В среду довелось мне модерировать эфир AM Live, посвященный решениям класса Digital Risk Protection, которое в России под этим названием не очень известно, в отличие от составных его частей, более привычных многим заказчикам, — мониторинг Дарквеба, защита репутации, мониторинг утекших паролей и утечек, контроль сайтов-клонов и фишинговых ресурсов и т.п. Именно поэтому мы переименовали эфир в более кликбейтное «Мониторинг Дарквеба и защита репутации», хотя и говорили о более широком круге вопросов.
По традиции я хотел бы тезисно осветить этот эфир, но так как российские власти предприняли очередную попытку борьбы с Facebook и многие сталкиваются с перебоями в доступе к нему, а кто-то и вовсе пересаживается на VK, то напишу впечатления здесь. Итак:
- Название Digital Risk Protection в России вряд ли приживется — все-таки у нас, у многих, скептическое отношение к рискам ИБ, а также всему, что имеет приставку «цифровой». Поэтому аббревиатура DRP у нас не найдет широкого распространения, в отличие от ее наполнения. Согласно опросу, проведенному во время эфира, 12% зрителей даже не знали, что используемые ими сервисы так называются 🙂
- DRP — это не продукт, а сервис, включающий в себя не только и не столько технологии, сколько процессы и работу аналитиков. Конечно, у данного сервиса есть облачный портал, к которому можно подключиться и получать доступ к результатам анализа нужной информации. Сейчас два из трех участников эфира помимо предоставления DRP по сервисной модели, предлагают ее по модели SaaS, давая возможность аналитикам заказчика самостоятельно работать с DRP-порталом. При этом у всех решений есть API для подключения своих источников данных (например, для анализа фишинговых доменов), а также захвата данных из портала в свой SOC.
- Все сервисы работают в режиме 24/7 и поставщики услуг рекомендуют пользоваться DRP в круглогодичном режиме, а не по 3 месяца с последующим перерывом на 3 месяца и т.д.
- В массе своей сервисы не имеют SLA на реагирование, да и само реагирование имеет смысл только для одного из элементов DRP — мониторинга фишинговых доменов и сайтов-клонов, которые можно разделегировать от имени пострадавшей стороны. Однако и тут SLA скорее заключается в том, что DRP-поставщик просто отправляет данные на разделегирование хостеру или провайдеру, а уж от него зависит скорость реагирования, которая, в зависимости от часового пояса и страны может занимать от нескольких часов до нескольких дней.
- Есть тонкая грань между Threat Intelligence и мониторингом утечек, скомпрометированных учеток, Дарквеба и т.п. и есть предположение, что со временем эти направления по анализу внешних угроз могут быть объединены в одно. Что же касается OSINT (мониторинг открытых источников), то это обычно часть DRP, к которому добавляется автоматизация и анализ собранной информации аналитиками, а не просто прошедшими трехдневный курс молодого осинтера студентами.
- Вообще автоматизация — это основное отличие коммерческих DRP-сервисов от разрозненных бесплатных инструментов, которые по отдельности могут решать задачи по мониторингу утекших паролей (ihavebeenpwned), мониторингу сайтов-клонов (утилита URLcrazy в Kali Linux) и т.п. При этом, в DRP могут быть добавлены и новые элементы. Например, может быть проведен мониторинг не только учетных записей (пары логин/пароль), но и платежной информации, номеров кредитных карт, паспортных данных и т.п.
- Защита бренда в России и во всем мире — это совсем разные понятия. В мире это больше защита торговой марки, предотвращение поставок контрафакта и т.п., а у нас — мониторинг все больше сокращающегося числа социальных медиа, Интернет, форумов и т.п. в поисках негативной информации о компании.
- Защита первых лиц компании (виртуальный телохранитель) сродни защите репутации/бренда, но применительно к руководителям предприятия, от имени которых могут распространяться фейковые заявления, которые надо оперативно выискивать и дальше уже реализовывать различные механизмы реакции.
- Что касается самой реакции, то она отдается часто на откуп самому заказчику, который действует в рамках своих политик работы со СМИ, журналистами, аналитиками и т.п. DRP-поставщик может что-то посоветовать, но финальное решение лежит на заказчике.
- По популярности услуги в рамках DRP распределяются следующим образом: мониторинг Дарквеба (14%), защита репутации (11%), мониторинг утекших паролей (9%), приоритизация уязвимостей и другие сервисы (по 5%). 56% зрителей такие сервисы не используют вообще.
- 90% зрителей считают мониторинг Дарквеба очень полезным инструментом, но в детали того, откуда доступ у DRP-провайдеров к закрытым площадкам обмена/продажи/заказа, как они проходят проверки при вступлении на эти площадки, как они там удерживаются в течение долгого времени, участники вдаваться по понятным причинам не стали.
- Мы не стали глубоко копать в тему законодательства, связанного с этими сервисами, — под ОРД эти сервисы по мнению участников эфира проекта AM Live не попадают, а тему обработки персданных (в рамках обработки утекших учетных записей) мы не стали разбирать (хотя там есть, где порезвиться). А вот вопрос подготовки цифровых доказательств, как мне показалось, остался нераскрытым. Участники дискуссии сказали, что к ним мало идет запросов на предоставление юридически значимых доказательств, которые могут быть представлены в рамках уголовно-процессуального производства. Поэтому они по своей инициативе такими вещами и не занимаются (но могут).
- Учитывая достаточно специфические задачи, которыми занимается DRP, их потребителем являются не только службы ИБ (36% зрителей так считает), но служба PR (29%), служба экономической безопасности (14%), а также другие подразделения (9%).
- Про качество данных, собираемых в рамках DRP-мониторинга, я спросить не успел, но про это я написал вчера. А вот про приоритизацию уязвимостей, которая также рассматривается на Западе как часть DRP-сервисов, спросил. К удивлению, пока никто не занимается этой тематикой, хотя она достаточно важна в особо крупных организациях, в которых десятки тысяч узлов и сотни тысяч уязвимостей, которые невозможно устранить все и приходится приоритизировать их по различным критериям — CVSS, наличию эксплойтов и т.п.
- В случае обнаружения утекших паролей или домена-клона обратиться к DRP-провайдеру, конечно, можно, но лучше все-таки заниматься не разовыми обращениями, а отдать эту работу на постоянный мониторинг в рамках годового обслуживания. Атрибуцией при этом поставщики услуг занимаются редко, хотя в отдельных случаях и могут попробовать это сделать, привлекая, среди прочего, и специалистов по форензике.
- Последний заданный мной вопрос касался текущей геополитической ситуации — влияет ли она на поставщиков услуг DRP, на что я получил удививший меня ответ, что между разными поставщиками услуг, наполняющих термин Digital Risk Protection, почти не бывает геополитических конфликтов, что немного отличается от того, что мы видим сейчас в открытой и закрытой части Интернет. Но в одном мы все сошлись — текущая информационная война должна повлиять на рост интереса к данному сервису со стороны отечественных компаний.
На этом краткий пересказ двухчасового эфира я завершаю и предлагаю желающим посмотреть его запись, чтобы услышать все то, что осталось за рамками моего повествования.