Представьте, что Вы пришли на работу, включаете компьютер и видите, что сайт Вашей компании не работает, груз застрял на таможне и не может дойти до склада. И даже на заставке компьютера незнакомая кем-то поставленная смешная картинка. К Вам приходит бухгалтер и сообщает, что со счетов выведены все средства, и Ваши персональные данные радуют своим наличием весь интернет. Вы берете чашку кофе и подходите к окну, а через дорогу соседнее предприятие уже выпускает Вашу когда-то уникальную продукцию. Вот и Ваша красавица жена упорхнула с более удачливым конкурентом. На этом моменте приходит понимание – Вас взломали.
А ведь Вас предупреждали – надо было ставить TI. Но сначала давайте разберемся, как он работает и защищает.
Threat Intelligence – киберразведка, задачей которой является получение и анализ данных об актуальных угрозах с целью прогнозирования вероятных атак и их предотвращения.
Разведка угроз состоит из следующих этапов: сбор и аккумуляция данных об угрозах из различных источников в единой системе, их обогащение, анализ и применение полученных знаний.
Сбор и аккумуляция данных
Сбор данных об угрозах производится с использованием следующих систем:
Поисковые роботы – системы для сбора информации о существующих сайтах в Интернете;
Песочница – изолированная среда для безопасного исполнения подозрительного кода с целью обнаружения и анализа вредоносных программ;
Мониторинг ботнет сетей – сетей компьютеров под контролем управляющего сервера злоумышленника;
Honeypot – выделенный для злоумышленника в качестве приманки сегмент сети, отделенный от основной защищенной сети организации;
Сенсоры – программы-агенты, собирающие полезную информацию с различных устройств.
Также база данных пополняется базами утечек — чувствительной информацией, попавшей в открытые источники нелегитимным путем. Это могут быть учетные данные от систем и сервисов, адреса электронной почты, данные о кредитных картах, пароли.
Из открытых источников OSINT приходят фиды (структурированные проанализированные данные) — данные об IP-адресах и доменах, с которых идет распространение вредоносных файлов, их сэмплы и хэши; списки фишинговых сайтов и почтовые адреса отправителей фишинговых писем; активность C&C (Command & Control) серверов; адреса, с которых идет сканирование сетей в целях инвентаризации и обнаружения версий систем, баннеров сервисов и уязвимостей; IP-адреса, с которых проводятся bruteforce атаки; Yara сигнатуры для обнаружения вредоносного программного обеспечения.
Полезную информацию можно найти на сайтах аналитических центров, CERT и блогах независимых исследователей: обнаруженные уязвимости, правила для их обнаружения, описания расследований.
Аналитики в процессе расследования целевых атак получают сэмплы вредоносных файлов, их хэши, списки IP-адресов, домены, URL, содержащие нелегитимный контент.
Также в систему поступают данные об обнаруженных уязвимостях в программном обеспечении и атаках от партнеров, вендоров, заказчиков.
Осуществляется сбор информации с СЗИ: антивирусы, IDS/IPS, Firewall, Web Application Firewall, средства анализа трафика, средства регистрации событий, системы защиты от несанкционированного доступа и др.
Все собранные данные аккумулируются в рамках единой платформы, которая позволяет обогащать, анализировать и распространять сведения об угрозах.
Обогащение полученных данных
Собранная информация по конкретным угрозам дополняется контекстной информацией — название угрозы, время обнаружения, геолокация, источник угрозы, обстоятельства, цели и мотивы атакующего.
Также на этом этапе происходит Enrichment – обогащение данных -получение дополнительных атрибутов технического характера к уже известным атакам:
- URL
- IP-адреса
- Домены
- Whois данные
- Passive DNS
- GeoIP – географическая информация об IP-адресе
- Сэмплы вредоносных файлов и их хэши
- Статистическая и поведенческая информация – техники, тактики и процедуры проведения атак
Анализ
На этапе анализа производится объединение событий и атрибутов, относящихся к одной атаке, по следующим признакам: территориальное расположение, временной период, сектор экономики, преступная группировка и др.
Происходит определение связей между различными событиями – корреляция.
При работе с фидами производится выбор источника фидов в зависимости от отраслевой специфики; типов атак, актуальных для определенной компании; наличие атрибутов и IOCs, которые закрывают риски, не закрытые правилами систем защиты. Затем определяется ценность фида и они приоритезируются, опираясь на следующие параметры:
- Источники данных фида – возможно, что данный источник является агрегатором данных из OSINT источников и не предоставляет никакой собственной аналитики.
- Актуальность – своевременность и «свежесть» предоставляемых данных. Надо учитывать два параметра: время от момента обнаружения атаки до распространения фида с данными об угрозе должно быть минимальным; источник должен поставлять фиды с частотой, которая обеспечивает актуальность информации об угрозах.
- Уникальность – количество данных, не встречающихся в других фидах. Количество собственной аналитики, которую предоставляет фид.
- Встречаемость в других источниках. С первого взгляда может показаться, что если атрибут или IOC (Indicator of Compromise) встречается в фидах от нескольких источников – можно повысить ему уровень доверия. На самом деле какие-то источники фидов могут черпать данные из одного и того же источника, в котором информация может быть непроверена.
- Полнота предоставляемого контекста. Насколько хорошо была отсортирована информация, указаны ли цели атаки, сектор экономики, преступная группировка, используемые инструменты, длительность атаки и др.
- Качество (доля ложных срабатываний) правил для СЗИ, основанных на данных от фида.
- Полезность данных – применимость данных фида при расследованиях инцидентов.
- Формат предоставления данных. Учитывается удобство обработки и автоматизации их загрузки в платформу. Обеспечивает ли выбранная платформа для Threat Intelligence поддержку требуемых форматов, не теряется ли часть данных.
Для классификации данных из фидов используются следующие инструменты:
- Теги
- Таксономии – набор библиотек, классифицированных по процессам проведения атаки, распространения угроз, обмена данными и др. Например, ENISA, CSSA, VERIS, Diamond Model, Kill Chain, CIRCL, MISP имеют свои таксономии.
- Кластеризация – набор библиотек, классифицированных по статическим признакам угроз и атак. Например, секторы экономики; используемые инструменты и эксплоиты; TTP (Tacticks, Techniques & Procedures), этапы и методы проникновения, эксплуатации и закрепления в системе, основанные на ATT&CK Matrix.
Аналитики выявляют тактики, техники и процедуры атакующих, накладывают данные и события на модель вторжения в систему и строят цепочки реализации атаки. Важно сформировать общий взгляд на атаку с учетом комплексной архитектуры защищаемой системы и связей между компонентами. Учитывается возможность многоступенчатой атаки, которая затронет несколько хостов и уязвимостей.
Применение
На основе проведенной работы осуществляется прогнозирование — выявляются вероятные направления атак, систематизированные с учетом отраслевой специфики, геолокации, временных рамок, возможных инструментов и степени разрушительности последствий. Выявленные угрозы приоритезируются в зависимости от потенциального ущерба при их реализации.
Информация Threat Intelligence позволяет обнаруживать утечки чувствительных данных организации, попавшие в интернет, и контролировать риски бренда – обсуждение на darknet форумах планов атак, нелегитимное использование бренда при проведении фишинговых компаний, раскрытие коммерческой тайны и ее использование конкурентами.
Собранная база знаний используется при написании правил обнаружения атак для СЗИ, оперативном реагировании на угрозы в рамках SOC и расследовании инцидентов.
Специалисты актуализируют модель угроз и производят переоценку рисков в связи с изменившимися условиями.
Заключение
Такой комплексный подход позволяет предотвратить атаки на этапе попыток проникновения в информационную систему.
Платформа для сбора и анализа информации об угрозах безопасности входит в требования ФСТЭК (пункт 24) при оказании услуги SOC. Более того Threat Intelligence может помочь в обмене информацией об угрозах в рамках ГосСОПКА.
Использование опыта профессионалов киберразведки в части сбора, анализа и применения данных об угрозах позволяет подразделениям ИБ вывести защиту информации своей компании на должный современный уровень.
Автор: Ева Соколова
