесь уже специализированный отчёт идёт.
То есть получается, по большому счёту, это даже не киберразведка, а киберконтрразведка?
Можно сказать, что киберконтрразведка. Но если группировка ведёт работу над организацией в определённой сфере, скорее всего, соседняя организация с похожей конфигурацией тоже в зоне риска, и её можно предупредить о возможной атаке.
Расскажите о самом нестандартном для вас кейсе, пока вы занимались киберразведкой.
В начале они все были нестандартные. По прошествии года стали плюс‑минус стандартными.
Чаще всего появляются сообщения о взломе, которые надо в первую очередь проверить. Вокруг начинается паника: «большая важная организация России взломана», «мы все умрём». А наше расследование показывает: не взломали, а пощупали, и не сейчас, а 2 года назад, и скриншоты не настоящие, а нарисованные.
На такие кейсы уже вырабатывается привычка — так ярко выраженные нестандартные кейсы превращаются в стандартные.
Взломы бывают не только технические, но и с помощью методов социальной инженерии. Вы как‑то прорабатываете их, предвосхищаете?
Да, прорабатываем, у нас есть ряд проектов, в отношении которых злоумышленники могут создавать фишинговые ресурсы или фишинговые рассылки. Если такой ресурс находится, мы его стараемся разделегировать. Есть и отдельный сервис (Solar AURA), который в том числе обеспечивает полный цикл противодействия фишингу.
Иногда выявляем пароли, например, из инфостилеров. Пароли обычно в таком случае крадутся в открытом виде в совокупности с другой интересной информацией: номер телефона, фамилия, имя, пароль, логин, какие‑то документы и другое. Киберразведка выявляет это и старается эти пароли сбрасывать.
У вас есть такая услуга, как киберучение для компании, то есть когда к вам приходит компания: давайте вы нам покажете через социальную инженерию и через взлом по вашим кейсам, какие есть проблемы»?
Киберучения есть, их выполняет «Национальный киберполигон». Мы можем предложить сценарий, а коллеги его, в свою очередь, реализуют.
А внутри компании у вас бывают учения?
Разумеется. Детали говорить не буду, но если мы заказчику что‑то предлагаем, то сначала это у себя обкатываем.
Могли бы вы именно с вашей точки зрения дать краткое определение киберразведки?
С моей точки зрения, это скорее некий сплав между техническими признаками атаки и её проявлением в социальных сферах.
Будет интересно посмотреть через несколько лет, как разовьётся это направление. Как стык нескольких сфер наберёт теоретическую и практическую базу, станет отдельной мини‑отраслью.