Валерия Чулкова, 05/12/23
В отличие от прошлого года, когда аналитики отмечали большой объем веб-атак, в этом году злоумышленники переключились на сетевые атаки, эксплуатацию вредоносного ПО и фишинговые рассылки, выявлять которые удавалось зачастую только при помощи данных Threat Intelligence (TI).
Автор: Валерия Чулкова, руководитель продукта R-Vision TIP
Последние два года выдались довольно необычными для российских специалистов информационной безопасности: массовый уход с рынка поставщиков зарубежных решений, новые законодательные требования, а также рост количества кибератак, главными особенностями которых стали интенсивность, вариативность и сложность.
Противостояние киберпреступников и специалистов информационной безопасности вышло на новый уровень, которому свойственно большее количество утечек, взломов и появление более продвинутого инструментария хакеров в открытом доступе – все это упрощает реализацию целевых атак, делая их более доступными.
И если злоумышленники с низкой квалификацией уже не представляют особой угрозы для организаций, у которых есть SOC со всем набором базовых технологий, то увеличившееся количество точечных атак от профессиональных хакеров сложно выявлять и предотвращать на ранних стадиях без использования данных киберразведки и построенных процессов работы с Threat Intelligence (TI).
Источник: www.Rvision.Ru
С чего начинается TI?
Отправной точкой в TI является сбор информации о новых угрозах и атаках. На этом этапе важно сформировать эффективный набор тех источников, которые будут обеспечивать регулярно обновляемый поток данных киберразведки, наиболее релевантный профилю защищаемой организации. Сегодня доступно множество источников, содержащих те или иные признаки активности злоумышленников, включая открытые базы данных, сетевой трафик, форумы, отчеты и другие ресурсы. Помимо открытых источников, данные можно получать от специализированных вендоров, которые формируют их на базе собственных экспертных центров.
Для агрегации данных от различных источников используются платформенные решения Threat Intelligence Platform (TIP), которые не только позволяют собирать информацию от разных поставщиков, но и приводят ее к общему формату, исключают дублирование данных, обогащают их через внешние сервисы, предоставляют широкий спектр инструментов для анализа взаимосвязей вредоносных сущностей. Но самое важное – платформы позволяют интегрировать Threat Intelligence в другие системы ИБ для обнаружения атак на ранних стадиях и превентивной защиты от потенциальных угроз.
Одним из первых отечественных платформенных решений данного класса стал R-Vision TIP, который компания представила на рынок в 2019 г. Сегодня R-Vision TIP активно эксплуатируется как в государственных организациях, так и в коммерческих компаниях финансовой отрасли, промышленности, в нефтегазовом секторе, ритейле, телекоме и т.д. Платформа непрерывно развивается, наполняется новыми функциями; расширяется список поставщиков данных и возможности интеграций с ИБ-системами.
Особенности работы с данными TI
Ключевые данные, на которых строится киберразведка, – это индикаторы компрометации (IoC), или артефакты активности злоумышленников, которыми могут быть IP-адреса C&C-серверов, адреса электронной почты, используемые для фишинга, хеш-суммы вредоносных файлов и т.д.
Для формирования потока надежных и эффективных данных в платформе R-Vision TIP реализованы инструменты не только сбора IoC от различных поставщиков, но и сравнения источников по уникальности и пересечению данных, количеству предоставляемых индикаторов компрометации и других сущностей угроз. Анализ источников выполняется платформой автоматически, а на выходе генерируется отчет, с помощью которого аналитик может сделать выводы и отобрать наиболее релевантные источники для профиля его организации и инфраструктуры, а также исключить похожие друг на друга.
Сегодня пользователям R-Vision TIP доступен широкий спектр различных поставщиков данных TI для подключения и эксплуатации, от бесплатных opensource AT&T и MISP, отраслевых источников (АСОИ ФинЦЕРТ, АС "Фид-Антифрод") до коммерческих вендорских фидов. Это позволяет объединить в одном месте экспертизу из множества различных источников, а также сформировать собственную базу данных киберразведки. Кроме того, благодаря интеграции с сервисами обогащения, такими как VirusTotal, Shodan, Whois и множеством других, пользователь может автоматически обогащать собранные и добавляемые данные дополнительным контекстом. Таким образом, сухие значения индикаторов компрометации приобретают дополнительные атрибуты, которые создают информационную ценность и повышают уровень осведомленности аналитика. Например, можно узнать, какие образцы вредоносного ПО подключались к IP-адресу, связанные с ним URL-адреса, файлы, ссылающиеся на домен, информацию о месторасположении и многое другое.
Безусловно, пользователю приходится работать с большим потоком данных. Более того, какие-то данные могут устаревать или терять свою актуальность. Для того чтобы аналитикам было проще определять актуальные угрозы, разработчики предлагают различные решения: где-то используется цветовая маркировка TLP (Traffic Light Protocol) индикаторов компрометации, а где-то задается числовая оценка угрозы. Так, в R-Vision TIP реализована скоринговая модель, которая автоматически рассчитывает оценку индикаторов компрометации по различным критериям и приоритетам, а также дает пользователю возможность управлять настройками оценки. Поскольку актуальность IoC со временем теряется, его рейтинг также должен снижаться – именно для этого в модели используется настраиваемый коэффициент устаревания.
Инструменты анализа
Работа TI-аналитика не заканчивается на сборе и обогащении IoC. Для полного понимания потенциальной угрозы и вероятного вектора атаки необходимо провести анализ IoC, изучить отчеты, оценить влияние всех связанных с атакой сущностей, разобраться с используемыми методами, уязвимостями и ВПО.
Одним из важных вспомогательных инструментов аналитика является база знаний MITRE ATT&CK®, с помощью которой можно изучить TTP (техники, тактики и процедуры), используемые злоумышленниками для реализации атаки, и понять их мотивацию. Для удобства пользователей и более эффективной работы с базой знаний MITRE ATT&CK® в R-Vision TIP реализована интеграция с матрицей MITRE ATT&CK®. Это позволяет платформе автоматически определять связи конечных индикаторов компрометации с техниками и тактиками, используемыми хакерами, а также дает возможность из рабочего пространства платформы перейти по ссылкам на информационные ресурсы, где описаны случаи использования определенных техник злоумышленниками, и воспользоваться рекомендациями по их обнаружению. Сопоставление наблюдаемых угроз в инфраструктуре организации с описанными TTP в MITRE ATT&CK® помогает в атрибуции инцидента к определенной группе или типу атаки, а также выявить слабые места в эксплуатируемой системе защиты. Для удобства пользователя в продукте есть визуализация связей на графе, что помогает быстрее оценить этапы атаки, сформировать подход к реагированию на инциденты и приоритизировать принимаемые меры защиты. С помощью графа аналитик может не только исследовать связи между сущностями, но и понимать, какие именно техники и тактики могут использоваться для реализации конкретной угрозы, в том числе и какими именно группировками.
Интеграция Threat Intelligence с системами ИБ
Как уже отмечалось, платформенное решение TI позволяет автоматизировать и интегрировать Threat Intelligence в другие системы ИБ.
Интеграция платформы TI с различными системами ИБ расширяет потенциал практического применения данных киберразведки для защиты инфраструктуры, дает возможность не только находить следы хакеров в логах событий, но и пользоваться данными TI за пределами платформы, а также повышает скорость реагирования на инциденты. Рассмотрим несколько конкретных примеров.
Использование TIP c SIEM-системами помогает решить задачу обнаружения признаков вредоносной активности внутри событий инфраструктуры организации. Поскольку платформа TI может анализировать логи, получаемые от SIEM, и выполнять поиск индикаторов компрометации в режиме реального времени и в исторических данных, такой подход обеспечивает снижение нагрузки с SIEM и повышает эффективность обнаружения за счет использования гибких фильтров и подключенных инструментов аналитики.
R-Vision TIP поддерживает работу с различными популярными вендорами SIEM, включая отечественных, позволяет вести обнаружение в событиях от нескольких SIEM параллельно, в том числе и в территориально распределенных системах, без потери данных даже в случае обрыва соединения.
При обнаружении индикаторов компрометации у специалистов ИБ возникает естественная потребность в обработке найденной информации и реагировании на нее. Для этого TIP передает данные об обнаружении в SOAR, где регистрируется инцидент, а полученная от платформы информация используется для принятия ответных мер и имплементации сценариев реагирования. Кроме того, пользователь SOAR может сам инициировать запрос на обогащение данных в TIP по открытому инциденту из других источников.
Помимо этого, на основе проведенного самостоятельно анализа или следуя рекомендациям из внешнего отчета, платформа R-Vision TIP дает возможность формировать черные списки индикаторов компрометации и экспортировать их в СЗИ для блокировки, тем самым обеспечивая превентивную защиту от потенциальных угроз.
Для обмена данными киберразведки используются не только популярные форматы передачи информации типа JSON, CSV, TXT, но и специализированные форматы обмена данными TI – STIX и TAXII. В силу того, что в ИТ-инфраструктурах используется большое количество систем различных вендоров, важно, чтобы платформа TIP не ограничивалась одним поддерживаемым форматом, а имела гибкость для интеграции со множеством систем как для импорта, так и экспорта данных.
Можно заметить, что работа с данными TI имеет логическую последовательность процессов: агрегация и хранение данных, нормализация, обогащение, ранжирование индикаторов компрометации, анализ отчетов, угроз и взаимосвязей, поиск признаков вредоносной активности в инфраструктуре, информирование об обнаруженных угрозах, формирование блек-листов для блокировки потенциально опасных IoC на СЗИ, рассылка информационных бюллетеней. TIP позволяет обеспечить пользователя платформы инструментами для работы на каждом этапе процесса и реализовать конвейерный подход в работе с данными TI по всему циклу.
В условиях большого объема задач, данных, сжатых сроков и постоянно меняющихся приоритетов сокращение времени, необходимого для выполнения операционной рутины, имеет крайне важное значение. И, как правило, достигается за счет автоматизации процессов. В R-Vision TIP правила автоматизации распространяются на каждый модуль платформы, а в комплексе минимизируют участие пользователя в полном цикле, от сбора и обогащения данных до обнаружения, оповещения и экспорта списка IoC на СЗИ. Использование гибких фильтров в автоматизации позволяет произвести тонкую настройку поиска в потоке событий и экспорта индикаторов компрометации по множеству атрибутов, будь то рейтинг, отрасль, страна, тактики MITRE ATT&CK® или связанное ВПО. Таким образом, аналитик не только экономит собственное время, но и повышает точность выборки данных.
Несмотря на непрерывное совершенствование технологий и технических средств защиты информации, киберпреступники не остаются в стороне и продолжают развивать свои подходы к реализации атак. В то же время рост ценности данных стимулирует высокие требования к их защите. Сегодня сложно представить эффективную защиту инфраструктуры, опирающуюся только на реактивные средства реагирования. Направление Threat Intelligence расширяет методы борьбы с киберпреступностью благодаря разностороннему анализу угроз, а знания о способах реализации продвинутых атак и о пользе от их применения в превентивной защите сложно переоценить.
Платформенный подход к ведению киберразведки позволяет оптимизировать путь от сбора и анализа данных до интеграции Threat Intelligence в процессы ИБ.
