Зі постійним зростанням кількості кіберінцидентів та тим фактом, що Даркнет сьогодні перевищує видимий Інтернет у тисячі разів, кібербезпека стає не технічним, а стратегічним питанням для кожного бізнесу, установи та галузі.
Саме тому, Crnogorski Telekom у партнерстві з NVU Secure Він порушує важливі теми та об'єднує провідних експертів у галузі кібербезпеки.
В межах Кібербезпека Telekom програми, на конференції, що відбулася 19 листопада в Науково-технологічному парку в Подгориці, однією з найбільш відвідуваних лекцій була презентація Даніель Тесліч на тему кіберрозвідки та моніторингу даркнету.
Тесліч, керівник відділу наступальних кібероперацій у Combis, одній з найбільших ІКТ-компаній у регіоні та члені HT Group, надала аудиторії безпосередній погляд на світ загроз, що розгортаються – у «темних» частинах інтернету, де торгівля викраденими даними та планування атак відбуваються в режимі реального часу.
Даніель має за плечима сотні проектів з тестування на проникнення, а також складні командні вправи червоного та фіолетового кольорів, які готують компанії до найпросунутіших кіберзлочинців сучасності. Він є автором всесвітньо визнаного курсу. «Фіолетова команда: профілактика та виявлення», і зокрема, вона накопичує досвід шляхом впровадження рішень, що відповідають вимогам директиви NIS2, яка встановлює нові стандарти кібербезпеки в Європі.
Ми поговоримо з ним про те, що являє собою сучасна загроза сьогодні, де приховані найважливіші джерела інформації та як організації можуть виявляти ризики задовго до того, як вони перетворяться на інциденти.
Чи можете ви коротко пояснити, що означає розвідка про кіберзагрози та чому вона є важливим сегментом захисту для сучасних компаній?
Кіберрозвідка – це процес збору та аналізу інформації, який допомагає організаціям зрозуміти загрози, з якими вони стикаються. Він включає моніторинг того, як діють зловмисники, технологій, які вони використовують, та моделей атак, що виникають. Хоча значна частина інформації виявляється після того, як атаки сталися, її аналіз дозволяє нам виявляти тенденції та потенційні вразливості. Саме тут CTI стає важливою – вона дає організаціям можливість виявляти ризики на ранній стадії та готуватися до ескалації атаки.
З яких джерел надходить інформація про загрози та як вона використовується для своєчасного виявлення атак?
Інформація для CTI надходить з широкого кола джерел, які організації моніторять, щоб отримати повну картину загроз. Це включає новини, блоги з кібербезпеки, публічні бази даних вразливостей, такі як NIST та CVE, соціальні мережі, GitHub, Pastebin, репозиторії коду, форуми та технічні спільноти. Усі ці джерела збирають дані про атаки, які вже відбулися, вразливості та методи, що використовуються зловмисниками. Коли така інформація пов'язана та проаналізована, організація може визначити, що може становити для неї ризик, і чи є ранні ознаки того, що атака готується або повторюється.
Даркнет вже деякий час є гарячою та інтригуючою темою, але мало хто справді її розуміє. Чи можете ви пояснити, що насправді відбувається в Даркнеті та чому бути поінформованим важливо для безпеки компаній?
Даркнет — це прихована частина Інтернету, доступ до якої здійснюється за допомогою інструментів, що анонімізують особу користувача, таких як Tor або I2P. Через цю анонімність значна частина контенту в Даркнеті стосується незаконної діяльності (близько 60%), включаючи торгівлю краденими товарами, інструментами злому, даними для входу, номерами кредитних карток та скомпрометованими обліковими записами користувачів. Даркнет дуже важливий для кібербезпеки, оскільки це місце, де з'являється інформація про атаки, компрометації та діяльність злочинних груп, які не видно на поверхні Інтернету.
Як моніторинг даркнету допомагає виявляти атаки або витоки даних, перш ніж вони стануть публічними?
Моніторинг даркнету надає уявлення про так звані «підпільні» джерела: форуми, торговельні майданчики, блоги груп вимагачів та сайти для публікації викрадених даних. Там ви можете побачити, хто був скомпрометований, які дані були викрадені та чи пропонуються вони на продаж. Крім того, є брокери доступу які продають доступ до чужих систем, що особливо небезпечно для організацій, які можуть навіть не знати про їхню компрометацію. Частина спілкування зловмисників також відбувається через зашифровані платформи та певні групи Telegram. Все це дозволяє виявляти загрози набагато раніше та компанії реагувати до того, як станеться серйозний інцидент.
Чому великі та прибуткові компанії особливо цікаві для зловмисників?
Великі компанії часто є привабливими цілями, головним чином через свою прибутковість, а також через велику кількість співробітників та широку мережу систем, що збільшує можливість соціальної інженерії, компрометації обладнання або атак через третіх осіб. Саме тому моніторинг CTI та Dark Web стає ключовою частиною стратегії безпеки великих організацій, оскільки вони дозволяють стратегічне планування, раннє виявлення загроз та знижують ймовірність успішних атак.
Crnogorski Telekom та Combis об'єднують досвід у розробці передових рішень у сфері кібербезпеки. Що б ви виділили як ключові елементи цих рішень та як вони сприяють безпеці організацій?
Існує кілька напрямків нашої співпраці, які створюють рішення для розширеного захисту систем. Перше, що спадає на думку, це центр операцій безпеки (SOC), який є ключовим елементом захисту компаній від атак. SOC включає розширені рішення захисту, такі як EDR, але також сприяє кращій видимості та управлінню журналами компанії за допомогою рішення SIEM. Звичайно, все це доповнюється командою відмінних експертів, які контролюють систему через SOC та здатні розпізнавати та реагувати на потенційні загрози та компрометації. Згадані раніше Threat Intelligence, а потім Threat Hunt (пошук існуючих загроз у внутрішній мережі компанії) – це додаткові послуги, які проактивно допомагають SOC ще краще закривати та захищати компанію від атак. Нарешті, різні послуги з наступальної сфери безпеки, такі як тестування на проникнення та навчання Red Team, враховують сценарій «що, якщо», що дозволяє адаптувати SOC та супутні рішення до окремих систем компанії з метою максимізації захисту системи.
