Трибуна
Vitaliy Andreev

ETHIC – сервис выявления угроз в цифровом пространстве

Всем привет! Это Виталий Андреев из компании Infosecurity. Сегодня я хочу рассказать вам о нашем решении ETHIC, которое предназначено для выявления разного рода вредоносной активности, связанной с организациями в цифровом пространстве.

Давайте знакомиться и предпосылки

Наша компания уже на протяжении 10 лет занимается кибербезопасностью во всех ее проявлениях. В последние несколько лет все ярче проявляется опасная тенденция: в руках мошенников появился новый ресурс – цифровое пространство - который они невероятно активно и эффективно используют, а компании просто не в силах этому противодействовать. Именно поэтому мы создали ETHIC - сервис выявления угроз в цифровом пространстве, о котором я и хочу вам рассказать.

ETHIC - это симбиоз системы и ее аналитиков. Система в автоматическом режиме собирает из всех уголков цифрового пространства огромное количество инцидентов различной степени критичности по объекту мониторинга. Сейчас у нас в команде 20 человек, которые ежедневно анализируют этот поток данных, исключают ложные срабатывания и принимают необходимые меры для скорейшего оповещения заказчиков, а при необходимости и для нивелирования угрозы.

Как ETHIC работает?

В первую очередь происходит настройка аналитиками системы под задачи заказчика. После чего ETHIC в автоматическом режиме обнаруживает и собирает информацию обо всех инцидентах, которые прямо или косвенно могут нанести вред компании. Все выявленные сработки системы проходят через оценку на предмет критичности: о наиболее опасных событиях заказчик оповещается немедленно, средние обрабатываются в порядке очереди, а подозрительные ставятся на дальнейший мониторинг.

Подробнее о сервисе и его способностях

Мы разделили функционал решения и охватываемые им направления на 11 модулей:

Модуль Утечки

Основной функционал этого модуля — это обнаружение в открытом доступе любых материалов компании, которые могут являться коммерческой тайной или их распространение может нанести вред организации. Это могут быть логины и пароли от корпоративных учетных записей, сканы или электронные копии внутренних документов, объявления о продаже ваших баз данных, в том числе с персональными данными клиентов, в общем, что угодно.

В настоящий момент мы уже реализовали поиск и сбор информации практически во всех частях интернета, в том числе в DarkNet, на файлообменниках и профильных telegram каналах.

Вот такие инциденты мы ежедневно обнаруживаем с помощью модуля Утечки:

На всякий случай подчеркну, что, если ETHIC нашел что-либо, это обозначает, что данная информация уже находится в открытом доступе. Поэтому здесь важно максимально оперативно среагировать и предотвратить ее дальнейшее тиражирование. Так вероятность, что утечка получит большой информационных охват и приведет к финансовым и репутационным потерям становится минимальна.

Модуль Домены

Этот модуль сфокусирован на обнаружении доменных имен, которые могут бать использованы или уже используются в целях фишинга. С его помощью можно выявить ресурсы, задействованные для организации фишинговых рассылок от имени вашей компании, найти сайты-клоны, работающие с поставщиками по предоплате и уходящие в закат после получения от них денежных средств, и предотвратить попытки компрометации данных ваших клиентов с помощью ввода их на вредоносных ресурсах.

Возможно, вы не акцентировали на этом внимание, но сейчас фишинг повсюду: от простых писем в папке «спам», до многоступенчатых мошеннических схем, с маскировкой под бренд компании и атаки на корпоративных клиентов по цепочке поставок. Ежедневно регистрируются сотни тысяч новых доменов, причем не менее 15% из них в дальнейшем используются в противоправных целях. Злоумышленники уже давно научились зарабатывать с помощью поддельных доменов, отличающихся на одну крохотную точку или букву, исправленную на символ, например 0 (ноль) вместо буквы О, или 1 (единица) вместо l (прописной L). Как вы видите, в последнем случае они вообще практически идентичны. Также в моду вошло и использование букв из других алфавитов, визуально не отличимых от латинских символов:

1ogin-paypa1.com / 1nstagram.ru / faceb00k-department-security1.com

В отличии от модуля Утечки, здесь мы можем работать на опережение. ETHIC сигнализирует пользователю о регистрации нового подозрительного домена или обновлении SSL-сертификата "спящего" фишингового сайта. То есть любой подозрительный домен, маскирующийся под доменное имя заказчика, попадает в поле зрения ETHIC по факту его первичной регистрации или активизации. Однако, подозрительные домены не обязательно сразу становятся опасными, более того, они могут находится в спящем режиме даже несколько месяцев, поэтому за ними нужно присматривать. Мы ставим их на мониторинг и отслеживаем все, что происходит с ними дальше. При обнаружении маркеров угрозы мы сразу же уведомляем об этом наших заказчиков. В случае же появления на домене действующего фишингового сайта, мы не только оповестим клиента об угрозе, но и сразу же включимся в борьбу с таким вредоносным ресурсом.

А уж как победить фишинговый сайт и добиться прекращения его функционирования мы знаем не понаслышке. В нашей компании функционирует аккредитованный по международным правилам Центр мониторинга и реагирования на компьютерные инциденты – Infosecurity CERT, который позволяет нам оперативно обмениваться информацией с регистраторами доменных имен, хостинг-провайдерами, а также правоохранительными структурами по всему миру.

Чтобы не растягивать эту публикацию даю вам ссылки на несколько реальных кейсов с использованием фишинга:

Всего это можно избежать, если своевременно выявить угрозу и принять необходимые меры.

Модуль Услуги

Максимально универсальный модуль с широким функционалом. Основная его цель – поиск в сети объявлений о различных противоправных услугах, связанных с деятельностью компании заказчика. Существует базовый набор таких услуг, например, вербовка сотрудников, «пробив» информации, продажа доступа в инфраструктуру организации и т.д. Однако, мы понимаем, что все компании разные, соответственно и специфика угроз для них разнится. И в этом плане модуль Услуги демонстрирует свою гибкость, позволяя заказчику выбрать именно те направления мониторинга и категории выявляемых событий, которые представляют для него наибольший интерес.

Чтобы вам было понятно, как работает данный модуль, приведем живой пример: в DarkNet ETHIC обнаружил объявление о продаже доступа к базе одной российско-китайской компании, самое объявление вы видите ниже:

Для подтверждения подлинности базы мы запросили ее образцы у продавца и связались с самой компанией, где подтвердили, что это действительно их база данных с корпоративными логинами/паролями заказчиков. Естественно, до момента нашего обращения, о самом факте утечки компания не знала. То есть под ударом оказалась не только сама компания, но и тысячи их клиентов, потому что давайте будем честны, далеко не каждый человек использует уникальный пароль для каждого ресурса.

На основе полученной информации компания оперативно в принудительном порядке выслала всем своим заказчикам обновленные пароли, что просто сделало продаваемую в сети базу неактуальной. В результате, меньше, чем за сутки угроза была устранена, а затем после проведения расследования, обнаружен источник утечки и подготовлен полный комплект документов, необходимый для возбуждения уголовного дела по факту неправомерного доступа к компьютерной информации.

Существуют и иные сценарии использования модуля «Услуги». В частности, он помогает выявлять на различных площадках объявления о продаже товаров и продукции, похищенных у компании во время производства:

ETHIC позволяет заказчику своевременно узнать о проблеме, о которой он может даже не подозревать, а далее он уже самостоятельно принимает решение о том, что делать с открывшейся информацией. Но, конечно, при необходимости мы можем поспособствовать в решении вопроса.

Кратко о других модулях

Модуль Негатив — выявление негативных публикаций, комментариев и отзывов на различных сетевых площадках, что позволяет, например, обнаруживать признаки информационных атак;

Модуль Менеджмент — выявление поддельных профилей топ-менеджеров заказчика в соцсетях, которые могут быть использованы для осуществления различной противоправной активности;

Модуль Сотрудники — выявление ключевых сотрудников заказчика, которые могут иметь доступ к критически важной информации и находятся в поиске новой работы

Модуль Юридические лица — ежедневно пополняемая база данных юридических лиц и ИП, которые продавались или в настоящее время продаются на «черном рынке». Факт продажи компании на «черном рынке» является серьезным стоп-фактором в процессе ее скоринг оценки, в то же время ни одна российская система проверки контрагентов не оперирует подобными данными;

Модуль Проверка — получение сведений о факторах риска, связанных с физическими лицами, или проверка контактных данных лица на основе анализа информации, полученной из открытых источников;

Модуль Бренд — выявление неправомерного использования товарного знака в соцсетях или мессенджерах;

Модуль Репозитории — выявление случаев публикации конфиденциальной информации на ресурсах для разработчиков, таких как GitHub, Pastebin и т.д.

Стоимость

Вы удивитесь, но средняя месячная стоимость ETHIC ниже или сопоставима с зарплатой одного middle-специалиста по безопасности. За подробностями обращайтесь по контактам, указанным в конце статьи

Достижения и планы

Кроме того, с начала 2020 года мы выявили и заблокировали более 5000 уникальных фишинговых веб-сайтов. Обнаружили более 1000 выставленных на продажу или размещенных в открытом доступе корпоративных баз данных. Помогли выявить и предотвратить десятки инцидентов, угрожавших безопасности наших клиентов.

Мы постоянно работаем над совершенствованием сервиса и расширением его функционала, постоянно дополняем и корректируем перечень источников данных, изучаем ландшафт угроз и отслеживаем тенденции киберпреступности, что позволяет обеспечить максимальную эффективность выявления угроз в условиях быстро меняющегося мира.

Заключение и приятный бонус для читателей

Спасибо, что дочитали материал до конца и познакомились с ETHIC. Надеюсь, это было интересно!

В награду за вашу стойкость мы предлагаем всем заинтересованным читателям бонус – при заказе разового отчета ETHIC вы получите базовый анализ защищенности web-сайта компании совершенно бесплатно! Это предложение будет особенно актуальным для компаний малого и среднего бизнеса, даст возможность убедиться в эффективности ETHIC на личном примере и проверить текущий уровень защищенности своего сайта (например, интернет-магазина). Просто сообщите нам, что вы узнали об ETHIC из статьи на VC и хотите получить в подарок аудит безопасности сайта

В комментариях под этим постом и по почте ethic@in4security.com я буду рад ответить на любые возникшие вопросы, выслушать конструктивную критику и предложения по улучшению сервиса.

Если вы хотите еще больше информации о решении, то заходите на сайт, звоните, пишите!

0
Комментарии
Читать все 0 комментариев
null