Новые инструменты злоумышленников и критерии полезных киберразведданных

В 2023 году эксперты BI.ZONE следили более чем за 40 группировками. Олег Скулкин, руководитель управления киберразведки BI.ZONE, выступил на SOC Forum с докладами «Кто, как и зачем атаковал корпоративные сети в России в 2023 году» и «Как отличить хорошие киберразведданные от плохих».

В первом докладе спикер рассказал об одном из главных трендов в действиях злоумышленников — это переход от ВПО и хакерских инструментов к использованию легитимных учетных записей, скомпрометированных у подрядчиков. Кроме того, выросло количество атак с применением коммерческого ВПО, приобретенного на теневых форумах.

Во втором докладе Олег Скулкин рассказал о пяти самых важных критериях полезных киберразведданых. Они должны быть точными, полными, достоверными, актуальными и своевременными.

Новый инструмент для анализа Linux-систем на компрометацию

О другом важном тренде в действиях злоумышленников рассказал в своем выступлении Теймур Хеирхабаров, директор департамента BI.ZONE по мониторингу, реагированию и исследованию киберугроз.

Злоумышленники все чаще атакуют Linux-системы. Поэтому специалистам по кибербезопасности важно уметь анализировать их на компрометацию: получать качественные данные с хоста и понимать, что в них искать.

В докладе «Практика проведения оценки на компрометацию Linux-систем» спикер рассказал, что собирать нужно, например, информацию о запущенных процессах, файлах в автозагрузке, историю вводимых команд.

C получением информации может помочь бесплатная утилита BI.ZONE Triage. Она позволяет собирать данные для анализа хоста, а также осуществлять проверку с помощью YARA-правил. BI.ZONE Triage уже доступна на GitHub.

Подготовка компании к Bug Bounty

Чтобы эффективно защищаться от растущего количества киберугроз, организациям важно быть уверенными в безопасности внешнего периметра. Евгений Волошин, директор департамента BI.ZONE по анализу защищенности и противодействию мошенничеству, принял участие в открытой дискуссии «Try hack me: как подготовить компанию к Bug Bounty».

Участники отметили, что начинать работу с инструментом следует с запуска приватной программы. Она позволяет познакомиться с багбаунти, настроить процесс обработки отчетов и подготовиться к выходу публичной программы, которая открыта для всех исследователей платформы.

Мониторинг IT-инфраструктуры

Андрей Шаляпин, руководитель управления BI.ZONE по мониторингу киберугроз, рассказал, как правильно организовать мониторинг IT-инфраструктуры. В своем докладе «Как построить мониторинг ИБ и не утонуть в бесполезных логах» он поделился опытом выбора источников событий кибербезопасности для подключения к SIEM-системе.

Например, стоит опираться на совокупность критериев, таких как: охват видимости инфраструктуры, количество и критичность релевантного детектирующего контента, полезность данных от источника на этапах анализа уже обнаруженного инцидента для получения дополнительного контекста.

Это основные критерии, которые определяют полноту покрытия событий SOC и качество работы детектирующего контента.

Инструменты корреляции событий кибербезопасности для построения качественного SOC

Залогом качественного построения SOC является хорошо выстроенный процесс выявления угроз не только на основе отдельных событий, но и в рамках потока всех событий.

Андрей Штапаук, специалист BI.ZONE по реагированию и расследованию инцидентов кибербезопасности, рассказал об одном из самых эффективных потоковых обработчиков данных — ПО с открытым исходным кодом Apache Flink.

Он выступил с докладом «Создание и внедрение системы корреляции событий ИБ на основе программы с открытым исходным кодом Apache Flink» и рассказал о том, как правильно использовать Apache Flink в качестве коррелятора событий кибербезопасности, и поделился своим опытом работы с инструментами.