Даркнет на службе бизнеса: от мониторинга до управления инцидентами

Проактивная киберразведка перестала быть экзотикой и превратилась в стратегическую необходимость для любого серьезного бизнеса. Однако построение эффективной системы требует не только софта, но и уникальных компетенций, которые нельзя купить «с полки».

Как работать в даркнете, не нарушая закон, почему нужны годы на создание легенды и как отличить реальную угрозу от фейка за 5 минут – рассказывает Константин Мельников, руководитель департамента специальных сервисов Infosecurity (ГК Softline).

КАК ГАЛОЧКА В ОТЧЕТЕ ЧУТЬ НЕ ПОГУБИЛА БИЗНЕС

Для большинства компаний мониторинг угроз – всего лишь формальность: они отслеживают лишь прямые упоминания своего бренда. В то же время реальная опасность приходит с совершенно иного направления – через утечку данных рядового сотрудника, взлом подрядчика или предложение о продаже корпоративного доступа на закрытых хакерских форумах.

Приведу случай из нашей практики. К нам обратилась компания для пилотного мониторинга угроз. Её задача изначально звучала как «сделать для галочки». Но мы поступили иначе. Вместо скроллинга общедоступных форумов мы начали с разведки: проанализировали закрытые чаты хакерских группировок и их Telegram-каналы, и только потом вышли на общие площадки даркнета.

Уже в первые дни обнаружились первые угрозы: фишинг под руководство и фейковые страницы. Но настоящая находка ждала в закрытом канале. Там появилось объявление о продаже доступа к корпоративной почте неизвестной компании. Все детали – отрасль, масштаб, инфраструктура – идеально совпадали с профилем нашего заказчика. Не хватало лишь названия. Мы отправили предупреждение с доказательствами. Однако реакция службы безопасности была скептической: «Это обычный шум. С такими угрозами мы живем годами».

Спустя три месяца доступ к почте был куплен. В компании начались серьезные сбои и необъяснимые инциденты. Критическая ситуация совпала со сменой руководства отдела информационной безопасности. Новый директор первым делом запросил полную картину угроз. Старая отчетность была пересмотрена, и вся цепочка – от первичного обнаружения до неопровержимых доказательств – была заново проанализирована.

То есть угроза была абсолютно реальной, но ее проигнорировали из-за формального подхода к мониторингу. Осознание этой ошибки привело к серьезным кадровым и организационным изменениям внутри компании.

НЕ ПОИСК, А СТРАТЕГИЧЕСКИЙ ЦИКЛ

Проактивная оборона – не разовая акция, а непрерывный стратегический цикл, цель которого – не найти упоминание, а понять контекст угрозы и встроить эти знания в систему безопасности компании. Все начинается с вопроса: «Кто мы и какую ценность представляем для злоумышленника?» Без честного ответа нет стратегии. Нужна полная инвентаризация: продукты, бренды, ИТ-активы, публичный периметр, чтобы определить вероятные векторы атак. При этом нельзя защищать все одинаково. Для банка утечка данных клиентов катастрофична, а утечка внутренних инструкций – серьезна, но управляема. Поэтому важно фокусироваться на приоритизации угроз, основанной на их реальном влиянии на бизнес.

Также нужно понимать инструменты и тренды противника. Если в моде DDoS-атаки, мониторинг должен быть сосредоточен на чатах, где группировки договариваются о целях. Каждый выявленный вектор должен запускать четкий механизм ответа. Если удалось обнаружить фишинг, должен существовать отработанный процесс мгновенной верификации и блокировки – то есть должна быть технически закрепленная практика.

И ключевое – ретроанализ. Глубокий разбор прошлых инцидентов и даже старых угроз выстраивает полную картину, вытаскивая на свет «забытые» риски, вроде фишинговых сайтов трехлетней давности, которые все еще могут быть активны.

ТАКТИКА ЦИФРОВОГО РАЗВЕДЧИКА

Ключ к обнаружению реальных угроз – не просто в мониторинге группировок, а в умении коммуницировать с ними. Зачастую путь до уровня «цифрового разведчика» занимает годы. Нельзя посадить рядового сотрудника ИБ и сказать: «Иди поторгуйся с хакерами», он провалится на первом же вопросе.

Для разведчика в первую очередь важны легенда и репутация. На вопрос «откуда ты про меня узнал?» нельзя отвечать честно. Нужна проработанная история с отсылкой к реально существующему в среде персонажу. Кроме того, в даркнете говорят на своем языке, поэтому необходимо хорошо знать сленг, понимать контекст, уметь задавать косвенные вопросы. Хакер никогда не напишет «продаем данные такого-то банка». Он напишет «данные по финсектору».

Получив данные, сначала их нужно проверить. Зачастую самый эффективный метод – это анализ внутренней структуры. Например, в настоящих банковских системах ФИО клиента всегда разбито на три отдельных поля. А в фейковой «утечке» эти данные могут быть записаны одним слитным текстом. Подобная нестыковка и становится главным доказательством подделки.

И обязательное правило – техническая дисциплина. В даркнете много фишинговых копий площадок, зараженных файлов-ловушек, поэтому любая деятельность здесь должна строиться на абсолютно изолированном окружении.

КАК ОТЛИЧИТЬ РЕАЛЬНОСТЬ ОТ ФЕЙКА

В даркнете процветает индустрия дезинформации, построенная на безнаказанности. Самый базовый и массовый тип риска – мошенничество в мошенничестве. Как говорят – «ни один злоумышленник, которого обманули, в полицию не пойдет» – на этой аксиоме и строится целая индустрия. Многие, особенно «малолетние» участники, как мы их называем, специализируются именно на этом: предлагают нелегальные услуги или данные, принимают оплату – и просто растворяются. Покупатель, сам находящийся вне закона, не может никому пожаловаться.

Часто встречаются информационные фейки и приписывание чужих заслуг. Здесь злоумышленники активно создают шумиху, чтобы поднять свой статус. «Мы взломали такую-то компанию!» – кричат они, хотя на самом деле ничего не взламывали. Но в этом кроется и ирония. Когда компании заявляют: «Нас не взламывали, это фейк» – они иногда правы, не потому, что атаки не было, а потому что пострадал их подрядчик. Условно: злоумышленник проникает в сервис поставщика, который работает с данными банка, а в чатах сообщает: «Я взломал банк!» Сама организация может быть даже не в курсе инцидента, так как не контролирует инфраструктуру подрядчика.

Еще в даркнете можно столкнуться со сфабрикованными утечками. Это когда создаются и продаются абсолютно фейковые массивы данных. Их либо генерируют с нуля, либо собирают из старых, давно известных баз, выдают за новую находку и пытаются монетизировать.

Яркий пример: несколько месяцев назад в СМИ появилась новость о «крупнейшей в мире утечке» объемом 340 ГБ, которая якобы затронула несколько известных российских и американских социальных сетей и мессенджеров. Первый вопрос, который я задал: «Как технически между собой связаны эти ресурсы?» Впоследствии эксперты подтвердили: это не новая утечка, а просто скомпилированный сборник старых утечек.

К слову, эту базу сначала пытались продавать в даркнете, а когда поняли, что масштабного обмана не вышло – просто выложили в открытый доступ, чтобы создать шум.

УПРАВЛЕНИЕ ИНЦИДЕНТОМ: ПЛАН, СКОРОСТЬ И ТИПИЧНЫЕ ОШИБКИ

Когда утечка произошла, действовать нужно по четкому алгоритму. В первые же часы нужно информировать руководство, безопасность, ИТ, PR, оповестить ключевых партнеров, чтобы подготовиться к провокациям. Дальше необходимо запустить внутреннее расследование. Можно задать себе вопросы – откуда утекли данные, куда они могут распространиться, кто стоит за этим. Тут же решают, подключать силовиков или пока рано.

И только после этого — фокус на глубоком анализе и предотвращении рецидивов. Если утекло одно – не значит, что утекло только это. Злоумышленник мог придержать другие данные. Вот тут как раз разведчики и нужны – чтобы оценить намерения противника.

Рассмотрим на примере реального инцидента с крупным банком. Утечка случилась не у банка, а у его подрядчика. Злоумышленники выгрузили 500 ГБ данных (персональную информацию, номера карт, исходные коды) и выложили одним файлом в общедоступное облако. Это была ошибка, потому что в тот момент Telegram только ввел премиум-аккаунты с лимитом загрузки в 4 ГБ. Чтобы распространить 500 ГБ, им пришлось бы разбить архив на 125 частей, чем они, видимо, просто не захотели заниматься. Именно на этой ошибке мы построили нашу тактику – «гонку на опережение». Мы знали: для загрузки 500 ГБ нужно 20-30 минут. Используя наработанные методы, мы каждые 10-15 минут отправляли запрос на удаление ссылки.

Работало это так: злоумышленники выкладывали новую ссылку, через 10 минут она «умирала». В чатах – волнения: «не качается!» Они, теряя лицо, генерировали новую ссылку – мы блокировали снова. Мы целенаправленно выдерживали тайминг, чтобы максимум людей начали качать и испытали разочарование. Так мы терроризировали их около суток. В итоге они сняли все публичные ссылки: «Кто захочет – пишите в личку» Полностью файл успели скачать всего около 13 раз.

Но главное – мы выиграли для банка три критических дня. Пока в СМИ появлялись лишь короткие заметки «компанию взломали» без самих данных, банк успел сделать несколько ключевых шага: получить от нас образцы данных и понять реальный масштаб угрозы, установить, что взломан подрядчик, и срочно закрыть все уязвимости, а также подготовить грамотный публичный ответ. Банк вовремя проинформировал регулятора, и инцидент был локализован.

На практике одни и те же ошибки кочуют из компании в компанию. Чаще всего проваливаются из-за формального подхода, когда проблему пытаются «прикрыть», а не решить. Вторая проблема – отсутствие в штате людей с реальным опытом такой работы. Ну и классика: расследование всегда идет по самому очевидному пути, а альтернативные версии даже не рассматривают.

ГРАНЬ МЕЖДУ РАЗВЕДКОЙ И СОУЧАСТИЕМ

С правовыми границами в работе цифрового разведчика все строго. Главный принцип – отказ от любых действий, нарушающих закон. И дело не в этике, а в конкретных нормах. Многие забывают о юрисдикции. Угрозы глобальны, а законы – локальны. Недостаточно знать законодательство своей страны. Если устанавливаешь контакт с хакером из-за рубежа или защищаешь активы компании в другой юрисдикции (например, европейского филиала), то автоматически попадаешь под действие местных норм, которые могут быть значительно жестче в вопросах приватности или провокаций.

Запрет на провокации – ключевое правило. Действия разведчика не должны подталкивать злоумышленника к противоправным действиям. Фраза «Ты же не взломал, иди взломай!» – это прямая дорога к скамье подсудимых в качестве подстрекателя. Если злоумышленник последует «совету» и его поймают, ответственность понесут оба.

Еще опасны бартерные отношения. Некоторые злоумышленники избегают денежных транзакций, чтобы усложнить доказательство финансового преступления. Они предлагают обмен: «Дашь данные по компании X – получишь доступ к компании Y». Согласиться – значит самому совершить противоправное действие по обороту ворованной информации.

На одном из мероприятий мне задали вопрос: что делать, если разведчик пересек эту черту? Ответ прост: немедленное увольнение. Работа в даркнете – это дисциплинированная деятельность, требующая абсолютного соблюдения правового поля. Понимание этих границ приходит с опытом, но ждать, пока компания переживет инцидент, – опасно. Опыт можно и нужно приобретать проактивно.

Практически в каждой службе безопасности есть бывшие сотрудники правоохранительных органов. Их нанимают именно за знание процедур и «языка» силовиков. Этот ресурс нужно использовать максимально – для внутреннего аудита методик и построения коммуникации.

Также можно посещать специализированные мероприятия, например, конференцию ICT Crime. Это открытая площадка, где представители МВД, ФСБ, СКР прямо говорят бизнесу: на что они обращают внимание, какую информацию ждут и как правильно оформлять обращения. Они заинтересованы в грамотных заявителях, так как это экономит их время и повышает раскрываемость.

Если есть контакты, например, в управлении по борьбе с экономическими преступлениями, можно прийти на предварительную консультацию еще до инцидента. И задать прямой вопрос: «У нас есть подозрение на возможную атаку. Что нам нужно задокументировать и как собрать доказательства, чтобы вы могли быстро начать работу, если это потребуется?»

Что касается доказательств для правоохранительных органов, то им недостаточно заявления «Вася Петров из даркнета – хакер». Им нужна весомая, понятная суду доказательная база. К ним можно отнести логи, дампы трафика, результаты внутреннего расследования. Но с этим часто возникают проблемы. Данных может быть слишком много, и в них сложно разобраться. Не всегда хватает компетенции у самого правоохранителя, а главное – у следователя или судьи. Если они не понимают техническую суть DDoS-атаки, они могут не увидеть в ней состава преступления.

Финансовый след я бы назвал королем доказательств, именно он чаще всего приводит к реальному наказанию. Как только появляется денежный мотив (предложение купить данные, оплата выкупа), у правоохранителей появляется четкий и привычный маршрут для расследования.

Если платежи проходят через традиционную банковскую систему (не криптовалюту), цепочка «карта А – карта Б – обналичка/оплата услуг» приводит к конкретному человеку. Современные системы фрод-мониторинга банков и ЦБ позволяют по одному запросу получить практически готовую схему для суда.

И если инцидент серьезный и планируется обращение в госорганы, необходимо посоветоваться с ними заранее по фабуле будущего заявления. Они подскажут, на что сделать акцент.

ВЫВОД

Успешное управление инцидентами зависит не столько от технологий, сколько от скорости реакции и глубины предварительной подготовки. Это требует от компаний смены парадигмы: перехода от формального контроля к выстроенному циклу проактивной обороны. Его основа – развитие компетенций в области цифровой разведки, знающей как язык угроз, так и правовые рамки, а также заблаговременная разработка планов реагирования и налаживание диалога с правоохранительными органами. Такой подход позволяет трансформировать киберугрозу из фактора непредсказуемости в элемент управляемого риска.