Сертификат AM Test Lab
Номер сертификата: 430
Дата выдачи: 28.09.2023
Срок действия: 28.09.2028
- Введение
- Функциональные возможности Solar Aura
- Архитектура Solar Aura
- Сценарии использования Solar Aura
- Выводы
Введение
Современные тенденции в области кибербезопасности диктуют необходимость обращать внимание не только на защиту ресурсов внутри периметра, но и на мониторинг социальных сетей, в которых может незаконно использоваться бренд компании, на выявление доменных имён, похожих на корпоративные, на анализ дарквеба и внешних ресурсов, где публикуются украденные базы данных, — ландшафт киберугроз меняется с высокой скоростью.
Согласно исследованиям, проведённым группой компаний «Солар», за первое полугодие 2023 года в интернет попали данные 201 российской организации общим объёмом 91,8 ТБ. Подобные явления чреваты тем, что злоумышленникам удастся составить подробное досье на человека путём агрегирования данных из разных баз. Впоследствии, применяя методы социальной инженерии либо используя базу утёкших паролей, киберпреступники могут получить доступ в инфраструктуру заинтересовавшей их организации.
Рисунок 1. Статистика по утечкам данных
Появился и другой риск в отношении организаций — фейковые сообщения об утечках. Мотивы ложных публикаций могут быть разными: желание заработать репутацию и поднять рейтинг в криминальном сообществе, создать негативный фон вокруг определённой компании, продемонстрировать активность группировки в отсутствие реальных достижений. По оценке экспертов «Солара», если достоверность информации об утечках из компаний среднего и малого бизнеса составляет около 80 %, то в отношении крупного бизнеса и госсектора — 20 %.
Поменялся и умысел атакующих. Если до 2022 года основным мотивом была материальная выгода, то теперь атаки в отношении организаций и «сливы» данных стали результатом хактивизма. Взломщики перестали ориентироваться только на ценную информацию, обнародование которой может принести ущерб компании, и крадут всё, что можно получить с минимальными усилиями. Количество атакующих увеличилось за счёт низкоквалифицированных начинающих хактивистов, для которых в Сети есть готовые инструменты совершения атак, в т. ч. услуги по предоставлению вредоносных программ (Malware-as-a-Service, MaaS).
Для борьбы с подобными явлениями на рынке существует класс продуктов «управление киберрисками» (Digital Risk Protection, DRP), цель которых — выявление подобных событий и своевременное информирование абонентов сервиса о них.
Несмотря на появление новых способов мошенничества, опросы, проведённые в эфире AM Live о мониторинге дарквеба и защите репутации в интернете, показали, что лишь 7 % респондентов используют продукты класса DRP для защиты своих организаций, а практически половина (45 %) вообще не слышали о подобных системах.
Рисунок 2. Результаты опроса об использовании DRP-систем
Для обеспечения безопасности своих клиентов в марте 2023 г. ГК «Солар» представила свой продукт класса DRP — Solar Aura (Audit & Risk Assessment).
Функциональные возможности Solar Aura
Функциональные возможности Solar Aura необходимо рассматривать как с точки зрения взаимодействия пользователей с системой, так и в отношении реализованных на платформе функций.
Блокировка доменов
В случае если выявленный ресурс никак не относится к защищаемой компании и представляет опасность для неё, можно отправить из интерфейса системы заявку на блокировку домена, мобильного приложения и т. д. В дальнейшем провайдер услуги берёт на себя работу по блокировке или удалению подобных ресурсов.
Расширенный поиск вредоносных ресурсов
Solar Aura проверяет более 200 тыс. доменных имён из более чем тысячи доменных зон в сутки. За счёт этого повышается эффективность поиска и минимизируется количество мест, которые не охвачены контролем.
Интеграция с использованием API
Наличие прикладного программного интерфейса (API) позволяет интегрироваться с необходимыми системами. Формат запросов — GET или POST. Формат ответа — JSON, с лимитом на выдачу (не более 1000 записей).
Формирование отчётов и рассылок
Отчёты в Solar Aura формируются по функциональным модулям в соответствии с заданным интервалом времени и могут быть выгружены в формате CSV.
Рисунок 3. Формирование отчётов в Solar Aura
Рассылки, в отличие от отчётов, отправляются на указанные адреса электронной почты. Рассылка может быть ежедневной либо запускаться в случае возникновения каких-либо событий.
Оба подхода недостаточно удобны в нынешней реализации. При формировании отчётов не хватает возможности отправлять их на необходимые адреса из интерфейса системы, в результате чего администратору потребуется сначала сделать выгрузку файлов вручную, а затем отправить их заинтересованным лицам. В случае с формированием рассылок не хватает возможности создать несколько профилей связки «электронная почта — файлы по модулям», чтобы не отправлять ненужную информацию незаинтересованным сотрудникам.
Рисунок 4. Управление рассылкой в Solar Aura
Архитектура Solar Aura
Solar Aura состоит из восьми модулей, каждый из которых является самостоятельной информационной аналитической системой и решает определённый круг задач.
Антифишинг
Предназначен для поиска фишинговых сайтов, мошеннических ресурсов и потенциально опасных доменов.
Для скорейшего реагирования и блокирования опасных ресурсов вендор, являющийся компетентной организацией Координационного центра доменов (и в том числе участником проектов «Нетоскоп» и «Доменный патруль»), взаимодействует с регистраторами доменных имён, хостинг-провайдерами и центрами CERT как в России, так и за её пределами. Это позволяет оперативно реагировать на появление потенциально опасных ресурсов: 57 % из них блокируются менее чем за четыре часа, 87 % — менее чем за 24 часа.
Утечки
Модуль по поиску утечек используется для обнаружения в Сети конфиденциальных документов, корпоративных аккаунтов и паролей к ним, а также фактов опубликования конфиденциальной информации в репозиториях кода.
Даркнет
Использование функциональной возможности по поиску информации в даркнете позволяет своевременно выявлять массивы конфиденциальных сведений, выставленные на продажу или размещённые в открытом доступе, а также недобросовестных сотрудников, предлагающих корпоративную информацию за вознаграждение, или признаки готовящейся кибератаки.
Бренд компании
Ещё одно направление, которому уделено внимание в Solar Aura, — защита бренда заказчика. Для обеспечения безопасности по этому направлению провайдер услуги ищет в сети поддельные страницы, использующие бренд компании, поддельные аккаунты в соцсетях и фейковые приложения на площадках их распространения.
Личный бренд
Направление по защите топ-менеджмента организации. В его рамках осуществляется поиск фейковых аккаунтов защищаемых персон, проводится анализ упоминаний в СМИ и в публичном пространстве, которые могли бы выставить защищаемого в негативном свете, а также (при наличии согласия) обнаруживаются факты попадания личных данных защищаемого субъекта в публичные утечки.
Медиаполе
Этот модуль предназначен для мониторинга упоминания компаний и их продуктов в онлайн-публикациях, определения позитивного или негативного тона в отношении этих публикаций, а также возникающих рисков в ИБ, если упоминаются средства защиты информации, детали ИТ-инфраструктуры компании и т. д. Также происходит обнаружение признаков информационных атак, массовых вбросов негативных сведений и т. д.
Безопасность финансов
Используется в основном кредитными организациями. В рамках этого направления выявляется неправомерное использование интернет-эквайринга, когда на интернет-ресурсе могут производиться платежи, например, в пользу онлайн-казино. Имеется инструмент проверки контрагентов; благодаря ему выявляются выставленные на продажу на чёрном рынке ИП и юридические лица, которые могут использоваться в мошеннических целях.
Мониторинг периметра
Мониторинг периметра помогает компаниям отслеживать изменения на опубликованных ресурсах: появление новых сервисов, о которых могли не сообщить в службу информационной безопасности, новых открытых портов и программного обеспечения, использующего эти порты. В рамках сервиса производится анализ срока действия зарегистрированных ранее доменных имён (с целью не допустить их выкупа злоумышленниками) и контента официальных сайтов на предмет признаков несанкционированных изменений.
Сценарии использования Solar Aura
Рассмотрим предоставленный для обзора тестовый стенд в разрезе подключённых функциональных модулей.
Стартовое меню Solar Aura состоит из панели быстрого вызова подключённых модулей, а также панели мониторинга (дашборда) со статистикой по ним.
Рисунок 5. Дашборд со статистикой по срабатываниям модулей в Solar Aura
Рисунок 6. Панель быстрого перехода к модулям в Solar Aura
Рассмотрим работу в каждом из модулей подробнее.
Антифишинг
Раздел «Антифишинг» содержит в себе информацию о потенциально опасных доменах и ссылках, которые могут быть использованы для совершения атак против организации.
Рисунок 7. Перечень вкладок раздела «Антифишинг» в Solar Aura
В дашборде «Антифишинга» сводится статистика по обнаруженным подозрительным и опасным доменам, URL-ссылкам и заблокированным доменам.
Рисунок 8. Дашборд раздела «Антифишинг» в Solar Aura
Из дашборда можно перейти в каждый из подразделов модуля.
Рисунок 9. Подраздел «Домены» модуля «Антифишинг» в Solar Aura
Рисунок 10. Подраздел «URL-фишинг» модуля «Антифишинг» в Solar Aura
Здесь можно оставить примечание по обнаруженным доменам и ссылкам, подать заявку на блокировку домена, выставить признак опасности либо признать домен своим.
Рисунок 11. Заявка на блокировку домена в Solar Aura
Утечки
Раздел «Утечки» отвечает за принадлежащие компании-заказчику данные. Предоставляемая в рамках модуля информация поможет принять решение, например, о смене паролей взломанных аккаунтов или блокировке скомпрометированных банковских карт, что позволит минимизировать вероятность негативных последствий.
Рисунок 12. Перечень вкладок раздела «Утечки» в Solar Aura
Модуль имеет ряд категорий, в соответствии с которыми классифицируются утёкшие данные. Также есть возможность поиска событий через ряд фильтров.
Рисунок 13. Поиск утечек в Solar Aura
В карточке утечки фигурируют источник, в котором обнаружены данные, описание, а также скриншот найденного.
Рисунок 14. Пример карточки, описывающей утечку, в Solar Aura
Рисунок 15. Скриншот обнаруженного документа в Solar Aura
Не менее важным является поиск исходного кода программного обеспечения, принадлежащего заказчику, ведь в нём могут содержаться токены доступа, данные учётных записей и т. д. Поиск этой информации осуществляется в подразделе «Репозитории».
Рисунок 16. Пример обнаруженного открытого токена доступа сообщества в Solar Aura
Даркнет
В теневом сообществе интернета можно найти практически всё, в том числе украденные базы данных и предложения услуг по взлому компаний, «пробиву» данных и пр.
Рисунок 17. Перечень категорий подраздела «Услуги» модуля «Даркнет» в Solar Aura
Анализ представленных в модуле данных позволит своевременно реагировать на появление той или иной информации в продаже, выявлять инсайдеров и предотвращать иные противоправные действия в отношении компании.
Как и в остальных модулях, в карточке содержатся данные об источнике информации, описание, скриншот и т. д.
Рисунок 18. Информация об утёкшей базе данных в модуле «Даркнет» Solar Aura
Бренд
Защита бренда в последнее время приобрела весьма важную роль, поскольку логотипы, товарные знаки и прочие подобные объекты используются во множестве мошеннических схем. В этом случае компания-правообладатель несёт прямые имиджевые и потенциальные финансовые издержки.
Модуль «Бренд» помогает выявлять и своевременно блокировать использование бренда в социальных сетях и публикацию поддельных приложений в магазинах.
Рисунок 19. Товарные знаки, незаконно используемые в социальных сетях, в Solar Aura
Рисунок 20. Поддельные мобильные приложения, выявленные Solar Aura
Юридические лица
В этом разделе размещается информация о продаваемых в Сети юридических лицах, которые в дальнейшем могут использоваться для реализации мошеннических схем. Подобная информация очень ценна при заключении договоров с контрагентами или проведении совместных мероприятий.
Рисунок 21. Карточка юридического лица в Solar Aura
В интерфейсе Solar Aura есть возможность выгрузки реестра подобных юридических лиц в форматах XLS и CSV.
Эквайринг
Здесь указываются факты неправомерного использования эквайринга для проведения операций, например, в пользу онлайн-казино, а также номера карт, с помощью которых осуществляются подобные операции.
Рисунок 22. Карточка из модуля «Эквайринг» в Solar Aura
Проверка
В этом модуле два подраздела: «Контрагенты» и «Тренды». Первый позволяет самостоятельно искать информацию о контрагентах (в разрезе вопросов информационной безопасности) для дальнейшего принятия решения о сотрудничестве с ними и для оценки рисков атаки на компанию через подрядчика.
Рисунок 23. Статистика по контрагенту в Solar Aura
Раздел «Тренды» нужен для отслеживания тенденций и изменений в различных мошеннических схемах, распространяемых в телеграм-каналах. На момент подготовки обзора эта функция платформы не была описана в онлайн-справочнике.
Рисунок 24. Поиск в разделе «Тренды» по сочетанию «дроп+банк» в Solar Aura
Персонал
Этот модуль позволяет отслеживать упоминания заказчика в активных объявлениях о поиске работы. Такая информация ценна с точки зрения кадровой безопасности для оценки настроений сотрудников и своевременного формирования кадрового резерва, что позволит избежать простоя бизнес-процессов и сопутствующих ему финансовых и репутационных потерь.
Рисунок 25. Модуль «Сотрудники» в Solar Aura
Выводы
Solar Aura позволяет оперативно реагировать на возникающие вне периметра компании риски, реализация которых способна привести к финансовым, имиджевым и прочим потерям. Модульный принцип построения системы даёт возможность выбрать нужные услуги и сэкономить бюджет.
Также использование сервиса поможет выявить следы готовящейся целевой атаки на компанию, вбросы негативной информации в СМИ, использование бренда или имён топ-менеджмента в корыстных целях.
Комплекс аналитики, предоставляемый Solar Aura, может быть использован для выявления криминальных схем в компании и их особенностей: всех участников схемы, используемых ими инструментов и ресурсов.
Достоинства:
- Возможность подачи заявки на блокировку вредоносных доменов из интерфейса Solar Aura.
- Оперативное блокирование фишинговых ресурсов.
- Богатый выбор подключаемых модулей.
- Возможность подключения аналитического модуля.
- Круглосуточная техническая поддержка.
Недостатки:
- Функции, которые описаны в справочных материалах, не соответствуют реальным, поскольку техническое описание сервиса не успевает за его фактическим развитием.
