|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
232 Активные сенсоры |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
Справочные материалы |
||||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
1.Правила Snort. https://www.snort.org/rules_explanation.
2.Введение в индикаторы компрометации. http://openioc.org/resources/An_Introduction_to_OpenIOC.pdf.
3.IoC Editor. https://www.fireeye.com/content/dam/fireeye-www/services/freeware/ sdl-ioc-editor.zip.
4.DUQU использует STUXNET-подобные методы для кражи информации. https://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/90/duqu- uses-stuxnetlike-techniques-to-conduct-information-theft.
5.Как выбрать систему предотвращения вторжений.https://www.icsalabs.com/ sites/default/files/HowToSelectANetworkIPS.pdf.
6.Как распознать нарушения безопасности на раннем этапе, анализируя по-
ведение. https://www.gartner.com/smarterwithgartner/detect-security-breaches- early-by-analyzing-behavior/.
7.Advanced Threat Analytics attack simulation playbook. https://gallery.technet. microsoft.com/ATA-Playbook-ef0a8e38.
8.Вы и IaaS – Истории успеха первых последователей. https://www.oracle.com/ assets/pulse-survey-mini-report-3764078.pdf.
Резюме
Вэтойглавевыузналиоразличныхтипахмеханизмовобнаруженияипреиму- ществахихиспользованиядляулучшениявашейстратегиизащиты.Выузнали
опризнакахкомпрометациииотом,какзапрашиватьтекущиеугрозы.Вытак- жеузналиоСОВ,принципахееработы,различныхтипахэтойсистемыиотом, где лучше всего установить ее, основываясь на вашей сети. Далее вы узнали
опреимуществах использования СПВ и о том, как работает обнаружение на основе правил и аномалий. Стратегия защиты была бы не полной без хоро- шейповеденческойаналитики,ивэтомразделевыузнали,какСиняякоманда может использовать эту возможность. В качестве локального примера данной реализации мы использовали Microsoft ATA, а Центр безопасности Azure был использован в качестве гибридного решения для поведенческого анализа.
Вследующей главе мы продолжим говорить о стратегиях защиты. На этот раз вы подробнее узнаете о киберразведке и о том, как Синяя команда может
использовать ее для повышения общей безопасности систем защиты.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава 12 |
|||
|
|
|
|
-xcha |
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Киберразведка
К настоящему времени вы прошли различные этапы на пути к более совер- шенной модели защиты. В предыдущей главе вы узнали о важности хоро- шей системы обнаружения, и теперь пришло время перейти на следующий уровень. Использование киберразведки для лучшего понимания противника и получения информации о текущих угрозах является ценным инструментом для Синей команды. Хотя киберразведка – относительно новая область, ее ис- пользованиедля изучениядействий противника является старой концепцией. Привнесение киберразведки в область кибербезопасности было естественным переходом, главным образом потому, что в настоящее время масштабы угроз велики,а противники могутбытьсамыми разными: отспонсируемых государ- ством субъектов до киберпреступников, вымогающих деньги у своих жертв.
В этой главе мы рассмотрим следующие темы:введение в киберразведку;
инструментальные средства киберразведки с открытым исходным ко- дом;
средства киберразведки компании Microsoft;
использование киберразведки для расследования подозрительной дея- тельности.
Введение в киберразведку
В предыдущей главе было ясно, что наличие надежной системы обнаружения крайне важно для обеспечения безопасности вашей организации. Однако эту систему можно улучшить, если уменьшить количество ложных срабатываний и помех. Одна из основных проблем, с которыми вы сталкиваетесь, при нали- чии большого количества предупреждений и файлов журналов для просмотра, состоитвтом,чтовывыбираетеслучайныеприоритеты,авнекоторыхслучаях даже игнорируете будущие предупреждения, потому что считаете, что их не стоит рассматривать.
Согласно отчету компании Microsoft Lean on the Machine, среднестатистиче- ской крупной организации приходится просматривать 17 000 предупрежде-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
234 |
Киберразведка |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
ний о вредоносных программах каждую неделю,а в среднемтребуется 99дней |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
на обнаружение нарушения безопасности. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Сортировка оповещений обычно происходит на уровне центра управле- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
ния сетью,и задержки при сортировке могутпривести к эффекту домино,по- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
тому что если на этом уровне происходит сбой, операция также завершится |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
неудачей, и в этом случае она будет выполняться группой реагирования на |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
компьютерные инциденты. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Давайте сделаем шаг назад и подумаем об угрозе за пределами киберпро- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
странства. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Как, по вашему мнению, Министерство внутренней безопасности США со- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
вершенствует процесс борьбы с угрозами безопасности границ? |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
У него есть Управление разведки и анализа, которое использует развед- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
данные для укрепления безопасности границ. Это достигается за счет обмена |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
информацией между различными учреждениями и предоставления прогноз- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ных сведенийлицам,принимающим решения на всех уровнях.Теперьисполь- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
зуйте то же самое объяснение по отношению к киберразведке, и вы поймете, |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
насколько она эффективна и важна. Это показывает, что вы можете улучшить |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
процесс обнаружения,узнав больше о своих противниках,их мотивации и ме- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
тодах, которые они используют. Использование киберразведки в отношении |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
собираемых вами данных может принести более значимые результаты и вы- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
явить действия, которые невозможно обнаружить с помощью традиционных |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
сенсоров. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Важно отметить, что профиль злоумышленника будет напрямую связан |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
с его мотивацией. Вот несколько примеров: |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
киберпреступник – основной мотивацией является получение финан- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
совых результатов; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
хактивист–у этой группы более широкий спектр мотивации (он может |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
варьироваться от выражения политических пристрастий до выражения |
|
|
|
|
|
|
|
|||||
по какой-либо конкретной причине);
кибершпионаж (поддерживаемый на государственном уровне) –
хотя вы и можете сталкиваться с кибершпионажем, не имеющим госу- дарственной поддержки (обычно в частном секторе),число таких случа- еврастет,потомучтоониявляютсячастьюболеекрупныхспонсируемых государством кампаний.
Теперь возникает вопрос: какой профиль атаки наиболее вероятен для ва- шей организации? Бывает по-разному. Если ваша организация спонсирует определенную политическую партию, а эта партия делает что-то, против чего категорически выступает хактивистская группа, вы можете стать мишенью. Если вы идентифицируете себя как мишень для атаки, возникает следующий вопрос: какие имеющиеся у меня ресурсы с наибольшей долей вероятности привлекают эту группу? Опять же по-разному. Если вы являетесь финансовой группой, киберпреступники будут вашей главной угрозой. Обычно им нужна информация о кредитных картах, финансовые данные и т.д.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
|
|
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
Введение в киберразведку 235to |
BUY |
|
|
||||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
w Click |
|
|
|
|
|
|
|
|
m |
|
|
|
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Еще одним преимуществом использования киберразведки как части вашей |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
системызащитыявляетсявозможностьизученияданныхоконкретныхкатего- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
рияхпротивников.Например,есливыотвечаетезазащитуфинансовогоучреж- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
дения, вам нужно получить информацию об угрозах, исходящих от злоумыш- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
ленников, которые активно атакуют эту отрасль. Если вы начинаете получать |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
предупреждения, связанные с атаками, которые происходят в учебных заведе- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
ниях, это не особо помогает. Знание типа ресурсов, которые вы пытаетесь за- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
щитить,можеттакжепомочьсузитькругсубъектов угроз,окоторыхвыдолжны |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
больше беспокоиться,а киберразведка можетдать вам эту информацию |
. |
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
Давайте используем в качестве примера программу-вымогатель WannaCry. |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
Ее массовое распространение произошло в пятницу 12 мая 2017 г. В то время |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
единственным доступным индикатором компрометации были хеши и имена |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
файлов образца вируса. Тем не менее еще до момента появления WannaCry |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
уже был доступен эксплойт EternalBlue, а, как вы знаете, WannaCry использо- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
вал этот эксплойт. EternalBlue эксплуатировал уязвимости в протоколе Server |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
MessageBlock(SMB)v1(CVE-2017-0143)компании«Microsoft».Microsoftвыпус |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
тила исправление для этой уязвимости 14 марта 2017 г. (почти за два месяца |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
до распространения WannaCry). Вы следите за ходом мысли? Что ж, давайте |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
контекстуализируем это на рис. 12.1. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
КИБЕРРАЗВЕДКА |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Март 2017 |
Май 2017 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Субъекты угрозы |
Выпущено |
Синяя команда получает |
Массовое |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
обновление |
информацию об опасности |
распространение |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
MS17-010 |
Eternal Blue и важности патча |
WannaCry |
|
|
|
|
|
|
|
|
|
|
|
|
Синяя команда
Эксплойт
External Blue
Противники и мотивация
Рис.12.1
Обратите внимание, что киберразведка получает соответствующую ин- формацию об этой угрозе на ранних стадиях, даже когда эксплойт EternalBlue (первоначально обнаруженныйАНБ) просочился в сеть (апрель 2017 г.) «благо- даря» хакерской группе, называющей себя The Shadow Brokers. Члены этой
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
236 Киберразведка |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
группы не были новичками, а это означает, что была информация, связанная |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
с работой,которую ониделали в прошлом,и их прежними мотивами.Примите все это во внимание,чтобы предсказать,каким будетследующеедвижение ва- шего противника. Располагая этой информацией и зная, как работает Eternal- Blue,теперь остается лишь ждать, пока поставщик (в данном случае Microsoft) выпустит исправление, что и произошло в марте 2017 г. На данный момент у Синей команды достаточно информации для определения важности этого патча для бизнеса, который они пытаются защитить.
Многие организации не до конца осознали влияние этой проблемы и вмес то исправлений просто отключили доступ по SMB-протоколу из интернета. Хотя это был приемлемый обходной путь, он не устранил основную причину проблемы. В результате в июне 2017 г. произошло массовое распространение ещеодноговируса-вымогателя.НаэтотразэтобылPetya.Этотвирусиспользо- вал EternalBlue для дальнейшего распространения по сети. Другими словами, скомпрометироваводинкомпьютервовнутреннейсети(видите,вашеправило брандмауэрабольшенеимеетзначения),онсобиралсяэксплуатироватьуязви- мостидругихсистем,гденебылоустановленоисправлениеMS17-010.Каквид- но,здесьсуществуетопределенный уровеньпредсказуемости,поскольку часть действий Petya была успешно реализована после использования эксплойта, подобного тому, что использовался предыдущей программой-вымогателем.
Выводизвсегоэтогопрост:знаясвоихпротивников,высможетепринимать болееэффективныерешениядлязащитысвоихресурсов.Приэтомтакжеспра- ведливо отметить, что нельзя рассматривать киберразведку как инструмент IT-безопасности, ведь она выходит за рамки этого. Вы должны рассматривать киберразведку как инструмент, который помогает принимать решения отно- сительно защиты организации, помогает менеджерам решать, как им следует инвестировать средства в безопасность, и помогает руководителям отдела ITбезопасности упорядочить ситуацию с высшим руководством. Информацию, которуювыполучаетевходекиберразведки,можноиспользоватьвразличных областях (рис. 12.2).
КИБЕРРАЗВЕДКА
Организация
ТЕХНИЧЕСКАЯ |
ТАКТИЧЕСКАЯ |
ОПЕРАТИВНАЯ |
СТРАТЕГИЧЕ- |
ОБЛАСТЬ |
ОБЛАСТЬ |
ОБЛАСТЬ |
СКАЯ ОБЛАСТЬ |
Рис.12.2