Digital Shadows

Возможно, Вы знаете что такое OSINT и пользовались поисковиком Shodan, или уже используете Threat Intelligence Platform для приоритизации IOC от разных фидов. Но иногда необходимо постоянно смотреть на свою компанию с внешней стороны и получать помощь в устранении выявленных инцидентов. Digital Shadows позволяет отслеживать цифровые активы компании и её аналитики предлагают конкретные действия.

По сути Digital Shadows гармонично дополняет существующий SOC или полностью закрывает функционал отслеживания внешнего периметра. Построение экосистемы идёт с 2011 года и под капотом реализована масса интересных вещей. DS_ мониторит Интернет, соц. сети и darknet и выявляет из всего потока информации только важное.

В своей еженедельной рассылке IntSum компания приводит табличку, которую Вы можете использовать в своей повседневной жизни для оценки источника и полученной информации. С табличкой вы также можете ознакомиться в конце статьи.

Digital Shadows способна обнаружить и погасить фишинговые домены, поддельные аккаунты в социальных сетях; найти скомпрометированные учетные данные сотрудников и утекшие данные, выявить информацию о готовящихся кибератаках на компанию, постоянно отслеживать публичный периметр организации и даже регулярно анализировать мобильные приложения в песочнице.

Выявление цифровых рисков


Каждая компания в процессе своей деятельности обрастает цепочками связей с клиентами и партнерами, и данные, которые она стремится защитить, становятся все более уязвимыми, их количество только растёт.

Digital Shadows

Чтобы начать управлять этими рисками, компания должна начать смотреть за пределы своего периметра, контролировать его и получать оперативную информацию об изменениях.

Data Loss Detection (чувствительные документы, доступны сотрудников, техническая информация, интеллектуальную собственность).
Представьте, что ваша интеллектуальная собственность была раскрыта в Интернете или в GitHub репозиторий случайно попал внутренний конфиденциальный код. Злоумышленники могут использовать эти данные для запуска более целенаправленных кибератак.

Online Brand Security (фишинговые домены и профили в соцсетях, имитирующее компанию мобильное ПО).
Поскольку сейчас трудно найти компанию без социальной сети или подобной платформы для взаимодействия с потенциальными клиентами, злоумышленники пытаются выдать себя за бренд компании. Киберпреступники делают это путем регистрации поддельных доменов, учетных записей социальных сетей и мобильных приложений. В случае успеха фишинга / мошенничества, это может повлиять на доход, лояльность и доверие клиентов.

Attack Surface Reduction (уязвимые сервисы на периметре с Интернетом, открытые порты, проблемные сертификаты).
По мере роста ИТ-инфраструктуры продолжает расти поверхность атаки, количество информационных объектов. Рано или поздно внутренние системы могут оказаться случайно опубликованы во внешнем мире, например, база данных.

DS_ оповестит о проблемах раньше, чем ими сможет воспользоваться атакующий, выделит наиболее приоритетные, аналитики порекомендуют дальнейшие действия и тут же можно будет сделать takedown.

Интерфейс DS_


Можно использовать непосредственно веб-интерфейс решения или воспользоваться API.

Как можно заметить, аналитическая сводка представлена в виде воронки, начиная от количества упоминаний и заканчивая реальными инцидентами полученных из разных источников.

Digital Shadows

Многие используют решение как википедию с информацией об активных атакующих, проводимых ими кампаниях и событиях в сфере ИБ.

Digital Shadows легко интегрировать в любую внешнюю систему. Поддерживаются как уведомления, так и REST API для интеграции в свою систему. Можно назвать IBM QRadar, ArcSight, Demisto, Anomali и другие.

Как управлять цифровыми рисками — 4 основных шага


Шаг 1: Определение критичных для бизнеса активов


Этот первый шаг, конечно же, заключается в понимании того, о чем организация заботится больше всего и что хочет защитить.

Можно разделить на ключевые категории:

  • Люди (заказчики, сотрудники, партнёры, поставщики);
  • Организации (родственные и обслуживающие компании, общая инфраструктура);
  • Системы и операционные критические приложения (веб-сайты, порталы, базы данных с данными клиентов, системы обработки платежей, системы доступа сотрудников или ERP приложения).

При составлении этого списка рекомендуется следовать простой идее — активы должны быть вокруг критичных бизнес-процессов или экономически важных функций компании.

Обычно добавляют сотни ресурсов, в том числе:

  • названия компаний;
  • бренды / торговые марки;
  • диапазоны IP-адресов;
  • домены;
  • ссылки на социальные сети;
  • поставщиков;
  • мобильные приложения;
  • номера патентов;
  • маркировки документов;
  • идентификаторы DLP;
  • подписи email-писем.

Адаптация сервиса под себя гарантирует получение только релевантных оповещений. Это итеративный цикл, и пользователи системы будут добавлять активы по мере их появления, такие как новые названия проектов, предстоящие слияния и поглощения или обновленные веб-домены.

Шаг 2: Понимание потенциальных угроз


Чтобы наилучшим образом подсчитать риски, необходимо понимать потенциальные угрозы и цифровые риски компании.

  1. Техники, тактики и процедуры злоумышленников (TTP)
    Фреймворк MITRE ATT&CK и другие помогают найти общий язык между защитой и нападением. Сбор информации и понимание поведения по широкому кругу злоумышленников дает очень полезный контекст при защите. Это позволяет понимать следующий шаг в наблюдаемой атаке, либо выстраивать общую концепцию защиты исходя из Kill Chain.
  2. Возможности злоумышленников
    Атакующий будет использовать наиболее слабое звено или кратчайший путь. Различные векторы атак и их комбинации — почта, веб, пассивный сбор информации и т.д.

Шаг 3: Мониторинг нежелательных появлений цифровых активов


Чтобы выявлять активы, необходимо регулярно отслеживать большое количество источников, такие как:

  • Git репозитории;
  • Плохо настроенные облачные хранилища;
  • Paste сайты;
  • Соц. медиа;
  • Криминальные форумы;
  • Dark web.

Чтобы начать с чего-то, вы можете использовать бесплатные утилиты и техники, ранжированные по степени сложности в руководстве ‘A Practical Guide to Reducing Digital Risk’.

Шаг 4: Принятие мер по защите


После получения уведомления необходимо предпринять конкретные действия. Можно выделить Тактические, Операционные и Стратегические.

В Digital Shadows каждое предупреждение включает в себя рекомендуемые действия. Если это фишинговый домен или страница в соцсети, то отслеживать статус выполнения погашения можно в разделе “Takedowns”.

Digital Shadows

Доступ к демо-порталу в течение 7 дней


Сразу оговорюсь, что это не полноценное тестирование, а лишь временный доступ к демо порталу для ознакомления с его интерфейсом и поиска по некоторой информации. Полноценное тестирование будет содержать актуальные для конкретной компании данные и предполагает работу аналитика.

Демо-портал будет содержать:

  • примеры предупреждений для фишинговых доменов, открытые учетные данные и слабые места в инфраструктуре;
  • поиск по darknet страницам, криминальным форумам, фидам и многом другом;
  • 200 профилей киберугроз, инструментов и кампаний.

Получить доступ можно по этой ссылке.

Еженедельные рассылки и подкаст


В еженедельной рассылке IntSum можно получать краткую сводку оперативной информации и последних событий за последнюю неделю. Также можно послушать подкаст ShadowTalk.

Для оценки источника Digital Shadows используя качественные утверждения из двух матриц, оценивая достоверность источников и достоверность информации, полученной от них.

Digital Shadows

Статья написана по мотивам ‘A Practical Guide to Reducing Digital Risk’.

Если решение Вас заинтересовало, Вы можете обращаться к нам — компанию Фактор груп, дистрибьютору Digital Shadows_. Достаточно написать в свободной форме на digitalshadows@fgts.ru.

Авторы: popov-as и dima_go.

Комментарии (0)