Threat Intelligence сейчас модный тренд

Автор: Антон Калинин, Экcперт SoC,

Отдел средств защиты информации ICL Системные технологии

Вот два года назад корпоративные заказчики в России хотели и думали ограничиться услугами SOC-центров, а сейчас постепенно приходят к тому что им необходимо не только заниматься мониторингом кибератак, но и заниматься киберразведкой, поиском информации об угрозах.

Threat Intelligence (TI) это такой сложно организованный процесс, в нем много терминологии и понятий. Некоторые ошибочно считают, что, приобретая подписки на фиды или покупая одну из платформ они уже занимаются процессом TI и больше ничего не надо. Но мы будем говорить на Positive Hack Days о базисных понятиях:

• Источники информации об угрозах;

• Фиды;

• Платформы;

• Провайдеры.

Threat Intelligence необходим для современных SOC-центров

TI должен быть частью комплексного подхода по мониторингу и реагированию на современные киберугрозы. Пройдя начальные этапы становления и систематизации процессов по обнаружению инцидентов ИБ на основе базовых правил корреляций, SOC-центры засматриваются на процессы TI. Это может быть полезно в двух случаях:

1. Если это внутренний SOC-центр,цель - находить угрозы у себя на предприятии, в компании;

2. Если это коммерческий SOC-центр (работающий по модели аутсорсинга, как у ICL Системные технологии), цель - проводить у клиентов мониторинг и нахождение угроз и обеспечивать проактивную защиту.

Как происходит проактивная защита?

Пришла информация о новой угрозе, мы ее уже оперативно ставим на мониторинг, параллельно блокируя некоторые индикаторы компрометации, понимая каким образом будет двигаться кибератака.

Источники информации об угрозах – с них TI и начинается. Это могут быть любые источники информации об угрозах поступающие в SOC-центр, внешние данные от провайдеров, открытые источники (социальные сети), от партнеров, от регуляторов (ФинЦЕРТ), данные сетевой телеметрии внутри организации (маршрутизаторов, межсетевых экранов, песочницы, SIEM-систем и пр.). Все эти данные аккумулируются в единой платформе.

Внедряя процесс TI, мы обогащаем нашу защиту. Когда обнаружена новая угроза, нам важно понимать все возможные варианты ее поведения (может ли антивирус детектить эту угрозу, какие вредоносные воздействия она несёт – проводим динамический анализ в песочнице и пр.). Не менее важно понимать и откуда эта угроза могла бы попасть в нашу сеть (какие пути были задействованы и уязвимы). Для последнего мы проводим детальное расследование причин инцидента, используя разведку на основе открытых источников (OSINT).

Естественно, блокировка и мониторинг проводится в автоматическом режиме, но комплексное исследование угроз не обходится без квалифицированной работы аналитиков SOC-центра

Что есть фиды?

Фиды это набор сведений из различных источников, обычно одного типа. Это могут быть «Листы с индикаторами компрометаций» (список плохих файлов, доменов, ip-адресов и пр.). Проблема в том, что листы не несут обогащенной информации об угрозах, хоть их и очень много в сети чаще всего в свободном доступе

Говоря о фидах стоит обращать внимание на более контекстуальную информацию. Такую информацию представляют в специально «Структурированных данных». В них есть информация не только об индикаторе, но есть еще информация о том, что он из себя представляет и с какими другими индикаторами связан, может содержать анализ образцов вредоносного ПО и информацию по выявлению актуальных кибератак. К примеру, такие данные в открытом виде предоставляются бесплатно центром CIRCL, используя TI платформу MISP, но есть и коммерческие варианты, например, от Лаборатории Касперского. Цены на коммерческие фиды начинаются от 10 тысяч долларов, но специфика области, актуальность информации и география (для какого региона применимо) это все тоже играет важную роль.

Также существуют «Комплексные сервисы», которые представляют большую аналитику с информацией о группировках и инструментах хакеров, о том, как они действуют, комплексную оценку угроз и все что можно найти в «Структурированных данных». Это дорогие решения предоставляющие решения, заточенные под специфику именно вашей организации. При выборе фидов следует обратить внимание на:

• Тип источника;

• Актуальность;

• Формат – STIX, MAEC;

• Уникальность;

Нельзя не упомянуть и о стандартах описания угроз. MISP, CyBOX, OpenIoC, VERIS, CAIF, MMDEF… Многие ИБ-вендоры стали так или иначе использовать, либо поддерживать в своих продуктах стандарт STIX, фактически ставший стандартом в этой области. Это язык, используемый для предоставления унифицированной информации о киберугрозах. Он позволяет совместно использовать описание различных угроз и связанных с ними параметров в различных областях. STIX предоставляет унифицированную информацию об инцидентах, включая:

• информационные объекты (например, создание ключа реестра, сетевой трафик на определенные IP-адреса, отправка email с определенного адреса и т.д.);

• индикаторы;

• инциденты;

• тактики, методы, процедуры атакуемого (шаблоны атак, вредоносные программы, эксплойты и т. д.);

• объекты эксплуатации;

• способы противодействия (реагирование на инциденты или устранение уязвимостей);

• группы кибер-атак (наборы инцидентов, TTP);

участники киберугроз (идентификация, характеристики противника). MAEC – это систематизация атрибутов вредоносного ПО. Модель данных MAEC может быть представлена ​​в виде связного графа узлов и ребер, где объекты верхнего уровня MAEC определяют узлы, а отношения MAEC определяют ребра. Отношение - это связь между объектами MAEC, которая описывает, как объекты связаны. MAEC определяет несколько объектов верхнего уровня: Поведенческий анализ, Действия вредоносных программ, Семейства вредоносных программ, Экземпляры вредоносных программ и Коллекции. Отношения между объектами (включая объекты STIX) представляются в виде направленных ребер графа. «TI-платформа» позволяет собрать все источники в одну систему

Чтобы анализировать и коррелировать информацию из источников и фидов нам нужно собрать их в одном месте, в одной платформе. Выше мы говорили о MISP – это хорошее решение, такая оценка не просто слова, потому что эту платформу использует в обслуживании один из мировых CERT’ов во Франции. Мы успешно используем платформу MISP с нашим КСУИБ в Татарстане.

Основные функции TI-платформы:

• Агрегация и корреляция всех источников в одном месте;

• Нормализация данных – все данные в одном виде;

• Получение оповещений о новых угрозах, в режиме реального времени;

• Возможность интеграции с другими системами защиты, SIEM-системами, Firewall и IRP.

• Создание дашбордов и отчетов для аналитиков.

Что не может делать TI-платформа:

• Предоставлять контекстную информацию;

• Выявлять угрозы (поэтому необходим аналитик, который занимается TI, в крупных компаниях это целые отделы).

Коммерческие аналоги MISP: Anomaly, R-VISION и др.

Компании, которые специализируются на сборе информации об угрозах, с большим штатом аналитиков, с внедрёнными процессами машинного обучения являются «TI-провайдерами». Свои услуги по киберразведке они «продают» в виде подписок (коммерческих фидов), либо делают свою платформу «под ключ». Результаты их работ сопровождаются конкретными аналитическими отчетами с рекомендациями по противодействию угрозам и необходимым защитным мерам.