Контакты
Подписка 2024

Киберразведка по методу Innostage – CyberART TI

Камиль Садыков, 12/12/23

Нередко компании из самых разных отраслей для защиты от ИБ-угроз прибегают к системам киберразведки (Threat Intelligence, TI), которая позволяет им перейти в проактивную стадию – действовать на опережение: выявлять новые угрозы, определяя наиболее актуальные из них, и выбирать самые эффективные средства защиты.

Автор: Камиль Садыков, ведущий аналитик информационной безопасности Innostage

Что такое Cyber TI?

Применяемые в киберразведке подходы активно совершенствуются, многие компании разрабатывают собственные методики проактивного противодействия киберугрозам. И такой опыт часто достататочно универсален, чтобы использоваться в других организациях, и в том числе в SOC.

В компании Innostage разработан собственный подход к киберразведке – инструмент CyberART TI (CARTI), который производит сбор, анализ и интерпретацию информации о возможных угрозах для компьютерных систем, сетей и приложений. Работа CARTI нацелена на обеспечение защиты бизнес-активов от кибератак, предотвращение утечек данных и нарушений, связанных с обеспечением кибербезопасности.

Использование СЗИ совместно с TI позволяет реагировать на возникающие угрозы превентивно, предотвращая их, а также отражая атаки, выявленные при помощи правил детектирования по IoC. Для еще большей эффективности необходимо принимать защитные меры, которые соответствуют существующему ландшафту угроз и меняются вместе с ним.

Правильной реакцией на возникновение новой угрозы является мгновенное "закрытие" эксплуатируемых уязвимостей – такую возможность дает непрерывный анализ потока информации об актуальном инструментарии киберпреступников и характере их действий.

Мониторинг и CTI

Есть и еще одна сфера применения Cyber TI – киберразведка в контексте мониторинга, которая дает аналитикам сведения, сокращая время реакции на инцидент, так как в их распоряжении уже есть данные о потенциальных угрозах, прошедшие предварительную обработку и позволяющие заранее разработать сценарии реагирования.

Речь идет об индикаторах компрометации, которые хакеры всегда оставляют "на месте преступления", – информации об отдельных объектах, свидетельствующих о киберугрозах. Правда, в отличие от отпечатков пальцев человека, такие объекты могут видоизменяться или даже подменяться другими. Например, злоумышленники могут заменять или добавлять символы в файлы, использовать или менять различные IP-адреса и доменные имена.

Последовательность проведения киберразведки

Процесс киберразведки можно разделить на несколько последовательных этапов.

На первом этапе производится накопление данных, которые приводят к единому формату для последующего хранения и обработки.

Затем, на втором этапе, информация обрабатывается, выстраиваются связи и зависимости между отдельными данными, проводится проверка их достоверности и репрезентативности.

Третий этап посвящен скорингу данных, оценке их ценности и тегированию. Все это необходимо, чтобы облегчить последующую работу с полученной информацией.

Обработанные таким образом данные необходимо распространить, чтобы на их основе выстроить защиту инфраструктур и систем. В зависимости от типа средств защиты для распространения выбирается формат данных, который они поддерживают. Учитываются также методы защиты, которые используются при проведении мониторинга, блокировки и в других защитных действиях.

ris1_new

Важно! Сильную защиту обеспечивает только сочетание различных мер – блокировка зловредов или опасных действий едва ли позволит ИБ-специалистам составить полноценную картину при анализе угроз. Например, при блокировке перехода и попытке подключиться к управляющему серверу какого-нибудь вируса только мониторинг поможет узнать, была ли скомпрометирована система и нужно ли принимать контрмеры.

Формирование и развитие CyberART TI

Компания Innostage занимается обеспечением информационной безопасности крупных организаций, в частности использует киберразведку. В 2018 г. для этих целей применялся MISP – Open Source-платформа для анализа угроз, а также различные бесплатные сервисы на ее основе.

Затем для автоматического сбора информации на сторонних ресурсах и формирования собственной базы данных о выявленных инцидентах вместе с MISP стал использоваться Cortex by Palo Alto Networks (Cortex XDR).

Со временем эксперты компании ощутили явную нехватку функциональности применяемых решений. Например, в MISP отсутствовала автоматизация обогащения индикаторов компрометации. В компании ее реализовали при помощи надстройки, которая при скачивании информации перепроверяла запрос. Правда, такая реализация MISP требовала, чтобы при каждом запросе к источнику он перепроверялся заново, даже если к нему в этот день уже был десяток обращений.

Иными словами, в Innostage стали выпускать собственные надстройки для MISP – самописные парсеры, нормализаторы и даже некоторые сборщики данных, которые позволяли искать информацию по тегам. Со временем у Innostage появились собственные парсеры для поиска индикаторов компрометации из текста, которые дали возможность расширить круг используемых источников и начать мониторинг социальных сетей.

К 2022 г. в компании сформировалась методология практической реализации киберразведки. Innostage стала применять собственный подход к этому процессу, с оригинальными правилами корреляции, агрегации, нормализации и сбора данных.

Cyber TI и SOC

В киберразведке, в рамках SOC, есть свои особенности – анализ тенденций атак, изучение их техник и тактик, на основе которых формируется контент для мониторинга систем. Характерен также поиск индикаторов компрометации. Эти особенности в киберразведку привносит создание и использование сервиса для целей SOC. Для работы SOC актуально получение данных о связанной инфраструктуре, управляющих серверах, методах проверки подключения к Интернету, обработки ожидания соединения и т.д. Эти данные формируют видение потенциальных целевых атак на основе найденной в ходе киберразведки информации. Иными словами, SOС ведет поиск новых регистраций сертификатов, анализ активности поведения на всевозможных чатах и форумах. CyberART TI позволяет SOC ускорить этот процесс, автоматически предоставляя целый комплекс уже накопленной актуальной информации в обработанном виде.

Применение Cyber TI возможно в случае выявления любого инцидента, не только связанного именно с индикатором компрометации, но и созданного по правилу корреляции за счет поиска связанной информации по отдельными атрибутам, полученным в ходе расследования.

Поиск связей производится в рамках анализа отдельных угроз от потенциально вредоносных программ, серверов управлений, сканеров. Выявляется их взаимодействие между собой, группы дублирующих зеркал в проксировании, используемые хакерами, и т.п. Устанавливается связь самой программы с управляющими серверами. Ведется ретроспективный анализ для использования при проверке исторических данных. В результате ИБ-аналитики SOС получают полное представление о том, что могло случиться в инфраструктуре, и при помощи индикатора компрометации могут сформировать актуальные данные за определенный период.

Как оценить эффективность киберразведки?

С одной стороны, выгоду от применения TI подсчитать практически невозможно: раз нет атаки, то нет и последствий для предприятия, выраженных в финансовой форме. Но с помощью киберразведки можно смоделировать максимально доступный уровень риска, а также рассчитать скорости реакции SOC на критичные инциденты ИБ и, исходя из этих данных, оценить эффективность инструмента.

TI помогает решать и другие задачи риск-менеджмента, например принимать управленческие решения при планировании выхода на новые рынки. Применение методов Threat Intelligence позволит соотнести предстоящие затраты с прогнозируемой прибылью.

Почему своя TI-платформа нужна не всем

TI-платформы как класс нельзя назвать универсальным решением. Некоторым компаниям не нужно производить сложные корреляции и осуществлять полный цикл работ с фидами. У каждой компании есть свои подходы к обеспечению ИБ, и многие организации не будут разрабатывать собственную платформу, а скорее выберут уже готовую. Но это не отменяет того, что развитие ИБ-аналитики в компании требует формирования стратегии, в рамках которой необходимо внедрение подходов к киберразведке. Опыт Innostage может стать актуальным для множества заказчиков.

Для расширения охвата мониторинга и оперативного реагирования на угрозы в большинстве проектов, после подготовки инфраструктуры заказчика и SOC, внедрения контента и настройки источников, Innostage организует работы по TI. Это один из верхнеуровневых сервисов, востребованных как в аутсорсинговых и гибридных форматах представления услуг по обеспечению кибербезопасности, так и при наличии у заказчика собственного SOC.

Наведите смартфон на QR-код, чтобы подробнее узнать о сервисах Центра противодействия киберугрозам Innostage CyberART и проконсультироваться по решениям, которые позволят защитить вашу информационную инфраструктуру.

ris2-Dec-12-2023-08-28-20-4227-AM

 

Темы:SOCThreat IntelligenceInnostageЖурнал "Информационная безопасность" №5, 2023CyberART

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать