Аластер Патерсон, Digital Shadows: «Преступники извлекают выгоду из неразберихи»

Рост киберпреступности заметен во всем мире - только к концу этого года финансовые потери оцениваются в 6 триллионов долларов. Похоже, что сейчас самое лучшее время, чтобы серьезно задуматься о кибербезопасности, но многие предприятия все еще не могут создать надлежащую защиту.

Неудивительно, что киберпреступники использовали пандемию для эксплуатации страхов и уязвимостей во время глобального перехода к работе на “удаленке”. С ростом числа компаний, пытающихся адаптироваться к новой среде, возрастает риск стать мишенью для программ-вымогателей. Однако есть меры, которые компании могут предпринять, чтобы предотвратить подобные инциденты.

Издание CyberNews связалось с Аластером Патерсоном, соучредителем и генеральным директором Digital Shadows, чтобы узнать больше о текущем ландшафте кибербезопасности и понять, как компании могут эффективно защититься от киберпреступности.

Недавно вы отметили 10-летие Digital Shadows. Какой был у вас путь?

Кажется, что так давно мы все это затеяли на кухне в Лондоне в 2011 году. Первые годы были потрачены на совершенствование продукта и предложений. Мы инстинктивно знали, что цифровые следы организаций в целом растут в геометрической прогрессии. Набирали популярность облачные вычисления, социальные сети и электронная коммерция. Периметр, который никогда не существовал между компанией и внешним миром, полностью разрушился, и аутсорсинг, и виртуальные команды стали «нормой». Итак, мы знали, что организации становятся все более уязвимыми, но нам просто нужно было найти способ решить соревнование. У нас было несколько больших «перерывов». Получение начального финансирования помогло нам на нашем пути, но участие в первой лаборатории Accenture FinTech Innovation Lab в Лондоне изменило правила игры.

Мы получили офис в Кэнэри-Уорф, но, что более важно, доступ к потенциальным опытным клиентам из ведущих банков, которые действительно помогли нам оптимизировать наше предложение. Обеспечение нашей «Серии А» в 2015 году было для нас огромным и позволило расширить нашу деятельность на США - половина наших клиентов и сотрудников сейчас находится там. После этого последовал переезд в Сингапур и Германию.

Отрасль, которую мы помогли определить, сейчас выглядит совсем иначе, чем десять лет назад. Приятно видеть, что цифровая защита от рисков широко применяется группами безопасности любого размера. Добавив новые каналы доставки (особенно наши уважаемые партнеры MSSP), мы выросли, чтобы поддерживать более 400 клиентов по всему миру.

Вы гордитесь своим решением Searchlight. Не могли бы вы рассказать нам больше о нем?

SearchLight защищает от внешних угроз, постоянно определяя, где находятся активы наших клиентов, обеспечивая достаточный контекст для понимания рисков и вариантов их устранения. Мы думаем, что оно отличается от других решений на рынке, потому что оно не только охватывает даркнет или социальные сети, но также заглядывает в сеть глубже (например, незарегистрированные сайты в открытой сети) и открытую сеть. Людей часто удивляет, что мы отслеживаем в открытой сети столько же преступной деятельности, сколько и в даркнете, поэтому очень важно проанализировать все платформы, на которых киберпреступники могут действовать.

Это высокотехнологичное решение, но его работа подкреплена человеческим опытом. Наши аналитики приезжают со всех уголков земного шара и обладают знанием родного языка - это очень важно для понимания нюансов общения киберпреступников. Поскольку они тщательно проверяют большое количество тревожных сигналов, до наших клиентов доходят только те, которые требуют их внимания. Для клиентов более ценно получать меньше значимых предупреждений, чем огромное количество бессмысленных. Мы гордимся тем, что являемся продолжением команды наших клиентов, предоставляя контекст, варианты исправления и помогая с удалением вредоносного ПО.

Совсем недавно мы представили новые формы автоматизации на нашем портале, которые призваны сэкономить командам еще больше времени на реагирование на внешние угрозы.

Были ли какие-то новые угрозы, к которым вам пришлось адаптироваться в результате пандемии?

Преступники извлекают выгоду из неразберихи и сбоев в процессах, и пандемия по-прежнему предлагает много этого. Возможно, это не «новые» угрозы как таковые, а расширенная способность выполнять уже имеющиеся атаки. Например, компрометирование деловой электронной почты становится проще. Если вас попросили разрешить банковский перевод от вашего сотрудника финансового отдела, вы не можете подойти к нему и спросить: «Это нормально?» То же самое, если вы получите электронное письмо от «ИТ-поддержки» или другого отдела.

Во-вторых, мы заметили стремительный рост мошеннических предложений на рынке фальшивых медицинских изделий, «лекарств» от COVID-19, вакцин и свидетельств о вакцинации на криминальных форумах на протяжении всей пандемии. Не «угроза» для наших клиентов как таковая, а удручающе предсказуемая потенциальная опасность для общества.

Мы наблюдаем значительный рост атак программ-вымогателей, чему частично способствовало более широкое использование уязвимых удаленных сервисов. К сожалению, мы сообщили о тысячах жертв программ-вымогателей, данные которых были опубликованы на форумах в даркнете. И в ближайшее время эта тенденция не пройдет.

Мы искали новые способы помочь клиентам в это непростое время. Например, в прошлом году мы выпустили пакет, специально разработанный для борьбы с рисками, связанными с уникальными угрозами, связанными с удаленной работой.

Расскажите подробнее о недавнем всплеске мошенничества в социальных сетях. Используются ли эти каналы для нацеливания на отдельных лиц или они также могут нанести вред бизнесу?

Абсолютно могут. Выдача себя за компании в социальных сетях - обычное дело. Преступники часто создают в социальных сетях поддельные учетные записи «службы поддержки», которые могут выглядеть очень профессионально. Тогда они всего в одном шаге от того, чтобы «написать» клиенту и побудить его расстаться со своим паролем или другими учетными данными.

Об этом широко сообщалось, и есть даже слова предостережения со стороны государственных органов, которые стремятся повысить осведомленность об этих рисках. В апреле этого года сообщалось, что десятки тысяч граждан Великобритании стали жертвами фальшивых профилей в LinkedIn.

Аккаунты нескольких руководителей компаний в Твиттере были скомпрометированы и использовались для продвижения различных видов мошенничества.

Вы много говорите о защите бренда. Почему это так важно и что самое худшее, что может случиться, если ваш бренд окажется под угрозой?

Для большинства организаций бренд - это все. Они потратят годы и значительную часть своих доходов на развитие и установление своей репутации и доверия среди клиентов. Киберпреступники могут запятнать этот кропотливый процесс всего за несколько часов. Бренды привлекательны для киберпреступников, потому что они знают, что потребители естественным образом связывают с ними определенный уровень доверия. К сожалению, подделать бренд довольно легко. Поддельные домены можно зарегистрировать за секунды, с небольшими проверками и очень небольшими затратами. Опытные преступники могут без особого труда клонировать веб-сайт, и действительно, на многих криминальных рынках существуют готовые инструменты, позволяющие им это делать. У этих фальшивых веб-сайтов появляется возможность обмануть потребителей, пока они не будут обнаружены и удалены. Ключевым моментом является быстрое их обнаружение и начало этого процесса.

Но, конечно, это не просто поддельные сайты. Таким же образом можно подделать дескрипторы социальных сетей, выдать себя за руководителей и т. д. Самые популярные бренды являются важными целями для продолжающихся кибератак, включая программы-вымогатели, DDoS-атаки и утечки данных. Что самое худшее, что может случиться? Конечно, это зависит от происшествия. В случае самого серьезного инцидента с утечкой данных компания могла выйти из бизнеса. Точно так же цены на их акции могут сильно пострадать, и они могут понести большие штрафы со стороны регулирующих органов. Что касается выдачи себя за другое лицо, на карту может быть поставлена ​​финансовая информация миллионов клиентов, и они могут понести финансовые убытки. Тем не менее, важно сказать, что бренды устойчивы. Они могут восстановиться, если будут предприняты правильные шаги, но это может потребовать времени и повлечь за собой смену владельцев и руководителей.

Исследовательская группа Digital Shadows выделяет программы-вымогатели в последнем отчете о киберугрозах. Каковы основные тенденции в отношении этого типа угроз и чего мы можем ожидать в ближайшем будущем?

Самой большой тенденцией последних двух лет стало появление тактики двойного вымогательства: преступники не просто шифруют данные фирмы; они воруют и угрожают утечками. Это началось с группы вымогателей Maze, которая представила концепцию сайта утечки данных. Эту тенденцию взяла на себя большая часть активных групп программ-вымогателей. Эти страницы часто размещаются в темной сети и используются злоумышленниками, чтобы публично давать имена своим жертвам и раскрывать данные, украденные во время атаки программ-вымогателей.

Digital Shadows сообщила о почти 2600 жертвах, которые были названы сайтом утечки данных (DLS) с тех пор, как более широкий ландшафт вымогателей начал пользоваться этой тактикой. В начале года мы наблюдали так называемое «исчезновение» нескольких операций с программами-вымогателями. Трудно определить, просто ли эти группы скрывались, были арестованы, переименованы или теперь работают с другой группой вымогателей. После инцидента с Colonial Pipeline (трубопровод в США) внимание к этой группе накалилось до максимума - вплоть до президентского уровня. Однако теперь такие группы вымогателей могут почувствовать, что ситуация несколько успокоилась, и у них появилось больше уверенности, чтобы снова активизировать свои операции.

Это такой прибыльный бизнес, и операторы программ-вымогателей получают возможность благодаря росту брокеров первоначального доступа - киберпреступников, которые тратят свое время на то, чтобы просто взламывать организации и продавать им доступ. Есть все основания прогнозировать, что злоумышленники, вероятно, продолжат нагло действовать до конца года и в последующий период, ограниченно думая о том, на кого они нацелены, и о том, сколько денег они могут заработать.

Помимо более традиционных методов, вы также исследуете форумы даркнета, чтобы улучшить свои услуги. Не могли бы вы рассказать нам больше об этой практике? На что похожи эти форумы?

Во-первых, очень важно уточнить, что не все криминальные форумы и торговые площадки находятся в даркнете. Многие из них существуют в обычной «открытой сети». Другие находятся в «глубокой сети» - они будут за стеной регистрации, но вы все равно можете найти их в открытой сети. И да, есть «темная сеть» - для доступа к ней вам нужен специальный браузер, обычно Tor, а контент анонимный. Вообще говоря, преступники «тусуются» в двух разных службах. Форумы - это места встреч, где преступники встречаются, чтобы поболтать и обсудить темы. Они могут делиться знаниями, но также и инструментами, которые они используют. Будет реклама криминального оборудования, такого как вредоносное ПО и наборы инструментов.

Затем есть торговые площадки. Они более транзакционные, поскольку отзывы основаны на законных аукционных сайтах, с которыми мы все знакомы. Будет продаваться широкий спектр товаров - от наркотиков, оружия, вредоносных программ до руководств. Мы даже видели онлайн-курсы по различным видам киберпреступлений, которые проводятся как онлайн-университетские модули!

В даркнете сложно искать. Он не индексируется, как открытая сеть, и сайты появляются и исчезают с большой регулярностью. Поэтому организации довольно сложно успевать за тем, что происходит. Они могут не знать, что (например) «свалка» данных их клиентов внезапно выставлена ​​на продажу или что преступники могут открыто обсуждать, как проникнуть в их организации. 

Именно здесь на помощь приходят такие компании, как Digital Shadows. Мы разработали инструмент, который может искать эту информацию и быстро предупреждать о любой подобной опасности. Мы поддерживаем эту технологию командой невероятно умных многоязычных специалистов, которые получают доступ к новым закрытым источникам и следят за тем, чтобы мы были в курсе последних мест, где скрываются киберпреступники.

Быстро справиться с этим - ключ к успеху. Становится намного проще исправить проблему или даже предотвратить инцидент, если вы обнаружите его на ранней стадии.

Какие основные меры следует предпринять бизнесу, чтобы избежать угроз, пока не стало слишком поздно?

Думайте как злоумышленник. Фирмы должны постоянно ставить себя на их место и смотреть на «внешнюю» перспективу своей организации. Им следует начать с поиска мест, где могут быть раскрыты данные. Организации очень часто допускают случайную утечку данных. Когда мы в последний раз проводили исследование, Digital Shadows обнаружила 2,3 миллиарда файлов, доступных через общие файловые ресурсы с поддержкой SMB, неправильно настроенные устройства сетевого хранения (NAS), протокол передачи файлов (FTP) и серверы rsync, а также корзины Amazon S3. Это случайно, но в чужих руках это может быть опасно.

Аналогичным образом Digital Shadows обнаружила 25 миллиардов открытых учетных данных, то есть имен пользователей и паролей в открытой, глубокой и темной сети. Любой из них может представлять собой способ проникновения в организацию. Сейчас они существуют, но их могут найти затронутые и измененные компании, что сводит на нет угрозу. Многие атаки являются результатом использования этих паролей для получения доступа к цели, поэтому сброс этих учетных данных, как если бы они были раскрыты, имеет решающее значение.

Невозможно найти замену проактивным действиям - компании должны выявлять эти угрозы, прежде чем они смогут им навредить. Обнаруживайте все формы цифрового риска, включая поддельные веб-сайты и дескрипторы социальных сетей, о которых мы говорили ранее. Это большая работа, но думать как киберпреступник - лучший способ понять их образ мышления и победить их. Большинство киберпреступников просто хотят заработать деньги, поэтому, если вы усложняете им задачу нацеливания на вас и удорожаете их, большинство просто перейдет к более легкой цели.

И, наконец, что ждет Digital Shadows в будущем?

Сейчас мы уверенно находимся в фазе роста. Недавно глобальная консалтинговая компания Quadrant Knowledge Solutions, назвала нас «лидером» на рынке цифровой защиты от рисков (DRP). Заняв первое место в рейтинге 19 поставщиков, мы действительно рады, что наши инвестиции в исследования и разработки получают признание. Однако в этом отчете также признается рост рынка DRP в целом, отмечая, что такие тенденции, как облачные вычисления, удаленная работа и растущее взаимодействие с клиентами в Интернете, увеличили цифровой след организации (и потребность в DRP).

Мы продолжаем делать аналитику угроз доступной для всех организаций, уделяя особое внимание автоматизации, контексту, простоте использования и отправляя небольшое количество актуальных, действенных предупреждений, которые могут быть обработаны даже разветвленными группами безопасности.

Мы также хотим оставаться в авангарде DRP, стремясь найти новые способы сэкономить больше времени, автоматизировать скучные вещи и в дальнейшем интегрировать этот интеллект в другие части бизнеса. Шумиха вокруг области XDR (расширенное обнаружение и реагирование) в индустрии безопасности предоставляет Digital Shadows дополнительные возможности для предоставления релевантных контекстных аналитических данных и предупреждений, которые используются во многих других частях экосистемы безопасности.

Таким образом, хотя никто не может предсказать будущее, мы продолжим вводить новшества и помогать нашим клиентам адаптироваться к ряду сетевых угроз, с которыми они сталкиваются. Если мы все сделаем правильно, компания продолжит стремительный рост, открывая ряд возможностей.