Kibernetinių grėsmių žvalgyba: ekspertas dalijasi, kaip ji vyksta ()
„Pagrindinės kibernetinės grėsmės atkeliauja iš Rusijos, Baltarusijos, jų aktyvumas ypatingai padidėjo nuo karo pradžios. Vienas iš pagrindinių atakų tikslų – ideologinis, nors iš tiesų siekiama skleisti propagandą. Aktyviai reaguojama į politinius įvykius ir tikslingai puolamos Ukrainos bei ją palaikančių šalių organizacijos. Šiuo metu tik nedidelė dalis atakų atliekama komerciniais ar pramoginiais tikslais“, – sako kibernetinės žvalgybos ekspertas Aleksandras Kulik.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Eksperto teigimu, įvairaus masto kibernetinės atakos į Ukrainos organizacijas vykdomos nuolat, o viena iš paskutinių didesnių kovo pradžioje buvo nukreipta į Lenkiją, taip palaikant ukrainietiškų grūdų neįsileidžiančius ir protestuojančius ūkininkus. Buvo atakuojamos kaimyninės šalies transporto įmonės, kelių direkcija ir kitos organizacijos. Prancūzija sulaukė kibernetinių išpuolių po prezidento Emmanuelio Macrono paskelbimo apie galimą karių siuntimą į Ukrainą. Šiuo metu daug atakų nukreipta į Moldovą, Rumuniją. Lietuva į programišių akiratį buvo pakliuvusi vasarą, NATO viršūnių susitikimo metu. Tuomet buvo intensyviai atakuojamos vyriausybės interneto svetainės.
Lietuvoje dirbantys analitikai kibernetinių grėsmių žvalgybą atlieka nuolat ir visur. Įsifiltruojama į tamsiojo interneto, vadinamojo darkvebo, forumus, įsitraukiama į socialinio tinklo „Telegram“ grupes, stebima informacija viešai internete prieinamuose diskusijų ir skelbimų forumuose, soc. tinkle „X“.
„Reguliariai tikriname, kokios įvyko atakos, kokie artimiausi planai, kokios susikūrė naujos grupuotės. Atliekant žvalgybą galima nustatyti, kokie atsiranda nauji pavojai, sužinoti, nuo ko būtina saugotis, iš anksto pasiruošti ateities išpuoliams, taip sumažinant galimą žalą“, – atkreipia dėmesį kibernetinio saugumo konsultacijų, paslaugų ir technologijų bendrovės „NRD Cyber Security“ Informacijos saugos vadovas A. Kulik.
Nuolat vykdoma „Telegram“ stebėsena vėliau leidžia atpažinti konkrečiai kibernetinių nusikaltėlių grupuotei būdingus indikatorius, pavyzdžiui, IP adresus, serverius ir kitus atakoms naudojamus resursus. Surinkti duomenys padeda formuoti konkrečios grupuotės veikimo pobūdį ir lengviau apsisaugoti nuo būsimų atakų.
Ne vien tik automatizuoti sprendimai
Ekspertas pastebi, kad šiuo metu vis dar sunku pasikliauti vien tik automatizuotais kibernetinio saugumo sprendimais. Itin svarbia kompetencija išlieka analitiko sugebėjimas suprasti ir operatyviai reaguoti į besikeičiantį kibernetinių grėsmių kontekstą, surasti aktualią informaciją ir įvertinti, ar grėsmės pavojingos, pasidalinti gautomis žiniomis su klientais, partneriais ir kibernetinio saugumo bendruomene.
Siekdamos žinomumo, šlovės ar norėdamos parodyti savo galią programišių grupuotės neretai apie savo pasiekimus ir veiklą skelbia viešai, tad analitikai, įsifiltravę ar prisijungę prie tam tikrų grupių, gali reguliariai stebėti skleidžiamą informaciją. Pavyzdžiui, „Telegram“ yra 5–6 aktyvūs pagrindinių grupuočių kanalai, kuriuose ne tik skelbiama apie atakas, tačiau ir dalinamasi IT naujienomis, straipsniais apie kibernetinį saugumą ir tokiu būdu siekiama burti bendruomenę ir skleisti jiems savo ideologiją.
Didžioji dalis skelbiamų kibernetinių atakų – vadinamasis DDoS, kai organizacijų ar įmonių puslapiai atakuojami milžiniškais kiekiais užklausų, todėl sutrinka puslapio veikla ir jis gali tapti nepasiekiamas.
Kaip buvo sprendžiamas duomenų nutekėjimo atvejis
Programišių forumuose, grupėse ar skelbimų lentose galima surasti ir informaciją ne tik apie planuojamas kibernetines atakas, bet ir nukentėjusių stambių įmonių nutekėjusius duomenis, jų pardavinėjimą.
„Esame susidūrę su vieno kliento duomenų nutekėjimu. Savo kanale įsilaužėliai buvo paskelbę dalį informacijos iš vidinio susirašinėjimo, buvo reikalaujama išpirkos kriptovaliuta, programišiai gyrėsi, kad turi užverbuotų žmonių. Grupuotės paskleista informacija leido lengviau identifikuoti įsilaužimo pobūdį ir spręsti problemą. Nustatėme, kad informacija dalijasi arba žmogus organizacijos viduje, arba buvo gauta prieiga prie organizacijoje siunčiamų laiškų. Tai leido atlikti veiksmus, kurie sumažintų galimą žalą. Organizacija keitė slaptažodžius, atjungė tam tikrus vartotojus, ėmėsi kitų incidento užkardymo ir galimų atakų prevencijos veiksmų“, – apie konkretų atvejį pasakoja A. Kulik.
Atliekant kibernetinių grėsmių stebėjimą taip pat randama informacija apie įvykusias atakas, kurios susijusios su pažeidžiamumais programinėje įrangoje, pavyzdžiui, „Microsoft“ ar „Oracle“. Tuomet klientai įspėjami apie įvykusią ar planuojamą ataką ir kokie galimi apsaugos būdai.
„Apie įvykusias atakas ir jų požymius svarbu dalintis su bendruomene. Informacijos dalinimasis tarp skirtingų saugumo operacijų centrų stiprina bendrą kibernetinį atsparumą tiek Lietuvoje, tiek Europoje. Šiuo metu su Vilniaus savivaldybe įgyvendiname „SOCshare“ projektą, kuris leis surinkti ir dalintis kibernetinių atakų ir įsilaužimų požymiais. Tai padėtų visiems prisijungusiems prie šio projekto matyti, kaip atpažinti ir reaguoti į konkrečius grėsmės indikatorius, siekiant sumažinti potencialią žalą“, – sako „NRD Cyber Security“ Informacijos saugos vadovas.
Vilniaus miesto savivaldybės ir „NRD Cyber Security“ įgyvendinamo projekto vertė 2,9 mln. Eur. 1,4 mln. Eur projekto vertės finansuos Europos Sąjunga, likusi dalis bus dengiama projekto partnerių lėšomis. Projektas truks trejus metus.