Контакты
Подписка 2025
Статьи по информационной безопасности

Threat Intelligence: куда и как его "прикладывать"

Алексей Новиков, 13/01/21

В последние годы мы наблюдаем рост числа инцидентов, вызванных целевыми атаками: только в III квартале этого года количество целевых атак увеличилось до 70% 1. Сегодня они отличаются технологической сложностью: хакеры активно используют средства антианализа, антиатрибуции, антифорензики, затрудняющие анализ и расследование инцидентов. Сокращается окно между появлением новой технологии и принятием ее на вооружение злоумышленниками: в среднем между появлением нового эксплойта и началом его использования проходит от трех до пяти дней. А особо продвинутые группировки на адаптацию новых эксплойтов и техник под себя и вовсе тратят считаные часы.

Как обеспечить достаточную эффективность защиты, которая в этой гонке является “догоняющей стороной”? Ответом на этот вопрос может стать Threat Intelligence (TI). При его правильном “прикладывании”, конечно.

Автор: Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

Дивный новый мир атак, инцидентов и TI

Злоумышленники оценили преимущества современного цифрового мира и, конечно же, активно их используют в своих интересах. Трансграничность современных ИТ-систем и высокая скорость взаимодействия позволяют осуществить одну и ту же атаку одномоментно, сразу на всю отрасль в рамках одного региона или даже на нескольких континентах. У организаций почти нет шансов покинуть позицию "догоняющих".

Своевременность получения знаний о новых угрозах, техниках и тактиках, инструментах хакеров значительно влияет на способность обеспечить адекватный отпор, мониторинг и реагирование на инциденты. То есть оперативность становится чуть ли не главным ИБ-трендом в любой организации. Логичный ответ на сложившуюся ситуацию – всплеск интереса к таким направлениям, как Threat Intelligence. К сожалению, многие выбирают (и даже используют) TI, не понимая, зачем конкретно он им нужен, ориентируясь на модную терминологию, магические квадранты. Ну и еще, может быть, на рекомендации, почерпнутые на той или иной конференции или в экспертном клубе.

Что такое TI?

Это знания о существующей (или новой) угрозе, об опасностях для бизнес-активов, основанные на фактах и включающие контекст, механизмы, индикаторы, последствия и рекомендации, которые могут быть использованы для обоснованных решений по реагированию на эту угрозу. Такая информация на практике помогает принимать решения и правильно приоритизировать события ИБ, применяемые меры и средства защиты, причем не только на уровне выявления инцидента в инфраструктуре, но и на уровне очередности внедрения средств защиты, разработки детектирования техник и выстраивания процессов. То есть, понимая, какие техники и тактики наиболее актуальны в данный момент, пользователь TI сможет оценить степень защищенности компании и подобрать наиболее эффективные средства защиты.

TI: брать не глядя или не брать вовсе

На что надо обратить внимание при выборе TI?

Первое, о чем следует задуматься, – релевантность. Скажем, информация об угрозах кредитно-финансовой сфере, может, и важна для объектов энергетики, но в приоритете для них данные о группировках, атакующих именно энергетический сектор. А для некоторых отраслей следует учитывать еще и региональную специфику, в зависимости от географической принадлежности существенно меняется портрет атакующих.

Далее – достоверность, то есть то, насколько полученным данным можно доверять. Некоторые поставщики TI предоставляют данные разного качества, и, опираясь на них, нужно по-разному подходить к использованию TI. Данные с низким уровнем доверия скорее следует воспринимать как инструмент обогащения других, более надежных, или в принципе расценивать как справочную информацию. И только при наличии дополнительного, более критического контекста, полученного изнутри инфраструктуры, использовать их при реагировании на инцидент или его расследовании. Данные с уровнем доверия, близким к 100%, целесообразно сразу использовать для блокировки на СЗИ или, при обнаружении их у себя в инфраструктуре, генерировать инцидент. Если же поставщик не дает такой оценки, то тогда лучше иметь собственные процессы и технологии обработки и верификации данных. На моей памяти было множество историй, когда поставщик TI ошибался и в своих данных указывал вполне легитимные ресурсы как опасные. В результате одной из них однажды ИТ-служба некой компании долго не могла понять, почему департамент закупок не может со своих рабочих ПК попасть на сайт госзакупок. Кстати, подобным почти всегда грешит TI, находящийся в свободном доступе.

Не менее важна актуальность данных. К примеру, нет смысла применять в операционной деятельности здесь и сейчас информацию об атаке АPT-группировки полугодичной давности и соответствующие индикаторы компрометации.

Необходимо проверять полученные данные в ретроспективном режиме. А если учесть, что среднее время публикации информации об APT-кампании составляет 14 месяцев, то просто необходимо иметь ретроспективные данные за этот период времени. Многие ли из имеющихся средств защиты позволяют проверять гипотезы в ретрорежиме на данных за полтора-два года? А делать то же самое в потоковом режиме? Да, безусловно, такой инструментарий есть. И все большее число производителей средств защиты понимают необходимость ретрорежима, но пока все же далеко не весь инструментарий защиты готов поддержать эффективную работу с историческими данными. И да, все это будет работать, только если TI дает данные с привязкой ко времени их актуальности.

Таким образом, становится понятно, что с имплементацией TI в инфраструктуру есть определенные сложности. Перед покупкой и началом использования этого инструмента необходимо оценить, что еще следует поменять, чем оснаститься, а самое главное – есть ли специалисты, готовые качественно с ним работать. Может оказаться так, что основные затраты на TI будут относиться не к покупке, а к выстраиванию процессов, приобретению TI-платформы для правильного управления получаемыми данными.

TI бывает разный

Всем известны уже ставшие классическими подходы к классификации TI:

  • по уровню влияния на принятие решений – стратегический и тактический;
  • по способу получения, хотя большинство поставщиков не любят об этом говорить;
  • по типу данных.

Организация должна уметь применять TI на всех уровнях. С помощью стратегического – следить за трендами и статистикой угроз и, исходя из них, анализировать свои возможности: выявлять пробелы в видимости угроз, покрытие детектами для техник и тактик и прочего. А главное – понимать, кто находится по ту сторону баррикад. На уровне тактики должна быть возможность оперативно применять полученные из TI знания – фиды, правила и индикаторы. Соответственно, должны быть системы, которые это поддерживают, ведь бесполезно покупать фиды или, скажем, получать yara-правила, если их негде применить.

Что касается фидов, то здесь в первую очередь надо обратиться к внутренним данным, проанализировать, кто именно атакует организацию. Для этого следует изучать и уже отраженные угрозы, например все фишинговые письма, даже если они были заблокированы средствами защиты. Ведь это сегодня атакующие не смогли обойти средства защиты, а завтра купят, к примеру, новый криптор и смогут попасть внутрь периметра организации. Далее надо подробно изучать публичные отчеты проверенных экспертов, отдавая приоритет тем, кто анализирует наиболее релевантные для организации угрозы. И уже только после всего этого можно подумать о покупке тех или иных приватных фидов и данных.

C имплементацией TI в инфраструктуру есть определенные сложности. Может оказаться так, что основные затраты на TI будут относиться не к покупке, а к выстраиванию процессов, приобретению TI-платформы для правильного управления получаемыми данными.

Качество и пользу TI сложно оценить, стоит ориентироваться на географию и отрасли, на которых специализируется тот или иной поставщик данных. Например, российской компании малополезно покупать данные у поставщика, который признан мировым сообществом, но практически не имеет дела с угрозами российской региональной специфики, явно на этом не специализировался, не специализируется и, скорее всего, не будет этого делать. Не вполне логично также покупать TI у тех поставщиков, чьими средствами защиты компания уже пользуется. Если вендор поставляет обновления баз детектов для своего продукта, то и данные из его же TI должны попадать туда. Зачем за одно и то же платить дважды?

Колоссальное значение для TI в общем смысле имеет отраслевой обмен данными об угрозах, инцидентах и атаках. Потому что если сегодня атакуют одного представителя отрасли, то с большой долей вероятности его "соседа" атакуют завтра (если не сделали это еще вчера). Качественный обмен информацией может поднять общий уровень защищенности целой отрасли, при условии, что более развитые с точки зрения ИБ компании будут оперативно делиться с комьюнити хотя бы своим стратегическим TI.

Базовый рецепт "приготовления" TI

После выбора TI и понимания, что компания готова его поддержать технологически, надо не забыть подумать об основных этапах работы с ним. Во-первых, следует обеспечить сбор и хранение данных, а их ежечасный объем может иногда измеряться сотнями тысяч записей.

Получаемые данные необходимо правильно обработать и передать соответствующие фрагменты в нужные СЗИ (NTA, SIEM, EDR, песочницы и т.д.), ну или, если речь идет о стратегическом TI, отдать аналитику. Разные средства защиты понимают данные разного формата и даже разные их сущности. Например, в SIEM-систему редко попадает информация о хеш-суммах файлов, тогда как для NTA-решение или песочницы это один из основных типов данных. Именно во время обработки данных как раз и следует обратить внимание на такие параметры, как уровень доверия, актуальность и применимость в данной инфраструктуре (о них мы уже говорили ранее). На этом этапе полученные данные можно дополнительно обогатить и передать в средства защиты уже с дополнительным контекстом.

После доставки данных до средств защиты необходимо проанализировать результаты их использования: выявить ложные срабатывания, понять, какие инциденты были сгенерированы или обогащены данными из TI. Если, допустим, выявлено большое количество ложных срабатываний и нерелевантных данных, следует откатиться к этапу обработки и исключить эти данные. Я видел случаи, когда попадание DNS-серверов компании Google в фиды вызывало лавинообразное количество инцидентов в SOC, а в результате – простои в непрерывном мониторинге из-за возросшей нагрузки на операторов и технические средства, обрабатывающие события. Оценить же эффективность можно лишь по одному критерию – количеству заблокированных атак или инцидентов, выявленных на основании данных TI.

Заключение

TI – "удовольствие" для зрелых компаний, имеющих необходимые технологии и выстроенные процессы. Так что организация, которая хочет начать его использовать, должна до него "дорасти":

  • обладать средствами защиты, умеющими работать с TI;
  • иметь экспертов, которые в состоянии адаптировать и понять, какую информацию они получили и как она может быть применима.

К сожалению, часто работа с TI ограничивается тем, что все получаемые фиды подключаются к SIEM-системе и тот "захлебывается" в колоссальном количестве ложных срабатываний или вовсе выходит из строя из-за недостаточной производительности. Этот пример – классический результат неэффективных, необдуманных и невзвешенных решений. Поэтому я советую не гнаться за модными словами и технологиями, а в первую очередь обратить внимание на данные, которые уже есть в организации, и вложиться в экспертов, которые могут, анализируя открытую информацию различного типа, существенно влиять на эффективность защиты компании.

  1. https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2020-q3/ 
Темы:Positive TechnologiesУправлениеThreat IntelligenceЖурнал "Информационная безопасность" №6, 2020

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Как мониторинг рантайма позволяет снижать риски при использовании контейнеров
    Михаил Бессараб, руководитель продукта PT Container Security в Positive Technologies
    Рост использования контейнеризации в ИТ-продуктах и сервисах сложно опровергнуть, как и гипотезу о важности защиты такой инфраструктуры. Обычно для подтверждения этого приходится опираться на зарубежную статистику, которая, впрочем, не всегда соответствуют отечественной специфике.
  • Zero Trust для цепочек поставок
    Алексей Плешков, Независимый эксперт по информационной безопасности, эксперт BIS
    Атака на цепочку поставок представляет собой многоступенчатый процесс, при котором злоумышленники наносят ущерб целевой компании, используя ее доверенных партнеров в качестве слабого звена. Вместо прямого нападения на хорошо защищенную организацию, преступники сначала компрометируют ее контрагентов – подрядчиков, сервис-провайдеров или даже открытые библиотеки кода, – чтобы затем через них проникнуть в основную систему.
  • Щедрость владельцев инфраструктуры не победить! Часть 3
    Денис Гойденко, руководитель PT ESC IR, Positive Technologies
    Киберинциденты – это не всегда про громкие утечки, сложные APT-группировки и технологии будущего. Иногда это про человеческие ошибки, странные управленческие решения и неожиданные повороты, которые могли бы стать отличным сюжетом для комедии, если бы не реальные последствия.
  • Секреты эффективного взаимодействия NGFW и SOC
    Андрей Ларшин, руководитель направления NGFW, RED Security
    NGFW и SOC – это передовые инструменты для обеспечения безопасности корпоративных сетей. RED Security предлагает услуги собственного SOC в формате MSS-сервиса, а также ведет разработку собственных решений в области сетевой безопасности. Рассмотрим, основываясь на накопленном опыте, как эти технологии связаны между собой, как дополняют друг друга и какие сложности в связи с этим возникают.
  • Стратегия аудита информационной безопасности в пяти шагах
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В условиях стремительного развития технологий и увеличения числа угроз регулярный аудит становится необходимым инструментом для обеспечения надежной защиты данных, предотвращения утечек информации и обеспечения непрерывного функционирования информационных ресурсов.
  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности