Почти полное отключение интернета, введенное иранским правительством с 8 января, предположительно, в рамках мер по подавлению протестов, может предоставить сотрудникам центров мониторинга безопасности (SOC) и другим аналитикам по кибербезопасности редкую возможность: на короткое время идентифицировать и получить цифровые отпечатки всех государственных источников трафика. Это станет огромным подспорьем в отслеживании иранских государственных субъектов.
Среди глобальных злонамеренных государственных субъектов Иран занимает место близко к вершине рейтинга, уступая лишь Китаю, Северной Корее и России, что говорит о потенциальной пользе такой информации об иранских системах.
Глава одной из компаний по кибербезопасности утверждает, что это действительно потенциальная золотая жила для сбора разведывательной информации об угрозах.
«При почти полном отключении интернета площадь атаки, доступная для хакеров, спонсируемых государством, сужается. Они больше не могут скрываться в шуме миллионов домашних IP-адресов. Их вынуждают направлять атаки через немногочисленные оставшиеся разрешенные каналы, а это именно те скучные правительственные учреждения, такие как Министерство сельского хозяйства или энергетики, университеты», — заявил Каве Ранджбар, генеральный директор Whisper Security. «Группы постоянных изощренных угроз (APT) регулярно используют доброкачественную государственную инфраструктуру для запуска атак, поскольку она выглядит “чистой”. Когда остальная часть страны погружена во тьму, эти неприметные серверы становятся единственными доступными точками запуска. Соединение из Министерства сельского хозяйства может принадлежать не фермеру. Скорее всего, это туннель для государственного субъекта, которому нужен выходной узел».
Ранджбар отметил, что устранение трафика от миллионов обычных иранских бизнес-пользователей и жителей позволяет получить четкое представление о паттернах трафика иранского правительства, что дает возможность SOC-центрам помечать эти источники.
«Для CISO расчет прост: пользовательский трафик равен нулю. Если Amazon или банк видят трафик из Тегерана во время блэкаута, это не клиент, покупающий книги или проверяющий баланс. Это не удаленный сотрудник. [Весь] трафик генерируется машиной и санкционирован государством. Даже если это просто некорректно настроенная задача cron в Министерстве водных ресурсов, это аномалия. Но чаще всего это сканирование, зондирование или разведка», — пояснил Ранджбар.
«Вам не нужен список вредоносных агентств, — заметил он. — Вам нужно понимать, что все видимое IP-пространство Ирана в настоящее время является привилегированной анклавной зоной. Если серверу разрешено общаться с внешним миром, в то время как 80 миллионов граждан замолчали, этот сервер по определению является активом государства. В среде с нулевым доверием (zero-trust) это означает индикатор компрометации (IoC) с высокой степенью достоверности, если он касается вашей сети».
Однако аналитики и консультанты отнеслись к такому подходу с осторожностью, но указали, что с точки зрения окупаемости инвестиций (ROI) сбор этих данных во время блэкаута, как правило, потребует минимальных усилий, поэтому это не может нанести большого вреда.
«Я не думаю, что есть какие-либо недостатки в его сборе», — сказал Роберт Крамер, вице-президент/главный аналитик Moor Insights & Strategy.
Данные могут иметь ограниченную ценность
Но Крамер и другие эксперты отметили, что природа государственных субъектов сегодня может свести ценность собранных данных к минимуму.
Государственные субъекты этих четырех стран являются одними из самых изощренных, опытных и хорошо финансируемых злоумышленников в мире. Один из их главных навыков — не только умение заметать следы, но и создавать ложные журналы и иные уловки, чтобы атака выглядела так, будто она инициирована откуда угодно, только не с их истинного источника. Короче говоря, если журналы указывают на то, что атака исходит из Китая, CISO понимает, что атака, скорее всего, была запущена не Китаем.
Санчит Вир Гогойя, главный аналитик Greyhound Research, заявил, что видит некоторый потенциал ценности, но добавил, что она ограничена.
При таком блэкауте «немногие прорывающиеся пакеты становятся несоразмерно значимыми. Вы смотрите на разрешенные ASN, государственные телекоммуникации и услуги, управляемые правительством. Этот остаточный трафик помогает с удивительной ясностью составить карту цифровой инфраструктуры противника. Наличие DNS-запросов, пассивных маячков вредоносного ПО или сигналов плоскости управления BGP во время отключения дает аналитикам схему национальных приоритетов», — отметил Гогойя.
Однако он подчеркнул, что на этом ценность может и закончиться. «Остаточный трафик нелегко конвертировать в правила блокировки или логику SIEM. Он не вручает вам на блюдечке серверы командного управления. Большая его часть либо безвредна, либо служит для диагностики. И если его не соотнести с сильными поведенческими сигналами, он редко проходит путь от стратегического контекста к оперативным действиям», — сказал он.
«Да, вы можете обнаружить иранский IP-адрес, который продолжал “общаться”, когда все остальные были отключены. Но это был компьютер злоумышленника или просто правительственный веб-сайт? Без обогащения данных высокой степени достоверности это гадание. Что еще хуже, если через неделю тот же IP-адрес снова начнет обслуживать службы расчета заработной платы, ваш SOC будет гоняться за тенями. Вот почему эти данные лучше использовать для моделирования угроз, а не для оперативной сортировки инцидентов».
Гогойя добавил, что собранные данные, вероятно, быстро устареют.
«Аномалии маршрутизации и обнаруживаемые прокси-серверы также нестабильны. При частичных отключениях трафик может перенаправляться через неожиданных соседей или временно мигрировать к резервным интернет-провайдерам», — отметил он. «Опытный аналитик может заметить, что иранская подсеть использует немецкий транзитный узел во время блэкаута. Но как только обслуживание восстановится, этот путь исчезнет. Если рассматривать это как долгосрочный IoC, это быстро превратится в тупик».
Оставляя в стороне преднамеренный обман, Мэттью Стерн, генеральный директор CNC Intelligence, указал, что существует также значительный объем легитимного трафика, исходящего от иранских государственных учреждений.
«Это может дать краткосрочное представление о поведении маршрутизации, использовании протоколов и инфраструктурных зависимостях, которые операторы, связанные с иранским государством, могут использовать позже. Однако не следует преувеличивать это значение, — сказал Стерн. — Государственный трафик не является по своей сути вредоносным, а изощренные иранские киберсубъекты часто действуют через иностранную инфраструктуру, скомпрометированные хосты и сторонние сервисы за пределами Ирана, что существенно ограничивает долгосрочную защитную ценность отпечатков внутреннего трафика».
Тем не менее, консультант по кибербезопасности Брайан Левайн, исполнительный директор FormerGov, заявил, что редкий характер этого отключения делает целесообразным захват любых возможных данных.
Соотношение сигнала и шума меняется
«С точки зрения разведки, это один из тех редких моментов, когда меняется соотношение сигнала и шума. Если трафик идет из Ирана прямо сейчас, высока вероятность того, что он связан с государством, и этого уже достаточно, чтобы его стоило зафиксировать», — сказал Левайн. «Даже легитимная деятельность иранского правительства может быть ценной для SOC-центров. Государственные субъекты склонны повторно использовать инфраструктуру, маршруты и операционные паттерны. “Нормальный” трафик сегодняшнего дня может стать завтрашней зацепкой для атрибуции».
Хотя Левайн согласился с тем, что объем действенных долгосрочных данных, вероятно, невелик, он считает, что их все равно стоит собирать. «Сбор цифровых отпечатков во время блэкаута сам по себе не решит проблему атрибуции, но может ее уточнить. В киберзащите даже небольшое повышение ясности может стать разницей между ранним обнаружением вторжения и полным его пропуском».
Однако два вице-президента-аналитика из Gartner, Джереми Д’Уанн и Акиф Хан, отнеслись к ценности этих данных более скептически и не советовали командам CISO заниматься их сбором.
«Атрибуция на основе фрагментированных технических доказательств опасна, — заявил Д’Уанн. — Не отвлекайтесь».
Хан был более прямолинеен. «В условиях военного тумана войны пытаться найти проверяемую информацию очень сложно. Без возможности подтверждения я не думаю, что это выходит за рамки интеллектуального упражнения. Если у сотрудников вашего корпоративного SOC есть время на это, им следует пересмотреть свои приоритеты».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Evan Schuman
