Threat Intelligence – инструмент, который активно обсуждается, как минимум, последние лет 5. Однако в России активно его применяет не так уж много компаний. В то же время, предложений на рынке уже сформировалось немало. Киберразведку в той или иной форме сейчас предлагают традиционные ИБ-вендоры и узкоспециализированные компании, отдельные вендоры разрабатывают специальные инструменты для анализа разведданных и поиска следов киберпреступника в инфраструктуре. Давайте разберемся, что есть что и зачем.
Фиды или сводки данных об угрозах (Threat Intelligence Feeds)
Многие организации начинают свои программы по внедрению киберразведки с использования данных по угрозам, поскольку существует множество открытых фидов, на которые можно подписаться. Фиды – это потоки данных, содержащие индикаторы компрометации, т.е. признаки, по которым можно распознать потенциальную угрозу, например, хэши вредоносных файлов, IP-адреса и домены, связанные с преступной активностью. К примеру, компания может использовать данные фидов для блокировки запросов с подозрительных IP-адресов.
На данный момент доступны как бесплатные, так и платные базы фидов от некоммерческих организаций, ассоциаций и вендоров. Есть также площадки обмена фидами, такие как IBM X-Force и AlienVault, где представлены и открытые, и платные фиды.
Минус фидов заключается в отсутствии контекста. Такие данные сами по себе на дают ответа на ключевые вопросы: какая связь этих индикаторов с конкретными атаками на организации из той или иной отрасли? Какую роль они играют в инфраструктуре киберпреступника? Относятся ли они к конкретному типу вредоносных файлов? Единственный способ получить важный контекст – проводить анализ связей между данными, что весьма трудозатратно и часто осуществляется вручную.
С этой задачей могут помочь справиться платформы анализа и обработки данных об угрозах, которые позволяют в автоматическом режиме связать фиды, дополнить их контекстной информацией и, тем самым, выжать максимальную пользу из такого типа сведений об угрозах.
Важно оценивать качество фидов, хотя объективных критериев оценки не существует. То, что ценно для одной компании, может не всегда подходить для другой. Поэтому реальную эффективность можно оценить лишь на собственном опыте в процессе использования в течение некоторого времени.
Покупка фидов у конкретного поставщика может быть более выигрышной стратегией, поскольку позволяет получить более специфичные и обогащенные контекстом данные, релевантные для инфраструктуры конкретной компании.
Услуги по киберразведке (Threat Intelligence Services)
Специализированные ИБ-компании предоставляют услуги киберразведки по подписке. Для сбора данных об атаках они используют множество источников: сетевые датчики и песочницы, распределенные сети мониторинга, спам-ловушки, Proxy и VPN-сервисы, общедоступную информацию (блоги, СМИ, социальные сети), общедоступные песочницы и другие. Помимо этого, аналитики и «доверенные пользователи» собирают информацию из закрытых сообществ и даркнета.
Результат расследования может быть представлен в виде подготовленных отчетов о тактиках, методах и процедурах (TTP), применяемых киберпреступниками, уведомлений в режиме реального времени об активности ботнетов и фишинговых атаках, баз индикаторов компрометации и других формах.
Аналитические отчеты сопровождаются конкретными советами по противодействию киберпреступникам и необходимым защитным мерам. Некоторые сервисы предоставляют выделенного аналитика для дополнительного расследования угрозы или инцидента и корректировки стратегии безопасности.
Платформы киберразведки (Threat Intelligence Platforms)
Платформы киберразведки помогают разбирать, сортировать, сравнивать и хранить фиды. Они удаляют повторные записи, позволяют приоритизировать источники данных, сопоставляют данные по угрозам с данными внутренней телеметрии и формируют алерты.
Существенное преимущество в использовании платформы по сравнению с сырыми фидами заключается в том, что она позволяет подключить и централизованно обрабатывать любые все доступные вам источники информации по угрозам, а также интегрировать ее с другими инструментами в области безопасности, например, SIEM-системой, платформой реагирования на инциденты или средствами защиты, и отправлять на них команды напрямую.
Одни платформы позволяют просто принимать, хранить и разбирать фиды, более совершенные решения предоставляют расширенный функционал по работе с источниками данных, продвинутому поиску, дополнительным запросам во внешних системах и более широкий функционал по реагированию.
Тем не менее, даже после того, как данные будут обработаны платформой, для их анализа и глубинного изучения угрозы все равно требуется аналитик. Стоит учесть, что независимо от того, насколько хороша платформа, качество ее работы будет напрямую зависеть от качества используемых данных. Без содержательного контекста вокруг индикаторов, команды безопасности будут тратить время на разбор каждого алерта, понимать его нерелевантность в результате анализа и, в итоге, рискуют упустить из виду какой-то действительно важный инцидент.
Существует также класс средств, позволяющих обнаруживать скрытые угрозы, опираясь на данные киберразведки, а также с помощью других методов, но это тема для отдельного разговора.
Подводя итог, стоит отметить, что даже в своей минимальной форме киберразведка может принести ощутимую пользу в защите от киберпреступников, ведь одна из ее важных задач — дать специалистам по информационной безопасности актуальные данные и контекст для приоритизации своих действий и принятия решений. Поэтому компаниям с небольшими ИБ-командами имеет смысл начать хотя бы с использования нескольких фидов, а далее подключать автоматические инструменты и более продвинутые средства.
