Czy wiesz, że GMV ma własną agencję wywiadowczą?

Jestem członkiem zespołu GMV ds. nadzoru cyfrowego i analizy zagrożeń i chciałbym pokrótce wyjaśnić, na czym polega praca oraz możliwości zespołu, w czym możemy pomóc i jakie korzyści zapewniamy naszym klientom.

Być może zastanawiasz się, kim jesteśmy. Jesteśmy wieloaspektową i multidyscyplinarną grupą technicznych i nietechnicznych specjalistów ds. cyberbezpieczeństwa. W skład tej grupy wchodzą inżynierowie telekomunikacji, absolwenci informatyki i cyberbezpieczeństwa... ale mamy też kryminologa, dokumentalistę, filologa, prawnika... Wszyscy mamy ten sam cel: obserwować, jakie zagrożenia mogą dotknąć naszych klientów, analizować je i ostrzegać ich, zanim zostaną zaatakowani przez cyberprzestępców.

Do tego celu mamy dwa zespoły: nadzoru cyfrowego i wywiadu zagrożeń.

Nadzór cyfrowy: są to obserwatorzy cyberprzestępczości. Zespół stawia się w sytuacji atakującego, aby monitorować między innymi następujące działania:

• Miejsca, w których działają się przestępcy (ciemne i głębokie fora internetowe, Telegram lub Discord itp.).

• Kampanie godzące w interesy naszych klientów.

• Potencjalne straty ekonomiczne, reputacyjne i biznesowe.

• Naruszenia danych, które mogą zapewnić początkowy dostęp grupom przestępczym.

Ci członkowie są reaktywną siłą naszego zespołu. Dzięki temu mogą ostrzegać naszych klientów o potencjalnych zagrożeniach. Najlepiej wyjaśnić to na podstawie przykładu z życia wziętego:

Podczas ciągłego monitorowania środowiska przestępczego za pomocą wyspecjalizowanych platform i narzędzi do analizy zagrożeń (zapewnianych przez wiodących dostawców bądź opracowanych we własnym zakresie w celu lepszego dostosowania do dynamicznego środowiska cyberbezpieczeństwa) często wykrywane są potencjalne narażenia lub naruszenia związane ze działaniami osób z zewnątrz, które mogą stanowić zagrożenie dla bezpieczeństwa naszych klientów. W przypadku takich ustaleń zespół szybko analizuje i weryfikuje zebrane informacje w celu zidentyfikowania ewentualnego naruszenia danych uwierzytelniających lub innych czynników, które mogą zostać wykorzystane przez złośliwe podmioty. To proaktywne podejście pozwala nam przewidywać potencjalne ataki o dużym wpływie, takie jak oprogramowanie ransomware, nieautoryzowany dostęp, szpiegostwo cybernetyczne czy sabotaż, chroniąc w ten sposób aktywa i integralność naszych klientów.

Klient otrzymuje ostrzeżenie w krótkim czasie, dzięki czemu może wykryć potencjalny wpływ na swoją działalność, zapobiec mu lub wyeliminować go i uniknąć strat finansowych, utraty reputacji, konsekwencji prawnych itp.

Jest to możliwe dzięki dostępności kilku specjalistycznych i zastrzeżonych narzędzi, ale przede wszystkim dzięki wysoko wykwalifikowanemu zespołowi, który wykorzystuje różne rodzaje źródeł, takich jak między innymi źródła otwarte (OSINT) czy źródła ludzkie (HUMINT).

Analiza zagrożeń: Druga część zespołu – badacze cyberzagrożeń – analizuje zdarzenia zaobserwowane przez zespół nadzoru cyfrowego w celu ich interpretacji, oceny i ustalenia kontekstu oraz zapewnienia klientowi (decydentowi) użytecznych informacji (danych wywiadowczych).

Badacze ci wiedzą, jak działają grupy przestępcze, znają ich metody (TTP), wiedzą, jak poruszają się one po systemach swoich ofiar, czego szukają przy każdym działaniu, znają ich pochodzenie, infrastrukturę, najczęściej używane złośliwe oprogramowanie itp. Dysponują również wiedzą na temat trendów, zagrożeń i wydarzeń geopolitycznych, które będą kształtować ryzyko oraz działania przestępcze zagrażające klientom. Na przykład zmiana paradygmatu globalnego handlu może motywować państwa do prowadzenia kampanii cyberszpiegowskich w celu uzyskania informacji od rywali, więc należy być na to przygotowanym.

Jest to niezbędne, ponieważ atakujący dostosowali swój modus operandi i możliwości do nowych technologii oraz globalnego kontekstu (chmura, sztuczna inteligencja, nowe możliwości wykrywania, takie jak EDR, XDR...), więc nasz zespół musi również dostosować swoje raporty cyberwywiadowcze pod kątem tych trendów, aby podejmowanie decyzji przez klientów było jak najtrafniejsze.

Identyfikowane są również aktywne kampanie atakującesektory i regiony istotne dla naszych klientów. Na przykład, gdy wykrywane są luki wykorzystywane w popularnych technologiach, takich jak oprogramowanie VPN, analizowane są stosowane techniki, exploits, możliwi przestępcy i metody ataku (TTP). Jeśli klient korzysta z tych technologii, oceniamy jego narażenie, a także szybko generujemy wskaźniki ataku (IOA), aby ułatwić wczesne wykrywanie oraz reagowanie, przewidywać zagrożenie, a tym samym zmniejszyć ryzyko konsekwencji, takich jak kradzież danych czy straty finansowe.

Ma to na celu tworzenie dokumentów zawierających informacje operacyjne i strategiczne, aby działy cyberbezpieczeństwa naszych klientów mogły podejmować skuteczniejsze decyzje (ustalanie priorytetów podatności, kierowanie ofensywnymi ćwiczeniami bezpieczeństwa, monitorowanie wykorzystywanych technologii, opracowywanie konkretnych reguł wykrywania itp.)

Możliwości całego zespołu są jeszcze większe. Ma on możliwość współpracy z zespołami kryminalistycznymi i ds. wyszukiwania zagrożeń, aby lepiej zrozumieć zagrożenie, wykryć je i rozwiązać problem w krótszym czasie (ograniczenie wpływu). Może on też przekazywać rzeczywisty modus operandi przestępców zespołom pentestingowym i Red Teamom, aby lepiej dostosować testy włamań do rzeczywistego sposobu działania przestępców oraz przygotować Blue Team w bardziej realistyczny sposób. Ponadto może on wspierać zadania SOC, dostarczając informacje o alertach lub współpracując przy zasilaniu narzędzi wykrywających.

A zatem podnosimy poziom bezpieczeństwa naszych klientów dzięki naszej zdolności przewidywania zagrożeń, co umożliwia nam wspieranie firm oraz podmiotów z wielu sektorów: bankowości, telekomunikacji, agencji rządowych itp. W GMV jesteśmy zaangażowani w bezpieczeństwo i staramy się doskonalić każdego dnia.

Autor(ka): Daniel Juanes Fernández