Киберугрозы давно и прочно входят в число главных факторов риска для бизнеса. Согласно опросу PwC, проведенному в ноябре 2021 года, более половины руководителей ставят именно их на первое место среди опасений. И эти тревоги обоснованны — количество и качество кибератак со стороны хорошо подготовленных злоумышленников растет. Но и индустрия кибербезопасности не стоит на месте. Появляются новые инструменты, помогающие выявлять «тонкие» места, оперативно реагировать на кибератаки и своевременно устранять их последствия.
В самом начале пандемии сотрудники «Лаборатории Касперского» связались с одним из своих клиентов — крупной финансовой структурой в одной из стран СНГ — и предупредили о возможной фишинговой атаке. Сигнал оказался своевременным — как показала дальнейшая проверка, атака на компанию уже началась. Но вовремя полученные данные позволили минимизировать ее последствия.
Как же специалистам «Лаборатории Касперского» удалось предсказать атаку еще до ее реального детектирования? Для этого использовались специальные инструменты на основе аналитики потоков данных о киберугрозах из множества источников, рассказал менеджер по развитию направления Threat Intelligence «Лаборатории Касперского» Александр Мазикин.
«В рамках системы по мониторингу дарквеба нашим сотрудникам удалось вычислить обсуждение потенциальной фишинговой атаки на финансовые институты рынка СНГ. Злоумышленники планировали фишинговую кампанию, нацеленную на сотрудников финансовых организаций, о чем мы сообщили непосредственно нашему заказчику. Такая система мониторинга дарквеба состоит в нашем большом портфеле сервисов Kaspersky Threat Intelligence», — пояснил эксперт.
Сервисы класса Threat Intelligence — относительно свежий тренд на рынке кибербезопасности. Их основная сила — в знаниях о том, куда движется «мысль» киберпреступного мира. Они дают понимание, где компаниям стоит укрепить защиту и закрыть свои уязвимости.
«Слово Intelligence здесь можно перевести и как «знания», и как «разведывательная информация», поэтому часто термин Threat Intelligence называют «киберразведкой». Впрочем, вне зависимости от тонкостей перевода важнее суть — информирование о киберугрозах. И мы в рамках «Лаборатории Касперского» поставляем большое количество таких сервисов», — рассказал Александр Мазикин.
На рынке устоялись правила, что в рамках портфеля Threat Intelligence должны существовать определенные виды сервисов: машиночитаемые данные, которые можно использовать на стороне заказчика для обнаружения угроз; тактическая информация — описание атак, действий злоумышленников и всего, связанного с конкретными группировками хакеров; операционная информация, то есть то, что можно использовать на ежедневной основе; стратегическая информация, позволяющая принимать превентивные меры защиты.
Один из примеров стратегической информации — это как раз сведения о подготовке фишинговой кампании против определенной индустрии, как в приведенном выше случае с финансовым сектором стран СНГ.
В следующих материалах мы расскажем о том, как Threat Intelligence использует технологии машинной обработки данных.