Threat intelligence что это
Threat Intelligence по полочкам: культура обмена данными
Эффективный обмен информацией об угрозах среди множества участников работает, как коллективный иммунитет: чем больше участников задействованы в этом процессе, тем выше вероятность успешно противостоять атакующим. О том, какая культура обмена такими данными сложилась за рубежом, чем отличается российская практика, и в чем заключаются основные подводные камни этой области, — расскажу в статье.
Что такое культура обмена данными, и зачем она нужна?
Обмениваться информацией об угрозах стоит как минимум по трем причинам. Во-первых, чтобы сэкономить, ведь предупредить атаку дешевле, чем устранять ущерб от нее. Во-вторых, чтобы быть социально ответственным: бороться вместе с другими компаниями против общего врага. Наконец, в-третьих, чтобы иметь хорошую репутацию. Если компания условно безопасна, ей доверяют не только клиенты, но и инвесторы.
На сегодняшний день можно выделить несколько типов данных, которыми делятся участники обмена TI:
инциденты — подробная информация о попытках атак и их успешности;
угрозы и уязвимости — часто бывает так, что злоумышленники успевают воспользоваться уязвимостью до того, как она попадет в известные базы уязвимостей;
методы устранения уязвимостей, локализации или блокирования угроз;
информация о новых неблагоприятных событиях в мире ИБ.
Обмен этими данными происходит различными способами. Первый — через open-source фиды, которые генерируют члены TI-комьюнити и некоторые компании, open-source и проприетарные платформы. К плюсам этого способа можно отнести бесплатный доступ к фидам, их большой выбор и простоту использования. Однако есть и минусы: большое количество нерелевантных данных и, следовательно, необходимость их фильтрации, а также отсутствие контекста. Второй способ — создание и участие в специализированных организациях. Их список довольно большой: CERT, CSIRT, CIRC, CIRT, SIRT, IRT, IRC, SERT, ISAC, ISAO. Подробнее о том, что они собой представляют, расскажу ниже. Третий способ — участие в профильных мероприятиях, например, FIRST CTI SIG Summit, SANS CTI Summit, Threat Intelligence Summit, Black Hat, Cyber Intelligence Asia.
Степень зрелости культуры обмена данными о киберугрозах — комплексный показатель, на который прямо или косвенно влияют количество профильных мероприятий, количество TI-вендоров, активность и вовлеченность потенциальных участников обмена: членов TI-комьюнити, частных компаний, государства. Ландшафт угроз, активность и изощренность новых методов злоумышленников также определяют качество ответных мер и квалификацию защитников.
Мы с командой считаем, что с учетом этих факторов культура обмена данными об угрозах в США и Европе более зрелая, и нам стоило бы многому у них поучиться. Давайте разберемся, как это устроено «у них».
В США есть ряд программ обмена данными TI, разработанных Агентством кибербезопасности и защиты инфраструктуры (Cybersecurity and Infrastructure Security Agency / CISA).
ISAC (Information Sharing and Analysis Center) — центры обмена и анализа информации, которые формируются вокруг определенной отрасли: финансы, энергетика, промышленность и так далее. Впервые они были созданы в 1998 году по указу президента США для обмена информацией о киберугрозах между владельцами и операторами критически важных инфраструктур. Всего на сегодняшний день в США существует 25 таких центров.
ISAO (Information Sharing and Analysis Organisation) — организации, сосредоточенные в первую очередь на защите совместно используемой информации. Это так называемое расширение ISAC, которое не связано с конкретной отраслью: участники этих организаций могут объединяться по другим признакам, например, по территориальному.
AIS (Automated Indicator Sharing) позволяет обмениваться индикаторами компрометации в реальном времени. В AIS участвуют субъекты частного и государственного сектора. Всем участникам гарантируется анонимность и конфиденциальность передаваемой информации, а кроме того, на них не распространяются антимонопольный закон, федеральные законы и законы штатов.
Европа
В Европе действуют аналогичные организации, созданные Агентством Европейского союза по сетевой и информационной безопасности (ENISA). Европейские ISAC появились позже американских, использовали их опыт, поэтому между ними есть некоторые отличия.
Так, ISAC в ЕС не обязательно связаны с какой-либо отраслью. Вот какие модели построения ISAC в Европе можно выделить:
ISAC в рамках одной страны чаще всего управляются группой реагирования на инциденты в области компьютерной безопасности (CSIRT).
Отраслевые ISAC сосредоточены на организациях одного, обычно критического или жизненно важного, сектора и в основном поддерживаются самим сектором или правительством.
Международные ISAC объединяют ключевых экспертов со всего мира, но из-за культурных различий и разных подходов в них нередко возникает проблема доверия между экспертами. Примеры международных ISAC, созданных в Европе: EU FI-ISAC (финансовый сектор), EE-ISAC (сектор энергетики).
Структуры обмена данными TI схожи в большинстве стран ЕС. Есть ISAC, которые могут быть представлены группами реагирования (CERT), организациями CSIRT и другими, и есть вышестоящие организации для координации взаимодействия ISAC.
Развитие экосистемы ISAC в Европе зависит от общего уровня доверия между государственными и частными структурами. Поэтому для стран, где этого доверия недостаточно, может оказаться целесообразным сначала начать развитие структур PPP (государственно-частное партнерство, менее формальная организация по сравнению с ISAC), а затем преобразовать их в ISAC.
Инициатива по созданию ISAC может исходить от правительства или частного сектора (в этом случае правительство может играть роль посредника). Независимо от структуры ISAC, для гибкого и эффективного сотрудничества необходим регламент взаимодействия членов объединения, который описывает в том числе процедуры проверки новых участников сообщества.
Сотрудничество происходит не только внутри ISAC, но и между различными организациями такого типа. Например, в результате сотрудничества сообществ была создана платформа X-ISAC. Она эксплуатируется и обслуживается Центром реагирования на компьютерные инциденты Люксембурга (CIRCL) и проектом MISP.
FIRST
Говоря об обмене информацией о киберугрозах, нельзя не сказать о FIRST (the Forum of Incident Response and Security Teams). С момента создания этой организации в 1990 году ее представители практически непрерывно занимались обработкой тысяч уязвимостей безопасности. Несправедливо относить FIRST к определенному государству, ведь это масштабное международное сообщество, поэтому я решила посвятить ему отдельный раздел.
В качестве своей миссии FIRST называет три составляющих.
Глобальная координация — FIRST предоставляет платформы, средства и инструменты для тех, кто реагирует на инциденты.
Глобальный язык — FIRST поддерживает инициативы по разработке общих средств передачи данных.
Управление — члены FIRST не работают изолированно, а являются частью более крупной системы.
FIRST объединяет группы реагирования на инциденты информационной безопасности (CERT, CSIRT), группы реагирования на инциденты в области безопасности продукции (PSIRT) и независимых ИБ-исследователей.
Остановлюсь подробнее на типах групп реагирования. Аббревиатура CERT (computer emergency response team) — зарегистрированная торговая марка Университета Карнеги — Меллона. Именно здесь по заказу правительства США в 1988 году была сформирована первая команда CERT для борьбы с так называемым «червем Морриса». Сегодня так обозначают группы экспертов, которые занимаются постоянным мониторингом информации о появлении угроз ИБ, их классификацией и нейтрализацией. Такие команды могут быть как национальными, так и сфокусированными на определенном секторе. Их основная цель — своевременно реагировать на новые угрозы и сообщать о них заинтересованным лицам. Для этого группы CERT выпускают бюллетени с агрегированной информацией об угрозах и рекомендациями по реагированию на них.
CSIRT (computer security incident response team) — еще один термин, обозначающий группу реагирования на компьютерные инциденты. Отличие в том, что его можно использовать без получения специального разрешения. В 1992 году датский академический провайдер SURFnet создал первую в Европе команду CSIRT под названием SURFnet – CSIRT.
Помимо этого, на практике используются и другие аббревиатуры: IRT (группа реагирования на инциденты), CIRT (группа реагирования на компьютерные инциденты), SERT (группа оперативного реагирования на инциденты безопасности). Главная цель у CERT, CSIRT, ISAC, ISAO и других подобных организаций одна — улучшение ландшафта информационной безопасности, но у CERT и CSIRT основной фокус направлен на реагирование на инциденты ИБ и уже потом на повышение осведомленности заинтересованных сторон.
Россия
В России среди участников обмена данными об угрозах можно выделить регуляторов и ряд коммерческих организаций. Например, на базе ФинЦЕРТ, специального структурного подразделения ЦБ, действует система информационного обмена о компьютерных атаках в кредитно-финансовой сфере. Другой регулятор — НКЦКИ, координирует взаимодействие субъектов критической информационной инфраструктуры с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак ГосСОПКА.
К коммерческим организациям относятся CERT-GIB, BI.ZONE-CERT, Infosecurity CERT и KASPERSKY ICS CERT. Также, говоря об участниках обмена данными TI, стоит упомянуть и некоммерческую организацию RU-CERT, нацеленную на снижение уровня киберугроз для пользователей Рунета.
Несмотря на довольно большой список участников обмена, как такового устоявшегося и крупного комьюнити, посвященного Threat Intelligence, в России пока нет. При этом есть заметный прогресс: появляются многочисленные чаты в Telegram (иногда их создают вендоры) и open-source фиды, проводятся тематические мероприятия. Тем не менее, пока главным мотиватором и двигателем обмена информацией остается требование регулятора.
Подводные камни
Фундаментом обмена информацией о киберугрозах можно считать доверие между участниками этого процесса: чем выше уровень доверия, тем эффективнее взаимодействие и сотрудничество. Помимо недостаточного уровня доверия, можно выделить еще несколько проблемных моментов:
Недостаточная информированность — не все организации понимают пользу и потенциальные выгоды участия в обмене информацией.
Страх — многие организации считают, что если поделятся информацией об атаке, это нанесет ущерб их репутации.
Недостаточное финансирование — информации море, для ее анализа нужны специалисты, которым в свою очередь нужны деньги, а для этого нужен бюджет.
Нехватка квалифицированных специалистов — как в сфере ИБ, так и для поддержки инфраструктуры обмена.
Можно провести параллель между проблемой культуры обмена данными TI и экологической проблемой (что? да!). Точечные инициативы не принесут результата. Необходимо, чтобы каждое звено обмена было заинтересованным и активным в достижении цели, формат обмена был согласованным.
И конечно, самое важное — чтобы государство и бизнес осознали масштаб рисков, связанных с киберугрозами, и увеличивали объем инвестиций в развитие информационной безопасности.
Автор: Валерия Чулкова, системный аналитик R-Vision Threat Intelligence Platform
Threat Intelligence – современный подход к обеспечению информационной безопасности
Представьте, что Вы пришли на работу, включаете компьютер и видите, что сайт Вашей компании не работает, груз застрял на таможне и не может дойти до склада. И даже на заставке компьютера незнакомая кем-то поставленная смешная картинка. К Вам приходит бухгалтер и сообщает, что со счетов выведены все средства, и Ваши персональные данные радуют своим наличием весь интернет. Вы берете чашку кофе и подходите к окну, а через дорогу соседнее предприятие уже выпускает Вашу когда-то уникальную продукцию. Вот и Ваша красавица жена упорхнула с более удачливым конкурентом. На этом моменте приходит понимание – Вас взломали.
А ведь Вас предупреждали – надо было ставить TI. Но сначала давайте разберемся, как он работает и защищает.
Threat Intelligence – киберразведка, задачей которой является получение и анализ данных об актуальных угрозах с целью прогнозирования вероятных атак и их предотвращения.
Разведка угроз состоит из следующих этапов: сбор и аккумуляция данных об угрозах из различных источников в единой системе, их обогащение, анализ и применение полученных знаний.
Сбор и аккумуляция данных
Сбор данных об угрозах производится с использованием следующих систем:
Поисковые роботы – системы для сбора информации о существующих сайтах в Интернете;
Песочница – изолированная среда для безопасного исполнения подозрительного кода с целью обнаружения и анализа вредоносных программ;
Мониторинг ботнет сетей – сетей компьютеров под контролем управляющего сервера злоумышленника;
Honeypot – выделенный для злоумышленника в качестве приманки сегмент сети, отделенный от основной защищенной сети организации;
Сенсоры – программы-агенты, собирающие полезную информацию с различных устройств.
Также база данных пополняется базами утечек — чувствительной информацией, попавшей в открытые источники нелегитимным путем. Это могут быть учетные данные от систем и сервисов, адреса электронной почты, данные о кредитных картах, пароли.
Из открытых источников OSINT приходят фиды (структурированные проанализированные данные) — данные об IP-адресах и доменах, с которых идет распространение вредоносных файлов, их сэмплы и хэши; списки фишинговых сайтов и почтовые адреса отправителей фишинговых писем; активность C&C (Command & Control) серверов; адреса, с которых идет сканирование сетей в целях инвентаризации и обнаружения версий систем, баннеров сервисов и уязвимостей; IP-адреса, с которых проводятся bruteforce атаки; Yara сигнатуры для обнаружения вредоносного программного обеспечения.
Полезную информацию можно найти на сайтах аналитических центров, CERT и блогах независимых исследователей: обнаруженные уязвимости, правила для их обнаружения, описания расследований.
Аналитики в процессе расследования целевых атак получают сэмплы вредоносных файлов, их хэши, списки IP-адресов, домены, URL, содержащие нелегитимный контент.
Также в систему поступают данные об обнаруженных уязвимостях в программном обеспечении и атаках от партнеров, вендоров, заказчиков.
Осуществляется сбор информации с СЗИ: антивирусы, IDS/IPS, Firewall, Web Application Firewall, средства анализа трафика, средства регистрации событий, системы защиты от несанкционированного доступа и др.
Все собранные данные аккумулируются в рамках единой платформы, которая позволяет обогащать, анализировать и распространять сведения об угрозах.
Обогащение полученных данных
Собранная информация по конкретным угрозам дополняется контекстной информацией — название угрозы, время обнаружения, геолокация, источник угрозы, обстоятельства, цели и мотивы атакующего.
Анализ
На этапе анализа производится объединение событий и атрибутов, относящихся к одной атаке, по следующим признакам: территориальное расположение, временной период, сектор экономики, преступная группировка и др.
Происходит определение связей между различными событиями – корреляция.
При работе с фидами производится выбор источника фидов в зависимости от отраслевой специфики; типов атак, актуальных для определенной компании; наличие атрибутов и IOCs, которые закрывают риски, не закрытые правилами систем защиты. Затем определяется ценность фида и они приоритезируются, опираясь на следующие параметры:
Для классификации данных из фидов используются следующие инструменты:
Аналитики выявляют тактики, техники и процедуры атакующих, накладывают данные и события на модель вторжения в систему и строят цепочки реализации атаки. Важно сформировать общий взгляд на атаку с учетом комплексной архитектуры защищаемой системы и связей между компонентами. Учитывается возможность многоступенчатой атаки, которая затронет несколько хостов и уязвимостей.
Применение
На основе проведенной работы осуществляется прогнозирование — выявляются вероятные направления атак, систематизированные с учетом отраслевой специфики, геолокации, временных рамок, возможных инструментов и степени разрушительности последствий. Выявленные угрозы приоритезируются в зависимости от потенциального ущерба при их реализации.
Информация Threat Intelligence позволяет обнаруживать утечки чувствительных данных организации, попавшие в интернет, и контролировать риски бренда – обсуждение на darknet форумах планов атак, нелегитимное использование бренда при проведении фишинговых компаний, раскрытие коммерческой тайны и ее использование конкурентами.
Собранная база знаний используется при написании правил обнаружения атак для СЗИ, оперативном реагировании на угрозы в рамках SOC и расследовании инцидентов.
Специалисты актуализируют модель угроз и производят переоценку рисков в связи с изменившимися условиями.
Заключение
Такой комплексный подход позволяет предотвратить атаки на этапе попыток проникновения в информационную систему.
Платформа для сбора и анализа информации об угрозах безопасности входит в требования ФСТЭК (пункт 24) при оказании услуги SOC. Более того Threat Intelligence может помочь в обмене информацией об угрозах в рамках ГосСОПКА.
Использование опыта профессионалов киберразведки в части сбора, анализа и применения данных об угрозах позволяет подразделениям ИБ вывести защиту информации своей компании на должный современный уровень.
Тест на интеллект для Threat Intelligence
То, что порой выдается за Threat Intelligence, не всегда на самом деле можно с чистой совестью назвать этим термином. Рассказываем, как понять, сможет ли предлагаемое решение защитить ваш бизнес.
В наши дни далеко не все предложения на рынке реально соответствуют ожиданиям клиента и приносят пользу. Может оказаться, что заказанный вами предмет интерьера в действительности годится разве что для кукольного домика.
С данными о киберугрозах может быть то же самое. На рынке представлено множество решений, которые позиционируются как Threat Intelligence, но в реальности являются чем-то иным. И клиент может даже не понять, что получил совсем не то, что просил. Как же проверить, насколько адекватна получаемая вашей компанией информация?
Threat Intelligence — это уже проанализированные данные
Суть Threat Intelligence в идентификации и анализе киберугроз, нацеленных на ваш бизнес. Ключевое понятие здесь — анализ: прежде чем информация будет доставлена клиенту, потребуется перелопатить горы данных, выявить реальные угрозы, изучив контекст, и создать решение для конкретных проблем.
Threat Intelligence часто путают с сырыми данными об угрозах, представляющими собой всего лишь список возможных угроз без учета контекста и подбора подходящих контрмер.
Данные Threat Intelligence должны приносить практическую пользу ИБ-специалистам
Когда-то данные об угрозах ограничивались списками опасных IP-адресов и URL. Первые защитные решения просто сверялись с ними и предупреждали пользователей об опасности. Со временем объемы необходимых для защиты данных выросли. Стало гораздо труднее определять, что действительно является угрозой, а что нет.
Некоторые продукты, позиционируемые как Threat Intelligence, предоставляют потоки данных об угрозах и индикаторы компрометации без сопровождающего контекста. Фактически это огромные массивы необработанных данных.
В этом и заключается проблема. Если в ваших системах безопасности будут использоваться такие данные, возникнет слишком много ложноположительных срабатываний. Чрезмерное количество уведомлений снизит бдительность и эффективность ИБ-специалистов и негативно повлияет на безопасность организации в целом. Так что горы необработанных и неструктурированных сырых данных по существу не являются даже полезной информацией, не говоря уже о Threat Intelligence.
И как бы актуальна ни была информация, она ничем не поможет защите компании без учета контекста, на базе которого следует предпринять конкретные шаги. С помощью настоящих данных Threat Intelligence ИБ-специалисты могут остановить опасную атаку на ранней стадии и защитить сеть организации или же, напротив, понять, что в данном случае они имеют дело с обычным вредоносным ПО, не представляющим серьезной угрозы.
Данные Threat Intelligence дают возможность предсказывать будущее
Данные Threat Intelligence могут повысить скорость обнаружения и эффективность реагирования на угрозы, тем самым существенно снижая возможный ущерб. Но польза Threat Intelligence напрямую зависит от качества используемых источников данных. Аналитик информационной безопасности может получить значительно более объективную картину, если используется большое количество доверенных источников для сопоставления и обогащения получаемой информации. Решения, предоставляющие только информацию об угрозах без сопроводительного контекста, который помогает правильно приоритизировать инциденты и определять необходимые дальнейшие действия, недостаточны для обеспечения нормальной защиты. Если же качество данных невысоко из-за нехватки таких источников (например, без учета информации из даркнета или отсутствия доступа к международной информации), ее тем более нельзя считать Threat Intelligence. С ее помощью не получится действовать проактивно, предсказывать, с какими опасностями может столкнуться ваш бизнес и как им противостоять.
Данные Threat Intelligence должны адаптироваться к реалиям вашей организации
Данные Threat Intelligence должны быть адаптированы к потребностям конкретной компании. Для эффективной работы в организации необходимо в первую очередь настроить процессы сбора данных вокруг критических ресурсов. И только потом эти внутренние сведения должны сопоставляться с внешними данными Threat Intelligence для выявления реальных угроз. При отсутствии такого комплексного подхода не получится обеспечить приоритизацию информации, необходимую для защиты ваших ключевых ресурсов.
Данные Threat Intelligence должны быть основой для действий
Получаемые данные об угрозах должны становиться средством для эффективных ответных действий. Для максимальной эффективности компании должны уметь работать как с машиночитаемыми, так и с адаптированными для понимания человеком данными. Методы доставки данных и их форматы должны легко интегрироваться в существующие ИБ-процессы.
Данные Threat Intelligence должны представлять собой уникальные сведения о новых угрозах, при помощи которых ИБ-специалисты могли бы приоритизировать сигналы с защитных решений, оперативно выделять необходимые ресурсы и быстро принимать решения. Ваше решение удовлетворяет этим критериям? Если нет, самое время задуматься о чем-то более полезном.
«Лаборатория Касперского» предлагает сервисы Kaspersky Threat Intelligence, которые адаптируются к потребностям вашей компании и снабжают ваших ИБ-специалистов необходимыми данными для быстрого и точного реагирования на киберугрозы.
Threat intelligence (данные о киберугрозах)
Threat intelligence (данные о киберугрозах) — это информация об актуальных угрозах и группировках киберпреступников, которая позволяет организациям изучить цели, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак. Компании могут сами собирать данные о киберугрозах или заказывать информацию у сторонних поставщиков.
Виды данных о киберугрозах
Данные о киберугрозах можно условно разделить на три основных группы:
Threat intelligence предоставляют в виде потоков сырых данных об угрозах или аналитических отчетов с выводами и рекомендациями.
Как работают с данными о киберугрозах
Threat intelligence собирают вручную или автоматически из разных источников, в том числе с конечных точек и других элементов инфраструктуры компании, из новостей и предоставляемых ИБ-компаниями потоков данных об угрозах, с интернет-сайтов и форумов, ресурсов даркнета и так далее. Собранную информацию анализируют и преобразуют в удобный для практического использования формат. Весь процесс работы с threat intelligence можно разделить на следующие этапы:
Применение данных о киберугрозах
Threat intelligence может применяться на разных этапах защиты организации. В частности, ИБ-специалисты компании могут использовать эти данные для активного поиска угроз в инфраструктуре организации. Индикаторы компрометации позволяют усовершенствовать пассивные защитные инструменты, например обновить правила брандмауэра. Кроме того, данные об угрозах могут применяться для атрибуции при расследовании киберинцидентов.
Потоки данных Threat intelligence используются в различных решениях для обеспечения информационной безопасности, таких как SIEM и EDR-платформы, а также в шлюзах с имплементацией потоков данных о киберугрозах (Threat Intelligence Gateway, TIG).
Публикации на схожие темы
Kaspersky CyberTrace как платформа Threat Intelligence
Как задать вопрос аналитикам
5 сложностей в работе ИБ-специалистов
Развитие информационных угроз в третьем квартале 2021 года. Мобильная статистика
Развитие информационных угроз в третьем квартале 2021 года. Статистика по ПК
Стриминговые войны продолжаются: что насчет киберугроз?