Магчыма, Вы ведаеце што такое OSINT і карысталіся пошукавікам Shodan, ці ўжо выкарыстоўваеце Threat Intelligence Platform для прыярытызацыі IOC ад розных фідаў. Але часам неабходна ўвесь час глядзець на сваю кампанію з вонкавага боку і атрымліваць дапамогу ва ўхіленні выяўленых інцыдэнтаў. дазваляе адсочваць лічбавыя актывы кампаніі і яе аналітыкі прапануюць канкрэтныя дзеянні.
Па сутнасці Digital Shadows гарманічна дапаўняе існуючы SOC або цалкам закрывае функцыянал адсочвання знешняга перыметра. Пабудова экасістэмы ідзе з 2011 года і пад капотам рэалізавана шмат цікавых рэчаў. DS_ маніторыць Інтэрнэт, сац. сеткі і darknet і выяўляе з усяго патоку інфармацыі толькі важнае.
У сваёй штотыднёвай рассылцы кампанія прыводзіць таблічку, якую Вы можаце выкарыстоўваць у сваім паўсядзённым жыцці для ацэнкі крыніцы і атрыманай інфармацыі. З таблічкай вы таксама можаце азнаёміцца ў канцы артыкула.
Digital Shadows здольная выявіць і пагасіць фішынгавыя дамены, падробленыя акаўнты ў сацыяльных сетках; знайсці скампраметаваныя ўліковыя дадзеныя супрацоўнікаў і якія ўцяклі дадзеныя, выявіць інфармацыю аб якія рыхтуюцца кібератаках на кампанію, стала адсочваць публічны перыметр арганізацыі і нават рэгулярна аналізаваць мабільныя прыкладанні ў пясочніцы.
Выяўленне лічбавых рызык
Кожная кампанія падчас сваёй дзейнасці абрастае ланцужкамі сувязяў з кліентамі і партнёрамі, і дадзеныя, якія яна імкнецца абараніць, становяцца ўсё больш уразлівымі, іх колькасць толькі расце.
Каб пачаць кіраваць гэтымі рызыкамі, кампанія павінна пачаць глядзець за межы свайго перыметра, кантраляваць яго і атрымліваць аператыўную інфармацыю аб зменах.
Data Loss Detection (адчувальныя дакументы, даступныя супрацоўнікаў, тэхнічная інфармацыя, інтэлектуальную ўласнасць).
Уявіце, што ваша інтэлектуальная ўласнасць была раскрытая ў Інтэрнэце або ў GitHub рэпазітар выпадкова патрапіў унутраны канфідэнцыйны код. Зламыснікі могуць выкарыстоўваць гэтыя дадзеныя для запуску больш мэтанакіраваных кібератак.
Online Brand Security (фішынгавыя дамены і профілі ў сацсетках, якое імітуе кампанію мабільнае ПЗ).
Паколькі зараз цяжка знайсці кампанію без сацыяльнай сеткі ці падобнай платформы для ўзаемадзеяння з патэнцыйнымі кліентамі, зламыснікі спрабуюць выдаць сябе за брэнд кампаніі. Кіберзлачынцы робяць гэта шляхам рэгістрацыі падробленых даменаў, уліковых запісаў сацыяльных сетак і мабільных прыкладанняў. У выпадку поспеху фішынгу / махлярства, гэта можа паўплываць на даход, лаяльнасць і давер кліентаў.
Памяншэнне паверхні атакі (уразлівыя сэрвісы на перыметры з Інтэрнэтам, адчыненыя порты, праблемныя сертыфікаты).
Па меры росту ІТ-інфраструктуры працягвае расці паверхню нападу, колькасць інфармацыйных аб'ектаў. Рана ці позна ўнутраныя сістэмы могуць апынуцца выпадкова апублікаваны ў знешнім свеце, напрыклад, база дадзеных.
DS_ апавясціць аб праблемах раней, чым імі зможа скарыстацца атакавалы, вылучыць найболей прыярытэтныя, аналітыкі парэкамендуюць далейшыя дзеянні і тут жа можна будзе зрабіць takedown.
Інтэрфейс DS_
Можна выкарыстоўваць непасрэдна вэб-інтэрфейс рашэння або скарыстацца API.
Як можна заўважыць, аналітычная зводка прадстаўлена ў выглядзе варонкі, пачынаючы ад колькасці згадак і заканчваючы рэальнымі інцыдэнтамі атрыманых з розных крыніц.
Многія выкарыстоўваюць рашэнне як вікіпедыю з інфармацыяй аб актыўных атакавалых, якія праводзяцца імі кампаніях і падзеях у сферы ИБ.
Digital Shadows лёгка інтэграваць у любую знешнюю сістэму. Падтрымліваюцца як апавяшчэння, так і REST API для інтэграцыі ў сваю сістэму. Можна назваць IBM QRadar, ArcSight, Demisto, Anomali і .
Як кіраваць лічбавымі рызыкамі – 4 асноўных кроку
Крок 1: Вызначэнне крытычных для бізнэсу актываў
Гэты першы крок, вядома ж, заключаецца ў разуменні таго, пра што арганізацыя клапоціцца больш за ўсё і што хоча абараніць.
Можна падзяліць на ключавыя катэгорыі:
- Людзі (заказчыкі, супрацоўнікі, партнёры, пастаўшчыкі);
- Арганізацыі (роднасныя і абслуговыя кампаніі, агульная інфраструктура);
- Сістэмы і аперацыйныя крытычныя прыкладанні (вэб-сайты, парталы, базы дадзеных з дадзенымі кліентаў, сістэмы апрацоўкі плацяжоў, сістэмы доступу супрацоўнікаў або ERP дадатку).
Пры складанні гэтага спісу рэкамендуецца прытрымлівацца простай ідэі - актывы павінны быць вакол крытычных бізнес-працэсаў або эканамічна важных функцый кампаніі.
Звычайна дадаюць сотні рэсурсаў, у тым ліку:
- назвы кампаній;
- брэнды / гандлёвыя маркі;
- дыяпазоны IP-адрасоў;
- дамены;
- спасылкі на сацыяльныя сеткі;
- пастаўшчыкоў;
- мабільныя прыкладанні;
- нумары патэнтаў;
- маркіроўкі дакументаў;
- ідэнтыфікатары DLP;
- подпісы email-лістоў.
Адаптацыя сэрвісу пад сябе гарантуе атрыманне толькі рэлевантных абвестак. Гэта ітэратыўны цыкл, і карыстальнікі сістэмы будуць дадаваць актывы па меры іх з'яўлення, такія як новыя назвы праектаў, маючыя адбыцца зліцця і паглынання або абноўленыя вэб-дамены.
Крок 2: Разуменне патэнцыйных пагроз
Каб найлепшым чынам падлічыць рызыкі, неабходна разумець патэнцыйныя пагрозы і лічбавыя рызыкі кампаніі.
- Тэхнікі, тактыкі і працэдуры зламыснікаў (TTP)
Каркас і іншыя дапамагаюць знайсці агульную мову паміж абаронай і нападам. Збор інфармацыі і разуменне паводзін па шырокім коле зламыснікаў дае вельмі карысны кантэкст пры абароне. Гэта дазваляе разумець наступны крок у назіранай атацы, альбо выбудоўваць агульную канцэпцыю абароны зыходзячы з . - Магчымасці зламыснікаў
Атакуючы будзе выкарыстоўваць найболей слабое звяно або найкароткі шлях. Розныя вектары нападаў і іх камбінацыі - пошта, вэб, пасіўны збор інфармацыі і г.д.
Крок 3: Маніторынг непажаданых з'яўленняў лічбавых актываў
Каб выяўляць актывы, неабходна рэгулярна адсочваць вялікую колькасць крыніц, такія як:
- Git рэпазітары;
- Дрэнна настроеныя хмарныя сховішчы;
- Paste сайты;
- Сац. медыя;
- Крымінальныя форумы;
- Dark web.
Каб пачаць з чагосьці, вы можаце выкарыстоўваць бясплатныя ўтыліты і тэхнікі, ранжыраваць па ступені складанасці ў кіраўніцтве '».
Крок 4: Прыняцце мер па абароне
Пасля атрымання апавяшчэння неабходна распачаць канкрэтныя дзеянні. Можна вылучыць Тактычныя, Аперацыйныя і Стратэгічныя.
У Digital Shadows кожнае папярэджанне ўключае ў сябе рэкамендуемыя дзеянні. Калі гэта фішынгавы дамен або старонка ў сацсетцы, то адсочваць статус выканання пагашэння можна ў раздзеле "Takedowns".
Доступ да дэма-партала на працягу 7 дзён
Адразу абмоўлюся, што гэтае не паўнавартаснае тэставанне, а толькі часовы доступ да дэма партала для азнаямлення з яго інтэрфейсам і пошуку па некаторай інфармацыі. Паўнавартаснае тэсціраванне будзе змяшчаць актуальныя для канкрэтнай кампаніі дадзеныя і мяркуе працу аналітыка.
Дэма-партал будзе змяшчаць:
- прыклады папярэджанняў для фішынгавых даменаў, адкрытыя ўліковыя дадзеныя і слабыя месцы ў інфраструктуры;
- пошук па darknet старонках, крымінальным форумам, фідам і шматлікім іншым;
- 200 профіляў кіберпагроз, інструментаў і кампаній.
Атрымаць доступ можна па гэтай .
Штотыднёвыя рассылкі і падкаст
У штотыднёвай рассылцы можна атрымліваць кароткую зводку аператыўнай інфармацыі і апошніх падзей за апошні тыдзень. Таксама можна паслухаць падкаст .
Для адзнакі крыніцы Digital Shadows выкарыстоўваючы якасныя сцвярджэнні з двух матрыц, ацэньваючы дакладнасць крыніц і дакладнасць інфармацыі, атрыманай ад іх.
Артыкул напісаны паводле матываў».
Калі рашэнне Вас зацікавіла, Вы можаце звяртацца да нас - кампанію , дыстрыбутару Digital Shadows_. Дастаткова напісаць у свабоднай форме на .
аўтары: и .
Крыніца: habr.com