Wielu firmom „analiza zagrożeń” kojarzy się jedynie z wiedzą na temat wskaźników naruszenia bezpieczeństwa danych i konkretnych narzędzi cyberprzestępczych. Jednak w rzeczywistości ma ona znacznie szerszy kontekst: to wiedza na temat działalności cyberprzestępców obejmująca m.in. śledzenie ich aktywności w sieci. Czasami informacje te pozwalają nie tylko zorientować się w stosowanych przez nich metodach i taktykach, ale także zapobiec cyberincydentom. Najnowszym tego dowodem może być niedawny przypadek banku centralnego w Ameryce Łacińskiej.
Co się wydarzyło?
Podczas badania aktywności cyberprzestępczej nasi eksperci dowiedzieli się, że jednemu z ugrupowań udało się uzyskać dostęp do sieci banku. Natychmiast powiadomili oni o tym fakcie ofiarę, skontaktowali się z Interpolem i wspólnie przeprowadzili dokładne dochodzenie w tej sprawie. W rezultacie udało im się wyeliminować luki w infrastrukturze korporacyjnej i zapobiec realnym stratom finansowym. Niestety nie możemy ujawnić szczegółów tego incydentu ani opisać, w jaki sposób atakujący przeniknęli do sieci banku.
Jak naszym ekspertom udało się wykryć aktywność intruzów?
Nie wszyscy cyberprzestępcy zajmują się całym cyklem ataku – czyli od wstępnego zbadania celu po ruch ostateczny (który zwykle polega na eksfiltracji danych lub pieniędzy lub infekcji oprogramowaniem ransomware). Pewne ugrupowania specjalizują się wyłącznie w uzyskiwaniu dostępu do infrastruktury firm: po udanym przeniknięciu do sieci starają się sprzedać w ciemnej sieci lub na forach hakerskich dostęp osobom, które mogą zorganizować atak. Czasami kupują go tak zwani brokerzy pierwszego dostępu, a następnie odsprzedają go innym cyberprzestępcom.
Badając działalność zupełnie różnych przestępców, nasi badacze odkryli, że ktoś szuka partnerów do cyberataku na bank. W ramach dowodu, że osobom tym udało się uzyskać dostęp do infrastruktury banku, udostępnione zostały pewne informacje, które pomogło naszym ekspertom zidentyfikować ofiarę i zapobiec cyberprzestępstwu.
W jaki sposób analiza zagrożeń może pomóc konkretnej firmie?
W tym przypadku nasi eksperci nie szukali oznak ataku na konkretny bank. Bank, i którym piszemy, nie był nawet naszym klientem, a mimo to nasze instrumenty pozwalają nam na śledzenie zagrożeń dla konkretnej organizacji. W naszym portfolio analizy zagrożeń znajduje się usługa Digital Footprint Intelligence, która pozwala stworzyć dynamiczny „cyfrowy portret” organizacji, a następnie umożliwia śledzenie oznak związanych z niebezpieczeństwem za pośrednictwem otwartych źródeł w ciemnej sieci i głębokiej sieci. Czasami pozwala to zapobiec dość poważnym incydentom w świecie wirtualnym.
Aby chronić się przed wyrafinowanymi atakami, zalecamy korzystanie z usług takich jak Managed Detection and Response. Dzięki nim zespół ds. cyberbezpieczeństwa będzie mógł uzyskać pomoc od ekspertów zewnętrznych w celu wykrycia i powstrzymania złożonych ataków na infrastrukturę firmy na wczesnym etapie.