Кіберрозвідка або комп'ютерний вплив (також можна зустріти використання терміну «Кібершпигунство») - як правило, термін, якій означає, несанкціоноване отримання інформації з метою отримання особистої, економічної, політичної або військової переваги, що здійснюється з використанням обходу (злому) систем комп'ютерної безпеки, із застосуванням шкідливого програмного забезпечення, включаючи «троянських коней» та шпигунських програм.
Операції кібервпливу/кіберрозвідки можуть здійснюватися як дистанційно, за допомогою доступу до глобальних обчислювальних мереж (на кшталт всесвітньої павутини WWW(world wide web), мережи Internet та Great Firewall of China та таке інше), так і шляхом фізичного проникнення в комп'ютери та комп'ютерні мережі підприємств звичайними агентами впливу, шпигунами, «кротами», а також хакерами.
З недавнього час кіберрозвідка включає аналіз фахівцями поведінки користувачів соціальних мереж, таких як Facebook і Twitter з метою виявлення екстремістської, терористичної або антиурядової діяльності. Наприклад, за допомогою програми Athena співробітники ЦРУ можуть віддалено змінювати налаштування операційних систем, заносити віруси, а потім вивантажувати файли із заражених пристроїв. Athena працює на комп'ютерах із програмним забезпеченням Windows. Програма була розроблена ЦРУ спільно з американською компанією Siege Technologies, яка займається питаннями кібербезпеки.
Як правило, операції кібервпливу є незаконними в країні-жертві, тоді як в країні-ініціаторі вони підтримуються на найвищих рівнях влади. Після виявлення випадків кібершпигунства з боку КНР проти США, співробітник Інституту комунітарних політичних досліджень Амітай Етціон (Amitai Etzioni) запропонував Китаю і США виробити політику взаємного гарантованого стримування в кіберпросторі. Така політика дозволила б обом державам вживати заходів, які вони вважатимуть необхідними для їхнього самозахисту, одночасно погоджуючись утримуватися від наступальних дій в кібернетичному просторі (кібератак) або організації та виконання кібершпигунства один проти одного, що має бути забезпечене механізмом відповідних перевірок.
Сучасна тенденція створення надійної системи виявлення втручання, дуже важлива для забезпечення безпеки організацій та установ. Однак кожну систему, навіть саму захищену можна подолати, якщо збільшити хаотичність та кількість помилкових спрацьовувань та реакцій на завади. Одна з основних проблем, з якою стикається сучасній CISO (Chief Information Security Officer), за наявності великої кількості попереджень та файлів журналів для перегляду, полягає в тому, що вибирається випадкові пріоритети, а в деяких випадках навіть ігнорується майбутні попередження, тому що вважається, що їх не варто розглядати. Згідно зі звітом Lean on the Machine від компанії Microsoft, середньостатистичній великій організації доводиться переглядати щотижня, більш ніж 17000 попереджень про шкідливі програми, а в середньому потрібно три місяця на виявлення порушення безпеки. Сортування сповіщень зазвичай відбувається на рівні центру управління мережею, і затримки при сортуванні можуть призвести до ефекту доміно, тому що якщо на цьому рівні відбувається збій, операція також завершиться невдачею, і в цьому випадку вона виконуватиметься групою реагування на комп'ютерні інциденти.
Важливим напрямків використання кіберрозвідки є допомога з виявлення та протидії втручанням. Так наприклад Міністерство внутрішньої безпеки США має Управління розвідки та аналізу, яке використовує розвіддані для зміцнення безпеки кордонів. Це досягається за рахунок обміну інформацією між різними установами та надання прогнозних відомостей особам, які приймають рішення на всіх рівнях.
Ви можете покращити процес виявлення, дізнавшись більше про своїх противників, їх мотивацію та методи, можливих кібератак, які вони використовують.
Що таке кібератака?
За своїм визначенням Кібератаки спрямовані на пошкодження важливих документів і систем у корпоративній або персональній комп’ютерній мережі, а також отримання доступу до них.
Кібератаки здійснюють як окремі особи, так і цілі організації в політичних, кримінальних або особистих цілях для знищення засекреченої інформації чи отримання доступу до неї.
До кібератак відносится:
• Шкідливе програмне забезпечення
• Розподілені атаки на відмову в обслуговуванні (DDoS-атаки)
• Фішинг
• SQL-ін’єкції
• Міжсайтові сценарії (XSS)
• Бот-мережі
• Зловмисні програми з вимогою викупу
Виникає запитання: який профіль атаки є найбільш вірогідним для вашої організації?
Буває по різному. Якщо ваша організація спонсорує певну політичну партію, а ця партія робить щось проти чого категорично виступає хактивістська група, ви можете стати мішенню. Якщо ви ідентифікуєте себе як ціль для атаки, виникає наступне питання: які наявні ресурси з найбільшою ймовірністю приваблює цю групу? Знову ж таки по-різному. Якщо ви є фінансовою групою, кіберзлочинці будуть вашою головною загрозою. Зазвичай їм потрібна інформація про кредитні картки, фінансові дані тощо.
Тож кіберрозвідка дуже щільно пов’язана з кіберзахистом й використовує багато таких саме методів. Тому поняття редтимингу буде корисно й для фахівця кібервпливу.
Red Teaming (атака "червоної команди") - це комплексна імітація реальних атак з метою оцінки кібербезпеки систем. «Червона команда» є групою пентестерів (фахівців, які виконують тест на проникнення в систему). Вони можуть бути як найнятими з боку, так і співробітниками вашої організації, але в усіх випадках їхня роль однакова - імітувати дії зловмисників і намагатися поринути у цільову систему.
Редтимінг є одним із найменш зрозумілих методів управління кібербезпекою, і багато організацій, як і раніше, неохоче використовують цю практику. Поряд із «червоними командами» у кібербезпеці існує й низка інших. Таких як, «синя команда» (Blue Team) яка працює разом із червоною, але її діяльність спрямована на підвищення безпеки інфраструктури системи зсередини. А також "пурпурна команда" (Purple Team), яка є сполучною ланкою, що допомає двом іншим командам у розробці стратегії нападу та заходів захисту.
Тому використання кіберрозвідки як частини системи захисту, це є можливість вивчення даних про конкретні категорії противників, і становить ще однією важливою перевагою. Наприклад, якщо вас цікавить діяльність фінансової установи, вам потрібно отримати інформацію про загрози, що походять від зловмисників, які активно атакують цю галузь. Якщо ви починаєте отримувати попередження, пов'язані з атаками, які відбуваються у навчальних закладах, це не надто вам допомагає. Знання типу ресурсів, які ви намагаєтеся захистити, може також допомогти звузити коло суб'єктів загроз, про які ви повинні більше турбуватися, а кіберрозвідка може дати вам цю інформацію.
- Викладач: Адміністратор32 Кафедра32