Threat Intelligence Platform: проблемы, прогнозы, перспективы

Threat Intelligence Platform (TIP) выступает в роли умного инструмента, предназначенного для сбора, анализа и использования данных о киберугрозах. Вместе с разработчиками этого класса решений рассмотрим ключевые черты и возможности Threat Intelligence Platform, которые делают ее важным инструментом в стратегии современной кибербезопасности.

Эксперты:

• Кирилл Митрофанов, руководитель команды аналитики разведки киберугроз “Лаборатории Касперского”
• Роман Овчинников, руководитель отдела исполнения Security Vision
• Илья Селезнев, руководитель продукта TI группы компаний “Гарда”
• Алексей Семенычев, руководитель направления экспертизы и аналитики компании “Гарда Технологии” (входит в группу компаний “Гарда”)
• Олег Скулкин, руководитель BI.ZONE Threat Intelligence
• Николай Степанов, пресейл-инженер F.A.C.C.T.
• Борис Сторонкин, менеджер продукта Kaspersky Threat Intelligence Platform в “Лаборатории Касперского”
• Валерия Чулкова, руководитель продукта R-Vision TIP
• Елена Шамшина, руководитель департамента Threat Intelligence компании F.A.C.C.T.

Когда компании стоит задуматься о приобретении платформы TIP?

Илья Селезнев, Гарда:

Если говорить про TIP, то это продукт для зрелого с точки зрения ИБ заказчика. Должны быть внедрены средства мониторинга, обнаружения, предотвращения инцидентов и другие СЗИ. И конечно, для TIP необходимы разные источники фидов, в этом случае эффективность кратно возрастет.

Для менее зрелых заказчиков можно рассмотреть вариант покупки TI Feeds и обогащать фидами непосредственно те средства, которые имеются в арсенале. Это в том числе предлагаем и мы.

Валерия Чулкова, R-Vision:

Как правило, TI становится актуальным с момента построения процесса реагирования на инциденты либо при построении собственного SOC в тех компаниях, где критично понимать текущие угрозы и их влияние на организацию. Со временем объем данных TI становится очень большим, появляется необходимость в хранении и обогащении собственных IoC. Если процессы сбора, обогащения, мониторинга и анализа данных TI не систематизированы и не автоматизированы, они становятся очень ресурсоемкими и снижают эффективность. В таких случаях стоит рассмотреть внедрение платформы TIP, которая позволит оптимизировать эти процессы, а также ресурсы для их обеспечения и тем самым внесет весомый вклад в обнаружение сложных атак и общий уровень защиты организации.

Борис Сторонкин, Лаборатория Касперского:

Если компания только начинает собирать TI из доступных открытых источников и своих собственных расследований инцидентов, можно это делать в электронной таблице или бесплатной TI-платформе с открытым исходным кодом. Когда компания начинает использовать коммерческие фиды, это обычно означает, что либо ИБ-риски стали выше, либо появилась возможность их более эффективно закрывать. На данном этапе уже целесообразно использование более зрелой коммерческой платформы Threat Intelligence, поскольку она, как правило, более приспособлена к большим объемам индикаторов и имеет хорошие интеграционные возможности с другими СЗИ, в частности с SIEM-системами.

Олег Скулкин, BI.ZONE:

Компании стоит задуматься о приобретении TIP, когда у нее появляются сотрудники, которые занимаются кибербезопасностью, и есть хотя бы минимальный набор средств защиты. Данные, содержащиеся в TIP, позволяют руководителю и специалистам понять ландшафт угроз, ускорить работу с выявленными инцидентами и обогащать СЗИ данными технического уровня.

Елена Шамшина, F.A.C.C.T.:

Учитывая беспрецедентный рост кибератак, утечек, повышение активности хактивистов и проправительственных групп, а также уход из России иностранных вендоров, задуматься необходимо было еще вчера. Данные Threat Intelligence помогают заранее узнавать о готовящихся кибератаках, оперативно получать индикаторы компрометации и фиды, чтобы превентивно защититься от актуальных киберугроз. Клиентом TIP может быть уже достаточно зрелая компания, которая проектирует или уже использует свою систему защиты, умеет правильно обрабатывать и процессить данные с Threat Intelligence, понимает, как эти знания помогут предотвратить инциденты ИБ.

Роман Овчинников, Security Vision:

В первую очередь в компании должна быть реализована система защиты, позволяющая успешно выявлять и предотвращать атаки на основании информации из TIP. К таким решениям можно отнести SIEM, SOAR, XDR/EDR, прокси и песочницы. Не менее важным является наличие и зрелость процесса управления киберинцидентами, а также документированная процедура обработки обнаружений IoC.

Кирилл Митрофанов, Лаборатория Касперского:

Когда компания четко осознает нехватку тактической, оперативной и стратегической информации об атаках/акторах, которые релевантны ее ландшафту киберугроз. Когда руководство понимает, зачем нужен TI в целом и хочет интегрировать его в уже существующие процессы – как минимум Incident Response и как максимум – Threat Hunting. Когда есть штат аналитиков, которые будут наполнять базу TIP свежими разведданными, поступивших из разных источников.

Топ-3 ошибок при внедрении, которые резко снизят эффективность платформы TIP.

Кирилл Митрофанов, Лаборатория Касперского:

1. Преследование цели "чтобы было".
2. Отсутствие необходимых ресурсов для работ по наполнению TIP.
3. Попытки сфокусировать внимание только на фидах, превращая TIP в хранилище индикаторов.

Роман Овчинников, Security Vision:

1. Использование некачественных поставщиков IoC или попытка использовать сразу все доступные.
2. Отсутствие проработки списка исключений – легитимные IoC, список False Positive и т.д.
3. Отсутствие или некорректная настройка TTL для IoC, в результате чего будет накапливаться база неактуальных IoC.

Николай Степанов, F.A.C.C.T.:

1. Заказчик не понимает, в чем ценность данных, полученных от Threat Intelligence, и как их эффективно использовать для предотвращения потенциальных киберугроз.
2. Не выстроены процессы или отсутствуют эксперты, которые умеют работать с полученными индикаторами/информацией. То есть многие компании недооценивает количество ресурсов, нужное для обработки данных (в первую очередь людских), из-за чего не получают желаемого результата. Если вы задумались о киберразведке, спросите себя: "Хватит ли у меня времени и людей, заниматься ею?", так как это в первую очередь инструмент для достижения цели, а не самоцель.

Олег Скулкин, BI.ZONE:

1. Использование потоков данных, нерелевантных для отрасли или географии организации.
2. Пренебрежение использованием платформы для получения знаний о локальном ландшафте угроз.
3. Отсутствие интеграции данных технического уровня, предоставляемых платформой, с имеющимися средствами защиты.

Валерия Чулкова, R-Vision:

1. Выбор неэффективных и нерелевантных поставщиков данных для защищаемого ландшафта является критичной ошибкой и может создать неправильное впечатление о работе платформы, так как использование таких данных напрямую влияет на результаты обнаружения и превентивной защиты. Необходимо тщательно проанализировать источники и оставить только доверенные, например оценить фиды по динамике поступления новых данных, сравнить источники по уникальности и т.д.
2. Использование устаревших IoC. Актуальность IoC меняется с высокой скоростью, поэтому важно, чтобы платформа регулярно обновляла получаемую от поставщиков информацию. Ограничение доступа TIP к фидам и сервисам обогащения ведет к потере актуальности используемых данных.
3. Ошибочно оставлять данные киберразведки только внутри TIP и не использовать все возможности интеграции с другими ИБ-системами. С помощью TIP, например, можно осуществлять поиск IoC в логах событий SIEM, регистрировать инциденты в SOAR по обнаружениям, экспортировать IoC на СЗИ, обогащать данными другие системы.

Борис Сторонкин, Лаборатория Касперского:

1. Несоответствие возможностей выбранной TI-платформы объему имеющегося TI.
2. Отсутствие интеграций с имеющимися СЗИ.
3. Отсутствие специалистов по работе с TI.
4. Отсутствие эффективных процессов использования TI в расследовании инцидентов.

Алексей Семенычев, Гарда:

1. Отсутствие знаний о собственной инфраструктуре и месте TIP.
2. Использование данных платформы только в режиме черных/белых списков.
3. Игнорирование возможностей автоматизации обработки событий информационной безопасности с учетом данных, предоставляемых TIP.