Отслеживание угроз – один из важных процессов обеспечения эффективной защиты бизнеса. Потребность в разведывательных данных возникла не сразу. Долгое время отрасль информационной безопасности реагировала реактивно на действия злоумышленников. Но при современных технологиях и стремительной скорости кибератак возникает острая потребность предугадывать атаки и распознавать их по самым ранним признакам. Threat Intelligence – одна из таких техник, позволяющая узнавать об угрозах до того, как они реализовались и повлекли ущерб.
Что такое threat intelligence?
Есть множество подходов к определению, что такое threat intelligence, причем они изменяются с течением времени. Работая над созданием threat intelligence платформы, мы выработали свое понимание этого понятия.
Threat Intelligence представляет собой знания об угрозах, полученные в результате анализа и интерпретации данных. Threat Intelligence объединяет три взаимосвязанных элемента: 1) контекст, 2) индикаторы компрометации, 3) взаимосвязи и обогащения. Каждый элемент не несет ценности сам по себе, но в совокупности они образуют как раз эти самые ценные знания.
Процесс обработки threat intelligence начинается со сбора сырых данных – потока информации, которую необходимо нормализовать, обогатить контекстом и выявить взаимосвязи. После этого мы получим некий профиль или «карточку» угрозы, с которой впоследствии будет работать аналитик и анализировать в разрезе конкретной организации. После анализа контекста злоумышленника и контекста компании аналитик выдаст решение, которое уже можно назвать «знанием».
Процесс TI очень похож на классическую разведку, в которой команда получает задание, собирает разведданные, выводит их на командира, который анализирует риски, связанные с текущей ситуацией, принимает решение и действует.
Аналогично работает киберразведка. Исходя из контекста конкретной организации, необходимо собрать данные, проанализировать, обработать, обогатить их. В результате, они преобразуются в знания, которые передаются директору по информационной безопасности (CISO) или лицу, принимающему решение, после чего он анализирует соответствующие риски и принимает это решение. Поэтому качество данных TI напрямую влияет на скорость и качество принятия решений.
Данные киберразведки принято подразделять на три уровня:
Операционный или технический уровень. К нему относятся индикаторы компрометации, т.е. признаки, по которым можно распознать потенциальную угрозу (например, хэши вредоносных файлов, IP-адреса, домены, связанные с преступной активностью, и т.д.) и осуществить технические меры по ее блокировке.
Тактический уровень. На этом уровне проводится анализ поведения нарушителей, опираясь на информацию о технике, тактике и процедурах злоумышленника (TTP), и вырабатывается понимание, кто, что и зачем может осуществить против организации. В результате у нее появляется возможность предвидеть атаки и прогнозировать свою дальнейшую деятельность.
Стратегический уровень. Сюда можно отнести аналитические данные о тенденциях угроз в мире с целью выработки дальнейшей стратегии развития системы информационной безопасности организации. Опираясь на информацию из предыдущих уровней, осуществляется представление актуальных угроз и необходимых мер перед топ-менеджментом организации, планирование задач и потребностей (в новых людях, процессах, инструментах).
Работа данными киберразведки должна обеспечиваться на всех трех уровнях. При потере одного из них вся концепция снижает ощутимую пользу для организации.
В чем же ценность Threat Intelligence?
Threat Intelligence находится в тесной взаимосвязи с другими процессами информационной безопасности – реагированием на инциденты, управлением рисками, управлением уязвимостями, выявлением мошенничества и операционной деятельностью ИБ подразделения. Повысить эффективность данных процессов, качество и скорость принятия решений в рамках этих процессов – это и есть, по сути, главная задача работы с TI.
В первую очередь, использование threat intelligence в разы повышает качество и скорость реагирования на инциденты. Когда приходит информация о новой угрозе, можно оперативно поставить ее на мониторинг, параллельно блокируя некоторые индикаторы компрометации. Зная контекст, понимая, каким образом будет происходить кибератака, все возможные варианты ее развития и каким образом эта угроза могла попасть в инфраструктуру, можно вовремя ее выявить, обработать в рамках конкретного инцидента, построить для нее подходящие сценарии реагирования.
В плане управления уязвимостями данные об угрозах помогают в расстановке приоритетов и определении критичности уязвимостей. Threat intelligence дает необходимую фактуру для анализа и оценки рисков — информацию об актуальных угрозах, полученную на тактическом и стратегическом уровне TI. В результате процесс риск-менеджмента становится более практичным и качественным.
Threat intelligence позволяет выстраивать операционную деятельность ИБ-подразделения, действовать проактивно, планировать, внедрять и реализовывать защитные меры, ориентируясь на актуальный ландшафт угроз, а не вслепую.
Почему TI мало кто использует?
Выстраивая процесс киберразведки, каждая организация сталкивается с определенными сложностями. Во-первых, данные сложно получать. Фидов киберразведки огромное множество, при этом нет единого стандарта — каждый поставщик или канал предоставляет их в своем виде. Часть данных поставляется в машиночитаемой форме, другая – в виде отчетов, рассчитанных на чтение аналитиком. В результате, прежде чем начать анализировать данные, даже если используется всего 2-3 источника, их требуется привести к единой модели представления, нормализовать.
Для правильной интерпретации и принятия решений сырых данных из фидов не достаточно, требуется их обогатить контекстом, дополнительной информацией, которая поможет подобрать наиболее правильную тактику ответных действий. Если фидов слишком много, возникает сложность в их практическом применении. Нужно производить фильтрацию и отбор, чтобы не захлебнуться в потоке информации.
Еще один важный момент заключается в том, что пользу TI сложно оценивать, нет каких-то объективных метрик. Ее эффективность можно измерять косвенно через повышение эффективности тех процессов, с которыми она связана. Поэтому чаще всего threat intelligence используется в ИБ-подразделениях или SOC, которые достигли определенного уровня зрелости.
Как сделать TI по-настоящему рабочим инструментом?
Для начала необходимо определить цель и задачи, которые планируется решать с помощью TI и как будут оцениваться результаты выполнения этих задач. Не стоит начинать работу с инструментами threat intelligence, если нет понимания, зачем это нужно.
Если решение о необходимости использования threat intelligence принято, имеет смысл сразу использовать для этого специализированную платформу управления данными киберразведки. Это может быть open-source или коммерческое решение, позволяющее автоматизировать все рутинные операции. Если используется хотя бы несколько источников фидов, без автоматизации невозможно качественно с ними работать, осуществлять нормализацию и хранение в единой базе, а также работать с открытыми угрозами.
Важно на регулярной основе проводить оценку качества и количества источников данных (фидов), избавляясь от тех, которые ненадежны, дают большое количество ложноположительных срабатываний, сокращая поток данных и повышая его качество.
Этапы работы с TI
Поэтапно процесс работы с TI выглядит следующим образом
- Сбор данных из разных источников, который подразумевает заведение всех имеющихся источников по фидам на одну платформу для работы с ними в одном окне. Это могут быть любые источники об угрозах, поступающие в SOC, внешние данные от провайдеров, открытые источники, от партнеров, регуляторов (к примеру, ФинЦЕРТ), данные сетевой телеметрии (маршрутизаторов, межсетевых экранов, песочницы, SIEM-систем и пр.).
- Обработка собранных фидов предполагает их нормализацию и стандартизацию для того, чтобы все они были приведены к единому формату, к единой карточке.
- Обогащение дополнительным контекстом, если данных недостаточно. Для обогащения данных существуют универсальные сервисы (например, VirusTotal, whois и другие) и узкоспециализированные источники. Обычно аналитик знает, видя данные об угрозе, из какого узкоспециального фида необходимо обогатить эту информацию. Удобно, когда выбранная платформа threat intelligence интегрирована с необходимой подборкой сервисов обогащения.
- Обнаружение индикаторов компрометации в собственной инфраструктуре. Например, R‑Vision TIP позволяет завести поток данных из SIEM-системы и проверить конкретный набор индикаторов в этом потоке событий.
- Распространение индикаторов на средства защиты и мониторинга.
Подведем итог
Threat intelligence – это важный инструмент для принятия решений в области информационной безопасности. Он дает понимание ландшафта угроз для прогнозирования возможных атак и реализации адекватных мер защиты; повышает качество и скорость реагирования на инциденты, тем самым позволяя минимизировать возможный ущерб. Информация об актуальных угрозах помогает в более точной оценке ИБ-рисков и планировании необходимых мер по их обработке.
Как показывает практика, обычно организации начинают интересоваться работой с данными киберразведки с момента построения собственного центра реагирования на инциденты (security operations center, SOC). И если вы уже поняли, что вам точно необходима киберразведка, стоит сразу выстраивать этот процесс на базе автоматизированной платформы.
