Интервью со Станиславом Гончаровым (F.A.C.C.T.) про безопасность цифровых активов

Редакция CISOCLUB поговорила со Станиславом Гончаровым, руководителем департамента защиты от цифровых рисков Digital Risk Protection компании F.A.C.C.T. В ходе интервью эксперт подробно рассказал о текущих киберугрозах, с которыми сталкиваются бренды в 2024 году, и объяснил, как компании могут противостоять фишинговым и мошенническим атакам. По его словам, почти 80% всех создаваемых мошеннических ресурсов маскируются под известные бренды, что делает угрозы актуальными для бизнеса любого масштаба. Особенно значительное внимание уделено росту таких атак в финансовом секторе и сфере электронной коммерции.

Станислав отметил, что современные DRP-решения (Digital Risk Protection) позволяют компаниям выявлять и защищать незащищенные цифровые активы, предлагать комплексную защиту от фишинга, пиратства, утечек данных и других актуальных угроз. Эксперт подчеркнул, что ключевым моментом при защите бренда является оперативное реагирование и точная оценка угроз на основе технического анализа и фактов. Это особенно важно в условиях, когда репутационные и финансовые потери могут быть критическими для бизнеса.

Какие киберугрозы для брендов актуальны в 2024 году?

В 2024 году основные угрозы для правообладателей по-прежнему связаны с онлайн-мошенничеством и фишингом. Почти 80% всех создаваемых мошеннических и фишинговых ресурсов маскируются под бренды известных компаний — это данные собраны на основе статистики одной крупной партнерской программы, созданной злоумышленниками. Количество таких ресурсов стремительно растёт, и эти угрозы актуальны для всех направлений бизнеса.

Рассмотрим ситуацию на примере финансового сектора. По данным F.A.C.C.T., за первое полугодие 2024-го злоумышленники создали фишинговых ресурсов, использующих бренды финансовых компаний и организаций, на 48,3% больше, чем за тот же период прошлого года. Число мошеннических ресурсов, использующих бренды финансового сектора, за этот же период увеличилось на 29,4%. В сфере электронной коммерции можно отметить схожие тенденции: увеличивается количество как фишинговых, так и мошеннических ресурсов, использующих бренды компаний из этого сектора.

Значительный рост количества внешних цифровых угроз обусловлен развитием партнёрских программ и крупных мошеннических схем, состоящих из сотен, в некоторых случаях и тысяч участников. Повышение доступности криминальных кибертехнологий для новых участников влияет не только на количество создаваемых мошеннических и фишинговых ресурсов, но и на расширение охвата брендов, которые эксплуатируют злоумышленники.

Какие технологии используют крупные компании для защиты цифровых активов и бренда в условиях растущих киберугроз? Какие процессы наиболее важны при построении эффективной системы защиты бренда от репутационных рисков и атак?

Ответ зависит от сегмента, в котором работает компания, и её подхода к защите цифровых активов. Например, компании в сфере промышленности и ТЭК по сравнению с финансовым сектором и электронной коммерцией меньше затрагивает угроза фишинга. Для них куда опаснее скам, когда злоумышленники производят от имени компании e-mail рассылки.

Если компания не занимается защитой бренда и цифровых активов, то столкнуться с угрозой может любой департамент. Например, маркетологи замечают появление в интернете ссылок или контекстной рекламы с упоминанием бренда, которые не относятся к компании. Можно сигнализировать юристам, в службу информационной или экономической безопасности, но что дальше? Искать контакты администраторов ресурсов, которые представляют опасность для бренда, и затем обращаться в суд? С таким подходом на решение одного кейса могут уйти месяцы, но это не решает проблему в моменте. А реагировать на такие ситуации нужно оперативно, особенно когда время реагирования пропорционально ущербу репутации и последующим финансовым потерям.

Есть и другая сторона медали. При возникновении любой угрозы важно дать ей точное определение, которое выстраивается на основе фактов, паттернов, действий того или иного ресурса: это мошенничество, фишинг, неправомерное использование товарного знака или что-то другое. Необходимо понять масштаб угрозы, её техническое исполнение. Из этого складывается комплексная оценка угрозы, необходимая для эффективной защиты цифровых активов компании.

Когда отработка угроз для бренда и цифровых активов своими силами не даёт компании желаемой эффективности, для неё становятся актуальны DRP (Digital Risk Protection – класс решений защиты от цифровых рисков). Мы были одними из первых в России, кто предложил такой продукт для бизнеса. DRP определяет незащищенные области цифровых активов и защищает бренд от цифровых угроз. Мы ориентируемся на ключевые области защиты от цифровых угроз: антимошенничество, антиконтрафакт, антипиратство, обнаружение утечек данных и защита руководителей, топ-менеджмента компаний от появления фейковых аккаунтов.

При выборе решения для защиты цифровых активов компания сталкивается с понятными трудностями: на рынке много предложений в самых разных форматах. Бывает, что компании собирают «солянку» из предложенных на рынке услуг, выбирают способы защиты, которые не удовлетворяют заказчика, и тогда поиски решения продолжаются. Порой к нам приходят уже после опыта взаимодействия с другим вендором. Компаниям, которые находятся на определённом уровне зрелости информационной безопасности, сделать верный выбор легче: у них есть точное понимание ключевых угроз и направлений, на которых они появляются.

В некоторых случаях крупные компании, которые серьёзно вкладываются в развитие информационной безопасности, у которых есть свой SOC, порой своя киберразведка (Threat Intelligence), после нескольких лет работы с DRP задаются вопросом: а почему бы нам не защищать цифровые активы самим, если у нас есть своя армия разработчиков? И начинают создавать свои решения. Это всё равно что отказаться от фирменного велосипеда, сделанного на фабрике с использованием современных технологий из комплектующих высшего качества, и собрать свой собственный. Понятно, что это будет велосипед совсем другого уровня. Поэтому мы рекомендуем в подобных случаях параллельно продолжать использовать проверенные временем DRP до тех пор, пока не будет подтверждена полная эффективность самостоятельного решения.

За разработкой собственных DRP-платформ порой стоит стремление оптимизировать расходы компании. Но экономика говорит об обратном. В нашем случае программное обеспечение Digital Risk Protection – это результат многолетнего труда огромной команды разработчиков, специалистов, продукт знаний, опыта и новейших технологий, который мы используем для защиты множества брендов и компаний.

Как компании обеспечивают контроль над упоминаниями бренда в цифровом пространстве и какие инструменты помогают отслеживать негативную активность?

Важно разделять разные ситуации упоминания бренда. Когда речь идёт исключительно про упоминания компании в отзывах, на различных страницах и в социальных сетях, для этого достаточно инструментов мониторинга и анализа соцмедиа, которые наверняка есть у PR-службы или отдела маркетинга. Эти же инструменты включают оценку тональности упоминания бренда.

Другое дело, когда мы говорим о защите правообладателя от действий злоумышленников, которые намеренно пытаются причинить ущерб компании и её клиентам. Например, используя бренд компании в сети Интернет с мошенническими и фишинговыми целями, пиратского распространения цифрового контента, или когда происходят утечки данных, которые могут нанести ущерб компании и её клиентам.

Для оперативного выявления и пресечения таких инцидентов DRP должна обладать мощным функционалом. Например, для успешного противодействия использованию бренда в мошеннических целях необходим круглосуточный мониторинг фишинговой и мошеннической активности, поисковых систем, соцсетей и мессенджеров, рекламы для выявления, анализа и реагирования на угрозу, затрагивающую бренд клиента. Также требуется отслеживание использующих бренд мобильных приложений в легальных и «серых» магазинах, поиск групп и постов в соцсетях для предотвращения попыток маскировки под бренд, прогнозирование угроз на основе автоматического анализа связей между найденными и ранее зафиксированными нарушениями. В нашем решении Digital Risk Protection мы используем набор разнообразных инструментов для каждого направления защиты цифровых активов.

Если компания ещё не сталкивалась с такими угрозами, могут возникнуть сомнения, а нужна ли такая защита? Мошенничество в цифровой среде развивается на высоких скоростях. Площадь поверхности атаки на цифровые активы увеличивается каждый день. Если угроза не просматривается прямо сейчас, это значит, что она может возникнуть уже завтра. Пожар лучше не допустить вовсе, а если кто-то уже стал жертвой мошенничества от имени компании, потерял деньги и доверие к бренду – это уже реальные потери.

Как компании, применяющие современные решения для защиты от фишинга и других кибератак, могут использовать это для укрепления доверия клиентов к бренду?

Мы ведём активную просветительскую деятельность, рассказываем о совместных историях успеха: как наши клиенты борются с мошенниками, раскрываем конкретные кейсы, как используемые решения помогают сохранить доверие, финансы и данные пользователей. Предупреждён – значит, вооружён: каждая такая публикация помогает аудитории стать ещё внимательнее и не попасться на уловки злоумышленников, а компании – укрепить доверие к бренду и имидж лидера в своей области, понимающего важность внедрения технологий информационной безопасности и заботы о пользователях.

Как выстраивается взаимодействие между IT-отделом и маркетинговой службой для обеспечения единой стратегии защиты бренда в цифровом пространстве?

Вернёмся к примеру с отделом маркетинга, который приводил выше. В каждой компании ситуация своя. Если маркетологи столкнулись с угрозой для бренда в цифровом пространстве, они, скорее всего, отправятся в отдел информационной безопасности (если он есть в компании). В одних компаниях отдел ИБ входит в IT-департамент, в других есть только IT. Если ни отдел маркетинга, ни юридический департамент не в силах решить проблему с цифровыми рисками самостоятельно, они обращаются к коллегам из IT в надежде на чудо, которое поможет устранить угрозу или обнаружить новые. Но возможности для оперативного реагирования на инцидент ограничены, и чуда в такой ситуации ждать не стоит.

Кроме того, схемы онлайн-мошенничества и фишинга постоянно эволюционируют, злоумышленники используют знания IT и в других сферах. Например, они создают фишинговые сайты с ограничениями по доступности контента для определённых IP-адресов, по территориальному признаку, для определённых устройств. Порой такие сайты не получится найти с помощью обычных методов поиска. Чтобы предотвратить таргетированные атаки, нужно действовать совсем на другом уровне. В этом преимущество DRP, которая позволяет обнаруживать фишинговые сайты, использующие бренды компаний-клиентов, практически сразу после их создания.

Какие методы и инструменты используются для предотвращения неправомерного использования интеллектуальной собственности в интернете?

Этих инструментов не так много. Когда компания–правообладатель бренда задумывается о том, как предотвратить его незаконное использование в цифровом пространстве, как правило, одна из первых идей – запретить регистрировать домены, схожие с названием бренда. Но регистраторы – это коммерческие организации, которые предоставляют свои услуги всем желающим. И дело не в сходстве домена с определённым брендом, а в контенте, который размещается на ресурсе, насколько правомерно он используется.

Бывают и такие кейсы, где проблемы решаются не на основе неправомерного использования интеллектуальной собственности, бренда, а других нарушений, которые бренда не касаются. Например, нарушения политики размещения контента, нарушения, связанные с регистрацией доменных имён, и другие легитимные основания, не связанные с интеллектуальной собственностью. В ходе комплексного реагирования мы добиваемся оперативной блокировки ресурса, устранения нарушений и удаления контента.

Работая над предотвращением неправомерного использования бренда, мы регулярно выявляем ресурсы, связанные с мошенническими схемами. Каждую обнаруженную угрозу добавляем в системы скоринга нарушений. Например, с помощью нашей технологии графа аффилированных связей сетевой инфраструктуры, используя цифровой отпечаток (IP-адрес, почту, SSL, SSH-сертификаты и другую доступную информацию), устанавливаем связи ресурса с другими активностями и угрозами. Наши технологии позволяют выявить всю сетку ресурсов, которые готовятся к фишинговой атаке. Например, таким образом мы выявляем сотни, а иногда и тысячи опасных ресурсов, агрегируем эту информацию для клиентов и проводим дальнейший комплекс реагирования.

Насколько важна автоматизация в процессах защиты цифровых активов и какие подходы используются для улучшения эффективности?

На примере Digital Risk Protection компании F.A.C.C.T. можно увидеть, как программное обеспечение позволяет обеспечить круглосуточную защиту цифрового присутствия компании в сети Интернет.

Наши технологии основаны на машинном обучении, нейронных сетях, инновациях, высокой компетенции в области защиты брендов, а также обширном опыте в кибербезопасности, и они применяются на всех уровнях: мониторинг, выявление и скоринг угроз, вредит и дальнейшее реагирование. F.A.C.C.T. Digital Risk Protection входит в Реестр российского программного обеспечения. Преимущество таких решений – в том, что они обеспечивают эффективность, какой невозможно добиться ручными методами.

В среднем наша система проводит мониторинг миллионов ресурсов в день по всем источникам. Такой охват важен для обеспечения оперативного выявления и анализа потенциальных угроз. Фишинговые атаки готовятся масштабно, и противодействовать им нужно таким образом, чтобы для злоумышленников продолжать атаки на бренд стало нецелесообразно.

Конечно, важно использовать для быстрого взаимодействия различные API, обогащать свои системы дополнительными фидами, иметь различные юзер-агенты, прокси и краулеры, скоринг и технологии по распознаванию логотипов и текста. А также постоянно работать над улучшением и автоматизацией процессов. Логику процессов защиты цифровых активов задают люди, а технологии, связанные в том числе с использованием искусственного интеллекта, создают новые возможности для развития этой защиты.

Для клиентов важно не просто быть в курсе процессов, обеспечивающих защиту их цифровых активов, но и наглядно видеть, понимать, как работает продукт, чтобы он был «прозрачным». Для этого в интерфейсе F.A.C.C.T. Digital Risk Protection реализован богатый функционал и различные возможности фильтрации по источнику нарушения, классификации нарушения и его статусу, датам выявления и принятых действий по нарушению, полный анализ в карточке нарушения, включая скоринг и связи с другими активностями злоумышленника, выгрузкой отчета за выбранный период, внесение комментариев и обращения в службу поддержки клиентского сервиса. Такой интерфейс продукта позволяет использовать его в разных сценариях: подробно анализировать результаты и изучать каждый кейс или использовать дашборд для верхнеуровневой оценки состояния защиты цифровых активов.

Как крупные компании защищают бренд на социальных платформах, учитывая множество фальшивых аккаунтов и дезинформации?

Непосредственно с дезинформацией работает PR-служба компании, взаимодействуя с аудиторией. Да, фейковые аккаунты могут распространять дезинформацию, но всё-таки в первую очередь мы говорим о противодействии нарушениям или неправомерному использованию интеллектуальной собственности на социальных платформах. DRP позволяет не только выявлять и реагировать на угрозы в веб-ресурсах, но и работать с такими источниками, как социальные сети, мессенджеры, мобильные приложения и торговые площадки.

Нередки случаи, когда у бренда нет легитимных аккаунтов в социальных сетях. И тогда в этой роли может выступить кто угодно. Официальное представительство в социальной сети необходимо компании по многим причинам, в том числе и для обратной связи с пользователями, и для подтверждения легитимности в случае создания фейковых аккаунтов.

Какие новые тенденции в области киберугроз могут повлиять на стратегию защиты бренда в ближайшие годы?

Продолжающаяся автоматизация фишинговых и мошеннических схем в совокупности с применением ИИ, которая непосредственно влияет на количество совершаемых атак, требует от решений по защите цифровых рисков опережающего наращивания мощностей и автоматизации оперативного выявления и устранения возникающих угроз.