DRP не прихоть, а необходимость
По мнению участников онлайн-конференции "Мониторинг дарквеба и защита репутации в интернете", такой существенный рост востребованности сервисов по защите от цифровых рисков (DRP, от digital risk protection) обусловлен увеличением количества атак, причем в самом широком смысле этого слова. При этом сервисы DRP позволяют выявить угрозу еще до того, когда злоумышленники нанесли ущерб, например, обнаружить скомпрометированные активы или учетные записи. Для решения данной задачи поставщикам таких сервисов приходится вести мониторинг различных ресурсов, включая разного рода форумы, группы в социальных сетях и каналы в мессенджерах, прежде всего Telegram.
Плюс ко всему, такие сервисы позволяют купировать далеко не только кибератаки, но и другие инциденты, которые могут нанести всяческого рода ущерб, в том числе прямой. К примеру, как отметил эксперт центра аналитики внешних цифровых рисков Solar AURA "РТК-Солар" Александр Вураско, очень часто компании подвергались атакам информационным. Руководитель отдела мониторинга цифровых угроз "Лаборатории Касперского" Юлия Новикова обратила внимание, что очень часто ее сотрудникам приходится выявлять разного рода мошенничества, обычно связанные с бонусными программами в рознице или милями в авиакомпаниях. Директор по развитию бизнеса DRP F.A.C.C.T. Станислав Гончаров включил в перечень угроз также весь спектр атак на бренд, включая попытки продаж контрафактной продукции. В итоге, по общему мнению участников дискуссии, поставщикам DRP-сервисов приходится взаимодействовать не только с ИБ-подразделением, но и с другими службами: поддержания общей и экономической безопасности, маркетинга и связи с общественностью.
При этом самостоятельный мониторинг угроз силами ИБ-подразделений далеко не всегда возможен, поскольку требует специфичных навыков и подготовленного персонала. Кроме того, как отметил руководитель отдела анализа и оценки цифровых угроз Infosecurity (часть ГК Softline) Константин Мельников, компании часто просто не имеют полной информации обо всех информационных активах. И если такие активы оказались скомпрометированы, то меры приняты не будут. Также, по мнению Александра Вураско, злоумышленники используют весь массив цифровых следов, которые оставляют организации. Причем очень часто их сотрудники используют для выполнения рабочих задач плохо защищенные личные устройства или корпоративные адреса электронной почты для регистрации на сторонних ресурсах. Юлия Новикова обратила внимание, что очень часто инциденты, связанные с деятельностью внешних злоумышленников, остаются незаметными для ИТ- и ИБ-служб.
Станислав Гончаров назвал основной угрозой действие троянцев-инфостилеров, которые похищают большие массивы данных из компаний. Поэтому значительный объем работы у поставщиков услуг DRP - выявление компрометаций, связанных с использованием инфостилеров и фактов продажи данной информации. Юлия Новикова назвала одной из задач, которая стоит перед поставщиками DRP, - мониторинг активности разработчиков вредоносного ПО.
Кроме того, задача мониторинга профильных ресурсов крайне трудоемка. Как отметил Александр Вураско, источники данных об утечках имеют высокую динамику (проще говоря, они часто "переезжают"). Юлия Новикова обратила внимание, что необходимо мониторить довольно широкий спектр информации, включая данные об утечках, продаже прав доступа, об активности разного рода инсайдеров, возможные планы киберпреступников или хактивистов, причем на непубличных ресурсах. На это уходит очень много сил и времени. В итоге существенное покрытие может обеспечить только многочисленное подразделение, что может позволить себе далеко не всякий заказчик. При этом, как подчеркнул Станислав Гончаров, время жизни информации может быть довольно коротким, и люди могут нужную информацию пропустить, тогда как DRP-сервис ее зафиксирует.
Но при этом, по мнению Константина Мельникова, использование DRP не требует от заказчика высокого уровня зрелости, в отличие, например, от киберразведки (Threat Intelligence). Как подчеркнул Александр Вураско, за пять лет аудитория DRP многократно выросла. Если раньше аудитория таких сервисов ограничивалась только государственными и крупнейшими корпоративными заказчиками, то в 2023 году ими пользуются практически все, у кого весомая доля бизнеса происходит в онлайне. Особо он отметил такие отрасли, как промышленность, розничная торговля и финансовый сектор. По общему мнению участников дискуссии, рост этот будет продолжаться еще как минимум два года. Этому, как особо отметил Станислав Гончаров, способствует то, что каждое внедрение DRP приводит к осязаемому результату, причем довольно быстро.
https://www.comnews.ru/content/222098/2022-09-09/2022-w36/kiberrazvedka…
