Комбайн для защиты от цифровых рисков
На площадке AM Live 2 марта состоялось обсуждение такой актуальной темы, как управление цифровыми рисками, которые обусловлены как неправомерными и опасными действиями собственных сотрудников, так и активностью внешних злоумышленников, причем далеко не только хакеров, действующих с помощью специфического инструментария. Для бизнеса не меньшую опасность представляют мошеннические сайты-клоны, продажа контрафактной продукции, разного рода информационные атаки на саму компанию и ее первых лиц.
В принципе, для управления данными классами рисков, как напомнил руководитель департамента инновационной защиты бренда и интеллектуальной собственности Group-IB Андрей Бусаргин, уже давно существуют соответствующие решения, но они были разрозненными, и для их настройки и эксплуатации необходим квалифицированный персонал, которого не хватает, и данная проблема стоит глобально. Причем персонал не только технический, но и имеющий компетенции в других областях - например, юристы. Но в последнее время появляются комплексные сервисы, получившие наименование DRP - Digital Risk Prevention, предотвращение цифровых рисков.
При этом, как отметил руководитель отдела анализа цифровых угроз Infosecurity Александр Вураско, помимо технических средств, сервис DRP включает и необходимые компетенции. В итоге заказчик получает уведомление о потенциальной проблеме, а не набор каких-то данных, которые нужно уметь правильно интерпретировать. Тем более что пользователями DRP являются далеко не только ИБ-подразделения, но и службы общей и экономической безопасности, кадров, в ряде случаев даже маркетинга и PR.
В итоге, как подчеркнул модератор данного мероприятия консультант по информационной безопасности Cisco Алексей Лукацкий, возможность интерпретации данных, полученных с помощью технических средств, своими силами мало популярна, хотя значительная часть вендоров ее предоставляют. Руководитель группы защиты бренда BI.ZONE Дмитрий Кирюшкин при этом обратил внимание, что пока набор технических средств у разных вендоров DRP имеет заметные различия.
Важнейшей задачей, которую призваны решать сервисы DRP, является защита бренда. Дмитрий Кирюшкин разделил ее на три блока: мониторинг СМИ и прочих медиа на предмет информационных атак и антирекламы, мониторинг и блокировка вредоносных сайтов, мониторинг теневых ресурсов (так называемый Dark Web, а также чаты и каналы в мессенджерах). При этом Андрей Бусаргин обратил внимание на тот факт, что очень многие проблемы российских компаний незначимы для западных и, наоборот, в итоге термин "защита бренда" может означать совсем разные вещи. Например, за рубежом более значима проблема от контрафакта и серого импорта, тогда как в России банки заинтересованы, чтобы противостоять информационным атакам, связанным с распространением слухов о возможном отзыве лицензии.
Схожие методы используются и для защиты первых лиц компаний. Но тут имеется некоторая специфика. Например, Андрей Бусаргин считает важной защиту от манипуляций, где используются в том числе крупные бизнесмены для рекламы сомнительных товаров и услуг. Дмитрий Кирюшкин обратил внимание на атаки с применением фальшивых аккаунтов в социальных сетях и электронной почты, которые иногда используются для прямых краж или для размещения фейковой информации в СМИ. Алексей Лукацкий вспомнил пример того, что при решении данной задачи приходилось отслеживать почту и социальные сети не только самого первого лица, но и членов его семьи.
Одной из угроз, с которой призвана бороться DRP, являются утечки данных и их возможные последствия. Андрей Бусаргин назвал главной задачей сделать так, чтобы компания успела принять меры, если утечка уже произошла, но о ней еще не стало известно. Не менее опасны и такие утечки, на которые вряд ли будет обращено внимание, - например, когда разработчик выложил фрагмент кода, где содержатся какие-то корпоративные данные. Но утекшие данные могут быть использованы для атаки на компанию. При этом, как подчеркнул Александр Вураско, речь иногда идет о минутах. С другой стороны, за утечку могут выдавать фрагменты данных, полученных из старых утечек, которые утратили актуальность, но такая информация может попадать в СМИ или иным образом использоваться для нанесения ущерба.
Что касается утечек паролей, то DRP, как отметил Дмитрий Кирюшкин, удобнее и функциональнее многих бесплатных инструментов. Большинство из них не смогли бы выявить многие критичные инциденты.
Работа DRP связана с мониторингом теневой стороны интернета. Вместе с тем, как отметил Александр Вураско, сейчас нельзя ограничиваться одним только Dark Web. Сейчас киберпреступники и мошенники все более активно мигрируют в мессенджеры. Однако и на традиционных площадках идет работа, которая требует там постоянного присутствия в течение нескольких лет.
Что касается гарантий, тот тут представители российских DRP-сервисов единодушны - готовы отвечать за все, что зависит от них, но есть много моментов, на которые повлиять не могут. Например, блокировка мошеннического сайта может занимать при определенных обстоятельствах до нескольких суток.
Влияние известных событий, как отметили участники встречи, серьезно затруднило общение с зарубежными правоохранительными структурами. Вместе с тем все, что связано со взаимодействием с ИТ- и ИБ-компаниями, продолжается, как и раньше.
Пользователей DRP представлял CISO Delivery Club Илья Сафонов. Он назвал использование данного инструментария более выгодным с финансовой точки зрения, чем решать соответствующие задачи собственными силами. Данный сервис помогает пресекать фишинг, неправомерное использование символики, манипулирование данными из прошлых утечек или собранных на сайтах. DRP, помимо ИБ-службы, на балансе которой сервис и находится, активно используют службы собственной и экономической безопасности.