Платформы киберразведки (Threat Intelligence, TI) работают со знаниями об угрозах информационной безопасности: атаках, атакующих, целях, мотивации, инструментах, вредоносном ПО, уязвимостях, индикаторах компрометации. Эти знания должны быть основаны на фактах — проверенных, своевременных и достаточных для принятия решений об адекватных мерах защиты.
Индикатор компрометации (Indicator of Compromise, IoC) в общем смысле — это цифровой артефакт, который явно указывает на потенциальную вредоносность описываемого объекта и/или факт компрометации информационной системы.
В процессе работы с данными TI могут использоваться такие типы индикаторов как:
- ip-адреса
- домены
- файлы
- ссылки
- хэш-суммы файлов
- e-mail адреса
- банковские карты
- учетные записи
Жизненный цикл индикатора компрометации
Каждый индикатор имеет свой жизненный цикл, то есть время, на протяжении которого с высокой долей вероятности он сохраняет свою вредоносную активность. Какие-то индикаторы могут быть «опасны» несколько дней, какие-то — месяцами. По истечении времени жизни индикатор становится неактуальным, иными словами — устаревает.
Жизненный цикл индикатора начинается с обнаружения угрозы ИБ-аналитиком или средствами защиты. Признаки вредоносной активности, то есть любые объекты и данные, связанные с обнаруженной угрозой, говорят о компрометации системы и считаются индикаторами компрометации. Собранные потоки данных вместе с дополнительным контекстом, а иногда и без него, собираются в так называемые фиды и регулярно распространяются различными поставщиками данных Threat Intelligence.
Сложность состоит в том, что источники не всегда предоставляют уникальные данные киберразведки, но могут также дополнять и частично дублировать данные друг друга. При этом важно вовремя обрабатывать поступающие потоки данных и следить за всеми изменениями, чтобы аналитик работал только с действительно актуальной информацией. Для упрощения процесса работы с данными Threat Intelligence можно использовать специализированные платформы, например, R-Vision Threat Intelligence Platform (R-Vision TIP). Такие платформы позволяют осуществить автоматический сбор, нормализацию и хранение данных из различных источников в единой базе.
При использовании R-Vision TIP индикатор проходит следующие этапы обработки:
- Получение индикатора в R-Vision TIP от поставщиков данных Threat Intelligence;
- Обогащение индикатора дополнительным контекстом. С помощью сервисов обогащения можно получить дополнительную информацию об индикаторах, например, ASN, привязку к геолокации, список поддоменов для вредоносного домена, историю изменений DNS и т.д;
- Потеря индикатором актуальности (устаревание).
IoC может проходить все эти стадии полностью или частично несколько раз.
Важно учитывать, что индикаторы компрометации не существуют в вакууме, каждый из них связан с какой-либо вредоносной активностью. В частности, IP-адреса и домены могут принадлежать ботнетам или C&C-серверам.
В процессе расследования инцидента индикаторы компрометации рассматриваются в связке с другими сущностями — вредоносным ПО, уязвимостями, группировками злоумышленников и т.д. Например, если аналитики обнаруживают новый экземпляр вредоносного ПО и делают отчет об его активности, то в отчете должны быть связанные с этим ПО индикаторы компрометации, такие как хэш-суммы вредоносных файлов, вредоносные URL и тд. Если с отчетом все понятно, то зачем нужны индикаторы компрометации конкретной организации? Для ответа на этот вопрос обратимся к известной «пирамиде боли», предложенной аналитиком Дэвидом Бианко.
Пирамида описывает уровни сложности обнаружения различных типов индикаторов компрометации и иллюстрирует сколько «боли» их обнаружение может принести атакующему. Знания об отдельных индикаторах компрометации относительно легко применить, например, обнаружить и заблокировать вредоносный IP-адрес. Но блокировка IP-адреса не нанесет значительного ущерба киберпреступнику — он просто может начать использовать другой. В то же время установить, какими инструментами пользуется злоумышленник затруднительно, но и для самого злоумышленника достаточно «болезненно». При этом обнаружение индикаторов в инфраструктуре указывает на то, что, вероятно, против нее уже ведется вредоносная активность.
С помощью механизма обнаружений R-Vision TIP можно выполнить реактивный и ретроспективный поиск индикаторов в инфраструктуре, за счет чего время присутствия злоумышленника в сети организации сократится. Наиболее эффективно решить эту задачу можно, используя платформу имитации ИТ-инфраструктуры для обнаружения кибератак R-Vision TDP, которая также может передавать индикаторы компрометации в R-Vision TIP. Кроме того, в случае, когда инфраструктура уже подверглась вредоносной активности, пользователи R-Vision TIP могут автоматизировать процесс создания и реагирования на инциденты информационной безопасности благодаря бесшовной интеграции с системой R-Vision SOAR.
Наконец, используя интеграции со средствами защиты информации, можно предпринимать активные действия против вредоносной активности на уровне самих средств защиты, например, блокировать вредоносные url. Таким образом, работа с индикаторами компрометации позволяет выстроить эффективную систему противодействия кибератакам, как превентивно, так и на этапе, когда инфраструктура уже скомпрометирована.
Устаревание индикаторов компрометации
С течением времени индикатор компрометации теряет свою актуальность, то есть устаревает. В платформе R-Vision TIP есть механизм, позволяющий применить различные подходы к устареванию индикаторов компрометации, чтобы анализу и последующей обработке подвергались только актуальные индикаторы. Значение механизма устаревания настраивается для всех индикаторов, полученных из соответствующего источника.
В системе существует 2 варианта настроек:
1. Автоматический механизм устаревания.
Как только индикатор более не упоминается ни в одном из источников, такой индикатор начинает считаться устаревшим. В то же время, если какой-либо источник при очередном обновлении присылает данные об устаревшем ранее индикаторе, то такой индикатор становится актуальным.
2. Пользовательская настройка.
Пользователь может самостоятельно задать время устаревания IoC от даты создания этого индикатора или от даты его последнего изменения.
Вредоносность индикатора или его потенциальную опасность для системы отражает такое понятие, как рейтинг индикатора. В основе расчета рейтинга индикатора также лежит концепция устаревания индикатора. Через настройки системы пользователь R-Vision TIP может указать время, в течение которого индикатор теряет вредоносность, и, следовательно, снижается как его рейтинг, так и скорость снижения рейтинга.
Таким образом, можно выделить два подхода к потере индикаторами их вредоносности, которые предоставляет R-Vision TIP. Пользователь может напрямую повлиять на устаревание индикаторов через настройку политики устаревания, а также через настройку параметров, участвующих в расчете рейтинга. Кроме того, управляя процессом устаревания, можно значительно сократить количество индикаторов, с которыми предстоит работать пользователям системы, сэкономив тем самым время и ресурсы как специалистов, так и компании в целом.
В процессе реагирования на инциденты информационной безопасности управление жизненным циклом индикаторов компрометации представляет собой очень важную часть работ. Ведь это будет напрямую влиять на действия и решения, направленные против вредоносной активности. Ответственное отношение к управлению жизненным циклом будет гарантией того, что вся используемая в работе информация, с высокой долей вероятности является достоверной и актуальной.
