Киберразведка по методу Innostage – CyberART TI
Камиль Садыков, 12/12/23
Нередко компании из самых разных отраслей для защиты от ИБ-угроз прибегают к системам киберразведки (Threat Intelligence, TI), которая позволяет им перейти в проактивную стадию – действовать на опережение: выявлять новые угрозы, определяя наиболее актуальные из них, и выбирать самые эффективные средства защиты.
Автор: Камиль Садыков, ведущий аналитик информационной безопасности Innostage
Что такое Cyber TI?
Применяемые в киберразведке подходы активно совершенствуются, многие компании разрабатывают собственные методики проактивного противодействия киберугрозам. И такой опыт часто достататочно универсален, чтобы использоваться в других организациях, и в том числе в SOC.
В компании Innostage разработан собственный подход к киберразведке – инструмент CyberART TI (CARTI), который производит сбор, анализ и интерпретацию информации о возможных угрозах для компьютерных систем, сетей и приложений. Работа CARTI нацелена на обеспечение защиты бизнес-активов от кибератак, предотвращение утечек данных и нарушений, связанных с обеспечением кибербезопасности.
Использование СЗИ совместно с TI позволяет реагировать на возникающие угрозы превентивно, предотвращая их, а также отражая атаки, выявленные при помощи правил детектирования по IoC. Для еще большей эффективности необходимо принимать защитные меры, которые соответствуют существующему ландшафту угроз и меняются вместе с ним.
Правильной реакцией на возникновение новой угрозы является мгновенное "закрытие" эксплуатируемых уязвимостей – такую возможность дает непрерывный анализ потока информации об актуальном инструментарии киберпреступников и характере их действий.
Мониторинг и CTI
Есть и еще одна сфера применения Cyber TI – киберразведка в контексте мониторинга, которая дает аналитикам сведения, сокращая время реакции на инцидент, так как в их распоряжении уже есть данные о потенциальных угрозах, прошедшие предварительную обработку и позволяющие заранее разработать сценарии реагирования.
Речь идет об индикаторах компрометации, которые хакеры всегда оставляют "на месте преступления", – информации об отдельных объектах, свидетельствующих о киберугрозах. Правда, в отличие от отпечатков пальцев человека, такие объекты могут видоизменяться или даже подменяться другими. Например, злоумышленники могут заменять или добавлять символы в файлы, использовать или менять различные IP-адреса и доменные имена.
Последовательность проведения киберразведки
Процесс киберразведки можно разделить на несколько последовательных этапов.
На первом этапе производится накопление данных, которые приводят к единому формату для последующего хранения и обработки.
Затем, на втором этапе, информация обрабатывается, выстраиваются связи и зависимости между отдельными данными, проводится проверка их достоверности и репрезентативности.
Третий этап посвящен скорингу данных, оценке их ценности и тегированию. Все это необходимо, чтобы облегчить последующую работу с полученной информацией.
Обработанные таким образом данные необходимо распространить, чтобы на их основе выстроить защиту инфраструктур и систем. В зависимости от типа средств защиты для распространения выбирается формат данных, который они поддерживают. Учитываются также методы защиты, которые используются при проведении мониторинга, блокировки и в других защитных действиях.
Важно! Сильную защиту обеспечивает только сочетание различных мер – блокировка зловредов или опасных действий едва ли позволит ИБ-специалистам составить полноценную картину при анализе угроз. Например, при блокировке перехода и попытке подключиться к управляющему серверу какого-нибудь вируса только мониторинг поможет узнать, была ли скомпрометирована система и нужно ли принимать контрмеры.
Формирование и развитие CyberART TI
Компания Innostage занимается обеспечением информационной безопасности крупных организаций, в частности использует киберразведку. В 2018 г. для этих целей применялся MISP – Open Source-платформа для анализа угроз, а также различные бесплатные сервисы на ее основе.
Затем для автоматического сбора информации на сторонних ресурсах и формирования собственной базы данных о выявленных инцидентах вместе с MISP стал использоваться Cortex by Palo Alto Networks (Cortex XDR).
Со временем эксперты компании ощутили явную нехватку функциональности применяемых решений. Например, в MISP отсутствовала автоматизация обогащения индикаторов компрометации. В компании ее реализовали при помощи надстройки, которая при скачивании информации перепроверяла запрос. Правда, такая реализация MISP требовала, чтобы при каждом запросе к источнику он перепроверялся заново, даже если к нему в этот день уже был десяток обращений.
Иными словами, в Innostage стали выпускать собственные надстройки для MISP – самописные парсеры, нормализаторы и даже некоторые сборщики данных, которые позволяли искать информацию по тегам. Со временем у Innostage появились собственные парсеры для поиска индикаторов компрометации из текста, которые дали возможность расширить круг используемых источников и начать мониторинг социальных сетей.
К 2022 г. в компании сформировалась методология практической реализации киберразведки. Innostage стала применять собственный подход к этому процессу, с оригинальными правилами корреляции, агрегации, нормализации и сбора данных.
Cyber TI и SOC
В киберразведке, в рамках SOC, есть свои особенности – анализ тенденций атак, изучение их техник и тактик, на основе которых формируется контент для мониторинга систем. Характерен также поиск индикаторов компрометации. Эти особенности в киберразведку привносит создание и использование сервиса для целей SOC. Для работы SOC актуально получение данных о связанной инфраструктуре, управляющих серверах, методах проверки подключения к Интернету, обработки ожидания соединения и т.д. Эти данные формируют видение потенциальных целевых атак на основе найденной в ходе киберразведки информации. Иными словами, SOС ведет поиск новых регистраций сертификатов, анализ активности поведения на всевозможных чатах и форумах. CyberART TI позволяет SOC ускорить этот процесс, автоматически предоставляя целый комплекс уже накопленной актуальной информации в обработанном виде.
Применение Cyber TI возможно в случае выявления любого инцидента, не только связанного именно с индикатором компрометации, но и созданного по правилу корреляции за счет поиска связанной информации по отдельными атрибутам, полученным в ходе расследования.
Поиск связей производится в рамках анализа отдельных угроз от потенциально вредоносных программ, серверов управлений, сканеров. Выявляется их взаимодействие между собой, группы дублирующих зеркал в проксировании, используемые хакерами, и т.п. Устанавливается связь самой программы с управляющими серверами. Ведется ретроспективный анализ для использования при проверке исторических данных. В результате ИБ-аналитики SOС получают полное представление о том, что могло случиться в инфраструктуре, и при помощи индикатора компрометации могут сформировать актуальные данные за определенный период.
Как оценить эффективность киберразведки?
С одной стороны, выгоду от применения TI подсчитать практически невозможно: раз нет атаки, то нет и последствий для предприятия, выраженных в финансовой форме. Но с помощью киберразведки можно смоделировать максимально доступный уровень риска, а также рассчитать скорости реакции SOC на критичные инциденты ИБ и, исходя из этих данных, оценить эффективность инструмента.
TI помогает решать и другие задачи риск-менеджмента, например принимать управленческие решения при планировании выхода на новые рынки. Применение методов Threat Intelligence позволит соотнести предстоящие затраты с прогнозируемой прибылью.
Почему своя TI-платформа нужна не всем
TI-платформы как класс нельзя назвать универсальным решением. Некоторым компаниям не нужно производить сложные корреляции и осуществлять полный цикл работ с фидами. У каждой компании есть свои подходы к обеспечению ИБ, и многие организации не будут разрабатывать собственную платформу, а скорее выберут уже готовую. Но это не отменяет того, что развитие ИБ-аналитики в компании требует формирования стратегии, в рамках которой необходимо внедрение подходов к киберразведке. Опыт Innostage может стать актуальным для множества заказчиков.
Для расширения охвата мониторинга и оперативного реагирования на угрозы в большинстве проектов, после подготовки инфраструктуры заказчика и SOC, внедрения контента и настройки источников, Innostage организует работы по TI. Это один из верхнеуровневых сервисов, востребованных как в аутсорсинговых и гибридных форматах представления услуг по обеспечению кибербезопасности, так и при наличии у заказчика собственного SOC.
Наведите смартфон на QR-код, чтобы подробнее узнать о сервисах Центра противодействия киберугрозам Innostage CyberART и проконсультироваться по решениям, которые позволят защитить вашу информационную инфраструктуру.