Контакты
Подписка 2024
Статьи по информационной безопасности

Threat Intelligence: куда и как его "прикладывать"

Алексей Новиков, 13/01/21

В последние годы мы наблюдаем рост числа инцидентов, вызванных целевыми атаками: только в III квартале этого года количество целевых атак увеличилось до 70% 1. Сегодня они отличаются технологической сложностью: хакеры активно используют средства антианализа, антиатрибуции, антифорензики, затрудняющие анализ и расследование инцидентов. Сокращается окно между появлением новой технологии и принятием ее на вооружение злоумышленниками: в среднем между появлением нового эксплойта и началом его использования проходит от трех до пяти дней. А особо продвинутые группировки на адаптацию новых эксплойтов и техник под себя и вовсе тратят считаные часы.

Как обеспечить достаточную эффективность защиты, которая в этой гонке является “догоняющей стороной”? Ответом на этот вопрос может стать Threat Intelligence (TI). При его правильном “прикладывании”, конечно.

Автор: Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

Дивный новый мир атак, инцидентов и TI

Злоумышленники оценили преимущества современного цифрового мира и, конечно же, активно их используют в своих интересах. Трансграничность современных ИТ-систем и высокая скорость взаимодействия позволяют осуществить одну и ту же атаку одномоментно, сразу на всю отрасль в рамках одного региона или даже на нескольких континентах. У организаций почти нет шансов покинуть позицию "догоняющих".

Своевременность получения знаний о новых угрозах, техниках и тактиках, инструментах хакеров значительно влияет на способность обеспечить адекватный отпор, мониторинг и реагирование на инциденты. То есть оперативность становится чуть ли не главным ИБ-трендом в любой организации. Логичный ответ на сложившуюся ситуацию – всплеск интереса к таким направлениям, как Threat Intelligence. К сожалению, многие выбирают (и даже используют) TI, не понимая, зачем конкретно он им нужен, ориентируясь на модную терминологию, магические квадранты. Ну и еще, может быть, на рекомендации, почерпнутые на той или иной конференции или в экспертном клубе.

Что такое TI?

Это знания о существующей (или новой) угрозе, об опасностях для бизнес-активов, основанные на фактах и включающие контекст, механизмы, индикаторы, последствия и рекомендации, которые могут быть использованы для обоснованных решений по реагированию на эту угрозу. Такая информация на практике помогает принимать решения и правильно приоритизировать события ИБ, применяемые меры и средства защиты, причем не только на уровне выявления инцидента в инфраструктуре, но и на уровне очередности внедрения средств защиты, разработки детектирования техник и выстраивания процессов. То есть, понимая, какие техники и тактики наиболее актуальны в данный момент, пользователь TI сможет оценить степень защищенности компании и подобрать наиболее эффективные средства защиты.

TI: брать не глядя или не брать вовсе

На что надо обратить внимание при выборе TI?

Первое, о чем следует задуматься, – релевантность. Скажем, информация об угрозах кредитно-финансовой сфере, может, и важна для объектов энергетики, но в приоритете для них данные о группировках, атакующих именно энергетический сектор. А для некоторых отраслей следует учитывать еще и региональную специфику, в зависимости от географической принадлежности существенно меняется портрет атакующих.

Далее – достоверность, то есть то, насколько полученным данным можно доверять. Некоторые поставщики TI предоставляют данные разного качества, и, опираясь на них, нужно по-разному подходить к использованию TI. Данные с низким уровнем доверия скорее следует воспринимать как инструмент обогащения других, более надежных, или в принципе расценивать как справочную информацию. И только при наличии дополнительного, более критического контекста, полученного изнутри инфраструктуры, использовать их при реагировании на инцидент или его расследовании. Данные с уровнем доверия, близким к 100%, целесообразно сразу использовать для блокировки на СЗИ или, при обнаружении их у себя в инфраструктуре, генерировать инцидент. Если же поставщик не дает такой оценки, то тогда лучше иметь собственные процессы и технологии обработки и верификации данных. На моей памяти было множество историй, когда поставщик TI ошибался и в своих данных указывал вполне легитимные ресурсы как опасные. В результате одной из них однажды ИТ-служба некой компании долго не могла понять, почему департамент закупок не может со своих рабочих ПК попасть на сайт госзакупок. Кстати, подобным почти всегда грешит TI, находящийся в свободном доступе.

Не менее важна актуальность данных. К примеру, нет смысла применять в операционной деятельности здесь и сейчас информацию об атаке АPT-группировки полугодичной давности и соответствующие индикаторы компрометации.

Необходимо проверять полученные данные в ретроспективном режиме. А если учесть, что среднее время публикации информации об APT-кампании составляет 14 месяцев, то просто необходимо иметь ретроспективные данные за этот период времени. Многие ли из имеющихся средств защиты позволяют проверять гипотезы в ретрорежиме на данных за полтора-два года? А делать то же самое в потоковом режиме? Да, безусловно, такой инструментарий есть. И все большее число производителей средств защиты понимают необходимость ретрорежима, но пока все же далеко не весь инструментарий защиты готов поддержать эффективную работу с историческими данными. И да, все это будет работать, только если TI дает данные с привязкой ко времени их актуальности.

Таким образом, становится понятно, что с имплементацией TI в инфраструктуру есть определенные сложности. Перед покупкой и началом использования этого инструмента необходимо оценить, что еще следует поменять, чем оснаститься, а самое главное – есть ли специалисты, готовые качественно с ним работать. Может оказаться так, что основные затраты на TI будут относиться не к покупке, а к выстраиванию процессов, приобретению TI-платформы для правильного управления получаемыми данными.

TI бывает разный

Всем известны уже ставшие классическими подходы к классификации TI:

  • по уровню влияния на принятие решений – стратегический и тактический;
  • по способу получения, хотя большинство поставщиков не любят об этом говорить;
  • по типу данных.

Организация должна уметь применять TI на всех уровнях. С помощью стратегического – следить за трендами и статистикой угроз и, исходя из них, анализировать свои возможности: выявлять пробелы в видимости угроз, покрытие детектами для техник и тактик и прочего. А главное – понимать, кто находится по ту сторону баррикад. На уровне тактики должна быть возможность оперативно применять полученные из TI знания – фиды, правила и индикаторы. Соответственно, должны быть системы, которые это поддерживают, ведь бесполезно покупать фиды или, скажем, получать yara-правила, если их негде применить.

Что касается фидов, то здесь в первую очередь надо обратиться к внутренним данным, проанализировать, кто именно атакует организацию. Для этого следует изучать и уже отраженные угрозы, например все фишинговые письма, даже если они были заблокированы средствами защиты. Ведь это сегодня атакующие не смогли обойти средства защиты, а завтра купят, к примеру, новый криптор и смогут попасть внутрь периметра организации. Далее надо подробно изучать публичные отчеты проверенных экспертов, отдавая приоритет тем, кто анализирует наиболее релевантные для организации угрозы. И уже только после всего этого можно подумать о покупке тех или иных приватных фидов и данных.

C имплементацией TI в инфраструктуру есть определенные сложности. Может оказаться так, что основные затраты на TI будут относиться не к покупке, а к выстраиванию процессов, приобретению TI-платформы для правильного управления получаемыми данными.

Качество и пользу TI сложно оценить, стоит ориентироваться на географию и отрасли, на которых специализируется тот или иной поставщик данных. Например, российской компании малополезно покупать данные у поставщика, который признан мировым сообществом, но практически не имеет дела с угрозами российской региональной специфики, явно на этом не специализировался, не специализируется и, скорее всего, не будет этого делать. Не вполне логично также покупать TI у тех поставщиков, чьими средствами защиты компания уже пользуется. Если вендор поставляет обновления баз детектов для своего продукта, то и данные из его же TI должны попадать туда. Зачем за одно и то же платить дважды?

Колоссальное значение для TI в общем смысле имеет отраслевой обмен данными об угрозах, инцидентах и атаках. Потому что если сегодня атакуют одного представителя отрасли, то с большой долей вероятности его "соседа" атакуют завтра (если не сделали это еще вчера). Качественный обмен информацией может поднять общий уровень защищенности целой отрасли, при условии, что более развитые с точки зрения ИБ компании будут оперативно делиться с комьюнити хотя бы своим стратегическим TI.

Базовый рецепт "приготовления" TI

После выбора TI и понимания, что компания готова его поддержать технологически, надо не забыть подумать об основных этапах работы с ним. Во-первых, следует обеспечить сбор и хранение данных, а их ежечасный объем может иногда измеряться сотнями тысяч записей.

Получаемые данные необходимо правильно обработать и передать соответствующие фрагменты в нужные СЗИ (NTA, SIEM, EDR, песочницы и т.д.), ну или, если речь идет о стратегическом TI, отдать аналитику. Разные средства защиты понимают данные разного формата и даже разные их сущности. Например, в SIEM-систему редко попадает информация о хеш-суммах файлов, тогда как для NTA-решение или песочницы это один из основных типов данных. Именно во время обработки данных как раз и следует обратить внимание на такие параметры, как уровень доверия, актуальность и применимость в данной инфраструктуре (о них мы уже говорили ранее). На этом этапе полученные данные можно дополнительно обогатить и передать в средства защиты уже с дополнительным контекстом.

После доставки данных до средств защиты необходимо проанализировать результаты их использования: выявить ложные срабатывания, понять, какие инциденты были сгенерированы или обогащены данными из TI. Если, допустим, выявлено большое количество ложных срабатываний и нерелевантных данных, следует откатиться к этапу обработки и исключить эти данные. Я видел случаи, когда попадание DNS-серверов компании Google в фиды вызывало лавинообразное количество инцидентов в SOC, а в результате – простои в непрерывном мониторинге из-за возросшей нагрузки на операторов и технические средства, обрабатывающие события. Оценить же эффективность можно лишь по одному критерию – количеству заблокированных атак или инцидентов, выявленных на основании данных TI.

Заключение

TI – "удовольствие" для зрелых компаний, имеющих необходимые технологии и выстроенные процессы. Так что организация, которая хочет начать его использовать, должна до него "дорасти":

  • обладать средствами защиты, умеющими работать с TI;
  • иметь экспертов, которые в состоянии адаптировать и понять, какую информацию они получили и как она может быть применима.

К сожалению, часто работа с TI ограничивается тем, что все получаемые фиды подключаются к SIEM-системе и тот "захлебывается" в колоссальном количестве ложных срабатываний или вовсе выходит из строя из-за недостаточной производительности. Этот пример – классический результат неэффективных, необдуманных и невзвешенных решений. Поэтому я советую не гнаться за модными словами и технологиями, а в первую очередь обратить внимание на данные, которые уже есть в организации, и вложиться в экспертов, которые могут, анализируя открытую информацию различного типа, существенно влиять на эффективность защиты компании.

  1. https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2020-q3/ 
Темы:Positive TechnologiesУправлениеThreat IntelligenceЖурнал "Информационная безопасность" №6, 2020

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Управление уязвимостями в 2024 году: что изменилось и как перестроить процесс
    Павел Попов, лидер продуктовой практики MaxPatrol VM, Positive Technologies
    В условиях всплеска числа кибератак, ухода зарубежных вендоров, импортозамещения ПО и обновления нормативно-правовой базы у процесса управления уязвимостями в России есть ряд важных особенностей
  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?
  • Нашпионить угрозу: как усилить средства защиты информации с помощью Threat Intelligence
    Илья Селезнев, руководитель продукта “Гарда Threat Intelligence” компании “Гарда Технологии” (входит в группу компаний “Гарда”)
    У каждого поставщика TI своя специфика, это связано с разнообразием источников информации, методологий сбора и анализа, а также с уникальной экспертизой каждой организации. В 2022 г. [1] свой продукт Threat Intelligence представила компания “Гарда Технологии”
  • Перспективы и тренды развития платформ TIP
    Платформы Threat Intelligence Platform (TIP) предназначены для сбора, анализа и использования данных о киберугрозах. Разработчиками этого класса решений посмотрели на перспективы его развития.
  • Пять главных ошибок при выборе NGFW
    Анна Комша, руководитель практики NGFW в Positive Technologies
    Как, не допустив ошибок, подойти к выбору NGFW, чтобы он стал основным средством сетевой обороны и успешно справлялся с базовыми сетевыми задачами?
  • Киберразведка по методу Innostage – CyberART TI
    Камиль Садыков, ведущий аналитик информационной безопасности Innostage
    Выгоду от применения TI подсчитать практически невозможно: раз нет атаки, то нет и последствий для предприятия, выраженных в финансовой форме. Но с помощью киберразведки можно смоделировать максимально доступный уровень риска

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"