Контакты
Подписка 2024

Киберразведка по методу Innostage – CyberART TI

Камиль Садыков, 12/12/23

Нередко компании из самых разных отраслей для защиты от ИБ-угроз прибегают к системам киберразведки (Threat Intelligence, TI), которая позволяет им перейти в проактивную стадию – действовать на опережение: выявлять новые угрозы, определяя наиболее актуальные из них, и выбирать самые эффективные средства защиты.

Автор: Камиль Садыков, ведущий аналитик информационной безопасности Innostage

Что такое Cyber TI?

Применяемые в киберразведке подходы активно совершенствуются, многие компании разрабатывают собственные методики проактивного противодействия киберугрозам. И такой опыт часто достататочно универсален, чтобы использоваться в других организациях, и в том числе в SOC.

В компании Innostage разработан собственный подход к киберразведке – инструмент CyberART TI (CARTI), который производит сбор, анализ и интерпретацию информации о возможных угрозах для компьютерных систем, сетей и приложений. Работа CARTI нацелена на обеспечение защиты бизнес-активов от кибератак, предотвращение утечек данных и нарушений, связанных с обеспечением кибербезопасности.

Использование СЗИ совместно с TI позволяет реагировать на возникающие угрозы превентивно, предотвращая их, а также отражая атаки, выявленные при помощи правил детектирования по IoC. Для еще большей эффективности необходимо принимать защитные меры, которые соответствуют существующему ландшафту угроз и меняются вместе с ним.

Правильной реакцией на возникновение новой угрозы является мгновенное "закрытие" эксплуатируемых уязвимостей – такую возможность дает непрерывный анализ потока информации об актуальном инструментарии киберпреступников и характере их действий.

Мониторинг и CTI

Есть и еще одна сфера применения Cyber TI – киберразведка в контексте мониторинга, которая дает аналитикам сведения, сокращая время реакции на инцидент, так как в их распоряжении уже есть данные о потенциальных угрозах, прошедшие предварительную обработку и позволяющие заранее разработать сценарии реагирования.

Речь идет об индикаторах компрометации, которые хакеры всегда оставляют "на месте преступления", – информации об отдельных объектах, свидетельствующих о киберугрозах. Правда, в отличие от отпечатков пальцев человека, такие объекты могут видоизменяться или даже подменяться другими. Например, злоумышленники могут заменять или добавлять символы в файлы, использовать или менять различные IP-адреса и доменные имена.

Последовательность проведения киберразведки

Процесс киберразведки можно разделить на несколько последовательных этапов.

На первом этапе производится накопление данных, которые приводят к единому формату для последующего хранения и обработки.

Затем, на втором этапе, информация обрабатывается, выстраиваются связи и зависимости между отдельными данными, проводится проверка их достоверности и репрезентативности.

Третий этап посвящен скорингу данных, оценке их ценности и тегированию. Все это необходимо, чтобы облегчить последующую работу с полученной информацией.

Обработанные таким образом данные необходимо распространить, чтобы на их основе выстроить защиту инфраструктур и систем. В зависимости от типа средств защиты для распространения выбирается формат данных, который они поддерживают. Учитываются также методы защиты, которые используются при проведении мониторинга, блокировки и в других защитных действиях.

ris1_new

Важно! Сильную защиту обеспечивает только сочетание различных мер – блокировка зловредов или опасных действий едва ли позволит ИБ-специалистам составить полноценную картину при анализе угроз. Например, при блокировке перехода и попытке подключиться к управляющему серверу какого-нибудь вируса только мониторинг поможет узнать, была ли скомпрометирована система и нужно ли принимать контрмеры.

Формирование и развитие CyberART TI

Компания Innostage занимается обеспечением информационной безопасности крупных организаций, в частности использует киберразведку. В 2018 г. для этих целей применялся MISP – Open Source-платформа для анализа угроз, а также различные бесплатные сервисы на ее основе.

Затем для автоматического сбора информации на сторонних ресурсах и формирования собственной базы данных о выявленных инцидентах вместе с MISP стал использоваться Cortex by Palo Alto Networks (Cortex XDR).

Со временем эксперты компании ощутили явную нехватку функциональности применяемых решений. Например, в MISP отсутствовала автоматизация обогащения индикаторов компрометации. В компании ее реализовали при помощи надстройки, которая при скачивании информации перепроверяла запрос. Правда, такая реализация MISP требовала, чтобы при каждом запросе к источнику он перепроверялся заново, даже если к нему в этот день уже был десяток обращений.

Иными словами, в Innostage стали выпускать собственные надстройки для MISP – самописные парсеры, нормализаторы и даже некоторые сборщики данных, которые позволяли искать информацию по тегам. Со временем у Innostage появились собственные парсеры для поиска индикаторов компрометации из текста, которые дали возможность расширить круг используемых источников и начать мониторинг социальных сетей.

К 2022 г. в компании сформировалась методология практической реализации киберразведки. Innostage стала применять собственный подход к этому процессу, с оригинальными правилами корреляции, агрегации, нормализации и сбора данных.

Cyber TI и SOC

В киберразведке, в рамках SOC, есть свои особенности – анализ тенденций атак, изучение их техник и тактик, на основе которых формируется контент для мониторинга систем. Характерен также поиск индикаторов компрометации. Эти особенности в киберразведку привносит создание и использование сервиса для целей SOC. Для работы SOC актуально получение данных о связанной инфраструктуре, управляющих серверах, методах проверки подключения к Интернету, обработки ожидания соединения и т.д. Эти данные формируют видение потенциальных целевых атак на основе найденной в ходе киберразведки информации. Иными словами, SOС ведет поиск новых регистраций сертификатов, анализ активности поведения на всевозможных чатах и форумах. CyberART TI позволяет SOC ускорить этот процесс, автоматически предоставляя целый комплекс уже накопленной актуальной информации в обработанном виде.

Применение Cyber TI возможно в случае выявления любого инцидента, не только связанного именно с индикатором компрометации, но и созданного по правилу корреляции за счет поиска связанной информации по отдельными атрибутам, полученным в ходе расследования.

Поиск связей производится в рамках анализа отдельных угроз от потенциально вредоносных программ, серверов управлений, сканеров. Выявляется их взаимодействие между собой, группы дублирующих зеркал в проксировании, используемые хакерами, и т.п. Устанавливается связь самой программы с управляющими серверами. Ведется ретроспективный анализ для использования при проверке исторических данных. В результате ИБ-аналитики SOС получают полное представление о том, что могло случиться в инфраструктуре, и при помощи индикатора компрометации могут сформировать актуальные данные за определенный период.

Как оценить эффективность киберразведки?

С одной стороны, выгоду от применения TI подсчитать практически невозможно: раз нет атаки, то нет и последствий для предприятия, выраженных в финансовой форме. Но с помощью киберразведки можно смоделировать максимально доступный уровень риска, а также рассчитать скорости реакции SOC на критичные инциденты ИБ и, исходя из этих данных, оценить эффективность инструмента.

TI помогает решать и другие задачи риск-менеджмента, например принимать управленческие решения при планировании выхода на новые рынки. Применение методов Threat Intelligence позволит соотнести предстоящие затраты с прогнозируемой прибылью.

Почему своя TI-платформа нужна не всем

TI-платформы как класс нельзя назвать универсальным решением. Некоторым компаниям не нужно производить сложные корреляции и осуществлять полный цикл работ с фидами. У каждой компании есть свои подходы к обеспечению ИБ, и многие организации не будут разрабатывать собственную платформу, а скорее выберут уже готовую. Но это не отменяет того, что развитие ИБ-аналитики в компании требует формирования стратегии, в рамках которой необходимо внедрение подходов к киберразведке. Опыт Innostage может стать актуальным для множества заказчиков.

Для расширения охвата мониторинга и оперативного реагирования на угрозы в большинстве проектов, после подготовки инфраструктуры заказчика и SOC, внедрения контента и настройки источников, Innostage организует работы по TI. Это один из верхнеуровневых сервисов, востребованных как в аутсорсинговых и гибридных форматах представления услуг по обеспечению кибербезопасности, так и при наличии у заказчика собственного SOC.

Наведите смартфон на QR-код, чтобы подробнее узнать о сервисах Центра противодействия киберугрозам Innostage CyberART и проконсультироваться по решениям, которые позволят защитить вашу информационную инфраструктуру.

ris2-Dec-12-2023-08-28-20-4227-AM

 

Темы:SOCThreat IntelligenceInnostageЖурнал "Информационная безопасность" №5, 2023CyberART

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Кибербезопасность в новой реальности
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
14 марта. Онлайн-конференция. Реагирование на инциденты по информационной безопасности
Регистрируйтесь!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
21 марта. Российские платформы виртуализации
Жми, чтобы участвовать