Агенти «Щита»: як компанія SOC Prime допомагає державі відбиватися від ворожих кібератак

Більш ніж за місяць до початку війни Україну атакували російські хакери. Тоді в січні через масовану кібератаку сайти українських держорганів пішли в офлайн. Від неї постраждали десятки державних інформаційних ресурсів, системи електронного суду та реєстр МТСБУ. Також з метою безпеки було відключено портал «Дія».

Кібератаки продовжилися і з початком повномасштабного вторгнення росії в Україну. У відповідь на економічні санкції з боку союзників України агресор атакував Латвію, Німеччину, Велику Британію та продовжує використовувати кібератаки як один з методів ведення війни у глобальному масштабі. Тож, коли подібні атаки називають кібервійною, це вже не метафора. 
У партнерстві з компанією SOC Prime, що дозволяє підприємствам і громадським організаціям проактивно захищатися від кіберзагроз, AIN.UA розповідає про те, якими засобами та зброєю точиться сучасна кібервійна і як максимально убезпечити себе та бізнес за таких обставин.

Кібератаки — один із п’ятьох доменів сучасної війни

Згідно з воєнною доктриною США, атаки ворога можуть відбуватися у п’ятьох доменах — залежно від того, де і чим ведуться бойові дії. До цих доменів входять операції на землі, на воді, у повітрі, у космосі та в кіберпросторі. 

Кібервійна та атаки у кіберпросторі можуть завдавати цілком реальних збитків: згадаймо кейс із вірусом BlackEnergy 3, за допомогою якого російські хакери здійснили першу у світі підтверджену атаку для виведення з ладу енергосистеми ще у грудні 2015 року. Тож українська влада та приватні компанії у сфері кіберзахисту задовго до початку повномасштабної війни почали сприймати цей домен серйозно. 

За словами Андрія Безверхого, CEO SOC Prime, те, що можна зараз бачити на кіберфронті від росіян — це результат 30-річної стратегії, усього, що ворог акумулював за останніх 30 років, і зараз пустив у бій. 

«Вони методично виростили ціле покоління людей, яким вкладали в голову: не платіть Заходу, там вороги, юзайте кряки. Якщо в усьому світі хакінг — це наука та дослідження невідомого, у них це все відбувається під егідою ФСБ. І вони ні на мить не зупинялися в обкатуванні атак проти України з 2014 року, а то й раніше», — говорить він.

Що держава та бізнес можуть протиставити цій навалі? 

На думку експерта, це має бути система ефективного колективного кіберзахисту, заснована на використанні найсучасніших технологій, методологій та практик. У кіберпросторі швидкість та точність — абсолютно критичні. Постійна та ефективна взаємодія профільних державних служб, приватного бізнесу, кіберфахівців та громадянського суспільства — це необхідна умова для створення надійної системи кіберзахисту. Адже західні країни розглядають Україну в цій війні як безстрашну захисницю демократичних цінностей.

Як захищатися на рівні компанії та на рівні держави?

Для окремих компаній та організацій кіберзахист — це передовсім дотримання світових рекомендацій. Зараз світові експерти з кібербезпеки та інформаційної безпеки складають рекомендації безпосередньо на матеріалі нашої війни. 

Один із прикладів: практики захисту на кібервійні ShieldsUp від американського інституту SANS Institute. Документ описує ключові техніки й тактичні прийоми захисту в умовах кібервійни, які дозволять не лише зупинити ворога, але й створити механізми якісної реакції у відповідь. Це чіткі прикладні інструкції, як терміново убезпечити онлайн інфраструктуру організації від потенційних атак: установка патчів, контроль вхідного трафіку, моніторинг телеметрії від еджу до хмарної інфри, додатків тощо. І ці рекомендації вже перекладені українською. 

На державному рівні одним з основних суб’єктів національної системи кібербезпеки, який відповідає за кіберзахист, є Державна служба спеціального зв’язку та захисту інформації (Держспецзв’язку).
У зоні відповідальності Держспецзв’язку — кіберзахист державних інформаційних ресурсів та об’єктів критичної інфраструктури; формування і втілення державної політики у сфері кіберзахисту; надання безперебійного захищеного зв’язку для вищих осіб держави; регулювання у сфері технічного та криптографічного захисту інформації, електронних комунікацій. Більше про функції Держспецзв’язку та участь України в кібервійні можна почитати тут.

CERT-UA — це Урядова команда реагування на комп’ютерні надзвичайні події України,  яка займається, у тому числі практичною допомогою з питань запобігання, виявлення та усунення наслідків кіберінцидентів для об’єктів кіберзахисту. 

Команда була створена в складі Держспецзв’язку ще 2007 року, а у 2009 стала акредитованим членом Форуму команд реагування на інциденти безпеки FIRST. 2014 року, коли росія напала на Україну, про CERT-UA заговорили голосніше, адже тоді ця команда запобігла спробі російських хакерів дискредитувати українські президентські вибори (саме тоді по їхніх федеральних каналах прогнали фейк про те, що на виборах переміг начебто Дмитро Ярош). 

З початком повномасштабного вторгнення значно збільшився обсяг роботи для цих організацій. Їм допомагає бізнес: в Україні IT, зокрема, кіберзахист, традиційно мають фахівців світового рівня. Зараз багато українських хайтек-компаній запропонували допомогу державі у стримуванні кібернаступу. Тим паче, що на думку Андрія Безверхого, колективної та централізованої системи кіберзахисту не існує у світі. Немає «кіберНАТО», хоча про необхідність колективного кіберзахисту вже почали говорити на міжнародній арені. А створення ефективної системи можливе лише через партнерство приватного та державного секторів.

«Є атаки, від яких жоден ентерпрайз у світі, жодна держустанова просто не зможуть відбитися власними силами. Але це можливо за допомогою колективного кіберзахисту, до якого мають долучитись всі: приватний бізнес та держава, світова спільнота фахівців із кібербезпеки та айтівців. Наша ж компанія виступає одним з основних каталізаторів у цьому процесі. Ми — як агенти “Щита”: захищаємо, але лишаємося в тіні», — говорить він.

SOC Prime активно співпрацює зі Держспецзв’язку та командою CERT-UA з початку повномасштабної війни. Взаємодія йде по багатьох напрямках як зі Службою, так і з партнерами світового рівня, наприклад Cisco, Microsoft та українською MDR компанією UnderDefense. У червні SOC Prime отримала відзнаку від Служби за допомогу.

Ще один плюс, який можуть державі запропонувати приватні компанії — найсучасніші (як і в агентів «Щита») технології захисту. У випадку SOC Prime йдеться про комбінацію можливостей мови Sigma та технології MITRE ATT&CK.

Що таке Sigma та MITRE ATT&CK® — «періодична таблиця» сучасних кіберзагроз

Sigma, спільна мова для кіберекспертів усього світу на відкритому коді, з’явилась ще 2016 року. Саме тоді розробники Флоріан Рот (Florian Roth) та Томас Патцке (Thomas Patzke) зробили перший коміт до GitHub-репозиторію SigmaHQ. Як вона працює?

Звичайні антивіруси працюють із базами сигнатур (характерних ознак) усіх відомих загроз, які мають постійно оновлюватись. Бази сигнатур пропрієтарних антивірусів та їхніх сучасних спадкоємців EDR (Endpoint Detection and Response) зазвичай закриті, і простий користувач спостерігає лише результат їхнього застосування. Якщо ж людина знає Sigma, вона самостійно може писати сигнатури для будь-якої кіберзагрози, яка або вже була реалізована, або потенційно може з’явитись, і додавати власні сигнатури до спільної бази. 

Фактично Sigma дозволяє написати поведінкову сигнатуру під будь-яку технологію, від локальних журналів подій Microsoft Windows чи Sysmon до телеметрії AWS, чи контейнерів Docker, і це надає змогу визначати, що саме і де пішло не так. Умовно, адмін компанії бачитиме: оце нам надсилають фішинг через URL в імейлі, а це намагаються використати 0day-експлойт проти нашого вебдодатка чи обходять багатофакторну автентифікацію (MFA) до нашого Slack-месенджера. 

Експерти SOC Prime одними з перших у світі почали застосовувати Sigma-правила для ідентифікації загроз та побудови ефективного кіберзахисту клієнтів. Також вони першими придумали поєднати Sigma із фреймворком MITRE ATT&CK®, який фактично є класифікацією технік та засобів кіберзловмисників, величезною бібліотекою знань про вже відомі загрози. Його розробила компанія MITRE, але як і Sigma, це — відкритий проєкт, а отже його постійно розвиває спільнота кіберекспертів з усього світу. 

Sigma-правила регулярно рекомендують як один зі способів підтвердження та попередження кібератак такі організації, як ФБР або Канадський центр кіберзахисту (CCCS). А американське державне Агентство з Кібербезпеки та Безпеки Інфраструктури (CISA) називає ATT&CK «глобальною базою даних з поведінки зловмисників, засновану на реальних спостереженнях». 

«До MITRE ATT&CK рівень зрілості в кібербезпеці був таким самим, як у фізиці та хімії до періодичної таблиці. Це систематизовані знання з усіх кібератак, які відбуваються у світі. Тож поєднуючи Sigma та MITRE ATT&CK, ми отримуємо мову й методологію для їхньої систематизації та боротьби з ними», — пояснює Безверхий.

Як це працює на практиці? Якщо згадувати сумнозвісну атаку NotPetya, сигнатури Sigma для детектування цієї загрози створили один із засновників Sigma Флоріан Рот (Florian Roth) та кіберексперт Том Уелчі (Tom Ueltschi). А команда SOC Prime використала їх для допомоги жертвам на місцях, комбінуючи Sigma-правила з технологіями MITRE ATT&CK і Lockheed Martin Cyber Kill Chain (LMCKC). Тоді алгоритми Sigma, скомбіновані з MITRE ATT&CK, вперше у світі успішно використали для ідентифікації та атрибуції реальної загрози. 

Під час атаки Sandworm проти об’єктів енергетичної інфраструктури України у квітні 2022 року з 13 методів, які в ній використовувалися, команда SOC Prime зуміла за допомогою цього методу побачити дев’ять, при тому, що сигнатури для атаки були розроблені ще 2020 року. 

Зараз компанія є одним із визнаних світових експертів у використанні Sigma та MITRE ATT&CK для ідентифікації загроз: у травні цього року CEO компанії виступав із доповіддю на IX Міжнародній конференції Ninth EU MITRE ATT&CK Community Workshop у Брюсселі. Там він говорив про застосування Sigma та ATT&CK у боротьбі з нещодавніми кібератаками росіян, використання фреймворку як одного з основних інструментів колективного кіберзахисту та важливість останнього для боротьби із кіберзагрозами глобального масштабу.  

Тепер ці технології поставлені на службу державі.

Як технології допомагають Україні у боротьбі з ворогом

З початком повномасштабної війни CEO SOC Prime звернувся до Держспецзв’язку та запропонував використовувати для захисту цю технологію, вже випробувану в польових умовах зв’язку — Sigma, поєднану з MITRE ATT&CK.  

«Ми пояснили, що у нас є найбільший набір сигнатур від ворога, і ми готові їх надавати компаніям по всій Україні. Також допомагаємо зі встановленням та налаштуваннями, навчаємо спеціалістів, і 99% цього робимо безкоштовно. Тож почали працювати із командами Держспецзв’язку та CERT-UA», — пояснює Безверхий.

Командам Державний центр кіберзахисту (ДЦКЗ) та CERT-UA компанія надає повний і безкоштовний доступ до своїх технологій захисту і, за потреби, проводить відповідні профільні навчання. Якщо до SOC Prime, наприклад, за рекомендацією Держспецзв’язку звертаються представники об’єктів критичної інфраструктури (енергетичні компанії, пошта, транспорт, зв’язок тощо) — команда надає базові технології для захисту від ворога. Багатьом українським компаніям SOC Prime зараз допомагає pro bono.

«Держспецзв’язку не вписується у сформований образ типової державно-бюрократичної установи. Процеси в службі демократичні: вони радять, а не примушують, спрямовують, а не нацьковують. Компанії вже самі обирають оптимальну  для себе модель захисту. Це, мабуть, і відрізняє нас від росіян. Окрім технологій ми також консультуємо людей: бо на місцях, у тих же міськрадах або лікарнях, технічних спеціалістів, на жаль, поки не так багато», — розповідає CEO SOC Prime.

Держспецзв’язку, окрім іншого, є регулятором у сфері захисту інформації та зв’язку встановлених законом. Також Служба надає допомогу всьому українського бізнесу, адже всі мають бути захищені — це і є ознака кіберстійкості держави.

За словами експерта, надсучасні технології, якими ворог атакує у кіберпросторі — це міф. У кібервійні вони використовують саме те, чим світ користується роками. Якби усі держустанови та приватні компанії почали використовувати Sigma з ATT&CK, автоматизували блокування найпоширеніших методів переміщення всередині мережі (Lateral Movement) і почали б обмінюватися даними про інфраструктуру ворога — будь-яку атаку можна було б виявити за секунди й одразу бачити, хто і чим атакує, та ще й автоматично блокувати. Але на сьогодні це лише візія ідеального майбутнього, яке може реалізуватися за три або п’ять років. 

Щоб наблизити це майбутнє, спільноті кіберзахисників треба піклуватися про підготовку та підтримку спеціалістів, які знаються на нових технологіях. Один зі шляхів до цієї мети — баунті-програми.

Як працює програма Threat Bounty і чим відрізняється від Bug Bounty

Протистояння кібератаці починається з її ідентифікації — без цього весь процес боротьби з атаками не має сенсу. Понад 30 років індустрія кіберзахисту загалом пропонувала винагороди (баунті) за те, щоб спеціалісти намагалися знайти слабкі місця (баги) у захисті мереж, сайтів та сервісів. Легалізація Bug Bounty програм в Україні — це важливий та довгоочікуваний крок у підвищенні кібербезпеки держави.

Зараз настає час програм для тих, хто вміє «побачити» і описати атаку. Це просто інший бік монети, як пояснює Безверхий, адже для ефективної боротьби з кібератаками потрібно, щоб тих, хто описує захист, було не менше, аніж тих, хто описує напад. 
За словами Алли Юрченко, координаторки програми Threat Bounty, яку втілює SOC Prime, її відмінності від Bug Bounty: відкритість, відсутність нормативних обмежень, націленість на користь для ком’юніті, а також універсальний підхід.

«Bug  Bounty — це залучення ком’юніті експертів до пошуку та тестування вразливостей у продукті, тоді як Threat Bounty — це краудсорсинг експертизи написання алгоритмів детектування кіберзагроз. Тобто у випадку Bug Bounty фахівці отримують винагороду за знайдені недоліки та вразливості. Натомість у Threat Bounty учасники отримують змогу заробляти на створенні алгоритмів виявлення загроз за допомогою універсальної мови Sigma. При цьому рівень винагороди визначає кіберспільнота, враховуючи світові тренди та актуальні потреби індустрії», — говорить вона.

У випадку Bug Bounty також учасники програми зв’язані NDA та обіцянками вендору: поки він не пропатчить знайдену «діру», розповідати про неї не можна. Знання, отримане в процесі Threat Bounty, доступне у загальній «бібліотеці», і все ком’юніті може користуватися ним, поширювати та збагачувати його. 

Наприклад, загальна кількість учасників спільноти, яка бере участь у програмі SOC Prime, — приблизно 600 людей, і це число тільки зростатиме. За весь час існування програми її учасникам виплатили понад $377 000, причому в окремих випадках виплати досягали $2700 щомісяця — а це вже можна порівняти із фултайм-роботою. До того часу як компанія підняла інвестиції — платила експертам зі своїх прибутків, а згодом інвестор підтримав цю ініціативу. Також SOC Prime веде діалог з Google та Microsoft, щоби вони долучилися як спонсори. 

«Навіть якщо завтра Мордор самознищиться, кібервійна все одно триватиме. І Україні слід уміти захищатися. Тому нам потрібно готувати кадри, які займатимуться цим захистом у майбутньому», — підсумовує Безверхий. 

Збільшення кількості експертів, які знаються на новітніх технологіях, що здатні ідентифікувати та класифікувати будь-яку загрозу за секунди, справді потрібне світу. І зокрема, потрібне Україні, яка перебуває зараз у стані війни і захищається по всіх доменах: від землі й до космосу та кіберпростору.