Можливо, Ви знаєте що таке OSINT і користувалися пошуковою системою Shodan, або вже використовуєте Threat Intelligence Platform для пріорітизації IOC від різних фідів. Але іноді необхідно постійно дивитися на свою компанію із зовнішнього боку та отримувати допомогу в усуненні виявлених інцидентів. дозволяє відстежувати цифрові активи Підприємства та її аналітики пропонують конкретні дії.
По суті, Digital Shadows гармонійно доповнює існуючий SOC або повністю закриває функціонал. відстеження зовнішнього периметра. Побудова екосистеми триває з 2011 року і під капотом реалізовано багато цікавих речей. DS_ моніторит Інтернет, соц. мережі та darknet та виявляє з усього потоку інформації тільки важливе.
У своєму щотижневому розсиланні компанія наводить табличку, яку Ви можете використовувати у своєму повсякденному житті для оцінки джерела та отриманої інформації. З табличкою ви також можете ознайомитись наприкінці статті.
Digital Shadows здатна виявити та погасити фішингові домени, підроблені акаунти в соціальних мережах; знайти скомпрометовані облікові дані співробітників і дані, що втекли, виявити інформацію про підготовку кібератаків на компанію, постійно відстежувати публічний периметр організації і навіть регулярно аналізувати мобільні додатки в пісочниці.
Виявлення цифрових ризиків
Кожна компанія в процесі своєї діяльності обростає ланцюжками зв'язків із клієнтами та партнерами, і дані, які вона прагне захистити, стають все більш вразливими, їхня кількість лише зростає.
Щоб почати керувати цими ризиками, компанія має почати стежити за межі свого периметра, контролювати його та отримувати оперативну інформацію про зміни.
Data Loss Detection (чутливі документи, доступні співробітники, технічна інформація, інтелектуальну власність).
Уявіть, що вашу інтелектуальну власність було розкрито в Інтернеті або в GitHub репозиторій випадково потрапив внутрішній конфіденційний код. Зловмисники можуть використовувати ці дані для запуску більш цілеспрямованих кібератак.
Online Brand Security (Фішингові домени та профілі в соцмережах, що імітує компанію мобільне ПЗ).
Оскільки зараз важко знайти компанію без соціальної мережі чи подібної платформи для взаємодії із потенційними клієнтами, зловмисники намагаються видати себе за бренд компанії. Кіберзлочинці роблять це шляхом реєстрації підроблених доменів, облікових записів соціальних мереж та мобільних додатків. У разі успіху фішингу/шахрайства, це може вплинути на дохід, лояльність та довіру клієнтів.
Зменшення поверхні атаки (уразливі послуги на периметрі з Інтернетом, відкриті порти, проблемні сертифікати).
У міру зростання ІТ-інфраструктури продовжує зростати поверхню атаки, кількість інформаційних об'єктів. Рано чи пізно внутрішні системи можуть бути випадково опубліковані у зовнішньому світі, наприклад, база даних.
DS_ сповістить про проблеми раніше, ніж ними зможе скористатися атакуючий, виділить найбільш пріоритетні, аналітики порекомендують подальші дії і тут же можна буде зробити таке власне.
Інтерфейс DS_
Можна безпосередньо використовувати веб-інтерфейс рішення або скористатися API.
Як можна помітити, аналітичне зведення представлено у вигляді вирви, починаючи від кількості згадок і закінчуючи реальними інцидентами отриманих із різних джерел.
Багато хто використовують рішення як вікіпедію з інформацією про активних атакуючих, проведених ними кампаніях та подіях у сфері ІБ.
Digital Shadows легко інтегрувати у будь-яку зовнішню систему. Підтримуються як сповіщення, так і REST API для інтеграції до своєї системи. Можна назвати IBM QRadar, ArcSight, Demisto, Anomali та .
Як керувати цифровими ризиками - 4 основні кроки
Крок 1: Визначення критичних для бізнесу активів
Цей перший крок, звичайно ж, полягає в розумінні того, що організація піклується найбільше і що хоче захистити.
Можна розділити на ключові категорії:
- Люди (замовники, співробітники, партнери, постачальники);
- Організації (споріднені та обслуговуючі компанії, загальна інфраструктура);
- Системи та операційні критичні програми (веб-сайти, портали, бази даних з даними клієнтів, системи обробки платежів, системи доступу співробітників або ERP програми).
При складанні цього списку рекомендується дотримуватися простої ідеї - активи повинні бути навколо критичних бізнес-процесів або економічно важливих функцій компанії.
Зазвичай додають сотні ресурсів, зокрема:
- назви компаній;
- бренди / торгові марки;
- діапазони IP-адрес;
- домени;
- посилання на соціальні мережі;
- постачальників;
- мобільні додатки;
- номери патентів;
- маркування документів;
- ідентифікатори DLP;
- підпису email-листів.
Адаптація сервісу під себе гарантує отримання лише релевантних оповіщень. Це ітеративний цикл, і користувачі системи додаватимуть активи в міру їх появи, такі як нові назви проектів, майбутні злиття та поглинання або оновлені веб-домени.
Крок 2: Розуміння потенційних загроз
Щоб найкраще підрахувати ризики, необхідно розуміти потенційні загрози та цифрові ризики компанії.
- Техніки, тактики та процедури зловмисників (TTP)
Фреймворк та інші допомагають порозумітися між захистом і нападом. Збір інформації та розуміння поведінки щодо широкого кола зловмисників дає дуже корисний контекст при захисті. Це дозволяє розуміти наступний крок у атаці, що спостерігається, або вибудовувати загальну концепцію захисту виходячи з . - Можливості зловмисників
Атакуючий буде використовувати найслабшу ланку або найкоротший шлях. Різні вектори атак та їх комбінації – пошта, веб, пасивний збір інформації тощо.
Крок 3: Моніторинг небажаних появи цифрових активів
Щоб виявляти активи, необхідно регулярно відстежувати велику кількість джерел, таких як:
- Git репозиторії;
- Погано налаштовані хмарні сховища;
- Paste сайти;
- Соц. медіа;
- Кримінальні форуми;
- Dark web.
Щоб почати з чогось, ви можете використовувати безкоштовні утиліти та техніки, ранжовані за ступенем складності у посібнику '.
Крок 4: Вжиття заходів щодо захисту
Після отримання повідомлення необхідно вжити конкретних дій. Можна виділити тактичні, операційні та стратегічні.
У Digital Shadows кожне попередження включає рекомендовані дії. Якщо це фішинговий домен або сторінка в соцмережі, відстежувати статус виконання погашення можна в розділі "Takedowns".
Доступ до демо-порталу протягом 7 днів
Відразу зазначу, що це не повноцінне тестування, а лише тимчасовий доступ до демо порталу для ознайомлення з його інтерфейсом та пошуку за деякою інформацією. Повноцінне тестування міститиме актуальні для конкретної компанії дані та передбачає роботу аналітика.
Демо-портал міститиме:
- приклади попереджень для фішингових доменів, відкриті облікові дані та слабкі місця в інфраструктурі;
- пошук по darknet сторінкам, кримінальним форумам, фідам та багато іншого;
- 200 профілів кіберзагроз, інструментів та кампаній.
Отримати доступ можна за цією .
Щотижневі розсилки та подкаст
У щотижневому розсиланні можна отримувати коротке зведення оперативної інформації та останніх подій за останній тиждень. Також можна послухати подкаст .
Для оцінки джерела Digital Shadows використовуючи якісні твердження із двох матриць, оцінюючи достовірність джерел та достовірність інформації, отриманої від них.
Стаття написана за мотивами '.
Якщо рішення Вас зацікавило, Ви можете звертатися до нас — компанію , дистриб'ютору Digital Shadows_ Достатньо написати у вільній формі на .
Автори: и .
Джерело: habr.com