29 min.

От реакции к действию: план реагирования при утечках данных в дарквеб

Киберпреступники постоянно придумывают новые способы кражи конфиденциальной информации, и сегодня утечка данных – реальная угроза как для крупных, так и для небольших компаний. В последние годы новости о масштабных утечках данных все чаще попадают на первые полосы популярных изданий, серьезно вредя репутации пострадавших компаний. В этой статье мы расскажем, что делать, если данные вашей компании были опубликованы в дарквебе, и как минимизировать последствия таких инцидентов.

Скачать Плейбук Перейти к Гайдлайну

Реагирование на инцидент: подход, этапы и роли

Прежде чем обсуждать процесс реагирования на инцидент, важно разобраться, как инциденты, связанные с дарквебом, укладываются в классический подход реагирования на инциденты информационной безопасности (ИБ). Процесс эффективного управления инцидентами ИБ состоит из нескольких этапов.
Реагирование на утечку данных в дарквебе по большому счету ничем не отличается от реагирования на другие инциденты ИБ, за исключением некоторых особенностей на начальных этапах – подготовки, обнаружения и анализа.
Для подтверждения наличия угрозы в дарквебе и анализа ее серьезности используются особые методы. Если инцидент подтвержден, группа реагирования на инциденты ИБ может использовать стандартные сценарии реагирования на инциденты ИБ.

В процессе реагирования на инциденты ИБ как правило задействованы три стандартные роли:

  • Аналитик Threat Intelligence (CTI-аналитик)

    первоначально обрабатывает данные об обнаружении угрозы и создает инцидент ИБ.

  • Аналитик SOC

    расследует обнаруженный инцидент ИБ.

  • Специалист по реагированию

    принимает необходимые меры по реагированию на инцидент ИБ.

Неважно, как называются эти роли и как они распределены, – рабочий процесс от этого не меняется.

Подготовка

Мониторинг угроз в дарквебе требует особого подхода. Существует два возможных подхода к решению этой задачи: разработать собственную систему мониторинга дарквеб ресурсов или использовать готовое специализированное решение, например Kaspersky Digital Footprint Intelligence.

В первом случае вам нужно будет выполнить следующий минимальный набор действий:

  1. Создать список дарквеб ресурсов для мониторинга, в соответствии с вашей моделью угроз ИБ.
  2. Развернуть инфраструктуру (VPN, Tor, внешние виртуальные хосты для сбора данных).
  3. Зарегистрировать специальные учетные записи на форумах, которые вы будете использовать для поиска информации. Доступ на некоторые форумы закрыт для незарегистрированных пользователей: это позволяет защитить опубликованную там информацию от правоохранительных органов, исследователей и случайных посетителей.
  4. Назначить ответственных лиц за обслуживание инфраструктуры и регулярное обновление списка дарквеб ресурсов.

Выбрав второй вариант, то есть готовое решение, вы сэкономите свои ресурсы и время.

Не менее важным аспектом дарквеб мониторинга является область мониторинга. Недостаточно просто задать набор данных для мониторинга – важно регулярно обновлять его. В таблице ниже приведены рекомендации по частоте обновления области мониторинга для разных типов данных.

Область мониторинга Рекомендуемый
интервал обновления Комментарий
Полное (официальное) наименование организации и дочерних компаний Ежемесячно, а также в случае реорганизации с изменением наименований Указывайте названия на разных языках (в том числе на английском, на языке страны, в которой зарегистрирована компания, и стран ее присутствия)
Сокращенное наименование организации и дочерних компаний, включая аббревиатуры Ежемесячно, а также в случае реорганизации с изменением наименований Указывайте названия на разных языках (в том числе на английском, на языке страны, в которой зарегистрирована компания, и стран ее присутствия)
Перечень ключевых партнеров и поставщиков, наименования их компаний и основные домены Ежемесячно, а также в случае реорганизации с изменением наименований Указывайте названия на разных языках (в том числе на английском, на языке страны, в которой зарегистрирована компания, и стран ее присутствия)
Перечень доменов и поддоменов организации и дочерних компаний Еженедельно, а также в случае регистрации новых доменов или истечения срока регистрации старых доменов, если они не продлеваются Иногда киберпреступники используют экранирование, чтобы избежать обнаружения. Расширьте область поиска, добавив в список домены с использованием экранирования.

Например: kaspersky[.]com
Перечень диапазонов IP-адресов организации и дочерних компаний Еженедельно, а также в случае регистрации новых диапазонов IP-адресов или удаления старых -
Имена руководителей и представителей компании, взаимодействующих с общественностью Ежемесячно, а также в случае изменения организационной структуры компании -
Ключевые слова, включающие данные о местоположении (страна, регион) и отрасли компании Каждые полгода, а также в случае частых ложноположительных срабатываний Следует учитывать, что ложноположительных срабатываний будет много. Ограничьте количество ключевых слов с учетом ресурсов, которые вы можете выделить на обработку срабатываний
Перечень брендов и продуктов компании Каждые три месяца, а также в случае выпуска новых продуктов или ребрендинга Например: Kaspersky Digital Footprint Intelligence (DFI)

Обнаружение

В идеале на этапе обнаружения должны использоваться автоматические оповещения, когда информация об угрозе была обнаружена в дарквебе или в дампах данных, анализируемых в Threat Intelligence платформе. CTI-аналитик (или другое ответственное лицо) также может выполнять поиск вручную, но в этом случае реагирование на угрозу будет занимать гораздо больше времени.

Перечень основных типов оповещений:

  • В дарквебе упомянуто название компании
  • В дарквебе упомянут домен компании
  • Упоминание в дарквебе корпоративного IP-адреса или диапазона IP-адресов
  • Упоминание в дарквебе профиля похожей компании (действующей в том же регионе и/или отрасли)
  • Домен компании упомянут в базах скомпрометированных учетных данных
  • Упоминание в дарквебе имен или адресов электронной почты сотрудников
  • Упоминание в дарквебе бренда или продукта компании
  • Упоминание в дарквебе партнера или поставщика компании

Анализ

Получив оповещение об упоминании вашей компании в дарквебе, первым делом проверьте его: является ли сообщение реальной угрозой или фейком? Дарквеб – дом киберпреступников, и нет ничего удивительного в том, что иногда они пытаются обмануть своих же «коллег». На этапе анализа CTI-аналитик проводит первоначальное расследование и оценивает риски.

Важно ответить на следующие вопросы: какая информация продается, где она продается, и кто продавец? Чем больше информации вы сможете собрать, тем быстрее и эффективнее сможете отреагировать на угрозу.

Анализ источника

Дарквеб представлен разными источниками информации: форумы, приватные блоги и мессенджеры. Каждая платформа имеет собственные правила, аудиторию и специализацию. На одних форумах процедура регистрации довольно проста, на других зарегистрироваться можно только по ссылке-приглашению от другого пользователя, а есть и форумы только для «избранных». Уровень достоверности информации на таких ресурсах, разумеется, различается. На некоторых форумах действуют строгие правила модерации – сообщения и публикации проверяют администраторы.
Рансомварные блоги – еще один источник данных, как правило, это веб-сайты доступные в Tor, где группировки публикуют информацию о жертвах, взломах и сроках выплаты выкупа. В некоторых случаях вымогатели бесплатно делятся украденными данными в своих публикациях, но чаще всего они продают информацию или пытаются давить на пострадавшую компанию, привлекая внимание публичности. Если название компании появилось в блоге вымогателей, скорее всего, ее действительно взломали. Однако блеф и ошибки исключать не стоит. Например, недавно группа LockBit заявила о компрометации корпоративных систем компании Darktrace, которая, однако, опровергла эту информацию.

Анализ профиля автора

На многих форумах действует рейтинговая система: вы можете узнать сколько сообщений опубликовал пользователь и получить представление о его опыте. Также стоит изучить прошлую активность пользователя: насколько он был активен, были ли у него успешные продажи?

Анализ активности сообщества

Отклик, который автор публикации получает в ответ на свое предложение, ничего не говорит о его достоверности, но иногда может дать больше контекста. Например, участники форумов или чатов могут благодарить пользователя за полезную информацию или, наоборот, упрекать его в публикации недостоверных данных. Некоторые форумы тщательно следят за качеством контента и в случае публикации фейковой информации блокируют ее автора.

Даже если со стороны кажется, что сообщество не проявляет большого интереса к публикации, сделки в дарквебе могут совершаться «за закрытыми дверями». Некоторые киберпреступники предпочитают обсуждать вопросы в личных сообщениях – они прямо указывают на это в публикации и оставляют свои контактные данные. Кроме того, сделки на теневых площадках часто совершаются при посредничестве гарантов. Некоторые форумы даже предлагают своим пользователям встроенные эскроу-сервисы. Подробнее об этом можно прочитать в нашей статье о сделках в дарквебе и механизмах их регуляции.

Проанализировав источник и доступную информацию об авторе, вы можете составить профиль злоумышленника и понять его мотивацию. Какой уровень подготовленности у злоумышленника: это APT-группа или хактивист с базовым набором инструментов и TTP (tactics, techniques and procedures – тактик, методов и процедур)? Угрозы могут существенно различаться по уровню риска и потенциального ущерба, поэтому при получении оповещения об угрозе важно также выполнить оценку рисков. В анализе нуждаются следующие аспекты: время публикации, запрашиваемая цена и тип данных в предложении.

Новизна

Лишь малая часть всех опубликованных в дарквебе данных является действительно новой утечкой данных. Некоторые базы данных несколько лет опубликовываются заново или переходят с одного ресурса на другой.

Цена

Деньги всегда были главным мотиватором для киберпреступников. По цене обычно можно судить о ценности, объеме и критичности данных.

Модель распространения

Модель продаж варьируется от сообщения к сообщению, часто в зависимости от типа продаваемых данных. В киберпреступном мире наиболее популярны три модели: бесплатное распространение, продажа всем желающим и продажа единственному покупателю.

Тип данных

В дарквебе продается огромное количество данных, которые могут использоваться для разных целей. В этой статье мы рассматриваем самые популярные и опасные виды утечек данных.

Проверка

Следующим этапом нужно проверить найденную угрозу. Главная цель – убедиться, что данные действительно были скомпрометированы, и инициировать соответствующую процедуру по реагированию на инцидент.

Утечки данных

Обычно продавцы публикуют небольшой фрагмент данных, чтобы потенциальные покупатели могли оценить их. Известны случаи, когда к продаже предлагались данные, опубликованные в открытом доступе (фейковые утечки), или давно скомпрометированные данные вперемешку с другими сведениями. Для пострадавшей организации проверка доступных образцов данных поможет не только проверить факт утечки, но и определить источник утечки.

Доступ в инфраструктуру

Проверить, скомпрометирован ли доступ к вашей инфраструктуре, довольно просто. Если кто-то продает данные для доступа, значит, доступ он уже получил ранее. В этом случае этап проверки - это, по сути, расследование инцидента.

Скомпрометированные учетные записи

На продажу обычно выставляется комбинация адреса электронной почты и пароля или хеша. Составив список почтовых адресов пострадавших пользователей, вы упростите задачу верификации учетных записей. Подобрать адреса электронной почты часто несложно (обычно в качестве домена берется название компании, а в качестве имени пользователя – имя и (или) фамилия сотрудника), и киберпреступники без труда генерируют их или находят в общедоступных источниках данных. Поэтому вам могут встретиться несуществующие адреса электронной почты, а также адреса бывших сотрудников.
Независимо от того, какие учетные записи были скомпрометированы и какой сейчас статус у их владельцев, – важно идентифицировать все скомпрометированные учетные записи для последующей проверки.
Для кражи учетных данных, которые в итоге попадают в дарквеб, используются стилеры информации. В дарквебе можно найти немало логов стилеров, которые содержат не только учетные данные, но и сведения об источнике – полный URL-адрес ресурса, на котором был аутентифицирован пользователь, а также дату компрометации и метаданные устройства пользователя. Проверьте, нет ли в этих логах данных о корпоративных ресурсах. Если вы обнаружили скомпрометированные учетные данные, которые использовались для корпоративных или внутренних систем, это может говорить о компрометации соответствующего устройства. Не следует ограничиваться списком пользователей; нужно найти и проверить все потенциально пострадавшие хосты.

Прежде чем перейти к следующему этапу расследования инцидента, важно сообщить об инциденте всем заинтересованным лицам: высшему руководству, регулирующим органам (в случае нарушения закона), СМИ и клиентам.

Руководство

Проинформировать об утечке высшее руководство особенно важно. Подробно опишите все аспекты инцидента, а также требуемые и уже предпринятые меры по его нейтрализации.

СМИ

После подтверждения инцидента, уведомления пострадавших лиц (например, клиентов) и принятия необходимых мер по снижению рисков, связанных с утечкой данных, нужно вместе с юристами и PR-отделом подготовить сообщение для СМИ.

Регулирующие органы

В большинстве случаев, согласно законодательству, компания должна сообщить об обнаруженном инциденте регулирующим органам.

Клиенты

В некоторых случаях о компрометации учетных записей следует уведомить клиентов. В уведомлении нужно предупредить их о необходимости принятия срочных мер для защиты, например о смене пароля для учетной записи или настройке многофакторной аутентификации.

Сдерживание

При расследования инцидента важно проанализировать все затронутые информационные системы и пользователей.

Первый важный вопрос: как произошла утечка данных? Второй: остался ли у злоумышленников доступ к скомпрометированной системе?

Утечки данных

Отсутствие сведений об источнике утечки существенно усложняет работу технических экспертов. Поэтому очень важно провести первичный анализ на ранних этапах расследования. Идентифицировав системы, из которых были извлечены данные, вы сможете быстро идентифицировать и вектор атаки.

Чаще всего злоумышленники придерживаются двух типовых сценариев атаки, которые отличаются подходами к компрометации данных.

В первом сценарии преступники взламывают веб-приложение или веб-сайт и получают доступ к базе данных. Чаще всего причиной утечки становятся устаревшее программное обеспечение, неисправленные уязвимости и слабые пароли для доступа к панели администрирования. В большинстве случаев для предотвращения повторных инцидентов достаточно проанализировать журналы атакованного веб-сервера и незамедлительно принять меры для устранения уязвимости.

Во втором случае конфиденциальные данные попадают в чужие руки в результате компрометации внутренней инфраструктуры. Эксфильтрация данных может быть основной целью преступников или сопутствующим ущербом, когда утечка данных является лишь верхушкой айсберга.

Доступ в инфраструктуру

Возможности расследования существенно различаются в зависимости от имеющейся информации. Если вы на 99% уверены, что доступ продается к вашей системе и что публикация содержит данные о вашей компании (например, в сообщении указано название компании, ваш SOC обнаружил соответствующую вредоносную активность), разумным шагом будет анализ журналов событий. Например, если у вас есть шлюз удаленных рабочих столов, проанализируйте соответствующие журналы событий, найдите подозрительную учетную запись и закройте доступ. В некоторых случаях компания может посчитать такую реакцию излишней. Конечно, не исключено, что вы потратите ресурсы и время на поиски несуществующей угрозы, но, если угроза все же реальна, оперативное реагирование позволит предотвратить атаку.

Скомпрометированные учетные записи

С точки зрения расследования инцидента можно выделить две категории скомпрометированных учетных записей.

  1. Учетные записи, найденные в публичных утечках или скомпрометированные на личных устройствах пользователей.
  2. Учетные записи, скомпрометированные на корпоративных устройствах.

В обоих случаях важно проверить достоверность учетной записи. Если учетная запись активна, проанализируйте затронутые информационные системы и поведение пользователей на предмет подозрительных событий.

Если кто-то использовал корпоративный адрес электронной почты в личных целях и утечка произошла со стороннего ресурса, следует обратить внимание на соблюдение сотрудниками политик безопасности ИБ.

Если учетная запись была скомпрометирована непосредственно в корпоративной инфраструктуре, например с помощью стилера, корпоративное устройство может быть заражено, что требует дальнейшего расследования. Кроме того, скомпрометированный аккаунт может являться доменной учетной записью, а значит, в руки преступников попала критически важная информация для доступа в инфраструктуру.

«Возраст» учетной записи важен, но аккаунты, скомпрометированные относительно давно, заслуживают не меньшего внимания, чем новые. Возможно, их владелец никогда не менял пароль или использовал его для доступа к нескольким учетных записям. К тому же, если данные были скомпрометированы с помощью стилера, устройство все еще может быть заражено, поэтому злоумышленник может получить актуальные пароли, даже если пользователь их сменил. Поэтому важно использовать надежное решение для защиты рабочих мест. Оно позволит нейтрализовать все угрозы, какой бы вектор атаки ни выбрали злоумышленники.

Штатные специалисты не всегда могут самостоятельно провести полноценное расследование инцидента – это трудоемкий процесс, требующий не только большого количества ресурсов, но и соответствующих компетенций и опыта. В этом случае рекомендуется обратиться за помощью к квалифицированным отраслевым экспертам.

Удаление и восстановление

Выбор мер на этапе удаления и восстановления зависит от типа угрозы. Необходимо выяснить первопричину инцидента и восстановить работоспособность пострадавших устройств. Ниже перечислены возможные меры по восстановлению штатного функционирования систем.

Доступ в инфраструктуру

  • Ограничить удаленный доступ к скомпрометированным системам.
  • Заблокировать скомпрометированные учетные записи.
  • Исключить присутствие злоумышленника в инфраструктуре.

Утечки данных

  • Устранить все уязвимости.
  • Сменить пароли от скомпрометированных учетных записей и систем.
  • Исключить присутствие злоумышленника в инфраструктуре.

Скомпрометированные учетные записи

  • Сменить пароли от скомпрометированных учетных записей.
  • Уведомить потенциально пострадавших сотрудников, также рекомендовать им сменить скомпрометированные пароли на сторонних ресурсах.
  • Проверить, не связаны ли скомпрометированные учетные записи с подозрительной активностью.
  • Установить строгие требования к использованию паролей и контролировать их соблюдение.
  • Выполнить полную проверку скомпрометированных корпоративных устройств на наличие вирусов с помощью решения для защиты рабочих мест.

Нужно ли платить выкуп?

Требование выкупа – еще один щепетильный вопрос. Нужно ли платить вымогателям, чтобы спасти свои данные? Мы рекомендуем не платить киберпреступникам.

Исследование показало: уплата выкупа вовсе не гарантирует, что вы сможете вернуть файлы. Фактом является то, что 20% заплативших пользователей так и не получили ключ для расшифровки своих файлов. К сожалению, компаниям уготована та же участь: нет никакой гарантии, что вымогатели вернут ваши данные. Вряд ли преступники, заразившие ваши устройства вредоносным ПО и укравшие ваши данные, начнут вести себя порядочно, получив деньги. К тому же выплата выкупа – это дополнительный стимул к продолжению преступной активности: вымогатели будут создавать еще больше вредоносных программ, усложняя жизнь всем.

Коммуникация

После расследования и реагирования следует подумать, как сообщить информацию об инциденте клиентам и СМИ.


Своевременно узнав об инциденте, клиенты пострадавшей компании смогут оперативно сменить пароль и включить многофакторную аутентификацию, чтобы защитить свои учетные записи и предотвратить последующую компрометацию. Стоит отметить, что в некоторых случаях на скомпрометированные устройства все же следует установить антивирус – возможно, на них еще остались вредоносные программы, готовые украсть и новые пароли.

Нередко компании, желая избежать штрафов и нелестных заголовков, предпочитают молчать об инциденте. Повышенное внимание регуляторов и более жесткие меры ответственности ежегодно приводят ко все более крупным финансовым потерям. Так, в 2022 году в результате утечки данных компания Didi Global вынуждена была заплатить самый большой на сегодняшний день штраф – 1,2 млрд долларов США . Но для небольших компаний даже гораздо меньшие штрафы могут сильно ударить по бюджету. Вместе с тем СМИ пристально следят за киберинцидентами и с готовностью освещают их.

Никому не хочется подвергать свой бизнес финансовым, юридическим и репутационным рискам, но все же будет лучше, если публичность узнает об инциденте от вас, нежели от кого-то другого. Своевременно сообщив о случившемся, вы продемонстрируете свое серьезное отношение к проблеме и заинтересованность в безопасности контрагентов.

Нужно ли сообщать об утечке клиентам?

Мы уверены, что в случае утечки данных важно сообщить об этом всем заинтересованным лицам, в том числе клиентам, партнерам и регулирующим органам.

Мы не нашли упоминаний нашей компании в дарквебе. Наш бизнес в безопасности?

Простой ответ – нет. Как показывает статистика, почти каждая третья компания сталкивается с угрозой со стороны дарквеба. Даже если вам не удается найти прямых упоминаний вашей компании, возможно, угроза уже поджидает вас где-то в скрытых уголках дарквеба. Например, ваши данные могут быть выставлены на продажу без указания на ваш бренд или компания может упоминаться в скомпрометированных данных контрагентов или учетных записях сотрудников.

Ежедневный мониторинг угроз – далеко не самая простая задача, но велика вероятность того, что конфиденциальные данные вашей компании уже попали в дарквеб. С этой точки зрения Threat Intelligence стал необходимым в современном мире, чтобы отслеживать утечки в режиме реального времени. В итоге мониторинг дарквеб ресурсов станет ценным источником обнаружения угроз.

Мониторинг дарквеба стоит рассматривать как часть корпоративной стратегии информационной безопасности, которая позволит подготовиться к возможным инцидентам. Разработайте процедуру непрерывного мониторинга и поручите эту задачу вашему SOC или многофункциональной команде. Мы подготовили для вас плейбук реагирования на инциденты, связанные с дарквеб угрозами, с подробным описанием процедур, адаптированных для SOC.

Скачать Плейбук

Гайдлайн реагирования на инциденты

Приводим шаги по эффективному реагированию на три основные угрозы в дарквебе: утечки данных, продажи удаленного доступа в инфраструктуру и скомпрометированных учетных записей.

Дисклеймер:

Компаниям следует консультироваться с юридическими экспертами и соблюдать местное законодательство, чтобы гарантировать законность и этичность своих действий по мониторингу дарквеба. Кроме того, компании должны придерживаться прозрачных и этичных практик в области кибербезопасности и защиты данных. Если у вас возникнут трудности на любом этапе, обращайтесь к экспертам по угрозам дарквеба и реагированию на инциденты. Вы можете продолжать двигаться по рекомендованным шагам, но их помощь позволит эффективнее справиться с угрозой.

Вы нашли упоминание вашей компании в дарквебе?

1

Можете ли вы определить источник?

Инструкция:

1) Проработайте разные подходы для получения доступа к ресурсам дарквеба:

  • Разверните инфраструктуру для доступа к различным ресурсам дарквеба без раскрытия своего местоположения (например, VPN).
  • Если какие-то ресурсы требуют регистрации, желательно создавать под них специальные учетные записи. Для доступа к некоторым источникам могут потребоваться специальные программы, например браузер Tor или конкретный мессенджер.

2) Найдите все публикации с упоминанием вашей компании:

  • Если есть много постов с одинаковым содержанием, то в первую очередь следует проанализировать пост с первым упоминанием.
  • В распоряжении киберпреступников есть множество ресурсов для рекламы предложения. Другие участники сообщества могут делиться исходным сообщением. Рекомендуется также составить список всех публикаций с упоминанием компании для проведения углубленного анализа.

Можете ли вы создать профиль злоумышленника?

Инструкция:

1) Оцените уровень опыта злоумышленника (автора поста в дарквебе):

  • Рейтинг. Посмотрите на дату регистрации или рейтинг на форуме (это новый или опытный пользователь?).
  • Предыдущая активность. Найдите предыдущие сообщения и посты автора.
  • Присутствие на других форумах. Поищите пользователей с таким же ником на других форумах и ресурсах дарквеба.
  • Репутация в сообществе. Изучите отзывы других участников с благодарностью или жалобами в отношении данного пользователя.

2) Проанализируйте ветки обсуждений, в которых обычно участвует пользователь. Относится ли сообщение или пост к его/ее основной сфере интересов?

3) Найдите упоминания об «успешных сделках» злоумышленника:

  • Можно ли узнать, чем завершились предыдущие предложения злоумышленника? Попытайтесь найти признаки успешных сделок пользователя.
  • Как восприняли эти предложения в сообществе? Изучите реакции и комментарии других участников форума.
2
3

Можете ли вы оценить риск, связанный с публикацией

Инструкция:

1) Проверьте дату предложения. Как давно оно доступно в дарквебе? Это новое предложение или старое?

2) Проверьте новизну. Иногда киберпреступники повторно публикуют старые утечки, выдавая их за новые. Проверьте, есть ли совпадения по темам со старыми постами и сообщениями.

3) Проверьте содержание утекших данных. Проанализируйте стоимость, ценность и объем скомпрометированных данных, предлагаемый формат и т. д.

4) Ознакомьтесь с условиями сделки. Предложение платное или бесплатное? Продается только одному покупателю или всем желающим?

Определите тип угрозы

?
4

Можете ли вы подтвердить утечку данных?

Инструкция:

1) Проверьте предоставленные злоумышленником образцы данных, чтобы убедиться в их подлинности и ценности. Образцы данных могут быть опубликованы в самом объявлении или – по запросу – в комментариях.

Перед открытием файлов из дарквеба обязательно просканируйте их антивирусом. Также для дополнительной безопасности рекомендуется запускать их в изолированной среде.

2) Проанализируйте всю доступную информацию: источник утечки, дату компрометации, формат данных и другие доказательства подлинности данных.

3) Сравните информацию из объявления с имеющимися у вас реальными данными. Ваша компания работает с таким типом данных? Есть ли в вашей компании система/служба, работающая с этой информацией?

Можете ли вы оценить масштаб утечки?

Инструкция:

1) Определите начальную точку доступа, через которую была скомпрометирована система. Злоумышленник проник в базу данных, связанную с веб-сайтом, или во внутреннюю систему управления базами данных с полной информацией о сотрудниках и операциях компании?

2) Тщательно проверьте систему, которая могла быть скомпрометирована. Проанализируйте доступные файлы журналов, чтобы восстановить цепочку атаки и убедиться, что другие системы не пострадали.

3) При необходимости проведите более обширный анализ.

4) Определите объем данных, которые могли быть скомпрометированы. Возможно, автор продает лишь малую часть добытых данных.

5
6

Вы уже устранили последствия утечки?

Инструкция:

1) Уведомите руководство компании и все заинтересованные стороны, включая клиентов, партнеров и регулирующие органы.

2) Обратитесь в правоохранительные органы в соответствии с местными законодательными требованиями по части уведомления об инцидентах ИБ, особенно если утечка привела к раскрытию данных клиентов.

3) В зависимости от начального вектора атаки устраните причину утечки, чтобы предотвратить подобные атаки в будущем.

  • Устраните все найденные уязвимости.
  • Отключите учетные записи, если злоумышленник получил доступ посредством действующих учетных данных.
  • Убедитесь, что установлены все последние обновления.

3) Если требуется криминалистический анализ, изолируйте систему с утекшими данными.

Выполнили ли вы этапы устранения последствий и анализа полученного опыта?

Инструкция:

1) Проведите анализ первопричин. Убедитесь, что вы применили все возможные методы, чтобы исключить повторение инцидента.

2) Проанализируйте, актуальна ли ваша текущая модель угроз. Проверьте существующие процедуры и политики, а также их соответствие требованиям безопасности.

3) Оцените текущие меры предотвращения, включая системы обнаружения вторжений и антивирусные решения.

4) Просмотрите события доступа и права пользователей.

5) Устраните уязвимости.

6) Измените пароли от затронутых учетных записей и систем, а также установите строгую парольную политику.

7) Отслеживайте сетевой трафик, чтобы обнаружить повторные попытки соединения со стороны злоумышленника.

8) Продолжайте отслеживать дарквеб на предмет повторных публикаций утечки на различных форумах.

9) Внедрите программу повышения информационной безопасности для сотрудников: проводите регулярные тренинги и поддерживайте их осведомленность.

7
4

Можете ли вы проверить, что продаваемый доступ относится к вашей компании?

Инструкция:

1) Проанализируйте всю доступную информацию в сообщении. Проверьте геолокацию, годовой доход и упоминаемые системы, чтобы выявить совпадения. Удостоверьтесь, что пост касается вашей компании.

2) Проанализируйте тип продаваемого доступа и поищите совпадения с используемыми программами и подрядчиками.

Можете ли вы определить скомпрометированную систему?

Инструкция:

1) Проанализируйте файлы журналов: ищите признаки несанкционированного доступа к системе.

2) Убедитесь, что злоумышленник не затронул другие системы. При необходимости проведите более обширный анализ.

3) Если вы не нашли доказательств несанкционированного доступа, но уверены, что речь идет именно о вашей компании, расследуйте вероятность инсайдерской деятельности.

5
6

Вы отключили удаленный доступ?

Инструкция:

1) Уведомите сотрудников, ответственных за систему, которая могла быть скомпрометирована.

2) Исключите возможность повторного несанкционированного доступа к инфраструктуре. В зависимости от выявленного начального вектора доступа выполните следующие действия:

  • Устраните все найденные уязвимости
  • Отключите учетные записи, если злоумышленник получил доступ посредством известных учетных данных
  • Убедитесь, что установлены все последние обновления

Расследовали ли вы действия, совершенные через удаленный доступ?

Инструкция:

Проанализируйте доступные файлы журналов и проверьте активность учетной записи. Удалось ли пользователю добраться к корпоративным ресурсам? Была ли у пользователя возможность копировать, удалять или скачивать информацию?

7
8

Выполнили ли вы этапы устранения последствий и анализа полученного опыта?

Инструкция:

1) Проведите анализ первопричин. Убедитесь, что вы применили все возможные методы, чтобы исключить повторение инцидента.

2) Проанализируйте, актуальна ли ваша текущая модель угроз. Проверьте существующие процедуры и политики, а также их соответствие требованиям безопасности.

3) Оцените текущие меры предотвращения, включая системы обнаружения вторжений и антивирусные решения.

4) Просмотрите события доступа и права пользователей.

5) Устраните уязвимости.

6) Измените пароли от затронутых учетных записей и систем, а также установите строгую парольную политику.

7) Отслеживайте сетевой трафик, чтобы обнаружить повторные попытки соединения со стороны злоумышленника.

8) Продолжайте отслеживать дарквеб на предмет повторных публикаций утечки на различных форумах.

9) Внедрите программу повышения информационной безопасности для сотрудников: проводите регулярные тренинги и поддерживайте их осведомленность.

4

Можете ли вы определить, какие учетные записи были скомпрометированы и выставлены на продажу в дарквебе?

Инструкция:

1) Создайте список всех скомпрометированных адресов электронной почты и классифицируйте их так, как описано ниже:

  • Если с учетной записью связан адрес электронной почты в корпоративном домене, пометьте ее как «Учетная запись сотрудника».
  • Если с учетной записью связан адрес электронной почты в стороннем домене, пометьте ее как «Пользователь корпоративных ресурсов». Это может быть учетная запись партнера, клиента или подрядчика.
  • Если учетная запись использует вход без адреса электронной почты, удостоверьтесь, что это не учетная запись пользователя домена, администратора или службы. Такую учетную запись пометьте как «Доменная или служебная учетная запись».
  • Другие учетные записи можно считать учетными записями партнеров/клиентов.

2) Убедитесь, что такие имена пользователей действительно существуют и не были подобраны методом перебора. Если вам известен URL-адрес или ресурс, на котором пользователь прошел аутентификацию, запросите у владельца ресурса подтверждение существования адреса электронной почты или логина.

Классификация учетных записей по типу и приоритету поможет оптимизировать процесс проверки.

Можете ли вы подтвердить компрометацию учетной записи?

Инструкция:

1) Проверьте достоверность паролей для корпоративных/доменных/служебных учетных записей. Важно проверять не только новые, но и старые пароли, поскольку компрометация могла произойти довольно давно.

2) Так как обычно невозможно проверить достоверность учетных записей пользователей, нужно исходить из того, что они действительны.

3) Приоритизируйте учетные записи для дальнейшего расследования. Если вы встретите действующую учетную запись, немедленно примите меры по ее отключению.

5
6

Учетная запись все еще действительна?

Если да:

1) Измените пароли у скомпрометированных учетных записей и уведомите их владельцев. Если скомпрометированная учетная запись принадлежит сотруднику, попросите его сменить пароль или воспользуйтесь системой управления идентификацией и доступом, чтобы сменить пароль принудительно.

2) Подумайте, не стоит ли отключить скомпрометированные учетные записи, пока пароль не будет изменен.

3) Порекомендуйте владельцам учетных записей изменить пароли на других ваших или сторонних ресурсах, в случае если они используют одни и те же пароли для различных сервисов.

Вы расследовали компрометацию учетной записи?

Инструкция:

Используя имеющуюся информацию, попытайтесь определить источник взлома.

Если произошла утечка из базы данных:

  • Проверьте связанные учетные записи на наличие подозрительной активности. Если есть признаки такой активности, расследуйте их.

Если утечка связана с заражением вредоносным ПО или стилером учетных данных:

  • Выполните полное антивирусное сканирование затронутых личных и корпоративных мобильных устройств и компьютеров с помощью решения для защиты рабочих мест.
  • Проверьте эти учетные записи на наличие подозрительной активности. Если есть признаки такой активности, расследуйте их.
7
8

Выполнили ли вы этапы устранения последствий и анализа полученного опыта?

Инструкция:

1) Проведите анализ первопричин. Убедитесь, что вы применили все возможные методы, чтобы исключить повторение инцидента.

2) Проанализируйте, актуальна ли ваша текущая модель угроз. Проверьте существующие процедуры и политики, а также их соответствие требованиям безопасности.

3) Оцените текущие меры предотвращения, включая системы обнаружения вторжений и антивирусные решения.

4) Просмотрите события доступа и права пользователей.

5) Устраните уязвимости.

6) Измените пароли от затронутых учетных записей и систем, а также установите строгую парольную политику.

7) Отслеживайте сетевой трафик, чтобы обнаружить повторные попытки соединения со стороны злоумышленника.

8) Продолжайте отслеживать дарквеб на предмет повторных публикаций утечки на различных форумах.

9) Внедрите программу повышения информационной безопасности для сотрудников: проводите регулярные тренинги и поддерживайте их осведомленность.

Пройти заново
1

Без регулярного мониторинга дарквеба обсуждения киберпреступников, связанные с вашей компанией, могут остаться незамеченными. В этом случае первым делом следует настроить мониторинг дарквеба на постоянной основе.

  • Обнаружение утечек данных: Обычно киберпреступники упоминают официальное или сокращенное название компании, аббревиатуру и доменное имя.

Отслеживайте упоминания названий компании и основных доменов.

  • Обнаружение продажи доступа в инфраструктуру: Киберпреступники стараются не упоминать в своем предложении затронутую компанию напрямую, чтобы не потерять доступ. Чаще они упоминают такие атрибуты компании, как географическое положение, отрасль, размер и годовой доход.

Отслеживайте предложения с продажей доступа по геолокации и отрасли компании.

  • Обнаружение скомпрометированных учетных записей

Отслеживайте утечки учетных записей при помощи поиска упоминаний корпоративных доменов электронной почты или корпоративных ресурсов.

Плейбук реагирования на инциденты: Утечки данных в дарквебе

Скачайте плейбук реагирования на инциденты ИБ, адаптированный для SOC. Создайте новый или скорректируйте готовый плейбук для интеграции процесса реагирования на Дарквеб угрозы в свой портфель процессов SOC. Заранее обучите свою команду действиям в случае инцидента, связанного с Дарквебом. Добавьте эти сценарии в программу Tabletop Exercise треннингов.