Представьте, что крупный банк узнаёт о поддельном мобильном приложении с логотипом своего бренда только после жалоб обманутых клиентов. В другой компании системный администратор обнаруживает давно забытый тестовый сервер, доступный в интернете, уже после того, как через него произошёл взлом.
Оба случая — результат того, что не были вовремя внедрены инструменты проактивной киберзащиты. Речь про Digital Risk Protection (DRP) и Attack Surface Management (ASM), которые помогают предотвратить атаки, а не только реагировать на них постфактум. Разберёмся, что из себя представляют DRP и ASM, какие угрозы они закрывают, кому и зачем нужны эти решения, что бывает, если их игнорировать, и как работает мониторинг в рамках проактивного подхода.
Что такое цифровые риски и почему они опасны
Цифровые риски – это совокупность угроз, которые возникают за пределами традиционного контура безопасности компании. Раньше службы ИБ укрепляли внутреннюю сеть с помощью СЗИ (IPS, IDS, SIEM, XDR, MDR и так далее) и реагировали на атаки постфактум. Но сегодня опасность часто зарождается вне периметра и прилетает, откуда не ждали. Ниже приведены основные примеры таких внешних угроз.
Фишинг и мошенничество с брендом
Фишинговые атаки по-прежнему крайне эффективны: в 2024 году в России выявлено более 350 тысяч фишинговых ресурсов – в 1,5 раза больше, чем годом ранее. Мошенники регистрируют похожие доменные имена, рассылают письма якобы от лица компании или запускают фейковые акции, нанося удар по репутации и доверию. Широко распространены продажи iPhone за полцены в черную пятницу под брендом популярного ритейлера или, например, использование похожего домена областного ресурса о фейковых выплатах участникам СВО.
Кроме того, широко распространены мошеннические объявления на онлайн-площадках: только за 2024 год обнаружено более 20 тысяч фейковых объявлений на маркетплейсах и досках объявлений. От лица известной компании там могут продаваться несуществующие товары или украденное оборудование. Без мониторинга этой части интернета компания может даже не знать, что её бренд используется в преступных схемах.
Вредоносные мобильные приложения
Отдельный вектор угроз – фальшивые или заражённые мобильные приложения, распространяемые вне официальных магазинов. Злоумышленники публикуют приложения, выдающие себя за официальное приложение компании, на сторонних маркетплейсах или просто распространяют APK-файлы напрямую. Если клиенты установят такой подделанный банк или сервис, последствия будут плачевными – от кражи данных до прямого списания денег.
Утечки данных и раскрытие конфиденциальной информации
Данные сотрудников, клиентов, исходники программ – всё это может внезапно оказаться в открытом доступе. Причины разные: от намеренных сливов на даркнет-форумах до случайных публикаций на GitHub. Исследования показали, что в 2023 году пользователи GitHub непреднамеренно обнародовали около 12,8 млн конфиденциальных секретов (пароли, API-ключи, токены и т.д.) в миллионах публичных репозиториев. Каждый такой утёкший пароль или ключ – это потенциальная возможность для хакера. Неудивительно, что скомпрометированные учётные данные становятся причиной до 50% успешных атак, тогда как эксплуатация уязвимостей – около 23% случаев.
Одновременно на теневых площадках постоянно появляются украденные базы данных, продаются эксплойты и доступы во внутреннюю сеть компаний. По статистике, только за первые 5 месяцев 2024 года в открытом доступе были опубликованы чувствительные данные более 250 российских организаций общим объёмом более 50 Тб. Это колоссальный масштаб утечек, включающий сотни миллионов записей (адреса электронной почты, телефоны и прочие контакты). Если компания не отслеживает такие утечки, она может слишком поздно узнать, что персональные данные её клиентов уже гуляют по рукам злоумышленников.
Уязвимости на внешнем периметре
Все публично доступные сервисы – веб-сайты, API, облачные хранилища, VPN-шлюзы – становятся любимой мишенью хакеров. Стоит забыть выключить тестовый сервер или вовремя не обновить веб-приложение, и злоумышленники тут как тут.
Согласно исследованию, в 2024 году практически в каждой четвертой успешной атаке (23% случаев) хакеры эксплуатировали уязвимости сервисов на внешнем периметре. Причём почти половина взломов началась через уязвимые веб-приложения (44% инцидентов), а ещё 13% – через другие внешние сервисы вроде VPN, RDP или SSL (по данным ptresearch). Итого более 57% атак стартуют с внешней стороны сети компании.
Часто организации даже не знают обо всех своих интернет-активах – так называемых Shadow IT. Классический пример – массовые атаки на уязвимости в VPN-серверах или почтовых шлюзах: пока админы ставят патчи, злоумышленники уже сканируют интернет в поисках дверей, оставленных открытыми.
Активность в даркнете и скрытых коммуникациях
Многие угрозы зарождаются не в открытой сети, а в тёмных закоулках интернета. На форумах даркнета продаются доступы во внутренние сети компаний и обсуждаются планы атак. В мессенджерах (например, Telegram) появляются каналы, где выкладывают украденные базы данных, списки уязвимых адресов или даже открыто предлагают услуги по кибератакам. Порой там же всплывают инсайдерские сливы – скажем, недовольный сотрудник может выложить документы в закрытом чате.
Без специализированного мониторинга компании не видят этой подпольной активности, пока информация о них не попадёт в новости. К внешним рискам относится и информационное поле – негативные публикации, отзывы, фейковые новости. В 2024 году зафиксировано свыше 24 тысяч инфоповодов, негативно влияющих на репутацию различных компаний. Координированные вбросы или кампании по дискредитации в соцсетях могут ударить по имиджу не хуже хакерской атаки. Классические средства защиты этого просто не заметят.
Человеческий фактор и инсайдерские риски
Сотрудники тоже оставляют цифровой след компании, особенно топ-менеджеры и ключевые специалисты. Их компрометация или внезапный уход могут создать серьёзные проблемы. К примеру, если ценный инженер неожиданно обновил резюме и ищет работу на сайтах вроде HeadHunter – это сигнал для службы безопасности. Вдруг он уходит к конкуренту, прихватив с собой коммерческие тайны? Или обиженный менеджер готов «слить» базу клиентов?
Конечно, кадровые перестановки – явление нормальное, и не всякий ищущий работу сотрудник замышляет неладное. Но заметить тревожные сигналы важно вовремя: тогда есть шанс принять превентивные меры. Аналогично, мониторинг отзывов о компании (например, на форумах или сайтах-отзовиках) может подсказать, что назревает недовольство или конфликт – частая почва для инсайдерских утечек. Иными словами, люди остаются самым непредсказуемым звеном, и внешние проявления их активности тоже следует держать в поле зрения.
Все перечисленные угрозы объединяет одно: они возникают за пределами традиционных средств защиты. Брандмауэры, антивирусы и SIEM не помогут заметить, что кто-то запустил фишинговый сайт с вашим логотипом или выложил вашу базу данных на хакерском форуме. Для этого нужна цифровая разведка – постоянное наблюдение за внешней средой. Такой проактивный подход реализуют решения класса Digital Risk Protection.
Что такое Digital Risk Protection (DRP)?
Digital Risk Protection (DRP) можно сравнить с командой разведчиков, прочёсывающих цифровое пространство в поисках угроз для вашей компании. Это класс решений, который мониторит открытые источники и закрытые уголки интернета (форумы, тёмный веб и прочее) в реальном времени, чтобы выявлять опасности, нацеленные на бизнес. DRP-система автоматизировано собирает данные из огромных пластов интернета и обнаруживает внешние угрозы, которые традиционные средства защиты внутри периметра попросту не видят (и даже не пытаются). Кстати, все мы знаем, что пароли в браузерах хранить не нужно? А почему?
Потому что в нашей практике была утечка пароля от управления сервером у системного администратора, который разделял работу и дом, но общий аккаунт для Google Chrome и сомнительные торренты сделали свое дело – все пароли, которые хранились в браузере утекли вместе с другой информацией на контрольный сервер стилера (англ. Stealer, название вредоноса, который ворует абсолютно все, до чего может дотянуться: пароли из браузеров, криптокошельки, полный архив файлов из мессенджеров для дальнейшего анализа злоумышленниками и так далее). Все это не только под Windows, но ещё и для Android, macOS, Linux.
Таким образом ключевая задача DRP — это раннее обнаружение потенциально вредоносной активности, связанной с вашей организацией. Что может найти такой сервис? Например:
Фишинговые сайты и опасные домены – ресурсы, маскирующиеся под вашу компанию (или от её имени), созданные злоумышленниками для кражи данных у клиентов или сотрудников.
Утечки конфиденциальной информации – обнаружение в открытом доступе или на теневых форумах утёкших логинов, паролей, внутренних документов, исходного кода и прочих чувствительных данных. Автоматический поиск, по ключевым словам, форматам (например, корпоративным email) позволяет быстро узнать, не всплыли ли в сети учётные записи, связанные с вашей организацией. Такой мониторинг утечек критически важен, чтобы оперативно отреагировать – от отзыва скомпрометированных паролей до юридических шагов. Время в таком случае буквально на вес золота: чем быстрее вы узнаете об утечке, тем меньше шансов, что злоумышленники успеют ей воспользоваться.
Незаконное использование бренда – фейковые аккаунты в социальных сетях, мошеннические мобильные приложения и другие случаи, когда ваш бренд эксплуатируют без разрешения (часто для обмана пользователей).
Призывы к атаке и упоминания в даркнете – разговоры на хакерских форумах о планируемых атаках на вашу компанию, продажи баз данных или уязвимостей, связанные с вами.
Репутационные атаки – целенаправленные негативные публикации, ложные отзывы и информационные вбросы, способные подорвать доверие к компании.
Финансовые махинации – например, случаи нелегального использования ваших платёжных инструментов (поддельные страницы интернет-эквайринга, мошеннические транзакции с картами вашего банка) и другие схемы цифрового мошенничества.
DRP работает 24/7, собирая и анализируя информацию из сотен разных источников. Получив оперативное уведомление и детали (URL фишингового сайта, данные утечки, скриншоты угрозы и так далее), команда безопасности может быстро принять меры: заблокировать фальшивый ресурс, инициировать отзыв утекающих данных, усилить защиту или оповестить пострадавших.
DRP-сервисы также помогают организовать техническое погружение: готовят отчёты о найденных рисках, отслеживают динамику угроз во времени и даже могут участвовать в процессах удаления вредоносного контента (например, через обращение к администраторам хостингов, соцсетей, регистраторам доменов и тому подобное).
Важно, что DRP полезен для компаний любого размера и отрасли. Если у вас есть цифровое присутствие (веб-сайты, мобильные приложения, активность в соцсетях, онлайн-сервисы для клиентов) — вы уже потенциальная цель. Особенно критичен DRP для финансовых организаций, e-commerce, телекомов, IT-компаний — всех, чей бренд на слуху, а данные ценны. Однако и небольшой стартап может пострадать от, казалось бы, несерьёзных утечек или фишинга. DRP обеспечивает их своеобразным радаром, позволяющим вовремя заметить угрозу на горизонте.
Что такое Attack Surface Management (ASM)?
Если DRP — разведчик, то Attack Surface Management (ASM) — это ваш личный картограф и дозорный, следящий за всей внешней инфраструктурой. Поверхность атаки (attack surface) — это совокупность всех точек, через которые злоумышленник теоретически может проникнуть в вашу систему. Сюда относятся внешние веб-сайты и поддомены, серверы и облачные сервисы, открытые порты, публичные API, забытые системы... Да даже человеческий фактор (например, открытые аккаунты сотрудников). Чем больше у компании ИТ-активов, тем больше площадь атаки и тем труднее её контролировать.
ASM решает эту проблему с помощью непрерывной инвентаризации и мониторинга ваших активов, доступных извне. Системы ASM автоматически сканируют интернет-пространство, чтобы обнаружить все возможные варианты входа в вашу компанию — в том числе те, о которых вы могли не знать.
По оценкам экспертов, организации нередко не имеют представления примерно о трети своих интернет-активов — так называемых теневых (тот самый Shadow IT, о котором говорилось в цифровых рисках) или забытых систем. Именно эти неконтролируемые активы часто становятся лазейками для хакеров. ASM-сервис действует проактивно: находит такие уязвимые места, сигнализирует о проблемах и помогает расставить приоритеты, что закрыть в первую очередь.
Какие угрозы покрывает ASM? В первую очередь, это технические уязвимости и конфигурационные недочёты в вашей инфраструктуре:
Неизвестные или забытые активы – например, старый поддомен с тестовым приложением, о котором забыли, или сервер, который не отключили после пилотного проекта. ASM их обнаружит, как только они засветятся в интернете.
Открытые порты и сервисы – система мониторит диапазоны IP и домены вашей компании, выявляя открытые порты, доступные панели администрирования, базы данных без пароля, FTP-серверы и прочие дыры, которые не должны торчать наружу.
Уязвимости и устаревшее ПО – продвинутые платформы ASM умеют сопоставлять версии обнаруженных сервисов с базами известных уязвимостей. Например, если на найденном веб-сервере крутится устаревший Apache Struts с критической брешью, вы получите предупреждение об этом раньше, чем этой брешью воспользуется злоумышленник. Или прошлогодняя уязвимость CVE-2024-24919 в Check Point, где с помощью обычного POST-запроса можно прочитать любой файл от суперпользователя. Предупредить такие атаки куда легче, чем ликвидировать их последствия.
Ошибки конфигурации – от неправильно настроенных DNS-записей и отсутствия шифрования (SSL/TLS) до экспонированных файловых хранилищ в облаке. ASM подсветит параметры, которые открывают вашу систему для атаки.
Компрометация инфраструктуры – некоторые решения отслеживают упоминания ваших IP или доменов в контексте ботнетов, спам-рассылок и утечек данных. Это позволяет обнаружить, например, что один из ваших серверов уже заражён и участвует в нежелательной активности.
Другие внешние риски – категория широка: от просроченных сертификатов, которые могут нарушить работу сервисов, до нахождения ваших активов в даркнет-списках целей (в этом ASM пересекается с DRP).
Проще говоря, ASM смотрит на вашу компанию глазами хакера, сканирующего сеть в поисках точки входа. Только делает это не от случая к случаю, а постоянно. Злоумышленники делают тоже самое автоматическими сканерами или с помощью сторонних сервисов наподобие Shodan, Censys, Netals и других. Отчёты ASM дают комплексную карту вашей внешней инфраструктуры и все обнаруженные слабые места с оценкой критичности. Это помогает команде безопасности своевременно залатать дыры: закрыть неиспользуемые сервисы, обновить ПО, изменить конфигурации и спрятать в приватные сегменты то, что не должно быть общедоступно.
Кому нужен ASM?
Всем, у кого есть хоть какая-то публичная ИТ-инфраструктура. Даже небольшой интернет-магазин с одним сайтом может со временем обрасти парой лишних поддоменов или облачным хранилищем для партнёров — и забыть про них. Для крупного же предприятия с десятками веб-сервисов, микросервисов, API и распределённой командой разработчиков ASM становится незаменимым: без автоматизации уследить за постоянно меняющейся площадью атаки практически невозможно.
Особенно актуально это в эпоху облаков и DevOps, когда новые ресурсы разворачиваются и сворачиваются динамически — вчера разработчик развернул тестовый контейнер, завтра забыл, а послезавтра его уже сканируют ботнеты.
Чем грозит отсутствие DRP и ASM?
У нас же и так есть классические средства кибербезопасности — антивирусы, брандмауэры, системы обнаружения вторжений. Зачем ещё какие-то DRP и ASM?
Без DRP компания часто узнаёт о цифровых угрозах постфактум, когда ущерб уже нанесён. Например, фишинговая рассылка от имени вашего бренда начинает гулять по сети, клиенты клюют на подделку, а вы и не подозреваете — пока волна негатива не накроет колл-центр. Или в даркнете продают базу данных ваших пользователей, а вы замечаете утечку, лишь когда данные всплывают в открытом доступе.
Время упущено: деньги и репутация теряются, начинает лихорадочно работать команда реагирования, хотя можно было и не доводить до этого. Без DRP рискует любой, кто активно представлен онлайн: мошенники могут годами паразитировать на вашем имени, красть у вас клиентов, уводить деньги через фальшивые сайты, а вы об этом можете даже не знать вовремя.
Без ASM схожая история, только на техническом фронте. Без управления поверхностью атаки у организации образуются слепые зоны в собственной инфраструктуре. Какие-то серверы и сервисы остаются вне зоны контроля — их забыли или не посчитали критичными, или просто не знают, что они доступны извне. Злоумышленники обожают такие цели — они часто наименее защищены.
В результате точкой входа для атаки становится не главный, охраняемый фронт, а чёрный ход. Бывали случаи, когда миллионные убытки компании начинались с компрометации незначительного на первый взгляд веб-сайта или старого почтового сервера. Без ASM вы играете в рулетку: вдруг повезёт, и никто не найдет ту самую дыру. Но практика показывает обратное — найдут и воспользуются, это вопрос времени.
Как работают DRP и ASM
Теория теорией, но лучше один раз увидеть на практике. Давайте рассмотрим упрощённые примеры, как DRP и ASM могут сработать в реальной жизни.
Пример 1. DRP ловит фейковое мобильное приложение
Допустим, вы — специалист по безопасности в банковской сфере. Ваша DRP-платформа настроена мониторить упоминания бренда банка и новые публикации мобильных приложений. Вдруг система присылает тревожное уведомление: обнаружено подозрительное Android-приложение с названием, совпадающим с вашим официальным банковским, но опубликованное не в Google Play, а на стороннем форуме.
Анализ показывает, что приложение запрашивает чрезмерные права и имитирует интерфейс интернет-банка. Это явный троян для кражи паролей клиентов. DRP-сервис предоставляет ссылку, скриншоты интерфейса (где злоумышленники схитрили, изобразив фирменный стиль банка), а также данные, где и кем это выложено.
Затем вы оперативно связываетесь с администрацией ресурса для удаления вредоносного APK, информируете клиентов через официальный сайт и отправляете запрос в CERT/Google Safe Browsing/cctld, чтобы пометить ссылки как опасные. В итоге атака пресечена до того, как успела широко распространиться.
Пример 2. ASM находит забытую лазейку
Представим технологическую компанию, быстро растущую и регулярно запускающую новые сервисы. В какой-то момент ваша ASM-система, выполняя очередное сканирование, обнаруживает на поддомене test-prod.superbusiness.ru активный веб-сервис. По внутренней базе вы понимаете: это старый тестовый сервер, который должен был быть отключён год назад после завершения проекта. Однако он всё ещё онлайн, и более того — на нём не установлены последние патчи безопасности.
ASM присваивает этой находке высокий риск: открытый порт SSH, старая версия PHP с известными уязвимостями, и даже стандартные учётные данные администратора, которые никто не поменял. Очевидно, такой сервер — подарок для хакера. Получив отчёт, вы немедленно выключаете или изолируете этот актив, обновляете данные доступа, устраняете уязвимости. Возможно, предотвращён серьёзный инцидент: если бы злоумышленники первыми нашли этот забытый сервер, они могли беспрепятственно проникнуть в сеть компании.
Пример 3. Взаимодействие и полный обзор
В идеале DRP и ASM работают в связке. Представьте, что DRP указывает: на одном хакерском форуме появился призыв атаковать вашу компанию, обсуждают поиск уязвимостей на вашем сайте. Получив эту наводку, вы с помощью ASM сразу запускаете внеплановый глубинный анализ своего веб-периметра и обнаруживаете, скажем, некорректно настроенный веб-API без авторизации.
Быстро закрыв эту брешь, вы фактически обезоруживаете готовящуюся атаку. Этот пример показывает, как проактивный мониторинг информации вовне (DRP) и проверка состояния изнутри (ASM) дополняют друг друга, давая максимально широкую картину угроз.
Преимущества проактивного подхода
Проактивная кибербезопасность — это служба безопасности, которая не ждёт, пока вор вломится, а патрулирует район и обезвреживает злоумышленника на подступах. DRP и ASM воплощают именно такой подход и несут бизнесу ряд ощутимых выгод:
Предупреждение инцидентов вместо устранения последствий. Мониторинг цифровых рисков позволяет заметить атаку на ранней стадии (а то и на этапе подготовки) и пресечь её до ущерба. Это экономит средства (реагирование на инциденты и восстановление обходятся куда дороже) и сохраняет репутацию.
Полнота видимости. Вы не можете защитить то, о чём не знаете. DRP раскрывает невидимые раньше угрозы за периметром, ASM — незаметные дыры внутри инфраструктуры. Вместе они значительно расширяют ваш угол обзора.
Приоритизация и эффективное использование ресурсов. Проактивные системы обычно оценивают риск каждого найденного инцидента или уязвимости. Это значит, ваша команда не будет тратить время на мелочи, а сфокусируется на том, что действительно опасно. Кроме того, часть рутинной работы (поиск и сбор данных) выполняет автоматизация — аналитики получают уже обработанные сведения для принятия решений. В итоге безопасность усиливается без пропорционального роста нагрузки на людей.
Обучение и подготовленность. Постоянный мониторинг внешних сигналов учит команду быть на чеку. Вы лучше понимаете актуальные тактики злоумышленников: какие фишинговые схемы сейчас в моде, какие новые эксплойты гуляют по сети, какой отдел компании привлёк нежелательное внимание. Это позволяет проактивно корректировать политику безопасности, проводить обучение сотрудников на темы, которые действительно актуальны (например, если DRP постоянно фиксирует мошеннические письма от имени HR-отдела, имеет смысл напомнить персоналу правила проверки писем).
Наконец, проактивный подход — это философия опережения. Вместо того чтобы жить по принципу «пока гром не грянет, мужик не перекрестится», компания с DRP и ASM действует как бдительный домохозяин, который починит протекающую крышу в ясный день, не ожидая ливня. В мире кибербезопасности такой стиль работы становится новым стандартом: угрозы множатся и эволюционируют так быстро, что только упреждающими мерами можно удержать оборону.
Вместо заключения
Разумеется, ни одна система не даёт абсолютной гарантии, но сочетание DRP и ASM значительно повышает шансы, что вы встретите кибер-вызовы во всеоружии. Это про активную, живую безопасность: не бумажные регламенты для галочки, а реальные действия на опережение.
Реализовать DRP и ASM можно собственными силами (что потребует серьёзных ресурсов, поверьте на слово) или с помощью готовых решений на рынке. Сегодня доступны платформы, объединяющие все описанные модули «из коробки». Например, в нашем продукте ThreatHunter мы сделали мониторинг внешнего периметра, отслеживание фишинговых доменов, анализ Telegram-каналов, мониторинг объявлений и резюме для кадровой безопасности, сканирование даркнета и репозиториев с кодом.
Все это мы завернули в единое SaaS-решение для защиты от цифровых рисков с щепоткой многолетнего опыта проведения анализа защищенности и тестирования на проникновение. Доверьте DRP и ASM рутинную работу. Когда угрозы выявляются раньше реальной атаки, вы экономите время, деньги и нервы, оставляя ресурсы на главное — развитие бизнеса.
