Threat Intelligence Platform: проблемы, прогнозы, перспективы
Редакция журнала "Информационная безопасность", 14/12/23
Threat Intelligence Platform (TIP) выступает в роли умного инструмента, предназначенного для сбора, анализа и использования данных о киберугрозах. Вместе с разработчиками этого класса решений рассмотрим ключевые черты и возможности Threat Intelligence Platform, которые делают ее важным инструментом в стратегии современной кибербезопасности.
Эксперты:
- Кирилл Митрофанов, руководитель команды аналитики разведки киберугроз “Лаборатории Касперского”
- Роман Овчинников, руководитель отдела исполнения Security Vision
- Илья Селезнев, руководитель продукта TI группы компаний “Гарда”
- Алексей Семенычев, руководитель направления экспертизы и аналитики компании “Гарда Технологии” (входит в группу компаний “Гарда”)
- Олег Скулкин, руководитель BI.ZONE Threat Intelligence
- Николай Степанов, пресейл-инженер F.A.C.C.T.
- Борис Сторонкин, менеджер продукта Kaspersky Threat Intelligence Platform в “Лаборатории Касперского”
- Валерия Чулкова, руководитель продукта R-Vision TIP
- Елена Шамшина, руководитель департамента Threat Intelligence компании F.A.C.C.T.
Когда компании стоит задуматься о приобретении платформы TIP?
Илья Селезнев, Гарда:
Если говорить про TIP, то это продукт для зрелого с точки зрения ИБ заказчика. Должны быть внедрены средства мониторинга, обнаружения, предотвращения инцидентов и другие СЗИ. И конечно, для TIP необходимы разные источники фидов, в этом случае эффективность кратно возрастет.
Для менее зрелых заказчиков можно рассмотреть вариант покупки TI Feeds и обогащать фидами непосредственно те средства, которые имеются в арсенале. Это в том числе предлагаем и мы.
Валерия Чулкова, R-Vision:
Как правило, TI становится актуальным с момента построения процесса реагирования на инциденты либо при построении собственного SOC в тех компаниях, где критично понимать текущие угрозы и их влияние на организацию. Со временем объем данных TI становится очень большим, появляется необходимость в хранении и обогащении собственных IoC. Если процессы сбора, обогащения, мониторинга и анализа данных TI не систематизированы и не автоматизированы, они становятся очень ресурсоемкими и снижают эффективность. В таких случаях стоит рассмотреть внедрение платформы TIP, которая позволит оптимизировать эти процессы, а также ресурсы для их обеспечения и тем самым внесет весомый вклад в обнаружение сложных атак и общий уровень защиты организации.
Борис Сторонкин, Лаборатория Касперского:
Если компания только начинает собирать TI из доступных открытых источников и своих собственных расследований инцидентов, можно это делать в электронной таблице или бесплатной TI-платформе с открытым исходным кодом. Когда компания начинает использовать коммерческие фиды, это обычно означает, что либо ИБ-риски стали выше, либо появилась возможность их более эффективно закрывать. На данном этапе уже целесообразно использование более зрелой коммерческой платформы Threat Intelligence, поскольку она, как правило, более приспособлена к большим объемам индикаторов и имеет хорошие интеграционные возможности с другими СЗИ, в частности с SIEM-системами.
Олег Скулкин, BI.ZONE:
Компании стоит задуматься о приобретении TIP, когда у нее появляются сотрудники, которые занимаются кибербезопасностью, и есть хотя бы минимальный набор средств защиты. Данные, содержащиеся в TIP, позволяют руководителю и специалистам понять ландшафт угроз, ускорить работу с выявленными инцидентами и обогащать СЗИ данными технического уровня.
Елена Шамшина, F.A.C.C.T.:
Учитывая беспрецедентный рост кибератак, утечек, повышение активности хактивистов и проправительственных групп, а также уход из России иностранных вендоров, задуматься необходимо было еще вчера. Данные Threat Intelligence помогают заранее узнавать о готовящихся кибератаках, оперативно получать индикаторы компрометации и фиды, чтобы превентивно защититься от актуальных киберугроз. Клиентом TIP может быть уже достаточно зрелая компания, которая проектирует или уже использует свою систему защиты, умеет правильно обрабатывать и процессить данные с Threat Intelligence, понимает, как эти знания помогут предотвратить инциденты ИБ.
Роман Овчинников, Security Vision:
В первую очередь в компании должна быть реализована система защиты, позволяющая успешно выявлять и предотвращать атаки на основании информации из TIP. К таким решениям можно отнести SIEM, SOAR, XDR/EDR, прокси и песочницы. Не менее важным является наличие и зрелость процесса управления киберинцидентами, а также документированная процедура обработки обнаружений IoC.
Кирилл Митрофанов, Лаборатория Касперского:
Когда компания четко осознает нехватку тактической, оперативной и стратегической информации об атаках/акторах, которые релевантны ее ландшафту киберугроз. Когда руководство понимает, зачем нужен TI в целом и хочет интегрировать его в уже существующие процессы – как минимум Incident Response и как максимум – Threat Hunting. Когда есть штат аналитиков, которые будут наполнять базу TIP свежими разведданными, поступивших из разных источников.
Топ-3 ошибок при внедрении, которые резко снизят эффективность платформы TIP.
Кирилл Митрофанов, Лаборатория Касперского:
- Преследование цели "чтобы было".
- Отсутствие необходимых ресурсов для работ по наполнению TIP.
- Попытки сфокусировать внимание только на фидах, превращая TIP в хранилище индикаторов.
Роман Овчинников, Security Vision:
- Использование некачественных поставщиков IoC или попытка использовать сразу все доступные.
- Отсутствие проработки списка исключений – легитимные IoC, список False Positive и т.д.
- Отсутствие или некорректная настройка TTL для IoC, в результате чего будет накапливаться база неактуальных IoC.
Николай Степанов, F.A.C.C.T.:
- Заказчик не понимает, в чем ценность данных, полученных от Threat Intelligence, и как их эффективно использовать для предотвращения потенциальных киберугроз.
- Не выстроены процессы или отсутствуют эксперты, которые умеют работать с полученными индикаторами/информацией. То есть многие компании недооценивает количество ресурсов, нужное для обработки данных (в первую очередь людских), из-за чего не получают желаемого результата. Если вы задумались о киберразведке, спросите себя: "Хватит ли у меня времени и людей, заниматься ею?", так как это в первую очередь инструмент для достижения цели, а не самоцель.
Олег Скулкин, BI.ZONE:
- Использование потоков данных, нерелевантных для отрасли или географии организации.
- Пренебрежение использованием платформы для получения знаний о локальном ландшафте угроз.
- Отсутствие интеграции данных технического уровня, предоставляемых платформой, с имеющимися средствами защиты.
Валерия Чулкова, R-Vision:
- Выбор неэффективных и нерелевантных поставщиков данных для защищаемого ландшафта является критичной ошибкой и может создать неправильное впечатление о работе платформы, так как использование таких данных напрямую влияет на результаты обнаружения и превентивной защиты. Необходимо тщательно проанализировать источники и оставить только доверенные, например оценить фиды по динамике поступления новых данных, сравнить источники по уникальности и т.д.
- Использование устаревших IoC. Актуальность IoC меняется с высокой скоростью, поэтому важно, чтобы платформа регулярно обновляла получаемую от поставщиков информацию. Ограничение доступа TIP к фидам и сервисам обогащения ведет к потере актуальности используемых данных.
- Ошибочно оставлять данные киберразведки только внутри TIP и не использовать все возможности интеграции с другими ИБ-системами. С помощью TIP, например, можно осуществлять поиск IoC в логах событий SIEM, регистрировать инциденты в SOAR по обнаружениям, экспортировать IoC на СЗИ, обогащать данными другие системы.
Борис Сторонкин, Лаборатория Касперского:
- Несоответствие возможностей выбранной TI-платформы объему имеющегося TI.
- Отсутствие интеграций с имеющимися СЗИ.
- Отсутствие специалистов по работе с TI.
- Отсутствие эффективных процессов использования TI в расследовании инцидентов.
Алексей Семенычев, Гарда:
- Отсутствие знаний о собственной инфраструктуре и месте TIP.
- Использование данных платформы только в режиме черных/белых списков.
- Игнорирование возможностей автоматизации обработки событий информационной безопасности с учетом данных, предоставляемых TIP.