Нередко сотрудники корпоративных центров по мониторингу киберугроз и ИБ-отделов обращаются за экспертной помощью к специалистам «Лаборатории Касперского». Мы проанализировали наиболее частые причины таких запросов и создали специализированный сервис, который помогает заказчику задать вопрос непосредственно эксперту в нужной ему области.
Почему может потребоваться помощь эксперта
С каждым годом преступники находят все новые и новые способы достижения своих целей. Постоянно обнаруживаются новые уязвимости в программном обеспечении (от офисных приложений до серверов, VPN-шлюзов и самих ОС), которые тут же берутся на вооружение. Каждый день обнаруживаются сотни тысяч новых образцов вредоносного ПО, а самые разные организации, включая крупные корпорации и даже государственные структуры, становятся жертвами атак вымогателей. Столь же регулярно обнаруживаются и новые кампании сложных угроз и APT.
В этих условиях важнейшую роль играет Threat Intelligence — только обладая своевременной информацией о методах злоумышленников, их тактиках и инструментах, можно выстроить адекватную систему защиты для организации. А в случае инцидентов — провести эффективное расследование, «выкинуть» из сети злоумышленников и локализовать первичный вектор атаки, предотвратив ее повторение.
Но применение Threat Intelligence в конкретной организации требует наличия квалифицированного специалиста, который сможет грамотно использовать полученную от TI-провайдера информацию на практике. Это делает такого специалиста самым ценным активом при расследовании угроз. Однако наем, обучение и содержание аналитиков по кибербезопасности — это чрезвычайно дорого, особенно в условиях сегодняшнего дефицита на рынке труда. И позволить себе иметь команду экспертов должного уровня может далеко не каждая организация.
Часто встречающиеся запросы
В «Лаборатории Касперского» есть несколько подразделений, ведущих исследование угроз и помогающих заказчикам в расследовании инцидентов кибербезопасности. Это, прежде всего, Global Research and Analysis Team (GReAT), Global Emergency Response Team (GERT) и, конечно, Threat Research. Вместе более 250 аналитиков и экспертов мирового уровня. К нам регулярно обращаются представители различных организаций, столкнувшихся с теми или иными угрозами. Проведя анализ запросов за последнее время, мы выделили следующие категории.
Анализ вредоносного или подозрительного ПО
Один из наиболее часто встречающихся сценариев. Служба безопасности или SOC организации зафиксировали срабатывание детектирующей логики Endpoint Security или же правил Threat Hunting и обнаружили вредоносный или подозрительный объект. Не имея собственных ресурсов для проведения детального исследования, организация обращается к нашим экспертам с просьбой рассказать, какие функции выполняет обнаруженный объект, чем он опасен и как убедиться, что с его удалением инцидент исчерпан.
Если эксперты сходу понимают, что именно прислал заказчик, то и ответ могут дать сразу — у нас собрана база знаний по инструментам злоумышленников, включающая более миллиарда уникальных образцов вредоносного ПО. Иногда требуется проведение тщательного исследования силами наших аналитиков — в сложных случаях такое исследование может занять определенное время.
Дополнительная информация по индикаторам компрометации
Большинство организаций используют различные источники индикаторов компрометации. Ценность IoC во многом определяется наличием и полнотой так называемого контекста — дополнительной информации, поясняющей, что это за индикатор и что означает его обнаружение. Далеко не всегда имеющегося у защитников контекста бывает достаточно. Иногда, столкнувшись с обнаружением некоего индикатора (например, в своей SIEM-системе), аналитики SOC могут оказаться в ситуации, когда они понимают, что инцидент возможен, но не обладают достаточной информацией для проведения дальнейшего расследования.
В этом случае организация может обратиться к нам с просьбой дать дополнительную информацию по обнаруженному индикатору. И здесь нередко бывает так, что индикатор оказывается «интересным». Например, однажды нам прислали IP-адрес, который был обнаружен благодаря одному из используемых компанией фидов при сканировании трафика (то есть к этому IP-адресу было обращение из сети организации).
Оказалось, что на данном адресе расположен, помимо всего прочего, сервер управления Cobalt Strike — мощного средства удаленного администрирования (или, попросту, бэкдора), которым очень часто пользуются самые разные злоумышленники. Его обнаружение практически в 100% случаев означает, что организация уже находится под атакой (учебной или настоящей). Наши эксперты передали дополнительную информацию по указанному бэкдору и рекомендовали немедленно начать процедуру реагирования на инцидент (Incident Response, IR), чтобы обезвредить угрозу и обнаружить корневую причину компрометации.
Запрос данных по тактикам, техникам и процедурам
Индикаторы компрометации — далеко не все, что нужно, чтобы остановить атаку или расследовать инцидент. Если становится понятно, какая именно группировка стоит за нападением, то аналитику SOC понадобится информация по тактикам, техникам и процедурам (TTPs), характерным для этих злоумышленников. То есть детальные описания образа действия, которые помогут понять, где и как атакующие могли проникнуть в инфраструктуру, какими приемами они обычно пользуются, чтобы закрепиться в сети, как извлекают украденные данные. Подобную информацию мы предоставляем в рамках подписки на отчеты Threat Intelligence.
Но методы злоумышленников даже в рамках одной группировки зачастую весьма разнообразны, и описать все возможные детали не представляется возможным даже в весьма подробном отчете. Поэтому иногда клиенты сервисов Threat Intelligence, пользующиеся нашими отчетами по APT и Crimeware, запрашивают у нас дополнительную информацию о том или ином аспекте применения конкретных техник злоумышленников в контексте, релевантном именно для этих клиентов.
Ранее ответы на все эти (и многие другие) вопросы мы давали в рамках специальных сервисов или в ограниченном режиме в рамках технической поддержки. Однако, видя рост количества обращений и понимая ценность экспертных знаний наших исследовательских подразделений, мы приняли решение запустить выделенный сервис Kaspersky Ask the Analyst, в рамках которого через единую точку входа можно получить быстрый доступ к консультациям наших аналитиков.
Сервис Kaspersky Ask the Analyst
Наш новый сервис позволяет заказчику (в первую очередь, аналитикам SOC или сотрудникам ИБ-подразделений) получить консультацию экспертов «Лаборатории Касперского», значительно сократив собственные затраты на проведение расследований. Мы понимаем важность своевременности предоставления информации об угрозах, поэтому на все типы запросов установлен SLA. Итак, клиент сервиса может:
- Получить дополнительные данные по отчетам Kaspersky Threat Intelligence, включающие расширенный контекст по индикаторам и представленной аналитике, непосредственно от авторов этих отчетов — команд Kaspersky Global Research and Analysis Team (GReAT) и Kaspersky Threat Research. При необходимости у заказчика будет возможность обсудить связь найденных в своей сети индикаторов с описанной в отчетах активностью.
- Получить подробный анализ поведения выявленных образцов, определить их назначение и получить рекомендации по ликвидации последствий атаки. С этой задачей помогут справиться эксперты по реагированию на инциденты из Kaspersky Global Emergency Response Team (GERT).
- Получить описание конкретного семейства вредоносного ПО (например, определенного шифровальщика) и советы по защите от данного вида зловредов, а также дополнительный контекст по индикаторам (хеши, URL, IP-адреса), который поможет приоритизировать алерты или инциденты, в рамках которых они были обнаружены. Эту информацию предоставят эксперты из Kaspersky Threat Research.
- Получить описание конкретной уязвимости, степени ее опасности и информацию о том, как продукты «Лаборатории Касперского» защищают от ее эксплуатации. Эти данные также предоставят эксперты из Kaspersky Threat Research.
- Запросить исследование (поиск) по данным в даркнете по индивидуальному запросу. Такое исследование позволит получить ценную информацию по угрозам, релевантным для заказчика, что в свою очередь дает возможность принять эффективные меры для предотвращения кибератак или смягчения их последствий. Исследование проводят эксперты из команды Kaspersky Security Services.
Более подробную информацию об этом сервисе можно найти на официальном веб-сайте.