Валерий Баулин, F.A.C.C.T.: Рынок созрел для киберразведки

Спрос на услуги киберразведки (Threat Intelligence, TI) в России, по данным Коммерсанта, ежегодно растет на 20–40%, а объем рынка оценивается на уровне 15 млрд руб.— около 8% от всего рынка информбезопасности.

Валерий Баулин, генеральный директор компании F.A.C.C.T., рассказал порталу Cyber Media о том, почему киберразведка сейчас на подъеме, и чем она может помочь бизнесу.

Cyber Media: Когда в России начался бурный рост интереса к TI в России?

Валерий Баулин: С февраля-марта 2022 года. Причиной стал беспрецедентный рост количества кибератак, утечек баз данных у компаний, повышенная активность хактивистов и проправительственных групп, заинтересованных в дестабилизации работы предприятий. Вместе с ростом целевых атак увеличилось и количество массовых атак со стороны начинающих или не слишком профессиональных хакеров, которые занимались, в основном, сканированием инфраструктур российских компаний для обнаружения и последующей эксплуатации уязвимостей. Их цель — получить доступ к критичным данным, например, базам данных, и выложить их в публичный доступ, повесить антироссийский баннер на главной странице взломанного сайта или провести DDoS-атаку. Подобные злоумышленники очень часто координируют свои действия на форумах в Darkweb или в закрытых чатах Telegram, используют автоматизированное вредоносное ПО, что позволяет Threat Intelligence отслеживать атаки и превентивно сообщать клиентам о возможной угрозе.

Вcе вышеперечисленное, а еще уход из России иностранных вендоров, повлияло на то, что весной-летом 2022 года мы видели небывалый спрос со стороны бизнеса на данные Threat Intelligence (киберразведки). Компании хотели заранее знать о готовящихся на них кибератаках, оперативно получать фиды и индикаторы компрометации, чтобы превентивно защититься от актуальных киберугроз.

Cyber Media: И насколько в процентном отношении вырос спрос на киберразведку?

Валерий Баулин: По нашим оценкам, рост продаж Threat Intelligence в России в первом полугодии 2023 года составил примерно 30% по сравнению с первой половиной 2022 года.

Cyber Media: Как Threat Intelligence оказалась в России?

Валерий Баулин: Если коротко, то история такова: в начале 2000-х две компании из США — iSIGHT Partners и iDefense, занимавшиеся сбором и анализом информации о методах и инструментах хакеров стали продавать свои услуги как Threat Intelligence. Если говорить языком военных, киберразведка – это совокупность мероприятий по сбору сведений и изучению данных о противнике, необходимых для анализа и прогнозирования его действий, а также других целей, стоящих перед командой разведчиков. Сервис стал востребованным во всем мире, поскольку помогал оказывать реальное противодействие кибератакам еще на этапе их подготовки. В России киберразведка, как бизнес, появилась в 2012 году и первым поставщиком услуг стала компания Group-IB (в настоящее время — F.A.C.C.T.).

Cyber Media: Почему на ваш взгляд первыми клиентами TI в России в 2012-2017 гг были банки и крупные корпорации?

Валерий Баулин: Очевидно, потому что в тот момент их чаще всего атаковали. А, во-вторых, к тому моменту у них были уже зрелые департаменты ИБ и готовность не только к построению высоко эшелонированной защиты, но и эффективному предотвращению кибератак на этапе их подготовки, чем собственно и занимается киберразведка. Сейчас пул клиентов значительно расширился — Threat Intelligence интересуются, и агропредприятия, и медиа, малый и средний бизнес в регионах.

Cyber Media: Чем конкретно может помочь киберразведка?

Валерий Баулин: Threat Intelligence предоставляют данные на трех уровнях: стратегическом, оперативном и тактическом.

На стратегическом уровне компании получают информацию о злоумышленниках, текущих трендах, типах атак и т. п., которые связаны с определенным регионом, индустрией или самой компанией. Это позволяет топ-менеджерам или CISO в компаниях правильно понимать ландшафт киберугроз, планировать бюджеты и развитие компании.

На операционном уровне CISO или ИТ-команда может с помощью матриц MITRE проанализировать основные сочетания тактик, техник и процедур (TTP, Tactics, Techniques and Procedures), которые используются злоумышленниками, нацеленными на организацию, и сфокусироваться на защитных мерах именно против этих техник.

Тактический уровень TI обычно связан исключительно со сбором индикаторов компрометации (IoCs).

Основной функционал современных TI-решений*

• выявление фактов взлома компаний благодаря мониторингу преступных групп, бот-сетей и теневого интернета;
• обнаружение недетектируемых атак с помощью уникальных индикаторов компрометации;
• атрибуция, приоритизация угроз и более быстрое реагирование за счёт данных об атакующих, их инструментах и тактиках;
• создание правил корреляции и детектирования угроз, специфичных для их клиентов, за счёт оперативных бюллетеней о новых угрозах, вредоносных кампаниях и группах;
• оптимизация процесса управления уязвимостями за счёт сведений об активно эксплуатируемых уязвимостях, наличии эксплойтов, обсуждений на хакерских форумах. Все данные собраны в подробные профили уязвимостей.
• обогащение индикаторов компрометации и используемых средств защиты с помощью встроенных аналитических инструментов, например, графа сетевой инфраструктуры.

*на примере F.A.C.C.T. Threat Intelligence

Cyber Media: Какие данные TI из всего вышеперечисленного сейчас наиболее востребованы клиентами в России?

Валерий Баулин: В основном, фиды с индикаторами компрометации (хэши вредоносных файлов, IP-адреса и домены, связанные с преступной активностью), предназначенные для информирования SOC-команд об актуальных киберугрозах. Кроме того, интересуют утечки, целевые атаки, в том числе с использованием шифровальщиков или шпионского ПО, активность хактивистов и прогосударственных групп, отраслевые угрозы.

Cyber Media: Когда TI стал интересоваться госсектор?

Валерий Баулин: Да он всегда интересовался, вопрос в готовности и зрелости обработки и применения данных TI. Впрочем, этот момент актуален не только для госов, но и частных компаний. Исторически мы оказывали содействие в плане предоставления аналитических данных TI правоохранительным органам и госкомпаниям, которые находились в поле зрения у злоумышленников и могли стать жертвами атаки.

Cyber Media: На Ваш взгляд, какие тренды, в контексте TIP, будут актуальны в ближайшие годы?

Валерий Баулин: Самое очевидное и ожидаемое — продажи TI в России будут завоевывать все новые доли рынка. Мы уже сейчас видим, что интерес к услуге проявляют не только федеральные, но и региональные компании. Это значит, что все больше потенциальных клиентов достигло того уровня зрелости, когда для снижения рисков киберинцидентов им необходимы данные киберразведки.

Мы ожидаем появления новых партнерств в области предоставления данных Threat Intelligence. Все больше компаний, оказывающие поддержку клиентам в качестве SOC, используют в своей работе TI-платформы.

Вырастет количество решений и услуг, где будут использоваться данные киберразведки. Все больше данных из TI будут интегрироваться в смежные ИБ-системы для корреляции и построения моделей киберугроз.

Синергия Threat Intelligence и Threat Hunting (охота за киберугрозами) позволит выстраивать более четкие модели киберугроз для проверки гипотез об актуальных векторах атаки.