В тылу врага: киберразведка как способ борьбы со шпионажем

Оценка периметра

Начинать мониторинг поверхности атаки следует с инвентаризации: чтобы оценить защищенность внешнего периметра, сперва его нужно изучить. То есть, перед тем как запустить сканеры, мы должны получить исчерпывающую информацию о внешнем периметре. Существует огромное количество техник, используемых для поиска Shadow IT и проведения инвентаризации внешнего периметра. Здесь я расскажу лишь о пяти из них.

• Можно использовать сертификаты. У вас есть входные данные вроде домена, IP-адреса и т. д. У вашего основного домена есть сертификат. С высокой вероятностью другие ресурсы, может даже Shadow IT (например, случайно опубликованный dev-контур), тоже будут использовать один и тот же сертификат. Соответственно, вы берете инструмент для анализа логов (например, crt.sh), вводите нужный сертификат — и вам выдается весь список доменов, которые используют тот же сертификат. Вы их пингуете, получаете IP-адреса, затем проводите обратную работу. Смотрите, какие еще домены висят на этих же IP-адресах. Затем получаете какие-то новые домены и снова идете искать по сертификации. Здесь важно вовремя остановиться, чтобы не попасть в рекурсивную петлю и не делать лишнюю работу.
• Следующая техника — это общеизвестный Google Dorking. Как работать с этим инструментом, думаю, знает каждый. Google действительно подкидывает иногда какие-то неизвестные поддомены: сюда часто попадают формы авторизации (например, о публичной доступности), о которых мы не знали.
• Еще одна техника — это Passive DNS. Существует огромное количество агрегаторов DNS-трафика, которые собирают данные с разных серверов и дают возможность поиска. Приносите туда свой домен, он подсвечивает его поддомены, к которым обращались пользователи со всего мира. Среди этих поддоменов можно найти неизвестные поддомены и выявить что-то важное для вас. При использовании этой техники очень мало срабатываний false positive, потому что вы передаете точный домен. Тем не менее берите на вооружение эту технику — иногда выстреливает.
• Также можно искать по ASN, если у вас достаточно большая инфраструктура и вам принадлежит какая-либо ASN. Это самый простой метод: взяли ASN, посмотрели подсети и начали проверять конкретную подсеть — какие домены висят. Затем анализируете собранную информацию.
• Последний активный метод, который мы очень часто используем, — это Dirsearch, то есть поиск директорий. Техника предназначена для выявления небезопасных ссылок. Такие ссылки могут отсутствовать на вашем сайте, но если напрямую обратиться по какой-то из них, то можно получить доступ к ресурсам (например, административному приложению или файлам конфигураций), к которым он должен быть запрещен. Поэтому приносите домен и начинаете использовать инструмент Dirsearch. В нем есть несколько словарей, где перечислено огромное количество наиболее популярных директорий, и по ним проводится полный перебор всех вариаций вашего домена и директорий. Этот активный метод достаточно «шумный», поэтому рекомендую предварительно договориться с вашей ИТ-службой.

Методы киберразведки

После завершения инвентаризации начинается поиск уязвимостей, разведка. Существуют два метода работы киберразведчика — пассивный и активный. Пассивный метод — это проведение работ без прямого взаимодействия с инфраструктурой. То есть если я исследую вашу инфраструктуру, то в логах вы не найдете мои IP-шники и вообще не обнаружите моего присутствия. В таком случае информация обычно берется из сторонних источников (типа Shodan, Censys, ZoomEye) и с помощью других инструментов. Полный стелс-режим для службы ИБ.

В рамках пассивного метода вы берете список всех активов, обнаруженных при инвентаризации, и передаете в Shodan, Censys и ZoomEye. В ответ получаете результаты: открытые порты, сервисы, версии сервисов и уязвимости, которые вы должны проанализировать. Такой подход не дает никакой нагрузки на вашу инфраструктуру и не требует никаких дополнительных согласований с ИТ-службой или с заказчиками. Быстро и достаточно дешево. Но есть и недостатки — например, слабая актуальность данных из стороннего источника, который обновляется с определенной частотой. Соответственно, если проверка проходит раз в неделю, то и результаты вы будете видеть раз в неделю. Также полученные результаты не всегда могут быть релевантными: некоторые уязвимости требуют особых условий для их успешной эксплуатации. Например, должна стоять конкретная операционная система либо использоваться определенная функция, в которой и присутствует уязвимость. Еще одним недостатком является неполнота данных. При этом такой подход — отличный способ быстро оценить состояние защищенности на верхнем уровне и сразу выявить самые проблемные места.

Активный метод

Здесь подразумевается использование самых разных сканеров уязвимости: Nessus, Acunetix, Nmap или коммерческих аналогов. В отличие от пассивного метода поиска уязвимостей, при активном сканировании частота и регулярность — параметры контролируемые и полностью регулируемые. Активные методы лишены недостатков пассивных методов, но имеют свои нюансы. Для их применения требуется множество согласований, так как происходит непосредственное взаимодействие с инфраструктурой: вы даете на нее нагрузку, и происходит множество ложных срабатываний. Также могут быть задеты и критичные бизнес-процессы, поэтому процесс активного сканирования должен быть тщательно спланирован, а главное — согласован до его старта с полной верификацией. Важно и то, что даже выявленные в рамках активного сканирования уязвимости и ошибки конфигурации требуют дополнительной ручной проверки.

Человеческий фактор

Мониторинг поверхности атаки не ограничивается выявлением уязвимых мест в инфраструктуре, вроде портов и сервисов. Зачастую злоумышленники могут получить доступ к вашей системе из-за ошибок других людей — например, после утечки учетных записей. Вот ситуация, которая то и дело встречается на практике: ваши разработчики или разработчики подрядчика, которые создают какую-то внутреннюю информационную систему, опубликовали в GitHub код, содержащий пару логин-пароль в явном виде. Вы удивитесь, как часто это происходит. GitHub даже пытается с этим бороться, но далеко не всегда получается. Такое случается, когда один из разработчиков собирается увольняться: для портфолио он публикует код в GitHub, забывая, что когда-то зашил туда свои данные в явном виде для упрощения процесса авторизации. Другая ситуация такого же характера — когда пользователи, ваши сотрудники, задействуют рабочую учетную запись на сторонних ресурсах. Впоследствии сторонние ресурсы «текут», данные воруют и выкладывают, а так как большинство людей не любят держать в голове много разных паролей и везде используют один и тот же password123, то у злоумышленников появляется точка входа в вашу систему.

С учетом всего вышесказанного становится понятно, что киберразведчик должен уметь искать и утечки. Например, путем мониторинга GitHub и Pastebin, а также Trello, где встречаются различные документы, внутренние данные и даже пароли. Поискать утекшие учетные записи можно и на агрегаторах вроде Haveibeenpwned и Leakcheck. Последний ресурс платный, но своих денег стоит. В чем преимущество агрегаторов? Данные там нормализованы, то есть у вас всегда будет красивая информация в виде почты и пароля. Но при этом данные неполные. А если вы хотите собрать полные базы, то нужно собирать их вручную из различных источников.

Сбор собственной базы

Достаточно непростой процесс, сложность которого обусловлена поиском ценных источников — тематических телеграм-каналов и форумов. Попасть в эти сообщества нелегко: по понятным причинам общедоступных реестров хакерских площадок не существует, поэтому искать действительно полезные чаты и форумы должен специалист из соответствующего комьюнити. И тут важно отметить несколько нюансов:

1. Недостаточно один раз потратить время и сформировать перечень источников для дальнейшего поиска: хакерские каналы, тематические форумы и теневые площадки имеют свойство устаревать и умирать, из-за чего нужно на регулярной основе поддерживать актуальность источников, искать и добавлять новые популярные ресурсы.
2. Не каждый человек может получить доступ к действительно полезным закрытым площадкам — в большинстве случаев потребуется персональное приглашение.
3. Нужно продумать процесс систематизации выявленных данных и выбрать инструменты для этого, так как у всех данных разные структура и формат представления.

Мыслить как преступник

На сегодня у нас накопилось 8 Тбайт текстовой информации, и это просто пара логин-пароль. Представляете, какой там объем? Очень важно в определенный момент начинать нормализовывать эти сведения. Можно решать задачу с помощью ML, но сопоставлять поля из утечки с вашей БД вы можете и вручную, поэтому утечки придется скачать. Скачивать их нужно обязательно в изолированном контуре, потому что злоумышленники часто вкладывают в них какой-нибудь Malware. Так что повторюсь: это должен быть изолированный контур.

Знай своих партнеров

Их актуальность я хотел бы продемонстрировать на конкретном примере.

Опишу реальный случай, который произошел с одним из наших заказчиков. 7 марта наша платформа обнаружила, что в одном из хакерских телеграм-каналов опубликовано сообщение о взломе нашего заказчика. Заказчик — крупная, зрелая организация, с мощной системой ИБ (три линии мониторинга 24х7), поэтому сначала мы подумали, что это какой-то вброс, и начали общаться со злоумышленником, чтобы выяснить, чего он хочет. Он сказал, что продает доступ, потому что у него не хватает компетенции для развития атаки. Цена продажи — 2–2,5 тыс. долларов.

Под видом покупателя мы запросили доказательства его присутствия в инфраструктуре заказчика и получили сообщение, в котором было написано: автоматизация деятельности предприятий энергетического сектора. Это сообщение ключевое, хотя на тот момент оно нам ни о чем не говорило. Затем продавец предоставил скриншот одной из внутренних систем, и мы поняли, что он действительно внутри. Начинаем разбираться, но через полчаса эти сообщения исчезли: доступ уже кому-то продали. Далее мы показали сообщение заказчику, который подтвердил, что это описание деятельности одного из подрядчиков. Тогда мы установили две учетные записи, которые подрядчик использовал для подключения. Все СЗИ на тот момент молчали, в SIEM ничего — все спокойно, все тихо.

Но мы понимаем, что хакеры внутри. После просмотра сырых данных мы увидели, что уже начинается установка какого-то софта. Позже выяснили, что этот софт действительно используется для разведки. Он был самописный, поэтому не присутствовал в сигнатурах. Мы сразу заблокировали УЗ, проверили всю инфраструктуру и получилось так, что злоумышленники не успели развить свою атаку именно потому, что наша платформа своевременно выявила угрозу в хакерском ТГ-канале. Вот яркий пример того, почему нужно мониторить телеграм-каналы и следить за своими подрядчиками.

В последние несколько лет их число существенно увеличилось, интерес к ним вырос в ответ на повышение уровня зрелости ИБ в целом: многие крупные компании значительно усилили защиту, взломать их системы напрямую стало сложнее. Поэтому злоумышленники переключились на менее защищенных поставщиков и партнеров.

Самыми уязвимыми для таких атак являются компании малого бизнеса (разработка, оказание ИТ-услуг, небольшие поставки) — именно они испытывают острую нехватку бюджетов на ИБ и профильных специалистов. Если к этому добавить еще и отсутствие регуляторных требований к безопасному взаимодействию, то получаем закономерный результат: такие организации становятся легкой мишенью для хакерских группировок.

Не стоит заблуждаться и думать, что безопасность контрагентов — это проблема исключительно самих контрагентов, так как в конечном итоге страдать придется именно вам. Но и организовывать тотальный контроль всех подрядчиков вплоть до поставщика туалетной бумаги, который не имеет прямого доступа к вашей инфраструктуре или к чувствительной информации, не нужно.

Подходить к вопросу безопасного взаимодействия с подрядчиками стоит последовательно, для этого необходимо:

• понять, с какими компаниями мы работаем и к каким критичным данным у них есть доступ;
• обеспечить безопасное «буферное» взаимодействие, проработать вопросы совместного использования информации и ресурсов;
• поставить критичных поставщиков на мониторинг.

Подводя итоги

Киберразведка и мониторинг поверхности атаки являются современным решением в условиях роста количества и интенсивности кибератак. Превентивное устранение угрозы обходится дешевле, чем устранение ее последствий. Успешная киберразведка начинается с инвентаризации и поиска уязвимостей, а затем сопровождается постоянной работой по поиску утечек данных. Если вам не разрешают сканировать информационную инфраструктуру каждый день, то вы можете в ежедневном режиме искать уязвимости при помощи пассивного метода, а уже в доступный период проводить активное сканирование. Обязательно нужно завершать эти работы скорингом, поскольку информации будет очень много: данные необходимо скорить, чтобы приоритизировать.

Как это делаем мы? В случае утечек: если встречается пара логин-пароль в явном виде, значит, это событие Critical; если пара логин и хэш пароля, то это Medium; если просто логин, то это Low. Что касается уязвимостей, то ничего не придумываем — просто используем CVSS-score. Если по CVSS-score это Critical и имеется какой-то эксплойт для такой уязвимости, то для нас это Critical. Все обнаруженные угрозы мы «складываем в стакан»: сверху находятся критические угрозы, снизу — угрозы низкой критичности. Аналитики разбирают угрозы сверху вниз. После этого очень важно проводить работу по верификации: даже если вы нашли какую-то критическую уязвимость, имеющую эксплойт, то не сможете точно сказать, что она для вас актуальна, пока не попробуете ее проэксплуатировать. Эту работу необходимо выполнить, потому что если вы будете обращаться в ИТ-службу с пачкой всех выявленных угроз, то наткнетесь на холодный прием, так как в этой пачке будут присутствовать false positive.

Мониторинг теневых ресурсов и контроль ИБ-рис ков при работе с подрядчиками являются важной частью киберразведки. Для мониторинга нужно постоянно актуализировать телеграм-каналы, поэтому потребуется группа аналитиков, которая будет этим заниматься и при необходимости вести переговоры с хакерами. Для ключевых партнеров работает та же схема мониторинга ИБ-рисков, только в отношении сторонней инфраструктуры подрядчиков. Кроме того, тут потребуется участие юристов. Так, в одном из кейсов мы обнаружили уязвимость у одного из подрядчиков и попросили исправить ее, пригрозив, что заблокируем доступ. На что получили ответ: «вы не имеете права блокировать доступ, потому что по договору такая возможность не предусмотрена». То есть «эта уязвимость существует, когда-нибудь исправлю, но вот сейчас у меня на это времени нет». Поэтому важно начинать процесс правильного выстраивания работы с подрядчиком в том числе с таких юридических моментов: внести в договор положение о том, что подрядчик обязан устранять выявленные уязвимости, а у вас есть право заблокировать его учетные записи, причем это его ответственность, а не ваша.

У нас есть огромный фреймворк, подготовленный нашим департаментом консалтинга. С его помощью мы выстраиваем правильный процесс работы с подрядчиками. Это большой блок, описание работы которого выходит за рамки данной статьи.

Надеюсь, мне удалось убедить вас в необходимости мониторинга поверхности атаки и подсказать, в каком направлении двигаться, чтобы правильно выстроить этот процесс.