Блог компании Билайн Бизнес

Нос к носу с хакерами. Как мы защищаемся от новейших киберугроз

Привет, Хабр! Меня зовут Александр Пономарев, я руковожу департаментом IT-решений и продуктов информационной безопасности в «Билайн Бизнес». Хочу рассказать, как мы запустили сервис обнаружения киберугроз для бизнеса и в чем его особенности. Подробности под катом.

Вместо рассказа о том, почему мы взялись за разработку инструментов обеспечения безопасности для бизнеса, немного статистики:
  • только в 2019 году, по данным Сбербанка, ущерб бизнеса от киберпреступлений составил 2,5 трлн долларов;
  • в среднем инфраструктура компаний простаивает из-за кибератак 16 дней в году (согласно отчёту Coverware от января 2020);
  • сложнее всего зафиксировать целенаправленные атаки, поскольку они уникальны и заточены под конкретный бизнес, вне зависимости от степени его защищенности, в том числе через использование социальной инженерии и атак нулевого дня;
  • более чем в 70 % случаев атаки происходят по корпоративной электронной почте (в соответствии с отчётом Infowatch от 2019).
Антивирусы, фаерволы, защита от DDOS-атак — это уже must have решения, они есть почти у любого бизнеса. Но часто они не справляются с потоком угроз, особенно на начальном этапе, когда те еще не получили широкой известности. Понимая это, мы в «ВымпелКоме» задались вопросом: а какие еще нужны инструменты обеспечения безопасности компании, которая может подвергаться как целенаправленным, так и уникальным атакам? Ответом стал запуск сервиса «Защиты от киберугроз». Причём по сервисной модели (ежемесячная подписка). Фактически кибербезопасность уровня Enterprise стала доступна для среднего и крупного бизнеса. Как нам кажется, это было весьма своевременно, учитывая экономическую ситуацию в стране, массовый переход на удаленку и активизацию киберпреступников.

Как работает наша Защита от киберугроз

Запущенный совместно с партнёром сервис сканирует весь сетевой трафик, в том числе электронную почту, и обнаруживает все актуальные виды киберугроз: эксплойты, трояны, бэкдоры, вредоносные скрипты, скрытые каналы передачи данных, фишинговые ссылки и атаки, замаскированные под легитимные действия. Образцом для поиска выступает обновляемая база сигнатур и ML-моделей. ML-алгоритмы в данном случае отвечают за то, чтобы по группе сигнатур, сработавших на один хост в течение определенного времени, выявить тип вредоносного ПО, которым он заражен. Выявленные паттерны анализируются, а по тем, что признаны потенциально опасными, проводится расследование.
Запуская сервис, мы держали в уме и важность покрытия атак «нулевого дня» — т. е. неустранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы. На это работают уникальные алгоритмы продукта, а также ресурсы центров реагирования на инциденты кибербезопасности нашего технологического партнера, где анализируют поток обращений в режиме 24/7. О критичных угрозах, требующих внимания, клиента информируют по электронной почте или в онлайн-режиме, что позволяет оперативно предпринимать все необходимые меры по предотвращению угрозы или реагированию на инцидент.
Защита от киберугроз ориентирована на «умных зловредов», которые думают, что обманывают системы обнаружения атак. Например, киберпреступники в курсе, что всё больше компаний внедряют у себя различные решения для анализа пропускаемого трафика, где в том числе проверяются ссылки и вложения в письмах на скрытые угрозы, и пишут код так, чтобы не проявлять себя в такой «песочнице». Либо закладывают отсрочку срабатывания по таймеру. Более хитрые инструменты запускаются, только если по анализу активности пользователя (сколько раз он двинул мышкой, какой текст набрал и т. п.), по установленным программам или по другим признакам определяют, что они действительно попали в рабочую среду (например, ПК). Наш сервис эмулирует «рабочую обстановку» в изолированной среде, где путем умных алгоритмов за секунды прогоняет дни, недели, месяцы, чтобы заставить зловреда поверить, что он там, где нужно, и проявить себя. И всё это никак не сказывается на работе сотрудников и систем компании.
Сервис защиты от киберугроз представлен тремя блоками:
  1. Первый блок анализирует сетевой трафик, выявляет заражения, извлекает вредоносные ссылки и файлы для анализа в следующем блоке.
  2. Второй проводит поведенческий анализ объектов в изолированной среде для выявления ранее неизвестных угроз. Сюда попадают файлы, полученные по электронной почте, скачиваемые из интернета, размещенные на файловых хранилищах или загружаемые аналитиками вручную. Все эти файлы анализируются до того, как они попадают на компьютеры пользователей, что позволяет блокировать их доставку и предотвращать заражение.
  3. Третий управляет всеми компонентами комплекса, анализирует и коррелирует события. В синергии с другими модулями осуществляет процесс проактивного выявления угроз — централизованное удаленное реагирование на инциденты, автоматический сбор криминалистических данных, ретроспективный анализ и восстановление хронологии атаки.

Безопасный телеком

Как телеком-оператор мы много работаем с конечными клиентами и видим их запрос на упрощение пользовательских интерфейсов любых систем. Поэтому уверены, что, реализованные в сервисе дашборды, личный кабинет и система отчетности будут максимально доступны и понятны нашим заказчикам. Кроме ключевых параметров личного кабинета (инциденты, алерты, расследования), предусмотрен графовый анализ. С его помощью можно определять связанную с найденным потенциальным инцидентом или цифровым следом инфраструктуру в виде графа, под которым будет обнаруженный компонент с подробным описанием каждого. Таким образом, разрозненные события коррелируются вокруг одной атаки и позволяют атрибутировать ее до хакерской группы и даже конкретных людей, стоящих за ней.
Составляющие сервиса входят в реестр отечественного ПО и имеют сертификаты ФСТЭК и ФСБ. Поэтому мы активно работаем не только с клиентами от бизнеса, но и госзаказчиками.
Сервис развернут на облачных вычислительных мощностях Билайн Бизнес в ЦОДе, спроектированном в соответствии со стандартами Uptime Institute и сертифицированным по уровню Tier III.
Безусловно, сервис защиты от киберугроз не должен рассматриваться как самодостаточное решение. Это лишь один из кирпичей в «стене», обеспечивающей безопасность инфраструктуры. Но это важный элемент, закрывающий вопрос с защитой от целевых атак, в том числе вирусов-шифровальщиков, банковских троянов, программ-шпионов и угроз «нулевого дня». Всем спасибо, что прочли. Делитесь мнением и опытом столкновения с киберзлоумышленниками в комментариях.

Комментарии 25

    +3
    Берётся API от NGFW, SIEM, AV, etc. «Рисуется» красивая обёртка с логотипами. Profit.
    По факту весь защищаемый трафик еще и попадает в руки сторонней Group-IB.
      +1
      А вы уверены, что средний бизнес сможет все это развернуть и поддерживать самостоятельно?
        0
        В большинстве своем не сможет как закупить, внедрить, так и поддерживать (удерживать квалифицированные кадры).
        Но здесь я говорю про то, что крупный бизнес (в лице авторов поста) малыми со своей стороны усилиями предоставляет сервис с сомнительной практической пользой.
        0
        Решение, о котором мы рассказали, запущено совместно с Group-IB. Threat Hunting Framework (THF) не является NGFW, SIEM, AV. Комплекс в своем роде уникальный, он разработан для обнаружения неизвестных ранее угроз и целевых атак, блокировки задетектированных угроз и предоставления автоматизированных инструментов для обнаружения связанных угроз как внутри, так и за пределами защищенного периметра компании.

        Новая услуга «Защита от киберугроз» реализует нетривиальный формат поставки решения: нашему клиенту не нужно устанавливать никаких аппаратных или программных модулей на своей стороне для того, чтобы обеспечить кибербезопасность уровня Enterprise. Сервис подключается прозрачно и реализуется на облачных вычислительных мощностях Билайн Бизнес. По факту весь защищаемый трафик не выходит за границы инфраструктуры сети MEN ПАО «ВымпелКом».
          +2
          Текст без изменений можно на брошюрки рекламные перепечатывать. Вы бы хотя бы технаря писать ответы посадили, а не продажника.
            0

            Сам продукт может и не являться ни одним из вышеперечисленных решений. Однако назначением SIEM как раз и есть выявление аномалий в функционировани информационной системы на основании данных от систем защиты — IPS/IDS, файрволы, сэндбоксы и т.д. Аномалии — как раз и есть те самые неизвестные угрозы и целевые атаки. Потому, из описания, этот THF и выглядит как комплекс решений во главе с SIEM и продвинутым sandbox в ядре.

          0
          Если позволите два вопроса:
          — сканируется как я понимаю не только почта, но и интернет трафик? Тогда какой процент трафика (а он зачастую шифруется) доступен вам для анализа?
          — если вы запускаете объекты в песочнице (кстати — есть полный их список?), то какова задержка получения письма или открытия сайта?
            +1
            «Защита от киберугроз» включает 2 пакета – «Стандартный» и «Расширенный». В рамках первого клиентам предоставляется защита почты: мониторинг писем на вредоносные программы, блокировка фишинговых ссылок и возможность использовать запатентованную технологию «детонации» подозрительных файлов в изолированной среде, вызывая его максимально полное выполнение для извлечения индикаторов атаки и дальнейшего исследования обнаруженной угрозы.

            В состав пакета «Расширенный» дополнительно входит защита сетевого трафика: анализ всех файлов, скачиваемых из сети Интернет, а также обнаружение аномалий в сетевых взаимодействиях инфраструктуры клиента с внешними серверами. «Защита от киберугроз» анализирует весь поступающий трафик. Для зашифрованного трафика у нас существуют отдельные правила анализа.

            Если речь идет о списке «песочниц», то это программно-аппаратный комплекс детонации вредоносного кода, который называется Polygon. Если данная услуга подразумевает фильтрацию почтового трафика (inline-режим), то уникальные файлы задерживаются в анализе на 2-3 минуты.
              +4
              В состав пакета «Расширенный» дополнительно входит защита сетевого трафика: анализ всех файлов, скачиваемых из сети Интернет, а также обнаружение аномалий в сетевых взаимодействиях инфраструктуры клиента с внешними серверами. «Защита от киберугроз» анализирует весь поступающий трафик. Для зашифрованного трафика у нас существуют отдельные правила анализа.

              еще раз — как это работает, при условии, что весь клиентский трафик HTTP уже зашифрован TLS, вся почта тоже уже ходит по TLS????

            0
            Судя по описанию это исключительно мониторинговый сервис. Не совсем понятно в чем его смысл — сообщить клиенту что его атаковали и, более того, успешно? Не спорю знать о том что произошло проникновение в ИС, о внедрении потенциально опасного ПО, это лучше чем ничего, но в современном мире получить уведомление «вас только что взломали» может быть полезно только в случае наличия у клиента высококваллифицированной службы информационной безопасности (надо ещё учитывать что персонал этой службы будет работать в режиме «вечного» разгребания последствий атаки, а не предотвращения их). Некоторое время назад был опрос, в рамках которого изучалось время, в течении которого, служба ИБ может осуществлять защиту ИС в ручном режиме. Лучший результат был около 36 часов — дальше людям надо и поспать и поесть.
              0
              Если вчитаться по ссылке, то можно понять, что служба реагирования существует — у Group-IB. Только нигде не опубликованы метрики, как быстро будет реакция и будут ли что-либо предотвращать вообще, превентивные меры.
                +1
                Ну собственно в этом и был мой вопрос. Что касается «службы реагирования», что Group-IB (они даже в большей степени), что лбая другая команда, либо будет стоить неподьемных для конечного клиента денег, либо толку от неё не будет вовсе. Для того чтобы адекватно реагировать, мало иметь подготовленных специалистов, мало иметь в наличии комплект «инструментов» (тоже надо сказать не дешёвых) и даже наличие возможности быстро доставить эти инструменты к клиенту так же мало. Надо ещё иметь возможность их адекватного применения, а это невозможно сделать без знания ИС заказчика, его сервисов и так далее. А вот это уже стоит совсем других денег, в отличии от пассивного мониторинга траффика. И без этого знания все действия по устранению угрозы (а в данном случае ещё и последствий, так как атака то прошла) будут не более чем театральной постановкой с закатыванием глаз и разведением рук. Вообще эта история выглядит как «сговор» в целях рекламы обоих участников с последующим «разводом» клиента уже совсем на другие деньги, причём лёгкого — клиент уже достаточно напуган и готов на все. Причём надо понимать, что реализовать все тоже самое, но с активной блокировкой угроз, не бог весть какая сложная техническая задача.
                  0
                  Здесь нужно искать золотую середину. Большинство аутсорсеров будут работать спустя рукава, а развитие внутри компании своей команды потребует не малых затрат, т.к. квалифицированных сотрудников нужно будет ещё и удерживать.
              0

              Момент такой что если усложнять защиты всякие, то со временем найдётся и на них опытные специалисты, либо же сами бывшие разработчики которые решат хакнуть эту же защиту. Ведь прецеденты уже были и не раз.

                0
                Предлагаете все открытым сделать, чтобы хакеры особо и не парились-то?
                  0
                  Можно про прецеденты подробнее, пожалуйста. Я вот что-то не слышал, когда разрабы сами взламывали. Мотивации, если честно, не особо понимаю
                  +2
                  Сервис развернут на облачных вычислительных мощностях Билайн Бизнес в ЦОДе, спроектированном в соответствии со стандартами Uptime Institute и сертифицированным по уровню Tier III.

                  Мне было бы спокойнее, чтобы сервис был в 2 ЦОД минимум. Почему? Да потому что Tier III ничего не значит — их, во-первых, три типа сертификации, а, во-вторых, была уже история, когда Xelent в Петербурге прилёг
                  https://m.fontanka.ru/2018/02/16/119/
                  Tier III говорите?


                  Запущенный совместно с партнёром сервис сканирует весь сетевой трафик, в том числе электронную почту, и обнаруживает все актуальные виды киберугроз: эксплойты, трояны, бэкдоры, вредоносные скрипты, скрытые каналы передачи данных, фишинговые ссылки и атаки, замаскированные под легитимные действия.

                  Ничего не понял. Объектами защиты является что? Ставятся какие-то агенты на оконечные узлы? Или защита просто подключается в ЛК и снифает весь сетевой трафик клиента? Но что делать, если весь трафик шифрованный — vpn, IPSec, https/tls etc.? Или предполагается, что клиент Билайна сдаст все ключи шифрования?

                    0
                    Tier — целостность и доступность, не конфиденциальность же.
                      0

                      Ответ не по существу. Я прекрасно понимаю, что такое Tier. Еще раз — даже Tier III датацентры умудряются падать (пример я привел). Как будете избегать такой ситуации? Вариантов кроме размещаться во втором ЦОДе — я не вижу. И строить архитектуру системы с учетом этого.


                      По второму (будут ли сданы ключи шифрования трафика) — я тоже ответа не получил

                        0
                        Пассивный мониторинг траффика врядли требует резервирования, все равно сигнализация об нарушении защиты будет получена уже после того как защита будет нарушена и, с большой вероятностью, уже по другим вектрам будет осуществлена атака уже из ИС, в обход сенсоров на стороне оператора. Я уж не говорю о том что размещение сенсоров подобного рода на стороне оператора закрывает один из множества путей для проведения атаки.
                          0
                          Про первое — согласен. По второму не отвечу — я не автор статьи и не имею к сервису никакого отношения.
                            0

                            ок, принято, спасибо

                      +2
                      Кто нибудь, скиньте это главе ИБ РЖД
                        +1
                        Насколько я понял, ответа на вопрос «как вы умудряетесь анализировать шифрованный трафик» не будет.

                        Вариантов всего два — или сервисы располагают соотв. сертификатами (могут всё дешифровать) — т.е., вся секретность скомпрометирована — или же шифрованный трафик осмысленному анализу не поддаётся (т.е. судить можно только по адресам, которые им обмениваются).
                          0
                          Отечественный «anyrun» чи шо?

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.