Глобальные партнерства по анализу киберугроз: возможность работать вместе

17.11.2021

Дерек Мэнки, руководитель отдела аналитики безопасности и Global Threat Alliances, FortiGuard Labs:

- Борьба с киберпреступностью – это совместные усилия экспертов по кибербезопасности, правоохранительных органов и политиков, которые объединяются представителями различных индустрий и широкой общественностью, чтобы вести войну со злоумышленниками с помощью разведданных о киберугрозах. Большинство людей согласятся, что борьба с киберпреступностью имеет решающее значение для цифрового и структурного здоровья нашего общества. Но злоумышленники знают, что киберпреступность – это бизнес на триллионы долларов, и шансы быть пойманным довольно низки, ведь в этой сфере не существует привычных государственных границ.

Что такое разведка киберугроз?

Разведка киберугроз – это динамическая технология, которая использует сбор и анализ данных, полученных из истории угроз, для блокирования и устранения кибератак на целевую сеть. Она основана на тактике формирования критических процедур общей архитектуры безопасности организации.

Поскольку современные киберугрозы становятся все более изощренными и агрессивными, а атаки программ-вымогателей переходят на партнерскую модель, основанную на услугах, совместная работа – единственный способ опередить их. Интересно отметить, что, согласно исследованию Fortinet ransomware survey, вымогательское ПО стало главной угрозой для глобальных организаций. Это лишь один из видов угроз. Недавние эпизоды привели к массовому заражению цепочки поставок всего лишь от одной точки вторжения. И киберпреступники получают больше финансовых средств, чем более продвинутыми они становятся, с растущими бизнес-моделями и собственными цепочками поставок. Итак, как нам действовать и реализовывать знания, которые мы накопили, изучая киберпреступность? Недостаточно просто кивнуть в знак согласия. Добрая воля – это одно, но пора действовать. Ответ - работать вместе с глобальными партнерами над повышением устойчивости, разрушением и, в конечном итоге, уничтожением этих преступных империй.

Без разведки киберугроз киберпреступность превращается в иголку в стоге сена

Киберпреступность сегодня – это преступная империя, которая функционирует как любая другая преступная организация, – с боссами, менеджерами и денежными мулами. Но мир киберпреступности немного сложнее. Возьмем, к примеру, причину номер один, по которой этих преступников не ловят: юрисдикция. Многие киберпреступники действуют в странах, которые не выдают своих преступников странам, где было совершено преступление, что затрудняет их обнаружение, не говоря уже о поиске, обвинении и судебном преследовании.

Вокруг программ-вымогателей и других видов киберпреступлений накоплена масса данных. Тем не менее, точные данные о количестве инцидентов трудно получить, поскольку значительная часть жертв даже не сообщает о своих случаях. Несмотря на то, что в последнее время было несколько крупных успешных арестов, менее 0,05% киберпреступников арестовываются и привлекаются к ответственности. А плохим парням нравятся такие шансы. Этот гигантский пробел в правоприменении в сфере киберпреступности дает злоумышленникам уверенность в том, что они могут продолжать свою деятельность, не опасаясь быть пойманными, обвиненными или наказанными. Цепочка поставок киберпреступности резко выросла, и в каждой точке находится так много движущихся частей и участников, что требуются согласованные глобальные усилия, чтобы их всех отследить и остановить.

Необходимо партнерство в области разведки киберугроз

Миссия FortiGuard Labs заключается в предоставлении клиентам Fortinet лучших в отрасли данных об угрозах для защиты от вредоносных действий и сложных кибератак. Но мы не ограничиваемся защитой наших клиентов – Fortinet активно сотрудничает и поддерживает двунаправленные отношения с более чем 200 партнерами. Эти партнерские отношения жизненно важны для обеспечения большей прозрачности операций FortiGuard Labs. Среди них – коллеги по разведке угроз, национальные группы реагирования на чрезвычайные ситуации (CERT), группы реагирования на инциденты компьютерной безопасности (CSIRT), правительственные агентства, международные правоохранительные организации (включая НАТО и Интерпол) и другие важные партнеры, такие как MITRE и Центр кибербезопасности Всемирного экономического форума.

Fortinet также входит в глобальную экспертную группу Интерпола ICGEG, и мы сотрудничаем с ФБР в борьбе с киберпреступностью и кибертерроризмом. (Мы были одной из нескольких компаний частного сектора, оказавших поддержку операции под руководством Интерпола, направленной на борьбу с киберпреступностью в регионе АСЕАН).

Мы наращиваем свои усилия и уделяем больше внимания тому, чтобы не ограничиваться собственными исследованиями, а взаимодействовать, делиться и способствовать обмену оперативной информацией об угрозах. Например, компания Fortinet стала одним из основателей Cyber Threat Alliance. Сегодня организация CTA выросла из четырех членов-основателей, чтобы активно объединять исследователей угроз, поставщиков средств безопасности и партнеров по альянсу для обмена информацией об угрозах и улучшения защиты от продвинутых киберпреступников среди организаций-членов и их клиентов. Целью CTA является пресечение киберпреступности и атак путем повышения устойчивости – чем больше мы делимся информацией, тем лучше мы все будем вооружены для борьбы с киберпреступностью.

Fortinet также является одним из основателей и поддерживает многочисленные инициативы Центра кибербезопасности Всемирного экономического форума (ВЭФ), занимая одно из двух постоянных мест в этом международном совете. Центр кибербезопасности был создан для формирования будущего кибербезопасности и цифрового доверия во всем мире, обеспечения безопасности инноваций, защиты учреждений, предприятий и частных лиц, а также обеспечения нашей растущей зависимости от цифровой экономики.

Эффективная борьба с угрозами

Основными целями Центра кибербезопасности являются:

- Повышение киберустойчивости путем разработки и масштабирования перспективных решений и продвижения эффективных практик в цифровых экосистемах.

- Укрепление глобального сотрудничества между государственными и частными заинтересованными сторонами путем содействия коллективному противодействию киберпреступности и совместному решению ключевых проблем безопасности

- Понимание будущего сетей и технологий, чтобы определить и подготовиться к грядущим вызовам и возможностям в области кибербезопасности.

Кроме того, Partnership Against Cybercrime объединяет целеустремленное сообщество, включающее ведущие правоохранительные органы, международные организации, компании по кибербезопасности, поставщиков услуг и платформ, глобальные корпорации и ведущие некоммерческие союзы. Следуя рекомендациям Рабочей группы 2020, Партнерство будет поддерживать создание глобальной сети центров для оперативного сотрудничества государственного и частного секторов. Оно будет служить платформой для взаимодействия и обмена мнениями на глобальном и стратегическом уровне.

Другие важные выводы, полученные в результате участия Fortinet на первом форуме высокого уровня Интерпола по программам-вымогателям (first INTERPOL High-Level Forum on Ransomware), заключаются в следующем:

- Необходимо предотвращать деятельность программ-вымогателей путем повышения осведомленности, уровня партнерства и обмена информацией

- Стремиться к разрушению программ-вымогателей и их экосистемы до того, как они будут использованы с помощью глобальных правоохранительных действий как реактивно, так и проактивно.

- Предоставлять экстренную поддержку в случае атак программ-вымогателей.

- Обеспечивать поддержку после атак программ-вымогателей, чтобы повысить устойчивость, гибкость и скорость реагирования.

Защита от киберугроз

В сфере кибербезопасности не каждое действие имеет немедленный или длительный эффект, но несколько событий 2021 года свидетельствуют о позитивных изменениях именно для защитников. Для разрушения цепочек поставок киберпреступников приоритетным является объединение сил посредством сотрудничества. Обмен данными и партнерство могут обеспечить более эффективные ответные меры и более точное прогнозирование будущих методов для сдерживания усилий противника. Среди результатов такого сотрудничества – скоординированное уничтожение Emotet, одной из самых распространенных malware в новейшей истории, а также пресечение операций программ-вымогателей Egregor, NetWalker и Cl0p, что является значительной победой мировых правительств и правоохранительных органов в борьбе с киберпреступностью. Министерство юстиции США направило мощный сигнал, предъявив обвинения филиалу NetWalker. Недавно в Украине были арестованы два оператора программ-вымогателей. Данные FortiGuard Labs показали замедление активности угроз после ареста Emotet. Активность, связанная с вариантами TrickBot и Ryuk, сохранилась после отключения ботнета Emotet, но ее объем снизился.

Иногда может показаться, что киберпреступники одерживают верх, поскольку их преступная империя стала настолько большой и неуправляемой, что сдерживать ее становится все труднее. Однако усилия приносят свои плоды. Кибербезопасность – это игра в долгую, и не все действия дают немедленный эффект. Но растущее давление со стороны критически настроенных лиц оказывает свое влияние.

Тема:О том, о сём