Threat Intelligence – современный подход к обеспечению информационной безопасности +7


Представьте, что Вы пришли на работу, включаете компьютер и видите, что сайт Вашей компании не работает, груз застрял на таможне и не может дойти до склада. И даже на заставке компьютера незнакомая кем-то поставленная смешная картинка. К Вам приходит бухгалтер и сообщает, что со счетов выведены все средства, и Ваши персональные данные радуют своим наличием весь интернет. Вы берете чашку кофе и подходите к окну, а через дорогу соседнее предприятие уже выпускает Вашу когда-то уникальную продукцию. Вот и Ваша красавица жена упорхнула с более удачливым конкурентом. На этом моменте приходит понимание – Вас взломали.


А ведь Вас предупреждали – надо было ставить  TI. Но сначала давайте разберемся, как он работает и защищает.


Threat Intelligence – киберразведка, задачей которой является получение и анализ данных об актуальных угрозах с целью прогнозирования вероятных атак и их предотвращения.


Разведка угроз состоит из следующих этапов: сбор и аккумуляция данных об угрозах из различных источников в единой системе, их обогащение, анализ и применение полученных знаний.


Сбор и аккумуляция данных


Сбор данных об угрозах производится с использованием следующих систем:


Поисковые роботы – системы для сбора информации о существующих сайтах в Интернете;


Песочница – изолированная среда для безопасного исполнения подозрительного кода с целью обнаружения и анализа вредоносных программ;


Мониторинг ботнет сетей – сетей компьютеров под контролем управляющего сервера злоумышленника;


Honeypot – выделенный для злоумышленника в качестве приманки сегмент сети, отделенный от основной защищенной сети организации;


Сенсоры – программы-агенты, собирающие полезную информацию с различных устройств.


Также база данных пополняется базами утечек — чувствительной информацией, попавшей в открытые источники нелегитимным путем. Это могут быть учетные данные от систем и сервисов, адреса электронной почты, данные о кредитных картах, пароли.


Из открытых источников OSINT приходят фиды (структурированные проанализированные данные) —  данные об IP-адресах и доменах, с которых идет распространение вредоносных файлов, их сэмплы и хэши; списки фишинговых сайтов и почтовые адреса отправителей фишинговых писем; активность C&C (Command & Control) серверов; адреса, с которых идет сканирование сетей в целях инвентаризации и обнаружения версий систем, баннеров сервисов и  уязвимостей; IP-адреса, с которых проводятся bruteforce атаки; Yara сигнатуры для обнаружения вредоносного программного обеспечения.


Полезную информацию можно найти на сайтах аналитических центров,  CERT и блогах независимых исследователей: обнаруженные уязвимости, правила для их обнаружения, описания расследований.


Аналитики в процессе расследования целевых атак получают сэмплы вредоносных файлов, их хэши, списки IP-адресов, домены, URL, содержащие нелегитимный контент.


Также в систему поступают данные об обнаруженных уязвимостях в программном обеспечении и атаках от партнеров, вендоров, заказчиков.


Осуществляется сбор информации с СЗИ: антивирусы, IDS/IPS, Firewall, Web Application Firewall, средства анализа трафика, средства регистрации событий, системы защиты от несанкционированного доступа и др.


Все собранные данные аккумулируются в рамках единой платформы, которая позволяет обогащать, анализировать и распространять сведения об угрозах.


Обогащение полученных данных


Собранная информация по конкретным угрозам дополняется контекстной информацией — название угрозы, время обнаружения, геолокация, источник угрозы, обстоятельства, цели и мотивы атакующего.


Также на этом этапе происходит Enrichment – обогащение данных -получение дополнительных атрибутов технического характера к уже известным атакам:


  • URL
  • IP-адреса
  • Домены
  • Whois данные
  • Passive DNS
  • GeoIP – географическая информация об IP-адресе
  • Сэмплы вредоносных файлов и их хэши
  • Статистическая и поведенческая информация – техники, тактики и процедуры проведения атак

Анализ


На этапе анализа производится объединение событий и атрибутов, относящихся к одной атаке, по следующим признакам: территориальное расположение, временной период, сектор экономики, преступная группировка и др.


Происходит определение связей между различными событиями – корреляция.


При работе с фидами производится выбор источника фидов в зависимости от отраслевой специфики; типов атак, актуальных для определенной компании; наличие атрибутов и IOCs, которые закрывают риски, не закрытые правилами систем защиты.  Затем определяется ценность фида и они приоритезируются, опираясь на следующие параметры:


  • Источники данных фида – возможно, что данный источник является агрегатором данных из OSINT источников и не предоставляет никакой собственной аналитики.
  • Актуальность – своевременность и «свежесть» предоставляемых данных. Надо учитывать два параметра: время от момента обнаружения атаки до распространения фида с данными об угрозе должно быть минимальным; источник должен поставлять фиды с частотой, которая обеспечивает актуальность информации об угрозах.
  • Уникальность – количество данных, не встречающихся в других фидах. Количество собственной аналитики, которую предоставляет фид.
  • Встречаемость в других источниках. С первого взгляда может показаться, что если атрибут или IOC (Indicator of Compromise) встречается в фидах от нескольких источников – можно повысить ему уровень доверия. На самом деле какие-то источники фидов могут черпать данные из одного и того же источника, в котором информация может быть непроверена.
  • Полнота предоставляемого контекста. Насколько хорошо была отсортирована информация, указаны ли цели атаки, сектор экономики, преступная группировка, используемые инструменты, длительность атаки и др.
  • Качество (доля ложных срабатываний) правил для СЗИ, основанных на данных от фида.
  • Полезность данных – применимость данных фида при расследованиях инцидентов.
  • Формат предоставления данных. Учитывается удобство обработки и автоматизации их загрузки в платформу. Обеспечивает ли выбранная платформа для Threat Intelligence поддержку требуемых форматов, не теряется ли часть данных.

Для классификации данных из фидов используются следующие инструменты:


  • Теги
  • Таксономии – набор библиотек, классифицированных по процессам проведения атаки, распространения угроз, обмена данными и др. Например, ENISA, CSSA, VERIS, Diamond Model, Kill Chain, CIRCL, MISP имеют свои таксономии.
  • Кластеризация – набор библиотек, классифицированных по статическим признакам угроз и атак. Например, секторы экономики; используемые инструменты и эксплоиты; TTP (Tacticks, Techniques & Procedures), этапы и методы проникновения, эксплуатации и закрепления в системе, основанные на ATT&CK Matrix.

Аналитики выявляют тактики, техники и процедуры атакующих, накладывают данные и события на модель вторжения в систему и строят цепочки реализации атаки. Важно сформировать общий взгляд на атаку с учетом комплексной архитектуры защищаемой системы и связей между компонентами. Учитывается возможность многоступенчатой атаки, которая затронет несколько хостов и уязвимостей.


Применение


На основе проведенной работы осуществляется прогнозирование — выявляются вероятные направления атак, систематизированные с учетом отраслевой специфики, геолокации, временных рамок, возможных инструментов и степени разрушительности последствий. Выявленные угрозы приоритезируются в зависимости от потенциального ущерба при их реализации.


Информация Threat Intelligence позволяет обнаруживать утечки чувствительных данных организации, попавшие в интернет, и контролировать риски бренда – обсуждение на darknet форумах планов атак, нелегитимное использование бренда при проведении фишинговых компаний, раскрытие коммерческой тайны и ее использование конкурентами.


Собранная база знаний используется при написании правил обнаружения атак для СЗИ, оперативном реагировании на угрозы в рамках SOC и расследовании инцидентов.


Специалисты актуализируют модель угроз и производят переоценку рисков в связи с изменившимися условиями.


Заключение


Такой комплексный подход позволяет предотвратить атаки на этапе попыток проникновения в информационную систему.


Платформа для сбора и анализа информации об угрозах безопасности входит в требования ФСТЭК (пункт 24) при оказании услуги SOC. Более того Threat Intelligence может помочь в обмене информацией об угрозах в рамках ГосСОПКА.


Использование опыта профессионалов киберразведки в части сбора, анализа и применения данных об угрозах позволяет подразделениям ИБ вывести защиту информации своей компании на должный современный уровень.




К сожалению, не доступен сервер mySQL