Pracownicy centrów operacji bezpieczeństwa i działów bezpieczeństwa informacji często zwracają się do specjalistów z firmy Kaspersky o pomoc ekspercką. Przeanalizowaliśmy najczęstsze przyczyny takich próśb i stworzyliśmy specjalistyczną usługę, która ułatwi klientom zadanie bezpośredniego pytania ekspertowi z konkretnej dziedziny.
Dlaczego możesz potrzebować pomocy eksperta
Zagrożenie cyberatakami stale rośnie, ponieważ cyberprzestępcy znajdują coraz to nowe sposoby na osiągnięcie swoich celów — odkrywają nowe luki w zabezpieczeniach sprzętu i oprogramowania w aplikacjach, serwerach, bramach VPN i systemach operacyjnych i natychmiast je wykorzystują. Każdego dnia pojawiają się setki tysięcy nowych próbek szkodliwego oprogramowania, a ofiarą ataków ransomware pada wiele różnych organizacji, w tym duże korporacje, a nawet agencje rządowe. Ponadto regularnie odkrywane są nowe wyrafinowane kampanie zagrożeń i APT.
W takich okolicznościach istotną rolę odgrywa analiza zagrożeń. Stosowny system ochrony można zbudować tylko dzięki odpowiednim informacjom na temat narzędzi i taktyk stosowanych przez atakujących, a w przypadku wystąpienia incydentu należy przeprowadzić skuteczne dochodzenie, wykryć intruzów w sieci i określić główny wektor ataku, aby zapobiec ponownemu atakowi.
Przeprowadzenie analizy zagrożeń w danej organizacji wymaga zaangażowania wykwalifikowanego specjalisty wewnętrznego, który potrafi użyć danych dostawcy takiej analizy w praktyce. Ekspert ten staje się zatem najcenniejszym zasobem w każdym dochodzeniu dotyczącym zagrożeń. Niestety zatrudnienie, przeszkolenie i zatrzymanie analityków cyberbezpieczeństwa jest kosztowne i nie każda firma może sobie pozwolić na utrzymanie takiego zespołu ekspertów.
Często zadawane pytania
W kwestii radzenia sobie z cyberincydentami klientom pomaga kilka działów firmy Kaspersky: Globalny Zespół ds. Badań i Analiz (GReAT), Globalny Zespół Reagowania Kryzysowego (GERT) oraz zespół Kaspersky Threat Research Team. W sumie pracuje dla nas ponad 250 światowej klasy analityków i ekspertów. Regularnie otrzymują oni od klientów wiele próśb dotyczących cyberzagrożeń. Po przeanalizowaniu ostatnich wniosków wyróżniliśmy następujące kategorie.
Analiza szkodliwego lub podejrzanego oprogramowania
Scenariusz, z którym spotykamy się dość często, obejmuje uruchomienie logiki wykrywania w produktach zabezpieczających punkty końcowe lub reguł polowania na zagrożenia. Firmowy zespół ds. bezpieczeństwa lub SOC bada alert i znajduje szkodliwy lub podejrzany obiekt, jednak brakuje mu zasobów do przeprowadzenia szczegółowego badania. Następnie firma prosi naszych ekspertów o określenie funkcjonalności wykrytego obiektu, stwarzanego przez niego zagrożenia i sposobu upewnienia się, że incydent został wyeliminowany.
Jeśli nasi eksperci potrafią szybko zidentyfikować to, co wysłał klient (posiadamy gigantyczną bazę wiedzy zawierającą typowe narzędzia używane w atakach i ponad miliard unikatowych próbek szkodliwego oprogramowania), odpowiadają natychmiast. W przeciwnym razie muszą przeprowadzić analizę, co w trudniejszych przypadkach może trochę potrwać.
Dodatkowe informacje na temat oznak włamania
Większość firm korzysta z różnych źródeł wskaźników włamania. Ich wartość leży w dużej mierze w tym, czy jest dostępny kontekst – czyli dodatkowe informacje na temat danego wskaźnik i jego znaczenia. Jednak kontekst ten nie zawsze jest dostępny. Zatem po wykryciu określonego wskaźnika np. w systemie SIEM analitycy z działu centrum operacji bezpieczeństwa mogą widzieć obecność wyzwalacza i zorientować się, że prawdopodobnie doszło do incydentu, ale brakuje im informacji koniecznych do dalszych badań.
W takich przypadkach mogą wysłać do nas prośbę o udzielenie informacji na temat wykrytego wskaźnika włamania. W wielu przypadkach naprawdę są one ciekawe; na przykład pewnego razu otrzymaliśmy adres IP znaleziony w ruchu firmy (tj. uzyskany z poziomu sieci firmowej). Pod tym adresem hostowany był m.in. serwer zarządzania oprogramowaniem o nazwie Cobalt Strike, potężne narzędzie do zdalnej administracji (lub po prostu backdoor), z którego korzystają wszelkiego rodzaju cyberprzestępcy. Wykrycie go prawie na pewno oznacza, że firma jest już atakowana (naprawdę lub w ramach szkolenia). Nasi eksperci udzielili dodatkowych informacji na temat tego narzędzia i zalecili podjęcie natychmiastowej reakcji na incydent w celu zneutralizowania zagrożenia i ustalenia głównej przyczyny włamania.
Wniosek o uzyskanie informacji na temat taktyk, technik i procedur
Jednak aby powstrzymać atak lub zbadać incydent, firma potrzebuje nie tylko informacji o wskaźnikach włamania. Po ustaleniu stojącego za atakiem ugrupowania cyberprzestępczego analitycy centrum operacji bezpieczeństwa zazwyczaj potrzebują dostępu do danych na temat taktyk, technik i procedur, które ono stosuje, czyli szczegółowych opisów sposobu jego działania. Tylko w ten sposób mogą pomóc w określeniu, gdzie i w jaki sposób atakujący zdołali przeniknąć do infrastruktury, poznać informacje o metodach, których atakujący zwykle używają do przeniknięcia do sieci, a także w jaki sposób eksfiltrują dane. Takie informacje udostępniamy w ramach naszej usługi raportowania analizy zagrożeń.
Metody stosowane przez cyberprzestępców, nawet z tego samego ugrupowania, mogą być bardzo zróżnicowane, a opisanie wszystkich możliwych szczegółów nie jest możliwe, nawet w bardzo szczegółowym raporcie. Dlatego klienci usługi analizy zagrożeń, którzy korzystają z naszych raportów o zagrożeniach APT i crimeware, czasami proszą nas o dodatkowe informacje na temat konkretnego aspektu techniki ataku, który jest z ich punktu widzenia najbardziej istotny.
Takich i wielu innych informacji udzielamy za pośrednictwem specjalnych usług lub w ograniczonych ramach wsparcia technicznego. Jednak obserwując wzrost liczby zgłoszeń i mając świadomość tego, jak dużą wartość ma wiedza i doświadczenie naszych jednostek badawczych, postanowiliśmy uruchomić specjalną usługę o nazwie „Kaspersky Ask the Analyst”, oferującą szybki dostęp do porad naszych ekspertów za pośrednictwem jednego kanału.
Zapytaj analityka firmy Kaspersky
Nasza nowa usługa – Kaspersky Ask the Analyst – umożliwia przedstawicielom klientów (głównie analitykom centrum operacji bezpieczeństwa i pracownikom działu bezpieczeństwa informacji) uzyskanie porady od ekspertów firmy Kaspersky, co obniża koszty analizy. Rozumiemy, jak duże znaczenie ma szybkie zdobywanie informacji o zagrożeniach, dlatego dla wszystkich typów żądań oferujemy umowę SLA. Dzięki „Kaspersky Ask the Analyst” specjaliści z odpowiedzialni za bezpieczeństwo informacji mogą:
- Otrzymywać dodatkowe dane z raportów Kaspersky Threat Intelligence, w tym rozszerzony kontekst wskaźników włamania i analityzy od zespołów GReAT i Kaspersky Threat Research Team. W zależności od konkretnej sytuacji omówione zostaną wszelkie powiązania między wskaźnikami wykrytymi w Twojej firmie a aktywnością opisaną w raportach.
- Uzyskiwać szczegółową analizę zachowania zidentyfikowanych próbek, określać ich cel i uzyskiwać zalecenia dotyczące łagodzenia skutków ataku. W tym zadaniu pomogą eksperci ds. reagowania na incydenty z zespołu Kaspersky Global Emergency Response Team.
- Uzyskiwać opis konkretnej rodziny szkodliwego oprogramowania (na przykład konkretnego oprogramowania ransomware) i porady dotyczące zabezpieczenia się przed nim, a także dodatkowy kontekst dla określonych wskaźników włamania (skrótów, adresów URL, adresów IP), aby pomóc w ustalaniu priorytetów alertów lub incydentów z ich udziałem. Informacji tych dostarczają eksperci z zespołu Kaspersky Threat Research.
- Otrzymywać opis konkretnych luk w zabezpieczeniach i ich poziomów ważności, a także informacje o tym, w jaki sposób produkty firmy Kaspersky chronią przed wykorzystaniem ich. Dane te dostarczają również eksperci z zespołu Kaspersky Threat Research.
- Zgłosić potrzebę indywidualnego dochodzenia (wyszukiwania) danych w ciemnej sieci. W ten sposób otrzymają cenne informacje na temat istotnych zagrożeń, które z kolei zasugerują skuteczne środki zapobiegania cyberatakom lub łagodzenia ich skutków. Dochodzenie takie przeprowadzają eksperci z zespołu Kaspersky Security Services.
Więcej informacji na temat tych usług znajdziesz na naszej stronie internetowej.