Продолжая тему APT полезно в очередной раз подумать над тем, что с этим делать. Ни для кого не секрет, что этим занимаются профессиональные ребята, это неплохой бизнес, т.е. на лицо глубокая проработанность и подходов/техник/методов и бизнес-модели. Поэтому, беря во внимание, что ресурсов и возможностей у таких ребят несравнимо больше чем у любой внутренней службы информационной безопасности, противостоять этому абсолютно нерентабельно. Однако, кибератаки имеют под собой объективную мотивацию, в них есть потребность, а, поскольку на рынке есть предложение, - таргетированные атаки, выполненные более чем профессионально, - объективная реальность.
С системными проблемами надо бороться системными методами, подходы к решению должны отвечать подходам, формирующим проблему, поэтому как АНБ должна противостоять ФСБ, так и организованным кибертеррористам должна противостоять организованная киберполиция.
Почему именно правоохранительный орган? Любые киберзлодеи - это прежде всего люди. У нас есть только один легитимный инструмент влияния на злодеев - Уголовный кодекс, а с уголовниками должны заниматься правоохранительные органы.
Где взять кадры? В целом, там же, где берут коммерческие компании. На первых порах вполне возможна работа киберполиции в связке со специализированными компаниями, проводящими расследования в рамках своих исследований, своего бизнеса. Для "прокорма" этих высоковалифицированных профессионалов в составе федеральных служб вполне можно придумать бизнес-модель, аналогичную вневедомственной охране, дающей возможность предприятиям не беспокоиться о штатных безопасниках, а покупать сервис обеспечения ИБ (типа MSS) у федеральной киберполиции. Технологически такие предприятия можно затягивать в централизованный SOC, а результаты мониторинга использовать в дальнейших расследованиях.
Киберполиция будет иметь просто нереальные возможности, что, при правильном менеджменте, выльется в потрясающую эффективность. Поясню, - злодеи, в любом случае, для своего бизнеса, используют стандартные средства связи: Интернет, телефон, возможно, они как-то отмечаются в социальных сетях, может, даже, у них есть счета в банках, может, у них есть сотрудники с кредитками и со счетами, они, скорее всего, совершают сделки, в результате чего осуществляются какие-либо движения каких-либо средств.... Из федеральной киберполиции ко всему этому можно получить доступ, собирать и анализировать Большие данные, находить и расследовать аномалии (если задаться целью можно составить профиль каждого гражданина, деанонимизация - вопрос техники, - отличная книга на эту тему - Все под контролем! - рекомендую ознакомиться), не говоря уж о том, что можно легко делать (с этого стоит и начать!) абсолютную банальщину - искать IoC-и в клиентском трафике провайдеров и трейсить известные паттерны сетевых атак\эксплоитов\применение стандартных (== доступных на рынке) инструментов эксплуатации и аудита.
Т.е. фактически задача сводится к построению SOC, где, подобно тому как мы ищем злодеев в сети, киберполицейские будут смотреть и пытаться увидеть как кого-то исследуют/сканируют, затем ломают, затем как-то постэксплуатируют: отстуки ботов куда-то, получение каких-то новых нагрузок (по которым, может быть, можно даже и без эвристики отработать антивирусом, не говоря уж о том, что по всему подозрительному можно проводить статический и динамический анализ кода).... в общем, есть масса высокоэффективных вещей которые следует поделать, причем с федерального уровня есть, на мой взгляд, есть все необходимые технологические средства для проведения такого intelligence. Дело за малым и в то же время самым большим - начать.
Ну а что же нам делать сейчас, пока эффективной киберполиции нет? Вот товарищ Шнаер пишет абсолютно правильные слова: "The best defences against terrorism are largely invisible: investigation, intelligence, and emergency response". Я считаю уместным сравнение кибертеррористов с обычными террористами, поэтому, в обобщенном случае, и методы борьбы те же:
С системными проблемами надо бороться системными методами, подходы к решению должны отвечать подходам, формирующим проблему, поэтому как АНБ должна противостоять ФСБ, так и организованным кибертеррористам должна противостоять организованная киберполиция.
Почему именно правоохранительный орган? Любые киберзлодеи - это прежде всего люди. У нас есть только один легитимный инструмент влияния на злодеев - Уголовный кодекс, а с уголовниками должны заниматься правоохранительные органы.
Где взять кадры? В целом, там же, где берут коммерческие компании. На первых порах вполне возможна работа киберполиции в связке со специализированными компаниями, проводящими расследования в рамках своих исследований, своего бизнеса. Для "прокорма" этих высоковалифицированных профессионалов в составе федеральных служб вполне можно придумать бизнес-модель, аналогичную вневедомственной охране, дающей возможность предприятиям не беспокоиться о штатных безопасниках, а покупать сервис обеспечения ИБ (типа MSS) у федеральной киберполиции. Технологически такие предприятия можно затягивать в централизованный SOC, а результаты мониторинга использовать в дальнейших расследованиях.
Киберполиция будет иметь просто нереальные возможности, что, при правильном менеджменте, выльется в потрясающую эффективность. Поясню, - злодеи, в любом случае, для своего бизнеса, используют стандартные средства связи: Интернет, телефон, возможно, они как-то отмечаются в социальных сетях, может, даже, у них есть счета в банках, может, у них есть сотрудники с кредитками и со счетами, они, скорее всего, совершают сделки, в результате чего осуществляются какие-либо движения каких-либо средств.... Из федеральной киберполиции ко всему этому можно получить доступ, собирать и анализировать Большие данные, находить и расследовать аномалии (если задаться целью можно составить профиль каждого гражданина, деанонимизация - вопрос техники, - отличная книга на эту тему - Все под контролем! - рекомендую ознакомиться), не говоря уж о том, что можно легко делать (с этого стоит и начать!) абсолютную банальщину - искать IoC-и в клиентском трафике провайдеров и трейсить известные паттерны сетевых атак\эксплоитов\применение стандартных (== доступных на рынке) инструментов эксплуатации и аудита.
Т.е. фактически задача сводится к построению SOC, где, подобно тому как мы ищем злодеев в сети, киберполицейские будут смотреть и пытаться увидеть как кого-то исследуют/сканируют, затем ломают, затем как-то постэксплуатируют: отстуки ботов куда-то, получение каких-то новых нагрузок (по которым, может быть, можно даже и без эвристики отработать антивирусом, не говоря уж о том, что по всему подозрительному можно проводить статический и динамический анализ кода).... в общем, есть масса высокоэффективных вещей которые следует поделать, причем с федерального уровня есть, на мой взгляд, есть все необходимые технологические средства для проведения такого intelligence. Дело за малым и в то же время самым большим - начать.
Ну а что же нам делать сейчас, пока эффективной киберполиции нет? Вот товарищ Шнаер пишет абсолютно правильные слова: "The best defences against terrorism are largely invisible: investigation, intelligence, and emergency response". Я считаю уместным сравнение кибертеррористов с обычными террористами, поэтому, в обобщенном случае, и методы борьбы те же:
- мониторинг своей сети - научитесь быстро понимать, что вас поломали. Скорее всего это будет постэксплуатация, когда уже у вас что-то тащат или что-то подгружают, или как-то используют ваши мощности или еще что-либо (очевидное объяснение почему вы заметите именно постэксплуатацию - временные интервалы: эксплуатация будет мгновенной и ее будет легко пропустить, однако постэксплуатация будет всегда, пока вы не заметите.... Конечно, здорово "заметить неладное" на этапе рекогносцировки злоумышленника, но практика показывает, что ее можно сделать незаметной, не выделяющейся за пределы "белого шума" систем обнаружения, - поэтому крепитесь, - в случае APT вас обязательно поломают, и, если вы это когда-то заметите, вы уже будете молодец!);
- реагирование на инциденты - научитесь управлять иницидентами, не тупить, делать правильные вещи правильно и в правильное время. Скорее всего надо иметь что-то вроде "red team", подключающейся для расследования, возможно, поначалу достаточно иметь ее "динамическую" - формируемую по ситуации из подходящих специалистов;
- BCP и DRP - надо обеспечить то, что называется operational resilience, позволяющую вам продолжать функционировать в условиях каких-либо ощутимых потерь, а в случае перерыва сервиса - уметь быстро восстановиться.