Digital Shadows - кампетэнтна дапамагае знізіць лічбавыя рызыкі
Магчыма, Вы ведаеце што такое OSINT і карысталіся пошукавікам Shodan, ці ўжо выкарыстоўваеце Threat Intelligence Platform для прыярытызацыі IOC ад розных фідаў. Але часам неабходна ўвесь час глядзець на сваю кампанію з вонкавага боку і атрымліваць дапамогу ва ўхіленні выяўленых інцыдэнтаў. Лічбавыя цені дазваляе адсочваць лічбавыя актывы кампаніі і яе аналітыкі прапануюць канкрэтныя дзеянні.
Па сутнасці Digital Shadows гарманічна дапаўняе існуючы SOC або цалкам закрывае функцыянал адсочвання знешняга перыметра. Пабудова экасістэмы ідзе з 2011 года і пад капотам рэалізавана шмат цікавых рэчаў. DS_ маніторыць Інтэрнэт, сац. сеткі і darknet і выяўляе з усяго патоку інфармацыі толькі важнае.
У сваёй штотыднёвай рассылцы IntSum кампанія прыводзіць таблічку, якую Вы можаце выкарыстоўваць у сваім паўсядзённым жыцці для ацэнкі крыніцы і атрыманай інфармацыі. З таблічкай вы таксама можаце азнаёміцца ў канцы артыкула.
Digital Shadows здольная выявіць і пагасіць фішынгавыя дамены, падробленыя акаўнты ў сацыяльных сетках; знайсці скампраметаваныя ўліковыя дадзеныя супрацоўнікаў і якія ўцяклі дадзеныя, выявіць інфармацыю аб якія рыхтуюцца кібератаках на кампанію, стала адсочваць публічны перыметр арганізацыі і нават рэгулярна аналізаваць мабільныя прыкладанні ў пясочніцы.
Выяўленне лічбавых рызык
Кожная кампанія падчас сваёй дзейнасці абрастае ланцужкамі сувязяў з кліентамі і партнёрамі, і дадзеныя, якія яна імкнецца абараніць, становяцца ўсё больш уразлівымі, іх колькасць толькі расце.
Каб пачаць кіраваць гэтымі рызыкамі, кампанія павінна пачаць глядзець за межы свайго перыметра, кантраляваць яго і атрымліваць аператыўную інфармацыю аб зменах.
Data Loss Detection (адчувальныя дакументы, даступныя супрацоўнікаў, тэхнічная інфармацыя, інтэлектуальную ўласнасць).
Уявіце, што ваша інтэлектуальная ўласнасць была раскрытая ў Інтэрнэце або ў GitHub рэпазітар выпадкова патрапіў унутраны канфідэнцыйны код. Зламыснікі могуць выкарыстоўваць гэтыя дадзеныя для запуску больш мэтанакіраваных кібератак.
Online Brand Security (фішынгавыя дамены і профілі ў сацсетках, якое імітуе кампанію мабільнае ПЗ).
Паколькі зараз цяжка знайсці кампанію без сацыяльнай сеткі ці падобнай платформы для ўзаемадзеяння з патэнцыйнымі кліентамі, зламыснікі спрабуюць выдаць сябе за брэнд кампаніі. Кіберзлачынцы робяць гэта шляхам рэгістрацыі падробленых даменаў, уліковых запісаў сацыяльных сетак і мабільных прыкладанняў. У выпадку поспеху фішынгу / махлярства, гэта можа паўплываць на даход, лаяльнасць і давер кліентаў.
Памяншэнне паверхні атакі (уразлівыя сэрвісы на перыметры з Інтэрнэтам, адчыненыя порты, праблемныя сертыфікаты).
Па меры росту ІТ-інфраструктуры працягвае расці паверхню нападу, колькасць інфармацыйных аб'ектаў. Рана ці позна ўнутраныя сістэмы могуць апынуцца выпадкова апублікаваны ў знешнім свеце, напрыклад, база дадзеных.
DS_ апавясціць аб праблемах раней, чым імі зможа скарыстацца атакавалы, вылучыць найболей прыярытэтныя, аналітыкі парэкамендуюць далейшыя дзеянні і тут жа можна будзе зрабіць takedown.
Інтэрфейс DS_
Можна выкарыстоўваць непасрэдна вэб-інтэрфейс рашэння або скарыстацца API.
Як можна заўважыць, аналітычная зводка прадстаўлена ў выглядзе варонкі, пачынаючы ад колькасці згадак і заканчваючы рэальнымі інцыдэнтамі атрыманых з розных крыніц.
Многія выкарыстоўваюць рашэнне як вікіпедыю з інфармацыяй аб актыўных атакавалых, якія праводзяцца імі кампаніях і падзеях у сферы ИБ.
Digital Shadows лёгка інтэграваць у любую знешнюю сістэму. Падтрымліваюцца як апавяшчэння, так і REST API для інтэграцыі ў сваю сістэму. Можна назваць IBM QRadar, ArcSight, Demisto, Anomali і іншыя.
Як кіраваць лічбавымі рызыкамі – 4 асноўных кроку
Крок 1: Вызначэнне крытычных для бізнэсу актываў
Гэты першы крок, вядома ж, заключаецца ў разуменні таго, пра што арганізацыя клапоціцца больш за ўсё і што хоча абараніць.
Можна падзяліць на ключавыя катэгорыі:
Людзі (заказчыкі, супрацоўнікі, партнёры, пастаўшчыкі);
Арганізацыі (роднасныя і абслуговыя кампаніі, агульная інфраструктура);
Сістэмы і аперацыйныя крытычныя прыкладанні (вэб-сайты, парталы, базы дадзеных з дадзенымі кліентаў, сістэмы апрацоўкі плацяжоў, сістэмы доступу супрацоўнікаў або ERP дадатку).
Пры складанні гэтага спісу рэкамендуецца прытрымлівацца простай ідэі - актывы павінны быць вакол крытычных бізнес-працэсаў або эканамічна важных функцый кампаніі.
Звычайна дадаюць сотні рэсурсаў, у тым ліку:
назвы кампаній;
брэнды / гандлёвыя маркі;
дыяпазоны IP-адрасоў;
дамены;
спасылкі на сацыяльныя сеткі;
пастаўшчыкоў;
мабільныя прыкладанні;
нумары патэнтаў;
маркіроўкі дакументаў;
ідэнтыфікатары DLP;
подпісы email-лістоў.
Адаптацыя сэрвісу пад сябе гарантуе атрыманне толькі рэлевантных абвестак. Гэта ітэратыўны цыкл, і карыстальнікі сістэмы будуць дадаваць актывы па меры іх з'яўлення, такія як новыя назвы праектаў, маючыя адбыцца зліцця і паглынання або абноўленыя вэб-дамены.
Крок 2: Разуменне патэнцыйных пагроз
Каб найлепшым чынам падлічыць рызыкі, неабходна разумець патэнцыйныя пагрозы і лічбавыя рызыкі кампаніі.
Тэхнікі, тактыкі і працэдуры зламыснікаў (TTP)
Каркас MITRE ATT&CK і іншыя дапамагаюць знайсці агульную мову паміж абаронай і нападам. Збор інфармацыі і разуменне паводзін па шырокім коле зламыснікаў дае вельмі карысны кантэкст пры абароне. Гэта дазваляе разумець наступны крок у назіранай атацы, альбо выбудоўваць агульную канцэпцыю абароны зыходзячы з Ланцуг забойстваў.
Магчымасці зламыснікаў
Атакуючы будзе выкарыстоўваць найболей слабое звяно або найкароткі шлях. Розныя вектары нападаў і іх камбінацыі - пошта, вэб, пасіўны збор інфармацыі і г.д.
Каб выяўляць актывы, неабходна рэгулярна адсочваць вялікую колькасць крыніц, такія як:
Git рэпазітары;
Дрэнна настроеныя хмарныя сховішчы;
Paste сайты;
Сац. медыя;
Крымінальныя форумы;
Dark web.
Каб пачаць з чагосьці, вы можаце выкарыстоўваць бясплатныя ўтыліты і тэхнікі, ранжыраваць па ступені складанасці ў кіраўніцтве 'Практычны Guide to Reducing Digital Risk».
Крок 4: Прыняцце мер па абароне
Пасля атрымання апавяшчэння неабходна распачаць канкрэтныя дзеянні. Можна вылучыць Тактычныя, Аперацыйныя і Стратэгічныя.
У Digital Shadows кожнае папярэджанне ўключае ў сябе рэкамендуемыя дзеянні. Калі гэта фішынгавы дамен або старонка ў сацсетцы, то адсочваць статус выканання пагашэння можна ў раздзеле "Takedowns".
Доступ да дэма-партала на працягу 7 дзён
Адразу абмоўлюся, што гэтае не паўнавартаснае тэставанне, а толькі часовы доступ да дэма партала для азнаямлення з яго інтэрфейсам і пошуку па некаторай інфармацыі. Паўнавартаснае тэсціраванне будзе змяшчаць актуальныя для канкрэтнай кампаніі дадзеныя і мяркуе працу аналітыка.
Дэма-партал будзе змяшчаць:
прыклады папярэджанняў для фішынгавых даменаў, адкрытыя ўліковыя дадзеныя і слабыя месцы ў інфраструктуры;
пошук па darknet старонках, крымінальным форумам, фідам і шматлікім іншым;
200 профіляў кіберпагроз, інструментаў і кампаній.
У штотыднёвай рассылцы IntSum можна атрымліваць кароткую зводку аператыўнай інфармацыі і апошніх падзей за апошні тыдзень. Таксама можна паслухаць падкаст ShadowTalk.
Для адзнакі крыніцы Digital Shadows выкарыстоўваючы якасныя сцвярджэнні з двух матрыц, ацэньваючы дакладнасць крыніц і дакладнасць інфармацыі, атрыманай ад іх.
Калі рашэнне Вас зацікавіла, Вы можаце звяртацца да нас - кампанію Фактар груп, дыстрыбутару Digital Shadows_. Дастаткова напісаць у свабоднай форме на [электронная пошта абаронена].