Threat intelligence (данные о киберугрозах)
Threat intelligence (данные о киберугрозах) — это информация об актуальных угрозах и группировках киберпреступников, которая позволяет организациям изучить цели, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак. Компании могут сами собирать данные о киберугрозах или заказывать информацию у сторонних поставщиков.
Виды данных о киберугрозах
Данные о киберугрозах можно условно разделить на три основных группы:
Threat intelligence предоставляют в виде потоков сырых данных об угрозах или аналитических отчетов с выводами и рекомендациями.
Как работают с данными о киберугрозах
Threat intelligence собирают вручную или автоматически из разных источников, в том числе с конечных точек и других элементов инфраструктуры компании, из новостей и предоставляемых ИБ-компаниями потоков данных об угрозах, с интернет-сайтов и форумов, ресурсов даркнета и так далее. Собранную информацию анализируют и преобразуют в удобный для практического использования формат. Весь процесс работы с threat intelligence можно разделить на следующие этапы:
Применение данных о киберугрозах
Threat intelligence может применяться на разных этапах защиты организации. В частности, ИБ-специалисты компании могут использовать эти данные для активного поиска угроз в инфраструктуре организации. Индикаторы компрометации позволяют усовершенствовать пассивные защитные инструменты, например обновить правила брандмауэра. Кроме того, данные об угрозах могут применяться для атрибуции при расследовании киберинцидентов.
Потоки данных Threat intelligence используются в различных решениях для обеспечения информационной безопасности, таких как SIEM и EDR-платформы, а также в шлюзах с имплементацией потоков данных о киберугрозах (Threat Intelligence Gateway, TIG).
Публикации на схожие темы
Kaspersky CyberTrace как платформа Threat Intelligence
Как задать вопрос аналитикам
5 сложностей в работе ИБ-специалистов
Развитие информационных угроз в третьем квартале 2021 года. Мобильная статистика
Развитие информационных угроз в третьем квартале 2021 года. Статистика по ПК
Стриминговые войны продолжаются: что насчет киберугроз?
Что такое threat intelligence и как применять?
Отслеживание угроз – один из важных процессов обеспечения эффективной защиты бизнеса. Потребность в разведывательных данных возникла не сразу. Долгое время отрасль информационной безопасности реагировала реактивно на действия злоумышленников. Но при современных технологиях и стремительной скорости кибератак возникает острая потребность предугадывать атаки и распознавать их по самым ранним признакам. Threat Intelligence – одна из таких техник, позволяющая узнавать об угрозах до того, как они реализовались и повлекли ущерб.
Что такое threat intelligence?
Есть множество подходов к определению, что такое threat intelligence, причем они изменяются с течением времени. Работая над созданием threat intelligence платформы, мы выработали свое понимание этого понятия.
Threat Intelligence представляет собой знания об угрозах, полученные в результате анализа и интерпретации данных. Threat Intelligence объединяет три взаимосвязанных элемента: 1) контекст, 2) индикаторы компрометации, 3) взаимосвязи и обогащения. Каждый элемент не несет ценности сам по себе, но в совокупности они образуют как раз эти самые ценные знания.
Процесс обработки threat intelligence начинается со сбора сырых данных – потока информации, которую необходимо нормализовать, обогатить контекстом и выявить взаимосвязи. После этого мы получим некий профиль или «карточку» угрозы, с которой впоследствии будет работать аналитик и анализировать в разрезе конкретной организации. После анализа контекста злоумышленника и контекста компании аналитик выдаст решение, которое уже можно назвать «знанием».
Процесс TI очень похож на классическую разведку, в которой команда получает задание, собирает разведданные, выводит их на командира, который анализирует риски, связанные с текущей ситуацией, принимает решение и действует.
Аналогично работает киберразведка. Исходя из контекста конкретной организации, необходимо собрать данные, проанализировать, обработать, обогатить их. В результате, они преобразуются в знания, которые передаются директору по информационной безопасности (CISO) или лицу, принимающему решение, после чего он анализирует соответствующие риски и принимает это решение. Поэтому качество данных TI напрямую влияет на скорость и качество принятия решений.
Данные киберразведки принято подразделять на три уровня:
Операционный или технический уровень. К нему относятся индикаторы компрометации, т.е. признаки, по которым можно распознать потенциальную угрозу (например, хэши вредоносных файлов, IP-адреса, домены, связанные с преступной активностью, и т.д.) и осуществить технические меры по ее блокировке.
Тактический уровень. На этом уровне проводится анализ поведения нарушителей, опираясь на информацию о технике, тактике и процедурах злоумышленника (TTP), и вырабатывается понимание, кто, что и зачем может осуществить против организации. В результате у нее появляется возможность предвидеть атаки и прогнозировать свою дальнейшую деятельность.
Стратегический уровень. Сюда можно отнести аналитические данные о тенденциях угроз в мире с целью выработки дальнейшей стратегии развития системы информационной безопасности организации. Опираясь на информацию из предыдущих уровней, осуществляется представление актуальных угроз и необходимых мер перед топ-менеджментом организации, планирование задач и потребностей (в новых людях, процессах, инструментах).
Работа данными киберразведки должна обеспечиваться на всех трех уровнях. При потере одного из них вся концепция снижает ощутимую пользу для организации.
В чем же ценность Threat Intelligence?
Threat Intelligence находится в тесной взаимосвязи с другими процессами информационной безопасности – реагированием на инциденты, управлением рисками, управлением уязвимостями, выявлением мошенничества и операционной деятельностью ИБ подразделения. Повысить эффективность данных процессов, качество и скорость принятия решений в рамках этих процессов – это и есть, по сути, главная задача работы с TI.
В первую очередь, использование threat intelligence в разы повышает качество и скорость реагирования на инциденты. Когда приходит информация о новой угрозе, можно оперативно поставить ее на мониторинг, параллельно блокируя некоторые индикаторы компрометации. Зная контекст, понимая, каким образом будет происходить кибератака, все возможные варианты ее развития и каким образом эта угроза могла попасть в инфраструктуру, можно вовремя ее выявить, обработать в рамках конкретного инцидента, построить для нее подходящие сценарии реагирования.
В плане управления уязвимостями данные об угрозах помогают в расстановке приоритетов и определении критичности уязвимостей. Threat intelligence дает необходимую фактуру для анализа и оценки рисков — информацию об актуальных угрозах, полученную на тактическом и стратегическом уровне TI. В результате процесс риск-менеджмента становится более практичным и качественным.
Threat intelligence позволяет выстраивать операционную деятельность ИБ-подразделения, действовать проактивно, планировать, внедрять и реализовывать защитные меры, ориентируясь на актуальный ландшафт угроз, а не вслепую.
Почему TI мало кто использует?
Выстраивая процесс киберразведки, каждая организация сталкивается с определенными сложностями. Во-первых, данные сложно получать. Фидов киберразведки огромное множество, при этом нет единого стандарта — каждый поставщик или канал предоставляет их в своем виде. Часть данных поставляется в машиночитаемой форме, другая – в виде отчетов, рассчитанных на чтение аналитиком. В результате, прежде чем начать анализировать данные, даже если используется всего 2-3 источника, их требуется привести к единой модели представления, нормализовать.
Для правильной интерпретации и принятия решений сырых данных из фидов не достаточно, требуется их обогатить контекстом, дополнительной информацией, которая поможет подобрать наиболее правильную тактику ответных действий. Если фидов слишком много, возникает сложность в их практическом применении. Нужно производить фильтрацию и отбор, чтобы не захлебнуться в потоке информации.
Еще один важный момент заключается в том, что пользу TI сложно оценивать, нет каких-то объективных метрик. Ее эффективность можно измерять косвенно через повышение эффективности тех процессов, с которыми она связана. Поэтому чаще всего threat intelligence используется в ИБ-подразделениях или SOC, которые достигли определенного уровня зрелости.
Как сделать TI по-настоящему рабочим инструментом?
Для начала необходимо определить цель и задачи, которые планируется решать с помощью TI и как будут оцениваться результаты выполнения этих задач. Не стоит начинать работу с инструментами threat intelligence, если нет понимания, зачем это нужно.
Если решение о необходимости использования threat intelligence принято, имеет смысл сразу использовать для этого специализированную платформу управления данными киберразведки. Это может быть open-source или коммерческое решение, позволяющее автоматизировать все рутинные операции. Если используется хотя бы несколько источников фидов, без автоматизации невозможно качественно с ними работать, осуществлять нормализацию и хранение в единой базе, а также работать с открытыми угрозами.
Важно на регулярной основе проводить оценку качества и количества источников данных (фидов), избавляясь от тех, которые ненадежны, дают большое количество ложноположительных срабатываний, сокращая поток данных и повышая его качество.
Этапы работы с TI
Поэтапно процесс работы с TI выглядит следующим образом
Подведем итог
Threat intelligence – это важный инструмент для принятия решений в области информационной безопасности. Он дает понимание ландшафта угроз для прогнозирования возможных атак и реализации адекватных мер защиты; повышает качество и скорость реагирования на инциденты, тем самым позволяя минимизировать возможный ущерб. Информация об актуальных угрозах помогает в более точной оценке ИБ-рисков и планировании необходимых мер по их обработке.
Как показывает практика, обычно организации начинают интересоваться работой с данными киберразведки с момента построения собственного центра реагирования на инциденты (security operations center, SOC). И если вы уже поняли, что вам точно необходима киберразведка, стоит сразу выстраивать этот процесс на базе автоматизированной платформы.
Тест на интеллект для Threat Intelligence
То, что порой выдается за Threat Intelligence, не всегда на самом деле можно с чистой совестью назвать этим термином. Рассказываем, как понять, сможет ли предлагаемое решение защитить ваш бизнес.
В наши дни далеко не все предложения на рынке реально соответствуют ожиданиям клиента и приносят пользу. Может оказаться, что заказанный вами предмет интерьера в действительности годится разве что для кукольного домика.
С данными о киберугрозах может быть то же самое. На рынке представлено множество решений, которые позиционируются как Threat Intelligence, но в реальности являются чем-то иным. И клиент может даже не понять, что получил совсем не то, что просил. Как же проверить, насколько адекватна получаемая вашей компанией информация?
Threat Intelligence — это уже проанализированные данные
Суть Threat Intelligence в идентификации и анализе киберугроз, нацеленных на ваш бизнес. Ключевое понятие здесь — анализ: прежде чем информация будет доставлена клиенту, потребуется перелопатить горы данных, выявить реальные угрозы, изучив контекст, и создать решение для конкретных проблем.
Threat Intelligence часто путают с сырыми данными об угрозах, представляющими собой всего лишь список возможных угроз без учета контекста и подбора подходящих контрмер.
Данные Threat Intelligence должны приносить практическую пользу ИБ-специалистам
Когда-то данные об угрозах ограничивались списками опасных IP-адресов и URL. Первые защитные решения просто сверялись с ними и предупреждали пользователей об опасности. Со временем объемы необходимых для защиты данных выросли. Стало гораздо труднее определять, что действительно является угрозой, а что нет.
Некоторые продукты, позиционируемые как Threat Intelligence, предоставляют потоки данных об угрозах и индикаторы компрометации без сопровождающего контекста. Фактически это огромные массивы необработанных данных.
В этом и заключается проблема. Если в ваших системах безопасности будут использоваться такие данные, возникнет слишком много ложноположительных срабатываний. Чрезмерное количество уведомлений снизит бдительность и эффективность ИБ-специалистов и негативно повлияет на безопасность организации в целом. Так что горы необработанных и неструктурированных сырых данных по существу не являются даже полезной информацией, не говоря уже о Threat Intelligence.
И как бы актуальна ни была информация, она ничем не поможет защите компании без учета контекста, на базе которого следует предпринять конкретные шаги. С помощью настоящих данных Threat Intelligence ИБ-специалисты могут остановить опасную атаку на ранней стадии и защитить сеть организации или же, напротив, понять, что в данном случае они имеют дело с обычным вредоносным ПО, не представляющим серьезной угрозы.
Данные Threat Intelligence дают возможность предсказывать будущее
Данные Threat Intelligence могут повысить скорость обнаружения и эффективность реагирования на угрозы, тем самым существенно снижая возможный ущерб. Но польза Threat Intelligence напрямую зависит от качества используемых источников данных. Аналитик информационной безопасности может получить значительно более объективную картину, если используется большое количество доверенных источников для сопоставления и обогащения получаемой информации. Решения, предоставляющие только информацию об угрозах без сопроводительного контекста, который помогает правильно приоритизировать инциденты и определять необходимые дальнейшие действия, недостаточны для обеспечения нормальной защиты. Если же качество данных невысоко из-за нехватки таких источников (например, без учета информации из даркнета или отсутствия доступа к международной информации), ее тем более нельзя считать Threat Intelligence. С ее помощью не получится действовать проактивно, предсказывать, с какими опасностями может столкнуться ваш бизнес и как им противостоять.
Данные Threat Intelligence должны адаптироваться к реалиям вашей организации
Данные Threat Intelligence должны быть адаптированы к потребностям конкретной компании. Для эффективной работы в организации необходимо в первую очередь настроить процессы сбора данных вокруг критических ресурсов. И только потом эти внутренние сведения должны сопоставляться с внешними данными Threat Intelligence для выявления реальных угроз. При отсутствии такого комплексного подхода не получится обеспечить приоритизацию информации, необходимую для защиты ваших ключевых ресурсов.
Данные Threat Intelligence должны быть основой для действий
Получаемые данные об угрозах должны становиться средством для эффективных ответных действий. Для максимальной эффективности компании должны уметь работать как с машиночитаемыми, так и с адаптированными для понимания человеком данными. Методы доставки данных и их форматы должны легко интегрироваться в существующие ИБ-процессы.
Данные Threat Intelligence должны представлять собой уникальные сведения о новых угрозах, при помощи которых ИБ-специалисты могли бы приоритизировать сигналы с защитных решений, оперативно выделять необходимые ресурсы и быстро принимать решения. Ваше решение удовлетворяет этим критериям? Если нет, самое время задуматься о чем-то более полезном.
«Лаборатория Касперского» предлагает сервисы Kaspersky Threat Intelligence, которые адаптируются к потребностям вашей компании и снабжают ваших ИБ-специалистов необходимыми данными для быстрого и точного реагирования на киберугрозы.
Threat Intelligence сейчас модный тренд
Threat Intelligence необходим для современных SOC-центров.
2019-05-20T08:51:00+03:00
Автор: Антон Калинин, Экcперт SoC,
Отдел средств защиты информации ICL Системные технологии
Вот два года назад корпоративные заказчики в России хотели и думали ограничиться услугами SOC-центров, а сейчас постепенно приходят к тому что им необходимо не только заниматься мониторингом кибератак, но и заниматься киберразведкой, поиском информации об угрозах.
Threat Intelligence (TI) это такой сложно организованный процесс, в нем много терминологии и понятий. Некоторые ошибочно считают, что, приобретая подписки на фиды или покупая одну из платформ они уже занимаются процессом TI и больше ничего не надо. Но мы будем говорить на Positive Hack Days о базисных понятиях:
Источники информации об угрозах;
Threat Intelligence необходим для современных SOC-центров
TI должен быть частью комплексного подхода по мониторингу и реагированию на современные киберугрозы. Пройдя начальные этапы становления и систематизации процессов по обнаружению инцидентов ИБ на основе базовых правил корреляций, SOC-центры засматриваются на процессы TI. Это может быть полезно в двух случаях:
Как происходит проактивная защита?
Пришла информация о новой угрозе, мы ее уже оперативно ставим на мониторинг, параллельно блокируя некоторые индикаторы компрометации, понимая каким образом будет двигаться кибератака.
Источники информации об угрозах – с них TI и начинается. Это могут быть любые источники информации об угрозах поступающие в SOC-центр, внешние данные от провайдеров, открытые источники (социальные сети), от партнеров, от регуляторов (ФинЦЕРТ), данные сетевой телеметрии внутри организации (маршрутизаторов, межсетевых экранов, песочницы, SIEM-систем и пр.). Все эти данные аккумулируются в единой платформе.
Внедряя процесс TI, мы обогащаем нашу защиту. Когда обнаружена новая угроза, нам важно понимать все возможные варианты ее поведения (может ли антивирус детектить эту угрозу, какие вредоносные воздействия она несёт – проводим динамический анализ в песочнице и пр.). Не менее важно понимать и откуда эта угроза могла бы попасть в нашу сеть (какие пути были задействованы и уязвимы). Для последнего мы проводим детальное расследование причин инцидента, используя разведку на основе открытых источников (OSINT).
Естественно, блокировка и мониторинг проводится в автоматическом режиме, но комплексное исследование угроз не обходится без квалифицированной работы аналитиков SOC-центра
Что есть фиды?
Фиды это набор сведений из различных источников, обычно одного типа. Это могут быть «Листы с индикаторами компрометаций» (список плохих файлов, доменов, ip-адресов и пр.). Проблема в том, что листы не несут обогащенной информации об угрозах, хоть их и очень много в сети чаще всего в свободном доступе
Говоря о фидах стоит обращать внимание на более контекстуальную информацию. Такую информацию представляют в специально «Структурированных данных». В них есть информация не только об индикаторе, но есть еще информация о том, что он из себя представляет и с какими другими индикаторами связан, может содержать анализ образцов вредоносного ПО и информацию по выявлению актуальных кибератак. К примеру, такие данные в открытом виде предоставляются бесплатно центром CIRCL, используя TI платформу MISP, но есть и коммерческие варианты, например, от Лаборатории Касперского. Цены на коммерческие фиды начинаются от 10 тысяч долларов, но специфика области, актуальность информации и география (для какого региона применимо) это все тоже играет важную роль.
Также существуют «Комплексные сервисы», которые представляют большую аналитику с информацией о группировках и инструментах хакеров, о том, как они действуют, комплексную оценку угроз и все что можно найти в «Структурированных данных». Это дорогие решения предоставляющие решения, заточенные под специфику именно вашей организации. При выборе фидов следует обратить внимание на:
Нельзя не упомянуть и о стандартах описания угроз. MISP, CyBOX, OpenIoC, VERIS, CAIF, MMDEF… Многие ИБ-вендоры стали так или иначе использовать, либо поддерживать в своих продуктах стандарт STIX, фактически ставший стандартом в этой области. Это язык, используемый для предоставления унифицированной информации о киберугрозах. Он позволяет совместно использовать описание различных угроз и связанных с ними параметров в различных областях. STIX предоставляет унифицированную информацию об инцидентах, включая:
информационные объекты (например, создание ключа реестра, сетевой трафик на определенные IP-адреса, отправка email с определенного адреса и т.д.);
тактики, методы, процедуры атакуемого (шаблоны атак, вредоносные программы, эксплойты и т. д.);
способы противодействия (реагирование на инциденты или устранение уязвимостей);
группы кибер-атак (наборы инцидентов, TTP);
Чтобы анализировать и коррелировать информацию из источников и фидов нам нужно собрать их в одном месте, в одной платформе. Выше мы говорили о MISP – это хорошее решение, такая оценка не просто слова, потому что эту платформу использует в обслуживании один из мировых CERT’ов во Франции. Мы успешно используем платформу MISP с нашим КСУИБ в Татарстане.
Основные функции TI-платформы:
Агрегация и корреляция всех источников в одном месте;
Нормализация данных – все данные в одном виде;
Получение оповещений о новых угрозах, в режиме реального времени;
Возможность интеграции с другими системами защиты, SIEM-системами, Firewall и IRP.
Создание дашбордов и отчетов для аналитиков.
Что не может делать TI-платформа:
Предоставлять контекстную информацию;
Выявлять угрозы (поэтому необходим аналитик, который занимается TI, в крупных компаниях это целые отделы).
Коммерческие аналоги MISP: Anomaly, R-VISION и др.
Компании, которые специализируются на сборе информации об угрозах, с большим штатом аналитиков, с внедрёнными процессами машинного обучения являются «TI-провайдерами». Свои услуги по киберразведке они «продают» в виде подписок (коммерческих фидов), либо делают свою платформу «под ключ». Результаты их работ сопровождаются конкретными аналитическими отчетами с рекомендациями по противодействию угрозам и необходимым защитным мерам.
Threat Intelligence (Киберразведка)
Руслан Рахметов, Security Vision
В ранее опубликованной статье, посвященной индикаторам компрометации, мы обсудили виды и типы индикаторов компрометации (Indicators of Compromise, IoC), которые используются в такой сфере кибербезопасности, как киберразведка (CyberThreat Intelligence, сокращают часто CTI или просто TI, от Threat Intelligence). В данной статье мы обсудим, что такое TI, как и зачем применять методы киберразведки, какую пользу получит бизнес от использования технологии threat intelligence. Приступим!
Итак, сам термин киберразведка появился путем перевода англоязычного словосочетания cyberthreat intelligence, который стал популярен примерно 10-12 лет назад. Именно тогда западные ИБ-вендоры стали активно публиковать свои отчеты о некоторых хакерских киберпреступных APT-группировках (Advanced Persistent Threat, буквально «продвинутая постоянная угроза») и кибероперациях, которые они проводили. В то время общее количество зарегистрированных APT-групп не превышало 2-3 десятков (по некоторым данным, на сегодняшний день их уже несколько сотен), и эксперты-аналитики присваивали им порядковые номера, например APT-1 или APT-12 (список группировок, не претендующий на полноту, приведен на сайте проекта MITRE ATT&CK ). По мере исследования различных сложных кибератак у экспертов сформировалось убеждение в том, что для осуществления успешной атаки APT-группировки должны обладать не только ресурсами, но и определенным опытом и наработками. Так, они должны владеть информацией об ИТ-инфраструктуре атакуемой компании и используемом ПО и средствах защиты, а также разработать или приобрести «рабочие» эксплойты под уязвимости, которые планируют эксплуатировать при атаке. Кроме того, предварительно должны быть настроены хакерские Command&Control-серверы (C&C или C2), которые принимают информацию с зараженных компьютеров и контролируют их с помощью отправляемых атакующими команд, а также должны быть разработаны шаблоны фишинговых писем, с которых как правило и начинаются такие атаки, причем для увеличения вероятности «пробива», т.е. успешного открытия фишингового письма невнимательным пользователем, злоумышленники должны изучить особенности ведения документопроизводства в конкретной компании и обладать списком валидных email-адресов сотрудников компании, по которым будет осуществлена рассылка.
Разумеется, средства киберразведки не являются «серебряной пулей» от всех угроз, и нельзя переоценивать возможности лишь одного их аспектов выстраивания системы управления ИБ. Например, следует учитывать возможные ошибки ложной атрибуции, когда APT-группировки намеренно меняют элементы своей атаки и методы взлома, чтобы ввести в заблуждение системы ИБ и аналитиков, которые могут неверно атрибутировать произошедшую кибератаку с другой группировкой. Также следует учитывать возможность перепродажи доступа к взломанной инфраструктуре, когда APT-группировка, которая никогда «не работала» в вашей сфере экономики, всё же успешно осуществляет атаку и решает перепродать украденные учетные данные вашей инфраструктуры уже более заинтересованной в вашей деятельности кибергруппировке. Также атакующие могут нарочно пустить киберразведку по ложному следу: осуществить попытку взлома с использованием легко обнаруживаемого инструментария, попутно проводя скрытную вторую атаку, которая может остаться незамеченной на фоне «быстрой победы» над первой, отвлекающей.
