Рассуждая о киберразведке

Автор: Денис Андреевский, советник по развитию бизнеса, «ИНФОРМЗАЩИТА»

‘‘Intrusion analysis is as much about tcpdump

as astronomy is about telescopes"

Chris Sanders

В преддверии приближающегося главного события года для «белых» (и не самых белых, возможно) хакеров Positive Hack Days 2018 , немного хотелось порассуждать о киберразведке, как теме очень популярной в последние год-два в среде российских кибербезопасников. По традиции, популярной в России она стала с разницей в пару лет с моментом, когда вопрос разработки методик работы, релевантной экспертизы и платформ, а также выпуска продуктов аналитики на основе проверенных гипотез уже был реализован в нативно англоговорящем сообществе.

На конференции PHDays в The Standoff («Противостоянии») снова блестяще будут сражаться нападающие и защитники. Для соревнований этих двух сторон вполне достаточно: с каждым годом растет количество инструментов и навыков, которые интересно отработать на реальной инфраструктуре, и это имеет вполне практический смысл.

Но по мере взросления самой отрасли, помимо защиты и нападения, то есть реактивных событий, в структуру ИБ любой организации начинает встраиваться еще один пласт – проактивный, то есть к кибербаталиям добавляется стратегический компонент: киберразведка и все, что с ней связано. О ней и пойдет речь.

Практика последних лет показала очевидное отставание прежней концепции управления инцидентами ИБ, базирующейся на «хорошо настроенном» SIEM и сигнатурном принципе формирования источников, поступающих в корреляцию перед лицом актуальных угроз. Мы дружно осознали, что современные атаки (особенно APT), базируются на сущностях, которые нигде прежде не были засвечены, не имеют идентификаторы компрометации, способные дать хоть малейшую зацепку системам мониторинга уровня сети и хостов для формирования события, которое может стать инцидентом.

Вся текущая модель управления событиями ИБ позволяет говорить только о митигации (еще одно популярное с недавних пор слово) уже свершившегося и купировании последствий. Весьма кстати появилась модель от Lockheed Martin, позволяющая распарсить атаку на стадии реализации и приведенные им в соответствие средства защиты/мониторинга. Понятно, что такая характеристика имеет серьезный набор допущений.

Целый ряд передовых референсных моделей построения SOC предлагает мерить уровень зрелости по Kill Chain. Это когда процессы, по которым работает соответствующая структура, направленные на пост-анализ инцидентов и определение векторов дальнейшего развития, способствуют как можно более раннему соприкосновению атакующей и защищающейся сторон. И как уж распорядится своим знанием вторая сторона и какую тактику изберет в каждом конкретном случае: отслеживания и сбора доказательств, либо немедленного блокирования, – это уже вопрос управленческого решения. Важно получить такое право и возможность выбора.

Так почему нам на текущий момент этого показалось мало и зачем мы заговорили о роли киберразведки в противостоянии современным угрозам кибербезопасности? Из самого термина «киберразведка» следует, что в данном случае речь идет о сборе и интерпретации информации, полученной за пределами инфраструктуры, «на дальних подступах». Если конкретизировать, то к киберсообществу пришло осознание, что дальнейшее повышение зрелости системы управления КБ невозможно без введения проактивной компоненты, обеспечивающей анализ подверженности организации кибератакам на всех уровнях ДО момента наступления инцидента.

Проводя аналогии, речь идет о построении процессно-экспертно-инфраструктурной модели SOC, реализующей систему раннего предупреждения о ракетном кибернападении, о формировании на основе аналитики особого вида инцидента (задания) в сторону команд ИТ- и ИБ-реагирования, с тем, чтобы в рамках его отработки инфраструктура была приведена в состояние, когда злонамеренная активность будет установлена на ранней стадии. И ключевую роль я бы здесь отвел квалификации сотрудников, осуществляющих данного рода анализ и создающих так называемый продукт аналитики, лежащий в основе приготовлений.

Думаю, становится очевидным, что киберразведка – это прежде всего разговор о персоналиях, о способности аналитика к исследовательской деятельности, о незашоренности его сознания, о смелости интерпретаций и импровизации, умении выйти за рамки предложенного, порождении и проверке разнонаправленных гипотез, базирующихся на прежнем опыте, о постоянно наращиваемой экспертизе и желании достать до горизонта.

Любой вдумчивый перебор источников, описывающих подходы, психологию, процессные модели и математический аппарат для Threat Intelligence рано или поздно приведет вас к открытой литературе, увы, созданной в образовательных целях в недрах того же CIA. Чего стоит, например: “Psychology of intelligence analysis” by Richards J. Heuer, Jr. Натужные поиски русскоязычных материалов сопоставимого уровня по данной проблематике ни к чему путному меня не привели (может не там искал), что довольно обидно, но предположу, что эта ситуация косвенно отражает текущую расстановку в части зрелости. Опять догонять.

Между прочим, к своему удивлению обнаружил, что в качестве главной сущности киберразведки в упомянутых материалах рассматривается не продукт аналитики как таковой, как мерило достижений, KPI и загрузка специалистов, а процесс анализа способов, методов и источников, на основе которых данный продукт появился. Причем, критический анализ, вытекающий из самой трактовки ключевой задачи киберразведки: непрерывное улучшение, докрутка, поиск неустановленных ранее связей, углов рассмотрения событий и интерпретаций. И это на мой взгляд очень классный подход, ведь куда приятнее найти в итоге две иголки в стоге сена вместо одной.

Что касается всей информационной и технологической обвязки, доступной аналитику как в виде бесплатных Community-фидов, так и IoC и TTP от известных Intel-вендоров, а также CTI-платформа, интегрируемая с SIEM, Ticketing и Response-платформами, это на данный момент чистой воды автоматизация для ускорения рутинных базовых операций, призванная повысить его эффективность, но не задать за него вектор изысканий. Технологии пока не добежали до следующего уровня зрелости, позволяющего аналитику азартно поплевывать в потолок, наблюдая за разворачивающимся на мониторе сражением со скверной.

Но то ли дело всякие «прорывные» анонсы! Я в свое время был причастен к тематике тестирования технологий AI и Big Data в контексте Cyber Security и, если честно, не впечатлило. Как показали проверки полученных результатов – в 95% случаев это был нормализованный фолс, превращающий работу аналитика в сизифов труд. Все баги и фичи впоследствии будут проанализированы и исправлены, и в ближайшие время мы станем свидетелями становления AI и ее производных как зрелой технологии в контексте кибербезопасности, способной самостоятельно формировать паттерны выборки и генерировать математические корреляционные модели, не порождая при этом неприемлемых по трудозатратам дополнительных циклов ручной проверки, что является главным условием любой автоматизации. Есть устойчивое ощущение, что это будущее уже где-то близко, блуждает на кончиках пальцев и неспроста все чаще анонсируется различными вендорами и сервис-провайдерами в своих продуктах и услугах, и скоро выйдет за рамки простого перечисления технологий: AI, ML, DML, Neural Networks и т.д.

Пока же, по сообщениям от ключевых игроков рынка кибербезопасности, искусственный интеллект запущен в продуктивную среду лишь в части автоматизации отработки простейших playbooks, реализующих перевод офенса в инцидент, решая тем самым один из ключевых, согласно MITRE, челленджей оргструктуры SOC, связанный с интенсивной демотивацией и, как следствие, ротацией L1. Но стоит сказать, что реального референса мы в руки все еще не получили.

Из незатронутого осталась ветка, посвященная ThreatHunting, которую я бы предложил рассматривать как производную процесса TI, поскольку исторически на этапе «подхода к снаряду» мы речь вели о ретроспективе на базе TI, работе с накопленными в Data Lake security-логами и пост-анализе уже обработанных SOC событий. Постоянно растущий уровень зрелости SOC дает возможность по-новому взглянуть на собранные с инфраструктуры события, найти прежде неустановленные связи и по-новой оттрассировать атаку, выявить недополученные ранее признаки инцидента. На данный момент я бы сказал, что разница между TI и TH скорее лежит в области философии, а грань между ними очень тонкая и местами легко истирается.

Так или иначе, любого рода деятельность должна приводить к осязаемым результатам, иметь конкретного потребителя, а потому обладать релевантной формой отчетности. В случае с Threat Intelligence выделяют три уровня отчетности для заказчиков, на которых адресуется конечный результат: операционный, тактический и стратегический. Первые два, как правило, не выходят за рамки процессной модели SOC, «разговаривая» в терминах инцидентов и юзкейсов, в то время как стратегический уровень отчётности предназначен исключительно для уровня Executive и, как правило, содержит информацию о резонансах и трендах, аналитику изменений гео- и отраслевых ландшафтов киберугроз, включает в себя не только констатации, но и предложения о мерах, которые заказчику надлежит обрабатывать на уровне не ниже операционных риск-комитетов.

Пожалуй, все, о чем я попробовал выше поразмышлять, на самом деле, о пассионарной системе ценностей, о жизненной позиции и отношении к делу, которым занимаешься, о критической оценке себя и своих навыков в каждый конкретный момент времени. Забавно, что современная парадигма развития сервисов кибербезопасности пришла к тем же категориям, осознав, что пассивное «залипание» у врат периметра в ожидании инцидента и сигнатур от вендоров ни к чему путному не приводит, что заявленные риски не дают нам права на проигрыш в этой схватке. И от нас уже сегодня требуется выходить и сражаться, не изводя себя понапрасну во внутренней рефлексии, набивать шишки, зашивать раны и становиться сильными и зрелыми, учиться «сбивать на подлете» и на постоянной основе работать над улучшениями. Ведь на «той стороне» ведется ровно такая же работа.