Контакты
Подписка 2024

Threat Intelligence: куда и как его "прикладывать"

Алексей Новиков, 13/01/21

В последние годы мы наблюдаем рост числа инцидентов, вызванных целевыми атаками: только в III квартале этого года количество целевых атак увеличилось до 70% 1. Сегодня они отличаются технологической сложностью: хакеры активно используют средства антианализа, антиатрибуции, антифорензики, затрудняющие анализ и расследование инцидентов. Сокращается окно между появлением новой технологии и принятием ее на вооружение злоумышленниками: в среднем между появлением нового эксплойта и началом его использования проходит от трех до пяти дней. А особо продвинутые группировки на адаптацию новых эксплойтов и техник под себя и вовсе тратят считаные часы.

Как обеспечить достаточную эффективность защиты, которая в этой гонке является “догоняющей стороной”? Ответом на этот вопрос может стать Threat Intelligence (TI). При его правильном “прикладывании”, конечно.

Автор: Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

Дивный новый мир атак, инцидентов и TI

Злоумышленники оценили преимущества современного цифрового мира и, конечно же, активно их используют в своих интересах. Трансграничность современных ИТ-систем и высокая скорость взаимодействия позволяют осуществить одну и ту же атаку одномоментно, сразу на всю отрасль в рамках одного региона или даже на нескольких континентах. У организаций почти нет шансов покинуть позицию "догоняющих".

Своевременность получения знаний о новых угрозах, техниках и тактиках, инструментах хакеров значительно влияет на способность обеспечить адекватный отпор, мониторинг и реагирование на инциденты. То есть оперативность становится чуть ли не главным ИБ-трендом в любой организации. Логичный ответ на сложившуюся ситуацию – всплеск интереса к таким направлениям, как Threat Intelligence. К сожалению, многие выбирают (и даже используют) TI, не понимая, зачем конкретно он им нужен, ориентируясь на модную терминологию, магические квадранты. Ну и еще, может быть, на рекомендации, почерпнутые на той или иной конференции или в экспертном клубе.

Что такое TI?

Это знания о существующей (или новой) угрозе, об опасностях для бизнес-активов, основанные на фактах и включающие контекст, механизмы, индикаторы, последствия и рекомендации, которые могут быть использованы для обоснованных решений по реагированию на эту угрозу. Такая информация на практике помогает принимать решения и правильно приоритизировать события ИБ, применяемые меры и средства защиты, причем не только на уровне выявления инцидента в инфраструктуре, но и на уровне очередности внедрения средств защиты, разработки детектирования техник и выстраивания процессов. То есть, понимая, какие техники и тактики наиболее актуальны в данный момент, пользователь TI сможет оценить степень защищенности компании и подобрать наиболее эффективные средства защиты.

TI: брать не глядя или не брать вовсе

На что надо обратить внимание при выборе TI?

Первое, о чем следует задуматься, – релевантность. Скажем, информация об угрозах кредитно-финансовой сфере, может, и важна для объектов энергетики, но в приоритете для них данные о группировках, атакующих именно энергетический сектор. А для некоторых отраслей следует учитывать еще и региональную специфику, в зависимости от географической принадлежности существенно меняется портрет атакующих.

Далее – достоверность, то есть то, насколько полученным данным можно доверять. Некоторые поставщики TI предоставляют данные разного качества, и, опираясь на них, нужно по-разному подходить к использованию TI. Данные с низким уровнем доверия скорее следует воспринимать как инструмент обогащения других, более надежных, или в принципе расценивать как справочную информацию. И только при наличии дополнительного, более критического контекста, полученного изнутри инфраструктуры, использовать их при реагировании на инцидент или его расследовании. Данные с уровнем доверия, близким к 100%, целесообразно сразу использовать для блокировки на СЗИ или, при обнаружении их у себя в инфраструктуре, генерировать инцидент. Если же поставщик не дает такой оценки, то тогда лучше иметь собственные процессы и технологии обработки и верификации данных. На моей памяти было множество историй, когда поставщик TI ошибался и в своих данных указывал вполне легитимные ресурсы как опасные. В результате одной из них однажды ИТ-служба некой компании долго не могла понять, почему департамент закупок не может со своих рабочих ПК попасть на сайт госзакупок. Кстати, подобным почти всегда грешит TI, находящийся в свободном доступе.

Не менее важна актуальность данных. К примеру, нет смысла применять в операционной деятельности здесь и сейчас информацию об атаке АPT-группировки полугодичной давности и соответствующие индикаторы компрометации.

Необходимо проверять полученные данные в ретроспективном режиме. А если учесть, что среднее время публикации информации об APT-кампании составляет 14 месяцев, то просто необходимо иметь ретроспективные данные за этот период времени. Многие ли из имеющихся средств защиты позволяют проверять гипотезы в ретрорежиме на данных за полтора-два года? А делать то же самое в потоковом режиме? Да, безусловно, такой инструментарий есть. И все большее число производителей средств защиты понимают необходимость ретрорежима, но пока все же далеко не весь инструментарий защиты готов поддержать эффективную работу с историческими данными. И да, все это будет работать, только если TI дает данные с привязкой ко времени их актуальности.

Таким образом, становится понятно, что с имплементацией TI в инфраструктуру есть определенные сложности. Перед покупкой и началом использования этого инструмента необходимо оценить, что еще следует поменять, чем оснаститься, а самое главное – есть ли специалисты, готовые качественно с ним работать. Может оказаться так, что основные затраты на TI будут относиться не к покупке, а к выстраиванию процессов, приобретению TI-платформы для правильного управления получаемыми данными.

TI бывает разный

Всем известны уже ставшие классическими подходы к классификации TI:

  • по уровню влияния на принятие решений – стратегический и тактический;
  • по способу получения, хотя большинство поставщиков не любят об этом говорить;
  • по типу данных.

Организация должна уметь применять TI на всех уровнях. С помощью стратегического – следить за трендами и статистикой угроз и, исходя из них, анализировать свои возможности: выявлять пробелы в видимости угроз, покрытие детектами для техник и тактик и прочего. А главное – понимать, кто находится по ту сторону баррикад. На уровне тактики должна быть возможность оперативно применять полученные из TI знания – фиды, правила и индикаторы. Соответственно, должны быть системы, которые это поддерживают, ведь бесполезно покупать фиды или, скажем, получать yara-правила, если их негде применить.

Что касается фидов, то здесь в первую очередь надо обратиться к внутренним данным, проанализировать, кто именно атакует организацию. Для этого следует изучать и уже отраженные угрозы, например все фишинговые письма, даже если они были заблокированы средствами защиты. Ведь это сегодня атакующие не смогли обойти средства защиты, а завтра купят, к примеру, новый криптор и смогут попасть внутрь периметра организации. Далее надо подробно изучать публичные отчеты проверенных экспертов, отдавая приоритет тем, кто анализирует наиболее релевантные для организации угрозы. И уже только после всего этого можно подумать о покупке тех или иных приватных фидов и данных.

C имплементацией TI в инфраструктуру есть определенные сложности. Может оказаться так, что основные затраты на TI будут относиться не к покупке, а к выстраиванию процессов, приобретению TI-платформы для правильного управления получаемыми данными.

Качество и пользу TI сложно оценить, стоит ориентироваться на географию и отрасли, на которых специализируется тот или иной поставщик данных. Например, российской компании малополезно покупать данные у поставщика, который признан мировым сообществом, но практически не имеет дела с угрозами российской региональной специфики, явно на этом не специализировался, не специализируется и, скорее всего, не будет этого делать. Не вполне логично также покупать TI у тех поставщиков, чьими средствами защиты компания уже пользуется. Если вендор поставляет обновления баз детектов для своего продукта, то и данные из его же TI должны попадать туда. Зачем за одно и то же платить дважды?

Колоссальное значение для TI в общем смысле имеет отраслевой обмен данными об угрозах, инцидентах и атаках. Потому что если сегодня атакуют одного представителя отрасли, то с большой долей вероятности его "соседа" атакуют завтра (если не сделали это еще вчера). Качественный обмен информацией может поднять общий уровень защищенности целой отрасли, при условии, что более развитые с точки зрения ИБ компании будут оперативно делиться с комьюнити хотя бы своим стратегическим TI.

Базовый рецепт "приготовления" TI

После выбора TI и понимания, что компания готова его поддержать технологически, надо не забыть подумать об основных этапах работы с ним. Во-первых, следует обеспечить сбор и хранение данных, а их ежечасный объем может иногда измеряться сотнями тысяч записей.

Получаемые данные необходимо правильно обработать и передать соответствующие фрагменты в нужные СЗИ (NTA, SIEM, EDR, песочницы и т.д.), ну или, если речь идет о стратегическом TI, отдать аналитику. Разные средства защиты понимают данные разного формата и даже разные их сущности. Например, в SIEM-систему редко попадает информация о хеш-суммах файлов, тогда как для NTA-решение или песочницы это один из основных типов данных. Именно во время обработки данных как раз и следует обратить внимание на такие параметры, как уровень доверия, актуальность и применимость в данной инфраструктуре (о них мы уже говорили ранее). На этом этапе полученные данные можно дополнительно обогатить и передать в средства защиты уже с дополнительным контекстом.

После доставки данных до средств защиты необходимо проанализировать результаты их использования: выявить ложные срабатывания, понять, какие инциденты были сгенерированы или обогащены данными из TI. Если, допустим, выявлено большое количество ложных срабатываний и нерелевантных данных, следует откатиться к этапу обработки и исключить эти данные. Я видел случаи, когда попадание DNS-серверов компании Google в фиды вызывало лавинообразное количество инцидентов в SOC, а в результате – простои в непрерывном мониторинге из-за возросшей нагрузки на операторов и технические средства, обрабатывающие события. Оценить же эффективность можно лишь по одному критерию – количеству заблокированных атак или инцидентов, выявленных на основании данных TI.

Заключение

TI – "удовольствие" для зрелых компаний, имеющих необходимые технологии и выстроенные процессы. Так что организация, которая хочет начать его использовать, должна до него "дорасти":

  • обладать средствами защиты, умеющими работать с TI;
  • иметь экспертов, которые в состоянии адаптировать и понять, какую информацию они получили и как она может быть применима.

К сожалению, часто работа с TI ограничивается тем, что все получаемые фиды подключаются к SIEM-системе и тот "захлебывается" в колоссальном количестве ложных срабатываний или вовсе выходит из строя из-за недостаточной производительности. Этот пример – классический результат неэффективных, необдуманных и невзвешенных решений. Поэтому я советую не гнаться за модными словами и технологиями, а в первую очередь обратить внимание на данные, которые уже есть в организации, и вложиться в экспертов, которые могут, анализируя открытую информацию различного типа, существенно влиять на эффективность защиты компании.

  1. https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2020-q3/ 
Темы:Positive TechnologiesУправлениеThreat IntelligenceЖурнал "Информационная безопасность" №6, 2020

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
  • Управление уязвимостями в 2024 году: что изменилось и как перестроить процесс
    Павел Попов, лидер продуктовой практики MaxPatrol VM, Positive Technologies
    В условиях всплеска числа кибератак, ухода зарубежных вендоров, импортозамещения ПО и обновления нормативно-правовой базы у процесса управления уязвимостями в России есть ряд важных особенностей

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...