Институт SANS в феврале опубликовал результаты ежегодного опроса 2020 SANS Cyber Threat Intelligence (CTI) Survey. В этом году в нем приняло участие 1000 человек, что вдвое больше, чем в 2019 году. Доступ к полному отчету возможен при регистрации на сайте SANS.
Среди основных выводов можно отметить следующие:
- Работа с данными киберразведки становится более зрелым процессом, а число организаций, у которых есть выделенная команда киберразведки, продолжает расти.
- Наблюдается тенденция к большему привлечению внешних команд поставщиков услуг.
- Растет интерес к open-source направлению – как к open-source фидам, так и к open-source инструментам управления данными.
- Использование решений класса Threat Intelligence Platform достигло определенного уровня, который не изменился по сравнению с прошлым годом.
- Отмечается невысокая степень автоматизации процесса обработки данных киберразведки, при этом обогащение данных – единственная область, где наблюдается небольшое положительное изменение в плане автоматизации.
- Организации комбинируют различные источники данных, наиболее распространенные из них – open-source и коммерческие фиды.
- Подавляющее большинство оценивает, что киберразведка приносит пользу, но при этом практически не измеряет ее эффективность.
Работа с данными киберразведки включает в себя анализ информации об угрозах и выработку инструкций, которые помогут определить, какие шаги должны быть предприняты в ответ на эти угрозы. Этот процесс кажется на первый взгляд интуитивно понятным, однако на практике довольно сложен и полагается на классическую связку люди-процессы-технологии в процессе создания, изучения и задействования данных. Каждый из этих трех компонентов имеет решающее значение для успеха программы работы с данными киберразведки. В результатах исследования за 2020 год прослеживаются положительные изменения в каждой из этих критических областей и обозначены моменты, требующие улучшения.
Люди
В последние три года наблюдается рост числа респондентов, у которых есть выделенная команда специалистов, отвечающая за весь процесс работы с данными киберразведки. Согласно результатам опроса 2020, почти у половины респондентов имеется такая выделенная команда, 26% используют сотрудников из разных подразделений по безопасности, у почти 9% за киберразведку отвечает единственный специалист.
Привлечение внешних партнеров – еще один способ решения проблемы поиска высококлассных специалистов. В 2020 61% респондентов сообщили о том, что комбинируют собственные команды специалистов и внешние команды поставщиков услуг, в 2019 году таковых было 54%. При этом количество организаций, полностью полагающихся на поставщиков услуг, сохранилось примерно на том же уровне – 7% в 2020, 8% в 2019. Некоторые респонденты отметили, что сбор данных и оценка угроз могут выполняться внешними партнерами, в то время как реагирование осуществляется внутренними командами.
Если говорить о структуре команд, работающих с данными киберразведки, то чаще всего они формируются из специалистов SOC (54%) и группы реагирования на инциденты (48%), а специально выделенная команда, отвечающая только за киберразведку, имеется у 39% опрошенных.
Инструменты
Доступ к качественным данным для анализа имеет решающее значение. Несмотря на то, что всегда будет оставаться какой-то объем ручного анализа, в идеале аналитики киберугроз должны фокусироваться на вопросах, требующих их экспертной оценки, и минимально тратить время на остальные задачи. Для целей опроса инструменты для работы с данными киберразведки были разделены на две группы: 1) инструменты для обработки данных и подготовке к использованию; 2) инструменты для управления данными, в том числе генерации предупреждений на их основе.
Прежде чем данные будут проанализированы и готовы к использованию, необходима их предварительная обработка. Она включает в себя повторяющиеся задачи, такие как дедупликация, обогащение и стандартизация данных и другие более ресурсоёмкие задачи, требующие анализа, например, реверс-инжиниринг вредоносных программ. Если сравнить 2020 и 2019 год, то больших изменений в части подходов к обработке данных не наблюдается — большинство задач выполняется вручную или наполовину автоматизировано. Дедупликация – наиболее автоматизированный процесс, только у 27% организаций дедупликация данных осуществляется вручную. Реверс-инжиниринг образцов — наименее автоматизированный процесс. У 48% респондентов он осуществляется вручную, что немного выше, чем в прошлом году. Обогащение данных – та область, где наблюдается небольшое положительное изменение в плане автоматизации. Интересно, что полностью автоматизированная обработка осталась на прежнем уровне и даже немного снизилась.
Что касается инструментов управления данными киберразведки, то наиболее активно используются SIEM-системы, инструменты мониторинга сетевого трафика и платформы мониторинга вторжений.
Сбор данных
Большинство организаций собирают данные из нескольких источников. Открытые и публичные фиды — самый распространенный источник данных. Почти 70% респондентов получают данные из коммерческих фидов киберразведки, которые предоставляют как вендора, специализирующиеся на киберразведке, так и универсальные поставщики решений в области безопасности. Сообщества, отраслевые группы, обменивающиеся информацией, и различные CERT – также популярный источник данных.
Опрос 2020 года показал наибольший рост в использовании данных от вендоров, специализирующихся на данных киберразведки, open-source фидов и данных форензики. Одна из интересных тенденций – рост интереса к open-source направлению как в части фидов, так и инструментов. На 8% выросло использование open-source фидов как источника данных и на 14% – применение open-source инструментов для управления данными, такие как MISP и CRITs.
Для распространения данных киберразведки на средства защиты используются threat intelligence платформы — коммерческие, собственной разработки или open-source, при этом наблюдается рост числа последних. Для распространения данных среди других специалистов чаще всего используются документы, электронные таблицы, презентации или новостные письма по электронной почте.
Сценарии использования
По сценариям использования данных киберразведки наблюдается следующее распределение: обнаружение угроз — 89%, предотвращение угроз — 77%, реагирование на угрозы — 72%, снижение угроз — 59%.
Измерение эффективности данных киберразведки
Измерение эффективности разведки киберугроз – сложная задача для организаций. 82% опрошенных считают киберразведку в целом полезной, 17% затрудняются в оценке и менее 1% считают неэффективной, при этом лишь 4% респондентов занимаются измерением эффективности киберразведки.
Сложности и препятствия
Среди сдерживающих факторов чаще всего отмечают отсутствие квалифицированного персонала и навыков для полноценного использования разведки киберугроз, отсутствие времени для правильного выстраивания процессов внутри команды, отсутствие финансирования и проблемы в совместимости/автоматизации.
