Киберпреступники используют множество схем, предполагающих создание вредоносных или фишинговых доменов. Они могут использовать эти домены для атак на ваших клиентов, партнеров или даже сотрудников. Именно поэтому время от времени у компаний возникает необходимость заблокировать опасный домен, причем некоторые крупные организации сталкиваются с такими угрозами достаточно регулярно.
Обычно «прикрыть» вредоносный домен вполне реально, но это требует от сотрудников ИБ определенного опыта и огромного количества времени. Но чаще всего как раз лишнего времени на это и нет. При выявлении такой угрозы промедление может привести к потере дохода, репутационному ущербу, потере доверия клиентов, а возможно, и к утечке данных. Именно поэтому мы обновили нашу платформу Threat Intelligence новым сервисом — Kaspersky Takedown.
Важность Threat Intelligence в деле защиты корпоративной инфраструктуры
Threat intelligence — это набор сервисов, которые помогают компаниям ориентироваться в постоянно меняющемся ландшафте киберугроз и принимать правильные решения для повышения уровня своей кибербезопасности. Эти сервисы включают в себя профессиональные инструменты для расследования инцидентов, потоки аналитических данных о новых целевых кибератаках и многое другое. С помощью Threat Intelligence эксперт по кибербезопасности может понять, чем занимаются потенциальные противники, насколько хорошо они вооружены, какие стратегии и тактики они используют в настоящее время и так далее.
Одним из самых полезных инструментов в нашем портфеле Threat Intelligence является сервис Digital Footprint Intelligence (DFI). Он служит для составления подробного динамического «цифрового портрета» организации (в него входят ресурсы сетевого периметра — IP-адреса, домены компании, используемые облачные и хостинг-провайдеры, связанные бренды, дочерние компании и филиалы), а затем позволяет мониторить этот «портрет» по открытым источникам, в даркнете и дипвебе, а также в нашей внутренней базе знаний, которая содержит информацию о сотнях осуществляемых целевых атак и различных вредоносных инструментов.
Таким образом, DFI выявляет уязвимости, потенциальные угрозы и утечки данных, а также признаки прошлых, текущих и даже только планируемых кибератак. И делает он это весьма эффективно (вот только один пример наших DFI-расследований на Ближнем Востоке).
Что можно сделать с вредоносным доменом?
Итак, как же должен действовать сотрудник службы информационной безопасности, если мониторинг обнаружил, например, фишинговый веб-сайт, который выдает себя за один из ваших и крадет номера кредитных карт ваших пользователей? Обычно в таком случае начать придется со сбора доказательств кибермошенничества, затем создать запрос на удаление, отправить его в организацию, управляющую доменной зоной сайта, а потом мониторить выполнение этого запроса и при необходимости предоставлять дополнительные материалы. Это достаточно трудоемкая задача, требующая отдельного специалиста (а то и целой команды).
Теперь же мы обновили наш DFI-сервис услугой Kaspersky Takedown, которую можно использовать для управления процессом блокировки вредоносных, фишинговых или захваченных доменов. Как только DFI находит такую угрозу, все, что нужно сделать безопаснику — это несколько раз щелкнуть мышью, чтобы создать запрос на блокировку сайта. Дальше все автоматизировано. Мы собираем доказательства, отправляем их в компетентные органы, следим за запросом и информируем клиента о каждом этапе данного процесса.
За несколько лет мы установили прочные профессиональные отношения с регистраторами доменных имен, национальными и отраслевыми группами реагирования на чрезвычайные ситуации (CERT), международной киберполицией (Интерпол, Европол) и другими соответствующими компетентными организациями. Сегодня на блокировку вредоносного сайта у нас уходит в среднем несколько дней (в зависимости от доменной зоны, уровня домена и конкретного хостинг-провайдера). Услуга не слишком дорогая, при этом использование нашего сервиса освобождает специалистов от сложной непрофильной работы, снижает цифровые риски, позволяет штатным специалистам сконцентрироваться на собственных приоритетных задачах.
Вы можете подписаться на наши сервисы threat intelligence здесь.