Охота на угрозы на волне популярности
Проактивный поиск угроз информационной безопасности, или Threat Hunting (дословно - охота на угрозы), направлен против посягательств на инфраструктуру компании, которые еще не нанесли вред, но потенциально могут. Как отметил руководитель управления киберразведки BI.ZONE Олег Скулкин, выступая на онлайн-конференции "Threat Hunting: российская практика охоты на киберугрозы", Threat Hunting (TH) является надстройкой над средствами обнаружения стандартных угроз, позволяющей выявить вторжение. При этом существует два подхода к обнаружению атак: неструктурированный, ориентированный на поиск аномалий и отклонений, и структурированный, направленный на поиск применения стандартных техник и тактик различных групп злоумышленников.
Руководитель отдела расширенного исследования угроз "Лаборатории Касперского" Никита Назаров назвал TH одним из главных методов предотвращения сложных атак, в том числе и тогда, когда инфраструктура компании уже взломана. Но для того, чтобы полноценно применять TH, необходимо достичь определенного уровня зрелости в обеспечении ИБ. По крайней мере необходимо собирать телеметрию с систем, причем в ретроспективе. Плюс ко всему, нужны подготовленные специалисты, которых надо выращивать внутри компании. Специалистов по TH не готовят в учебных заведениях.
Руководитель службы ИБ АКБ "Абсолют Банк" Руслан Ложкин назвал TH развитием, пусть и на новом уровне, того, чем занимались ИБ специалисты до появления систем автоматизированного мониторинга. Тогда выявление целевых атак проходило в полностью ручном или, в лучшем случае, полуавтоматическом режиме. На полную автоматизацию TH нельзя рассчитывать и сейчас, и никакие высокоавтоматизированные системы вроде EDR или XDR аналитика не заменят.
Руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies Алексей Леднев назвал TH одним из самых быстрорастущих сегментов российского ИБ-рынка. Спрос на соответствующие продукты и сервисы за 2022 г. в России вырос кратно, и это только если ограничиться коммерческими. Количество инсталляций свободно распространяемых систем оценить крайне сложно, но и оно было велико.
Главными драйверами спроса Алексей Леднев называет развитие SOC, спрос на услуги которых в 2022 г., по мнению некоторых участников рынка, начал превышать предложение, а также других смежных проектов, инициируемых ростом атак в отношении российских компаний. В ходе таких проектов обнаруживались многочисленные индикаторы компрометации.
https://www.comnews.ru/content/223154/2022-11-22/2022-w47/rynok-soc-poroge-ryvka
По данным исследования "Индекс Кибербезопасности", проведенного по заказу ПАО "МегаФон" летом 2022 г. среди 400 российских компаний, уровень востребованности сервисов по мониторингу инцидентов составил 44%, а по реагированию на инциденты ИБ - 41%.
Вместе с тем спрос на услуги TH сдерживает недостаток зрелости компаний. "В Group-IB отмечают, что в России спрос на услуги Threat Hunting с каждым годом растет, правда, не так стремительно, как, например, на Incident Response (реагирование на инциденты информационной безопасности). Этому есть два объяснения: во-первых, российские компании еще не достигли уровня зрелости и понимания, как и зачем использовать Threat Hunting. А во-вторых, учитывая прошлогодний рост в России в три раза количества кибератак финансово мотивированных хакеров - 68% всех инцидентов приходились на программы-вымогатели, - жертвы все чаще "тушат пожары". В ходе реагирований мы видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак, не имели плана реагирования на киберинцидент, но и не знали о своих "профильных" киберугрозах, - говорят эксперты Group-IB. - Threat Hunting - это процесс проактивного поиска киберугроз, в ходе которого "охотники за угрозами" разрабатывают гипотезы о поведении злоумышленников и возможных векторах атак на компанию, основываясь как на обширных знаниях о тактике, методах и процедурах злоумышленников (TTP), так и на реальном опыте реагирований на инциденты. Рабочими инструментами специалистов TH является решение Managed XDR для проактивного поиска и защиты от сложных и неизвестных киберугроз и система Threat Intelligence (Киберразведка). И судя по тому, что с начала прошлого года мы наблюдаем ажиотажный спрос со стороны клиентов на Threat Intelligence и MXDR, можно говорить и о росте косвенного интереса к вопросам проактивного поиска угроз TH".
Руководитель Центра кибербезопасности УЦСБ Виктор Вячеславов также видит рост практического интереса к TH: "Учитывая сложившуюся обстановку в 2022 г., когда различные информационные ресурсы и системы в России подвергались массовым атакам, можно однозначно говорить о росте направления TH. Причем вырос как рынок средств - TH - SIEM, NTA, TI-платформы, фиды, по некоторым вендорам кратно, так и запросы на соответствующие экспертные услуги. Понимание владельцев информационных систем, что их системы могут быть взломаны и необходимо использование эффективных инструментов борьбы, также существенно увеличило интерес к концептуальным подходам, способным предотвращать нанесение неприемлемого ущерба".
При этом, как отметил Олег Скулкин, специфика атак на российские компании и госучреждения в 2022-2023 гг. как раз и состоит в том, что злоумышленники находятся в инфраструктуре атакуемой компании довольно долгое время. На быструю атаку ориентированы операторы программ-вымогателей и ряд групп хактивистов. Но те, чьей целью является кража данных, остаются в инфраструктуре недели и месяцы, а когда речь идет о кибершпионаже, то и годы. А методы TH позволяли выявить вредоносную деятельность даже тогда, когда злоумышленники использовали сугубо легитимные инструменты.
Руслан Ложкин также обратил внимание, что TH позволяет выявлять активность не только внешних, но и внутренних злоумышленников. Он напомнил, что многие знаковые инциденты связаны с деятельностью злонамеренных инсайдеров. А кибершпионы, если ситуация не выходит за рамки, действительно могут оставаться незамеченными очень долго, об их наличии часто не подозревают.
Эксперт по информационной безопасности компании Axenix Евгений Качуров уверен: "Каждая компания со зрелой системой ИБ обладает функцией Threat Hunting - это особенно важно в текущих реалиях, которые показывают высокую активность хакерских группировок в мире и особенно в РФ. Скорее всего, спрос на специалистов и на сервисы TH будет только расти в ближайшие годы".
Будущее TH, по общему мнению участников дискуссии, в том, что данный инструментарий станет стандартной функцией коммерческих SOC. Как напомнил Олег Скулкин, в BI.ZONE TDR TH уже встроен в тарифные планы Focus и Panorama. По его мнению, практический интерес к TH среди российских заказчиков будет расти, но темпы роста будут зависеть от интенсивности угроз. Руслан Ложкин видит главный риск для TH в том, что маркетинг высокоавтоматизированных средств вроде XDR может убедить потенциальных потребителей, что данные решения позволяют решать соответствующие задачи, что, однако, очень далеко от истины.