chelceafc

Пользователи
  • Публикаций

    49
  • Зарегистрирован

  • Посещение

Информация о chelceafc

  • Звание
    Продвинутый пользователь

Посетители профиля

137 просмотров профиля
  1. Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сделала публичной свою внутреннюю разработку для графового анализа сетевой инфраструктуры, способную за несколько секунд выстроить связи между разрозненными данными, атрибутировать атаку до конкретной хакерской группы, исследовать и прогнозировать угрозы, релевантные для конкретной организации или отрасли. Запатентованные технологии сетевого графа Group-IB интегрированы в публичные продукты компании Threat Hunting Intelligence и Threat Detection System. Данный шаг со стороны Group-IB призван помочь аналитикам ситуационных центров и CERT (центры реагирования на инциденты), экспертам по киберразведке и компьютерным криминалистам исследовать тактику и инфраструктуру атакующих, улучшать собственную систему безопасности и обогащать свои навыки в области хантинга. Сетевой граф Group-IB создавался в течение нескольких лет, постоянно обогащаясь за счет новых индикаторов, полученных в ходе расследования киберпреступлений, реагирований на киберинциденты, анализа вредоносного ПО и других угроз, обнаруженных системами Threat Hunting Intelligence и Threat Detection System. Собранный за 16 лет работы массив исторических данных об атакующих включает миллиарды записей о доменных именах, IP-адресах, цифровых отпечатках серверов, задействованных в атаках, а также профили отдельных хакеров и групп. Сетевой граф Group-IB дает возможность уйти от «сырых» индикаторов компрометации к исследованию атакующих и управлению угрозами, релевантными для конкретного бизнеса. Аналитик, использующий его в продуктах Group-IB, вводит в поисковую строку домен, IP-адрес, e-mail или отпечаток SSL-сертификата, и система в автоматическом режиме строит граф, демонстрирующий взаимосвязи: информацию о доменных именах, IP-адресах, цифровых отпечатках серверов и др. Несмотря на то что большинство атакующих — особенно киберкриминальные и APT-группировки — стараются действовать максимально скрытно в сети, большинство из них в начале своего пути допускали ошибки и уделяли недостаточно внимания своей анонимности. «Без знаний о том, кто представляет для вас угрозу, невозможно защититься от нападения и предотвратить ущерб, — сказал Дмитрий Волков, CTO Group-IB, руководитель департамента Threat Hunting Intelligence. — Мы изучили десятки поставщиков разных графов, прежде чем пришли к тому, что нам нужна собственная разработка. До сих пор мы не нашли ни одного аналога, который удовлетворял бы нашим требованиям. Ни один из анализируемых графов не содержал полные коллекции исторических данных: домены, Passive DNS, Passive SSL, DNS-записи, открытые порты, запущенные сервисы на портах, файлы, взаимодействующие с доменными именами и IP-адресами. Мы начали создавать такие коллекции сами, включая все обновления в них с разной глубиной, достигающей 15 лет. Нас не устраивало ручное построение графа у других поставщиков, и мы полностью автоматизировали свой граф. В ответ на огромный объем «мусорных связей», которые дают другие продукты, мы обучили нашу систему выявлять нерелевантные элементы по той же логике, как это делали наши эксперты руками. Задача нашего графа – хантинг, безошибочная атрибуция и глубокие исследование атакующих. Теперь этот инструмент доступен в наших продуктах». Граф позволяет не только находить связанные элементы, но и выявлять общие свойства — паттерны, характерные для определенной хакерской группы. Знание этих уникальных признаков позволяет распознавать инфраструктуру атакующих еще на этапе подготовки и даже без свидетельств, подтверждающих атаку, таких как фишинговые письма или вредоносные программы. Например, в декабре 2018 г. хакерская группа Cobalt, специализирующаяся на целевых атаках на банки, провела рассылку от имени Центрального банка Казахстана. Если в распоряжении у аналитиков не оказалось фишинговых писем и нет возможности провести полный анализ вредоносных файлов, они могут построить граф по вредоносному домену nationalbank[.]bz. Граф сразу показывает связи с другими вредоносными доменами, атрибутирует это до группы — Cobalt — и демонстрирует, какие файлы уже использовались в атаке. В случае с расследованием фишинговых атак, интернет-мошенничества или пиратской деятельности, аналитики Group-IB автоматически строят графы связанных сетевых ресурсов и проверяют все найденные хосты на наличие аналогичного контента. Это позволяет выявлять как старые фишинговые сайты, которые были активны, но неизвестны, так и абсолютно новые, которые подготовлены для будущих атак, но еще не используются. Кроме того, сетевой граф является значительным подспорьем при поиске бэкендов — серверной части: 99% кардшопов, хакерских форумов, множество фишинговых ресурсов и других вредоносных серверов скрываются как за собственными прокси-серверами, так и за прокси легитимных сервисов. Знание о реальном расположении вредроносного сервера поволяет установить хостинг-провайдера, а также построить связи с другими вредоносными проектами злоумышленников. • Source: group-ib.ru/media/graph/ Дмитрий Волков, глава направления киберразведки и технический директор (CTO) в Group-IB, рассказал Anti-Malware.ru о том, что такое сетевой граф, как он может использоваться для расследования киберпреступлений и хантинга за атакующими, и почему Group-IB снова пошла своим путем и создала собственный инструмент для графового анализа, включив его в свои продукты. Меня всегда интересовали техники и сопутствующие им технологии, которые помогают в расследовании киберпреступлений. Понимаю, что раскрывать детали нельзя, но не могли бы вы рассказать о ключевых наработках компании в этом направлении? Д.В.: В Group-IB с момента основания компании (2003 год. – Прим. ред.) мы работали над созданием уникальной технологической инфраструктуры, которая позволяет проводить расследования киберпреступлений. Как она формировалась? В структуре Group-IB, аналогов которой нет ни в России, ни в мире, есть отдельные подразделения, которые отвечают за реагирования и компьютерную криминалистику, исследования вредоносного кода, киберразведку, расследования киберпреступлений. Для объяснения сути вопроса нам понадобятся именно эти подразделения, хотя структура Group-IB позволяет исследовать, прогнозировать и предотвращать далеко не только те преступления, которыми занимаются эти команды. По сути, нет ни одного цифрового преступления, которое не попадало бы в сферу компетенций компании сегодня. Так вот. У каждого из подразделений есть свои группы экспертов по разным направлениям и, конечно же, разные технологии и инструменты, узко заточенные под решение именно их задач. Например, киберразведка состоит из групп, которые делятся на Open Source Intelligence (OSINT), Human Intelligence, Data Intelligence, Malware & Botnet Intelligence, APT Intelligence. Каждая из них использует свои инструменты. Некоторые разработаны в Group-IB, другие являются бесплатными или коммерческими продуктами других компаний. Как все они работают в совокупности, рассказывать не могу. Но наш собственный сетевой граф применяется каждым из подразделений. Со временем мы приняли решение сделать его доступным в ряде продуктов компании, чтобы им могли пользоваться наши клиенты. Для каких конкретно целей используются сетевые графы, и откуда вы собираете входные данные для них? Д.В.: Исторически граф используется всеми техническими подразделениями Group-IB для таких целей, как расследования и атрибуция, выявление фишинга и мошенничества, обогащение индикаторов компрометации, корреляция событий, выявление паттернов атакующих, а также поиск их инфраструктуры, например скрытых серверов. Почему вы не воспользовались готовыми разработками, а решили разрабатывать собственный инструмент? Д.В.: На самом деле, мы пробовали. Прежде чем начать долгий и ресурсоемкий путь собственной разработки, мы искали решение для построения сетевого графа, отвечающего нашим задачам, у различных поставщиков. Мы до сих пор не нашли ни одного аналога, который бы удовлетворял наши требования. Основным ограничением, которое мы обнаружили при использовании других продуктов, была необходимость покупать доступ к разным коллекциям у разных поставщиков; при этом мы столкнулись с тем, что полный доступ ко всем историческим записям не предоставлял фактически ни один поставщик. Кроме того, не обработанные заранее данные вызывают множество нерелевантных результатов, и в некоторых случаях их корреляция невозможна. Также поставщики извлекали не все связи, которые нам нужны. Но, пожалуй, главное «узкое место» (bottleneck) состояло в том, что большинство существующих решений позволяют строить граф в ручном режиме. Автоматизированные интерфейсы дают возможность делать множество запросов, но это — очень и очень медленно. Насколько глубоко заглянуть в прошлое позволяют накопленные вами данные? Есть ли какой-то срок давности, после которого они становятся неинтересными? Д.В.: Мы оперируем коллекциями самых разных типов сведений. Например, история изменений регистрационных данных доменных имен или история регистраций на хакерских форумах у нас накоплена более чем за 10 лет. А вот история по запущенным сервисам на серверах — за 2 года. Но огромную ценность эти данные дают, когда между ними выстраиваются связи: тогда даже по новому индикатору можно заглянуть в историю очень глубоко. Срока давности, когда сведения становятся неинтересными, не существует. В нашем случае — наоборот, чем старее данные, тем они интереснее. Если стоит задача найти хакера, то много лет назад, когда он был новичком, он делал много ошибок, и поэтому старые данные позволяют гораздо проще идентифицировать и найти его. Можете на примере продемонстрировать, как работает графовый анализ? Допустим, я получил фишинговое письмо со ссылкой на вредоносный сайт или офисный файл с эксплойтом. Какую информацию об этом инциденте можно быстро извлечь при помощи вашего графа? Д.В.: Допустим, вы строите граф по ссылке из этого письма. Тогда вы можете получить ответы на следующие вопросы. Какие еще домены, IP-адреса, хэши файлов, SSL-сертификаты связаны с инфраструктурой атакующего? Какие файлы ассоциируются с нею и с этой ссылкой? Есть ли результаты анализа этих файлов в «песочницах» и связанные с ними индикаторы? К какому семейству может относиться вредоносный код? Детектируется ли он сетевыми сигнатурами? Какая из хакерских групп может быть причастной к этой атаке? Какие индикаторы надо дополнительно проверить, чтобы убедиться, что атака не была успешной? Как вы видите, ответы на эти вопросы могут не только дать вам «сырой» материал для расследований, но и помочь вам установить, кто стоит за атакой. Каким образом отбрасывается лишний шум, и как аналитик может обогатить данные за счет дополнительных источников? Д.В.: Чтобы отбросить лишний шум, эксперт анализирует причины построения связей и контекст вокруг них. Например, когда был зарегистрирован домен, перепродавался ли он, когда именно он использовался во вредоносных целях, был ли зарегистрирован у того же поставщика услуг, похожи ли регистрационные данные, как настроены серверы, какие сервисы скрытия данных использовались, взломана ли эта инфраструктура или арендована атакующим, и много другое. Система анализирует этот контекст и принимает решение, имеет ли тот или иной элемент отношение к анализируемому графу. После того как граф построен, его элементы могут быть экспортированы, и далее аналитик может использовать любые другие инструменты для проведения обогащения или дополнительного анализа. Если бы эту информацию аналитик собирал вручную, то сколько бы это потребовало времени, по вашему опыту? Д.В.: Ручное построение графа может занять от нескольких часов до нескольких дней. Все зависит от количества данных, которыми располагает аналитик, и от того, насколько сложным получается граф. В нашем случае граф строится за несколько секунд. Как «старая школа» относится к подобного рода автоматизации процесса киберразведки? Д.В.: Граф – это инструмент, которым можно пользоваться как автоматически, так и в полуручном режиме, когда эксперт сам строит его руками шаг за шагом. И в первое время эксперты каждый граф пытаются строить руками, чтобы проверить результаты автоматизации. Но когда они понимают, что система это делает так же, а иногда и лучше них, то привыкают к хорошему и начинают пользоваться инструментом уже в автоматическом режиме. Громкие новости о причастности к инцидентам тех или иных правительственных хакеров повышают важность атрибуции атак. Насколько достоверны такие сведения от вашей компании или коллег по цеху? Цепочка доказательств не всегда выглядит безусловно убедительной для стороннего наблюдателя. Д.В.: Компании, которые профессионально занимаются киберразведкой и расследованиями инцидентов, делают свою работу хорошо, и многим их результатам мы доверяем. Но так ведут себя далеко не все, кто работает на рынке кибербезопасности. Очень часто проверить результаты атрибуции, сделанной другой компанией, не представляется возможным. Это случается по двум основным причинам. Во-первых, у вас нет доступа к нужным данным. Например, вы не занимались реагированием (Incident Response) в этом инциденте, поэтому не видите всего, что происходило в сети. Вы не участвовали в расследовании, поэтому не имеете данных, которыми с вами могли поделиться правоохранительные органы. Во-вторых, в публичном пространстве не раскрывают все детали атрибуции. И это тоже обоснованно. Как минимум потому, что вы не хотите, чтобы атакующий лишил вас возможности делать атрибуцию в будущем — а это обязательно случится, как только будет известно, как именно вы вышли на его след. Кроме того, публичные отчеты, как правило, предназначены для PR, а вот для технических специалистов проводятся закрытые семинары или делаются детальные доклады на конференциях по кибербезопасности. Можно ли для произвольной целевой атаки определить источник, из какой страны атакующие, и кто может быть потенциальным заказчиком? Д.В.: Да, это возможно. Не всегда это удается сделать быстро. Поясните, почему киберпреступники не могут обмениваться опытом или заимствовать удачные техники конкурентов? Как можно удостовериться в уникальности «цифрового следа»? Д.В.: Киберпреступники и могут, и обмениваются опытом, одни группы маскируются под другие, это — распространенная практика, которая усложняет атрибуцию и нередко приводит к ошибкам в ней. В любом случае простого ответа на этот вопрос быть не может. Однако совокупность факторов позволяет не только выявлять ложные следы или попытки замаскироваться, но и находить тех, кто реально стоит за атакой. В каких продуктах Group-IB уже используется сетевой граф вашей разработки? Д.В.: Хотел бы напомнить, что долгое время наш сетевой граф был исключительно внутренним инструментом. За все время нашей работы ни одно расследование Group-IB не обходилось без анализа сетевой инфраструктуры атакующих. Фундамент нынешнего сетевого графа закладывался вручную: раньше специалисты по киберкриминалистике и расследованиям могли в течение нескольких недель анализировать взаимосвязи, иногда они обнаруживали «мертвую ветвь» расследования, иногда заходили в тупик. На проверку гипотезы тратилось много времени, нередко приходилось повторно анализировать огромные объёмы данных. Фактически каждое наше подразделение нуждалось в инструменте, который агрегирует все данные, позволяет удобно искать по ним взаимосвязи и исследовать сетевую инфраструктуру. Со временем мы сделали то, что хотели, а следующим шагом стало встраивание графа во все наши разработки. Сейчас он добавлен в продукты Group-IB Threat Intelligence, Threat Detection System (TDS), Secure Bank, Secure Portal, а также в систему Brand Protection. Могут ли заказчики использовать накопленную вами базу для собственных расследований или в качестве платформы Threat Hunting? Д.В.: Заказчики любой из наших систем могут пользоваться графом для собственных исследований. Единственное ограничение состоит в том, что ссылки на детальное описание угроз доступны только подписчикам Group-IB Threat Intelligence. Мы стремимся как можно больше делиться своими знаниями с клиентами, нам интересно решать сложные кейсы, именно таким задачам отвечают наши продукты. Мы глубоко убеждены, что кибербезопасность должна быть «умной».
  2. Нужен запрос по пфр. Все подходит .
  3. chelceafc

    Куплю ролки USA

    Куплю ролки боа усы, можно и другие банки (visa/mc). ПМ
  4. Сканы РФ Все свежие,валидные При первом заказе получаете +пробник 2,3стр+прописка-104р Замена возможна при предъявлении скрина,если невалид
  5. Кто делает такие доки, очень буду рад плачу двойную цену. Готов раз в месяц делать заказ. Но должно быть все четко. Одним словом не пирожки по ним продавать.
  6. умельцы по ziprecruiter. отпишите в пм с жабой.
  7. Схема идеально белая..........Всё что нужно от вас,это люди которые будут готовы покупать услугу. Сфера беттинга сейчас очень актуальна,а грамотных аналитиков нет. Я за клиентами не гонюсь,потому что их итак хватает,но пишу здесь для тех,кто хочет иметь прибыль с людей,которых они приведут ко мне. В нынешнее время в крупных городах есть так называемая "Золотая молодёжь" и если в вашем окружении есть такие,то это ваш шанс стать богаче за счёт их. Все подробности в ЛС
  8. Отдам в хорошие руки.! Писать в личку решим.
  9. присылайте все что есть.