Хакерська індустрія, яка стає все більш і більш професійною, не тільки пропонує шкідливі програми та інструменти в оренду. Криміналісти також пропонують свою роботу за гроші. Їхній досвід у розширених постійних загрозах (APT) вимагає захисту на рівні очей: кероване виявлення та реагування (MDR).
Останніми роками кіберзлочинність стала більш організованою та все більше базується на прикладі ділового світу. Майже десять років Malware-as-a-Service спочатку пропонувало швидкий вихід у світ кіберзлочинності, і на нелегальному ринку завжди існував широкий вибір інструментів: трояни віддаленого доступу (RAT), мережі ботів для розсилки спаму або навіть складні атаки програм-вимагачів. Озброївшись таким чином, зловмисники з невеликим технічним досвідом тепер можуть керувати навіть складним шкідливим програмним забезпеченням. Отриманий дохід розподіляється між різними учасниками, як у звичайному діловому житті: виробник, наприклад, отримує 40 відсотків, а решта йде операторам, які здійснюють атаку.
Кіберзлочинці з розподілом праці
Існуюча екосистема сервісів і зловмисного програмного забезпечення заохочує кіберзлочинців продовжувати розподіл праці в індустріальному стилі: розробники пишуть код, менеджери продуктів розробляють загальні дорожні карти, розглядаючи контрзаходи. Технічна підтримка підтримує користувачів у їхніх повсякденних справах. Вся бізнес-модель фінансується потерпілими. Потім учасники від свого імені розміщують рекламу в соціальних мережах або під псевдонімом на форумі з фінансовими результатами, досягнутими під час минулих кампаній, щоб залучити нових партнерів.
На жаль, комерційне шкідливе програмне забезпечення як послуга довело свою цінність. Аналіз показує, що тенденція до комерціалізації в негативному сенсі є більш стійкою та далекосяжною, ніж можна було б подумати: розробники та партнери генерують мільярдні доходи. Наприклад, ініціатори атаки програм-вимагачів GandCrab стверджували на підпільних форумах у 2019 році, що вони виманили понад два мільярди доларів США у атакованих компаній.
Від кримінального шкідливого програмного забезпечення до постачальника послуг APT
Два роки тому свої послуги почали пропонувати групи найманців APT. Вони націлені на ключових гравців, які зацікавлені в передових методах атак і потенційно співпрацюють з урядами. Націлюючись на ІТ-системи більшої частини Європи та Німеччини, ці групи використовують передові тактики, методи та процеси (TTP), щоб шпигувати та викрадати конфіденційну інформацію.
У 2018 році раніше невідома група APT RedCurl атакувала кілька компаній у банківській, страховій, юридичній, будівельній, фінансовій, консалтинговій, роздрібній торгівлі та туристичній сферах. Згідно з аналізом експертів з ІТ-безпеки Group-IB, для викрадання даних автори використовували потужний фреймворк зловмисного ПЗ. Влітку 2020 року Bitdefender розкрив діяльність ще однієї професійної групи зловмисників APT: їх бізнес-модель базувалася на кібершпигунстві в галузі нерухомості. Для цього він використав зловмисне корисне навантаження, видане за плагін для популярного програмного забезпечення тривимірної комп’ютерної графіки Autodesk 3ds Max. Професійне тестування коду на відповідність контрзаходам гарантувало, що зловмисне програмне забезпечення не було виявлено під час розгортання.
Кіберзлочинність на новому рівні
Досвід організацій, які стоять за такими атаками, виводить кіберзлочинність на новий рівень. Інструменти шпигунства APT є продуктом досвідчених команд розробників, які мають вузькоспеціалізовані знання. Вони використовують набори інструментів, адаптовані до відповідного проекту. Вони також запобігають поширенню зловмисного програмного забезпечення за межі фактичної мети атаки. Як наслідок, постачальники засобів захисту мають меншу ймовірність отримати копію шкідливого програмного забезпечення для майбутнього виявлення. Це ставить перед командами захисту малих і середніх компаній серйозні проблеми. Традиційні підходи до виявлення зловмисного програмного забезпечення на основі файлів ігнорують, наприклад, зразки поліморфного зловмисного програмного забезпечення та так звані безфайлові шкідливі програми. Важко виявити тактику «живого за кордоном», як-от зловживання протоколом віддаленого робочого столу (RDP) або іншими законними інструментами. Через це малим і середнім компаніям і організаціям дуже важко реагувати на ці небезпеки з необхідною швидкістю.
Це правда, що більшість компаній мають базові технології для захисту від різних типів шкідливих програм. Але складні інструменти професіоналів APT, потрапивши в корпоративну мережу, можуть пройти під радаром лічильників і ухилитися від їхніх дій, принаймні на деякий час.
професіоналізувати захист
Богдан Ботезату, керівник відділу аналізу загроз Bitdefender
Рішення безпеки кінцевих точок самі по собі не можуть виявити зловмисну поведінку та корисні навантаження в усьому ланцюжку атак. Одних тільки технологій недостатньо, щоб ідентифікувати складні атаки, які були розроблені з великою витонченістю та майстерністю. Захист від зловмисників APT вимагає взаємодії програмного забезпечення та експертів.
Щоб розкрити всі наміри та повний масштаб атаки, здійсненої професіоналами, важливо оцінити події, зібрані в рішенні EDR (виявлення та реагування на кінцеві точки), людиною-аналітиком. Відповідний інцидент передано для аналізу фахівцям із цифрової криміналістики. Управління інцидентом містить збитки. Це зменшує вартість і час для відновлення попереднього стану системи або набору даних і запобігає збитку репутації.
Але досвід, необхідний для такого аналізу, є дефіцитним і має свою ціну. Також потрібен час, щоб навчити команду фахівців з кіберризиків. Тому, зіткнувшись із дуже рішучими зловмисниками, багатьом організаціям слід розглянути можливість залучення сторонньої допомоги у вигляді пропозицій керованого виявлення та реагування.
Кероване виявлення та реагування
MDR (кероване виявлення та реагування) із зовнішнім керуванням поєднує в собі перевірені технології безпеки для аналізу безпеки виявлення кінцевих точок і дослідження мережевого трафіку з необхідною компетентністю та знаннями висококваліфікованих експертів. Такий зовнішній додатковий центр ІТ-безпеки підтримує компанії, які не мають доступу до передових технологій, таких як SIEM (Інформація про безпеку та керування подіями), TIP (Платформа аналізу загроз) і SOAR (Автоматизація оркестровки безпеки та реагування) – або не мають достатня кількість персоналу, що працює цілодобово і без вихідних, для захисту від критично важливих для бізнесу кіберзагроз. Додатковий нагляд, який здійснюють експерти, дозволяє розширене виявлення інцидентів безпеки зі швидким реагуванням за допомогою автоматизованих, попередньо схвалених процесів. Це дозволяє зовнішнім аналітикам швидко вживати заходів для пом’якшення та запобігання загрозам.
Пропозиції MDR також включають активне полювання на загрози до моніторингу темної мережі та криміналістику для дослідження контекстних і діючих індикаторів загрози. Експерти також аналізують фактор ризику людей і співробітників. Спеціально визначені моделі загроз дозволяють індивідуально реагувати на інциденти. Цілі атак, які є критично важливими для компанії та спричиняють особливі ризики для компанії, можна цілеспрямовано відстежувати. Операційний центр безпеки (SOC) постачальника MDR пропонує досвід експертів і надає звіти відповідно до вимог клієнтів з різних галузей.
відновити рівень очей
Змінився не лише ландшафт загроз, але й організація, структури та, зрештою, персонал кіберзлочинців. Їх моделями є поділ праці та бізнес-моделі у світі легального бізнесу. Зловмисники аутсорсують технології та розробки. Постачальники зловмисних послуг продовжують позиціонувати себе, пропонуючи атакувати підприємства будь-якого розміру та в усіх секторах, щоб отримати прибуток від кіберзлочинності. Настав час легальній економіці подумати про процеси співпраці: компаніям потрібен не лише доступ до оборонних технологій, а й компетенція та досвід зовнішніх експертів, щоб протистояти зловмисникам. Ви купуєте те, що вам потрібно, але не можете зробити самі.
Дізнайтеся більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de