Threat Intelligence: куда и как его "прикладывать"
Алексей Новиков, 13/01/21
В последние годы мы наблюдаем рост числа инцидентов, вызванных целевыми атаками: только в III квартале этого года количество целевых атак увеличилось до 70% 1. Сегодня они отличаются технологической сложностью: хакеры активно используют средства антианализа, антиатрибуции, антифорензики, затрудняющие анализ и расследование инцидентов. Сокращается окно между появлением новой технологии и принятием ее на вооружение злоумышленниками: в среднем между появлением нового эксплойта и началом его использования проходит от трех до пяти дней. А особо продвинутые группировки на адаптацию новых эксплойтов и техник под себя и вовсе тратят считаные часы.
Как обеспечить достаточную эффективность защиты, которая в этой гонке является “догоняющей стороной”? Ответом на этот вопрос может стать Threat Intelligence (TI). При его правильном “прикладывании”, конечно.
Автор: Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)
Дивный новый мир атак, инцидентов и TI
Злоумышленники оценили преимущества современного цифрового мира и, конечно же, активно их используют в своих интересах. Трансграничность современных ИТ-систем и высокая скорость взаимодействия позволяют осуществить одну и ту же атаку одномоментно, сразу на всю отрасль в рамках одного региона или даже на нескольких континентах. У организаций почти нет шансов покинуть позицию "догоняющих".
Своевременность получения знаний о новых угрозах, техниках и тактиках, инструментах хакеров значительно влияет на способность обеспечить адекватный отпор, мониторинг и реагирование на инциденты. То есть оперативность становится чуть ли не главным ИБ-трендом в любой организации. Логичный ответ на сложившуюся ситуацию – всплеск интереса к таким направлениям, как Threat Intelligence. К сожалению, многие выбирают (и даже используют) TI, не понимая, зачем конкретно он им нужен, ориентируясь на модную терминологию, магические квадранты. Ну и еще, может быть, на рекомендации, почерпнутые на той или иной конференции или в экспертном клубе.
Что такое TI?
Это знания о существующей (или новой) угрозе, об опасностях для бизнес-активов, основанные на фактах и включающие контекст, механизмы, индикаторы, последствия и рекомендации, которые могут быть использованы для обоснованных решений по реагированию на эту угрозу. Такая информация на практике помогает принимать решения и правильно приоритизировать события ИБ, применяемые меры и средства защиты, причем не только на уровне выявления инцидента в инфраструктуре, но и на уровне очередности внедрения средств защиты, разработки детектирования техник и выстраивания процессов. То есть, понимая, какие техники и тактики наиболее актуальны в данный момент, пользователь TI сможет оценить степень защищенности компании и подобрать наиболее эффективные средства защиты.
TI: брать не глядя или не брать вовсе
На что надо обратить внимание при выборе TI?
Первое, о чем следует задуматься, – релевантность. Скажем, информация об угрозах кредитно-финансовой сфере, может, и важна для объектов энергетики, но в приоритете для них данные о группировках, атакующих именно энергетический сектор. А для некоторых отраслей следует учитывать еще и региональную специфику, в зависимости от географической принадлежности существенно меняется портрет атакующих.
Далее – достоверность, то есть то, насколько полученным данным можно доверять. Некоторые поставщики TI предоставляют данные разного качества, и, опираясь на них, нужно по-разному подходить к использованию TI. Данные с низким уровнем доверия скорее следует воспринимать как инструмент обогащения других, более надежных, или в принципе расценивать как справочную информацию. И только при наличии дополнительного, более критического контекста, полученного изнутри инфраструктуры, использовать их при реагировании на инцидент или его расследовании. Данные с уровнем доверия, близким к 100%, целесообразно сразу использовать для блокировки на СЗИ или, при обнаружении их у себя в инфраструктуре, генерировать инцидент. Если же поставщик не дает такой оценки, то тогда лучше иметь собственные процессы и технологии обработки и верификации данных. На моей памяти было множество историй, когда поставщик TI ошибался и в своих данных указывал вполне легитимные ресурсы как опасные. В результате одной из них однажды ИТ-служба некой компании долго не могла понять, почему департамент закупок не может со своих рабочих ПК попасть на сайт госзакупок. Кстати, подобным почти всегда грешит TI, находящийся в свободном доступе.
Не менее важна актуальность данных. К примеру, нет смысла применять в операционной деятельности здесь и сейчас информацию об атаке АPT-группировки полугодичной давности и соответствующие индикаторы компрометации.
Необходимо проверять полученные данные в ретроспективном режиме. А если учесть, что среднее время публикации информации об APT-кампании составляет 14 месяцев, то просто необходимо иметь ретроспективные данные за этот период времени. Многие ли из имеющихся средств защиты позволяют проверять гипотезы в ретрорежиме на данных за полтора-два года? А делать то же самое в потоковом режиме? Да, безусловно, такой инструментарий есть. И все большее число производителей средств защиты понимают необходимость ретрорежима, но пока все же далеко не весь инструментарий защиты готов поддержать эффективную работу с историческими данными. И да, все это будет работать, только если TI дает данные с привязкой ко времени их актуальности.
Таким образом, становится понятно, что с имплементацией TI в инфраструктуру есть определенные сложности. Перед покупкой и началом использования этого инструмента необходимо оценить, что еще следует поменять, чем оснаститься, а самое главное – есть ли специалисты, готовые качественно с ним работать. Может оказаться так, что основные затраты на TI будут относиться не к покупке, а к выстраиванию процессов, приобретению TI-платформы для правильного управления получаемыми данными.
TI бывает разный
Всем известны уже ставшие классическими подходы к классификации TI:
- по уровню влияния на принятие решений – стратегический и тактический;
- по способу получения, хотя большинство поставщиков не любят об этом говорить;
- по типу данных.
Организация должна уметь применять TI на всех уровнях. С помощью стратегического – следить за трендами и статистикой угроз и, исходя из них, анализировать свои возможности: выявлять пробелы в видимости угроз, покрытие детектами для техник и тактик и прочего. А главное – понимать, кто находится по ту сторону баррикад. На уровне тактики должна быть возможность оперативно применять полученные из TI знания – фиды, правила и индикаторы. Соответственно, должны быть системы, которые это поддерживают, ведь бесполезно покупать фиды или, скажем, получать yara-правила, если их негде применить.
Что касается фидов, то здесь в первую очередь надо обратиться к внутренним данным, проанализировать, кто именно атакует организацию. Для этого следует изучать и уже отраженные угрозы, например все фишинговые письма, даже если они были заблокированы средствами защиты. Ведь это сегодня атакующие не смогли обойти средства защиты, а завтра купят, к примеру, новый криптор и смогут попасть внутрь периметра организации. Далее надо подробно изучать публичные отчеты проверенных экспертов, отдавая приоритет тем, кто анализирует наиболее релевантные для организации угрозы. И уже только после всего этого можно подумать о покупке тех или иных приватных фидов и данных.
C имплементацией TI в инфраструктуру есть определенные сложности. Может оказаться так, что основные затраты на TI будут относиться не к покупке, а к выстраиванию процессов, приобретению TI-платформы для правильного управления получаемыми данными.
Качество и пользу TI сложно оценить, стоит ориентироваться на географию и отрасли, на которых специализируется тот или иной поставщик данных. Например, российской компании малополезно покупать данные у поставщика, который признан мировым сообществом, но практически не имеет дела с угрозами российской региональной специфики, явно на этом не специализировался, не специализируется и, скорее всего, не будет этого делать. Не вполне логично также покупать TI у тех поставщиков, чьими средствами защиты компания уже пользуется. Если вендор поставляет обновления баз детектов для своего продукта, то и данные из его же TI должны попадать туда. Зачем за одно и то же платить дважды?
Колоссальное значение для TI в общем смысле имеет отраслевой обмен данными об угрозах, инцидентах и атаках. Потому что если сегодня атакуют одного представителя отрасли, то с большой долей вероятности его "соседа" атакуют завтра (если не сделали это еще вчера). Качественный обмен информацией может поднять общий уровень защищенности целой отрасли, при условии, что более развитые с точки зрения ИБ компании будут оперативно делиться с комьюнити хотя бы своим стратегическим TI.
Базовый рецепт "приготовления" TI
После выбора TI и понимания, что компания готова его поддержать технологически, надо не забыть подумать об основных этапах работы с ним. Во-первых, следует обеспечить сбор и хранение данных, а их ежечасный объем может иногда измеряться сотнями тысяч записей.
Получаемые данные необходимо правильно обработать и передать соответствующие фрагменты в нужные СЗИ (NTA, SIEM, EDR, песочницы и т.д.), ну или, если речь идет о стратегическом TI, отдать аналитику. Разные средства защиты понимают данные разного формата и даже разные их сущности. Например, в SIEM-систему редко попадает информация о хеш-суммах файлов, тогда как для NTA-решение или песочницы это один из основных типов данных. Именно во время обработки данных как раз и следует обратить внимание на такие параметры, как уровень доверия, актуальность и применимость в данной инфраструктуре (о них мы уже говорили ранее). На этом этапе полученные данные можно дополнительно обогатить и передать в средства защиты уже с дополнительным контекстом.
После доставки данных до средств защиты необходимо проанализировать результаты их использования: выявить ложные срабатывания, понять, какие инциденты были сгенерированы или обогащены данными из TI. Если, допустим, выявлено большое количество ложных срабатываний и нерелевантных данных, следует откатиться к этапу обработки и исключить эти данные. Я видел случаи, когда попадание DNS-серверов компании Google в фиды вызывало лавинообразное количество инцидентов в SOC, а в результате – простои в непрерывном мониторинге из-за возросшей нагрузки на операторов и технические средства, обрабатывающие события. Оценить же эффективность можно лишь по одному критерию – количеству заблокированных атак или инцидентов, выявленных на основании данных TI.
Заключение
TI – "удовольствие" для зрелых компаний, имеющих необходимые технологии и выстроенные процессы. Так что организация, которая хочет начать его использовать, должна до него "дорасти":
- обладать средствами защиты, умеющими работать с TI;
- иметь экспертов, которые в состоянии адаптировать и понять, какую информацию они получили и как она может быть применима.
К сожалению, часто работа с TI ограничивается тем, что все получаемые фиды подключаются к SIEM-системе и тот "захлебывается" в колоссальном количестве ложных срабатываний или вовсе выходит из строя из-за недостаточной производительности. Этот пример – классический результат неэффективных, необдуманных и невзвешенных решений. Поэтому я советую не гнаться за модными словами и технологиями, а в первую очередь обратить внимание на данные, которые уже есть в организации, и вложиться в экспертов, которые могут, анализируя открытую информацию различного типа, существенно влиять на эффективность защиты компании.