Илья Селезнев, 30/01/24
Способность грамотно использовать данные Threat Intelligence (TI) – это важная составляющая зрелого подхода к обеспечению информационной безопасности предприятия. У каждого поставщика TI своя специфика, это связано с разнообразием источников информации, методологий сбора и анализа, а также с уникальной экспертизой каждой организации. В 2022 г. [1] свой продукт Threat Intelligence представила компания “Гарда Технологии” (сегодня входит в группу компаний “Гарда”).
Авторы:
Илья Селезнев, руководитель продукта “Гарда Threat Intelligence” компании “Гарда Технологии” (входит в группу компаний “Гарда”)
Алексей Семенычев, руководитель направления экспертизы и аналитики компании “Гарда Технологии” (входит в группу компаний “Гарда”)
– Откуда у группы компаний "Гарда" данные для TI?
– Опыт работы компаний группы "Гарда" позволил накопить большую экспертизу в части сбора и анализа информации об угрозах. Есть два блока, откуда берутся данные TI: внешние и внутренние источники. В основе лежат обезличенные данные, накапливаемые в ходе использования продуктов группы компаний "Гарда" заказчиками, например индикаторы компрометации, которые были найдены или получены в ходе работы в реальной инфраструктуре. Важный источник данных – система "Гарда Deception", которая активно развивается и генерирует большое число качественных IoC.
Данные внутренних источников обогащаются внешними – OSINT, то есть данные, получаемые в ходе исследования открытых источников, DarkNet, Telegram, соцсетей и различных сервисов, которые агрегируют данные о киберугрозах. К этой группе можно отнести фиды Open Source, VirusTotal, Banneran, Shodan и др. Отдельная группа источников – индикаторы, получаемые из сетевых ловушек, и сведения, которые собирает наша команда аналитики (центр компетенции ИБ – команда, которая работает над фильтрацией данных, их обогащением и обработкой).
"Гарда Threat Intelligence" предоставляется через веб-интерфейс в качестве сервиса. В нем доступны фильтры, графическая аналитика по типам угроз, их география и другие полезные возможности.
Данные TI поставляются в форматах JSON, TXT, CSV, SIG, и охватывают восемь типов угроз: источники ботнетов, спам, VPN, Tor, DDoS-атаки, проксирование, фишинг и подмена хостов.
– Какое место Threat Intelligence занимает в экосистеме продуктов группы компаний "Гарда"?
– TI – это логическое и органичное развитие продуктовой линейки любого вендора информационной безопасности. С одной стороны, TI – это самостоятельное решение, и заказчик, не имея ни одного продукта из линейки "Гарда", может купить Гарда TI и использовать его в своей инфраструктуре, в своих средствах защиты информации, например в интеграции с SIEM-системами. Это один из самых популярных кейсов. TI не только помогает в этом случае правильно и вовремя среагировать на угрозу, но и подскажет, на что стоит обратить внимание в первую очередь.
Второй сценарий – обогащение продуктов "Гарда", таких как NDR, Deception, Anti-DDoS, прочими данными об угрозах, злоумышленниках и другой телеметрией. Это, в свою очередь, помогает максимально эффективно детектировать угрозы. В целом реализация экосистемы продуктов является важным этапом роста вендора. Мы не стали исключением и, видя существующие тенденции, реализовали несколько интеграций между Гарда TI и другими продуктами компании.
– Какую отраслевую специфику вы учитываете в данных?
– Анализируя даркнет, профильные Telegram-чаты, сообщества хакеров и другие источники, мы понимаем, какую отрасль, какой сектор, какую компанию и как будут атаковать злоумышленники. Фактически мы получаем информацию о том, какие при атаке будут применяться техники, тактики, какие вредоносы будут использованы. Мы регулярно публикуем отчеты об угрозах и атаках. Все это помогает заказчику выстроить более эффективно систему защиты своих активов и не допустить возникновения критического инцидента.
– Почему лучше использовать TI от специализированного вендора, а не самим брать открытые данные и пытаться их агрегировать, структурировать и использовать?
– Одно не исключает, а напротив, дополняет другое. Собственная команда информационной безопасности всегда будет обращаться в том числе и к открытым источникам. Однако процесс агрегации таких данных не так прост, как кажется. Открытые источники могут менять форматы представления данных, содержать нестандартные метрики и теги, закрывать доступ из определенных стран или коммерциализировать доступ через определенное время. Разные источники предлагают разный объем данных и разные форматы, при этом не особенно следят за релевантностью таких данных. Опять-таки, наполнением открытых источников занимаются в основном западные сообщества, а насколько эта информация актуальна в России? Потребуется не просто установить какое-то ПО, а выстроить целый процесс обработки и оценки собираемых данных, создать свою команду для этого.
В коммерческих источниках все это берет на себя вендор. Более того, работая сразу с несколькими заказчиками и имея возможность верифицировать собранные данные на собственных решениях, вендор видит картину гораздо шире, чем отдельная команда информационной безопасности, и, как следствие, заказчик получает более точный и качественный результат. Проще говоря, даже создавая у себя процесс обработки открытых источников данных, все равно не удастся получить информацию того уровня качества, который предлагает вендор. Парадокс ситуации заключается в том, что, пока нет команды, нормально работать с открытых источниками не получится, а с появлением команды стоимость подписки у вендора на фоне затрат на собственных специалистов становится не такой заметной.
Заказчику без собственной команды логичнее прийти на пилот к вендору, посмотреть, что предлагается, оценить, насколько это нужно и полезно.
Заказчик с командой уже использует те или иные платные подписки, а на их фоне стоимость коммерческого TI не так и высока, однако позволяет получить доступ к качественным данным, недоступным в других источниках. И тут также полезно смотреть на предлагаемые рынком варианты, не останавливаясь строго на одном поставщике.
– Оптимальная стратегия для заказчика – это агрегировать у себя все доступные TI и смотреть на их качество? Или выбрать два-три надежных источника и только с ними и работать?
– В этом вопросе люди делятся на два лагеря. Первые считают, что TI много не бывает, ведь у каждого вендора реализована своя уникальная экспертиза, которая отсутствует у соседей по рынку. Где-то, безусловно, есть пересечения, но это вовсе не означает, что TI одного производителя может полноценно заменить TI от другого. Они скорее дополняют друг друга. Вопрос только в стоимости этих решений и в том, какую выгоду они приносят. То есть окупает ли затраты на TI то количество индикаторов, которое этот TI приносит. Только практика поможет выработать оптимальное решение.
Вторые останавливаются на 1–2 "профильных" поставщиках. К примеру, наша сильная сторона в TI – это фиды для сетевой безопасности. Соответственно, наш профиль – это обогащение межсетевых экранов и файрволов, решений класса NDR/NTA и прочих элементов сетевого периметра.
– Какие обязательные процессы должны быть уже реализованы у заказчика, чтобы TI оказался ему необходим и полезен?
– Как минимум должен быть реализован процесс работы с обновлением средств защиты информации. Уже в этом случае можно получить эффект от использования индикаторов компрометации, которые загружаются напрямую на СЗИ. Это, кстати, подтверждается кейсами наших заказчиков.
Гораздо большего эффекта от TI можно добиться, проведя инвентаризацию своей инфраструктуры: если объединить источники данных от используемого ПО и оборудования с данными индикаторов, прогнозами, информацией об используемых методах, можно сделать аномалии прозрачными и управляемыми.
Наше решение открывает простой и удобный доступ к данным, что позволяет интегрировать их практически с любым инструментом защиты, даже если интеграция ограничена рамками одного устройства.
– Как измерить качество TI?
– Качество данных TI, как и других средств защиты информации, однозначно оценить непросто. TI – это знание об угрозах, и сервис решает две задачи. Во-первых, повышает эффективность работы людей за счет снижения количества ложноположительных срабатываний, за счет оптимизации написания правил корреляции, сокращения времени на реагирование и расследование. Вторая задача – это снижение риска возникновения того самого критичного инцидента, которого все боятся, особенно люди, которые далеки от ИБ.
Поэтому в качестве критериев качества Threat Intelligence стоит выделить:
- снижение количества ложноположительных срабатываний;
- сокращение времени реагирования и расследования;
- снижение времени на написание детектирующих и корреляционных правил;
- снижение риска возникновения критичных инцидентов.
В любом случае мы рекомендуем не отказываться ни от каких источников, потому что если даже по состоянию на сейчас фид от поставщика А включен полностью в фид поставщика B, то это не значит, что так будет в будущем. Уже завтра может появится уникальный индикатор компрометации, который конкретно для этой компании сработает и предотвратит нежелательные последствия.
И вообще, Threat Intelligence – это не про конкуренцию между вендорами, а про дополнение данных. Сейчас на рынке нет такого вендора, который бы охватывал все, у каждого есть своя уникальная экспертиза: у кого-то большой объем хешей, у кого-то качество сетевых индикаторов и т.д. Учитывая, что с нашего рынка ушли все западные игроки, в том числе поставщики бесплатных и платных TI, то стоит вдвое-втрое выше ценить то, что остается на рынке.
Стоит отметить, что мы активно работаем над включением технологий машинного обучения в обработку наших данных. Нет большой ценности в том, чтобы поставлять гигантский объем сырых индикаторов. Заказчики не всегда знают, что делать с большим объемом данных. Поэтому мы стараемся соблюдать баланс между качеством и объемом и стремиться к лучшему соотношению цены и качества на рынке. Автоматизация с использованием элементов искусственного интеллекта, несомненно, поможет в достижении этой цели.
– Насколько оперативны предоставляемые вами данные?
– Данные обновляются несколько раз в день в зависимости от источников. Некоторые источники обновляются раз в 20 минут, другие – раз в сутки.
Другое дело, что зачастую сверхоперативности от данных TI и не требуется, лучше дать им время пройти дополнительные процедуры обработки и обогащения, чтобы повысить их качество.
Повышенная оперативность, возможно, нужна в части DDoS, но опыт свидетельствует, что нашими данными можно предотвратить 80% атак, которые произойдут на следующий день.
– Что интересного есть в роадмапе на ближайшие месяцы?
– "Гарда Threat Intelligence" активно развивается. В ближайших релизах мы будем фокусироваться на увеличении числа категорий и типов данных, аналитике и обогащении фидов контекстом, который поможет в реагировании и расследовании. Будем работать над всеми возможными интеграциями, чтобы облегчить использование продукта со сторонними средствами защиты информации. В планах также внедрение технологий машинного обучения и функции приоритизации угроз.
