Threat intelligence или Киберразведка, термин, который по частоте упоминаний в названиях продуктов, последнее время можно сравнить разве что с AI. Что это такое, продукт или услуга и чем занимаются люди в данной отрасли? Давайте попробуем разобраться.
Как известно, болезнь легче предотвратить, чем лечить. В информационной безопасности подходы схожи. Само собой у вас должны стоять средства защиты информации, настроен фаервол и сегментация сети и сделаны все те лучшие практики какие рекомендуют вендоры. Но что, если у вас в руках будет инструмент, который поможет предугадать возможные векторы атаки на вашу инфраструктуру? Злоумышленники давно научились подстраиваться под новые средства защиты, находить обходные пути и новые векторы атак.
Если взять для примера антивирус, то сначала находят угрозу, а затем ее нейтрализуют. Само собой есть эвристический анализ и моделирование поведения. С развитием ИИ, а его применяют не только компании, которые занимаются защитой, но и киберпреступники, это направление помогает определять новые вредоносы, даже если их нет в базе данных, но от 0day или APT атак не спастись одним лишь обновлением баз и сигнатур. Здесь на помощь и приходит киберразведка.
Во-первых, как и с решениями по управлению уязвимостями, вы можете выстроить процесс на open source, но аналогично VM, если мы хотим получить качественную экспертизу — придется платить. Я не буду рекомендовать конкретные продукты, так как использовал в работе далеко не все Threat intelligence порталы, но однозначно, для качественной экспертизы, вам нужен вендор.
Что такое TI в моем понимании? За что мы платим вендору?
Представьте, что у вас есть портал, где в одном месте, для вас собран и отсортирован огромный массив данных по текущим угрозам, группировкам, вредоносам, индикаторам компрометации и много чему еще. Данные, полученные от киберразведки, позволяют принимать решения и реагировать на инциденты, гораздо быстрее. Кроме того, в некоторых случаях, вы можете действовать на опережение, заблокировав, полученные от TI C2 сервера или хэши вредоносных файлов. Предупрежден — значит вооружен.
Киберразведка дает нам данные, которые условно можно разделить на 3 уровня: операционный, тактический и стратегический. К операционному относятся хэши, ip адреса, домены — все то, на основе чего мы можем распознать и заблокировать вредоносную активность. Тактический позволяет нам понять техники, тактики и процедуры киберпреступников и на основе этой информации предположить, каким образом и с помощью каких инструментов на нас может быть осуществлена атака.
Стратегический дает аналитику для руководства и помогает принимать решения, касающиеся развития информационной безопасности в организации.
Прежде всего, важно отметить, что TI это не волшебная кнопка, которая раз и навсегда защитит вас от взломов — это инструмент и как и любым инструментом, им нужно правильно пользоваться.
В чем лично я вижу пользу киберразведки?
Она дает нам возможность проактивно реагировать на потенциальные угрозы. Благодаря информации от аналитиков, мы знаем как злоумышленники строят атаку, какие уязвимости и точки входа используют. Это дает нам преимущество в мониторинге и реагировании на потенциальный инцидент. Обладая информацией об инфраструктуре и инструментах, мы заранее можем заблокировать IOCs. Кроме того, процессы Threat Intelligence и Vulnerability Management связаны между собой гораздо сильнее, чем может показаться изначально. Мы знаем какие уязвимости используются, соответственно понимаем, что нужно устранять в первую очередь и в каких продуктах. Кроме того, киберразведка частично помогает в борьбе с одной из самых страшных угроз — zero day уязвимостями. Если аналитик TI видит, что сети нескольких компаний, у которых установлен, например один и тот же firewall, подверглись атаке и нет четкого понимания как это произошло, мы можем предположить, что была использована уязвимость нулевого дня, о которой еще никому неизвестно.
TI полезен и в расследовании инцидентов, позволяя гораздо быстрее понять, что, как и почему попало в сеть.
Для повышения эффективности, TI решение должно быть интегрировано с инструментами EDR (в широком смысле), которые используются в вашей сети. Это увеличит скорость реагирования на алерты и поможет с последующей атрибуцией.
Из чего состоит TI?
Из основных компонентов я бы выделил следующие:
- Фиды — предоставляют нам сами данные об угрозах, IP адреса, домены, софт
- Коллектор — собирает данные из различных источников, например наших SIEM систем
- Портал — агрегирует все данные о глобальных киберугрозах, собранных вендором.
Само собой — это максимально упрощенная схема работы, но думаю суть и логика понятна.
Одна из важнейших частей TI — песочница. Она помогает в исследовании угроз, которые еще не детектировались ранее. Песочница тоже может ошибаться, но поведенческий анализ выручает там, где сигнатуры антивируса не помогли.
Здесь же отмечу, что крайне полезным является включение таких функций как Kaspersky Security Network (KSN) и Eset LiveGrid. Они помогают сверять репутацию файлов с “белыми” и “черными” списками вендоров, тем самым усиливая защиту устройства и местами напоминая работу TI.
Портал киберразведки полезен не только своими “техническими” функциями. Вендор предоставляет отчеты о различных угрозах и группировках и такая аналитика очень важна для специалиста по информационной безопасности. Из них мы можем почерпнуть не просто сухие индикаторы компрометации, но и прочитать о последних тенденциях среди киберпреступников.
К полезным сведениям стоит отнести и аналитику из DarkWeb, так как зачастую такие форумы и каналы недоступны из обычного интернета и получить к ним доступ крайне сложно. Такие отчеты помогают понять, что “думают и знают” об инфраструктуре компании в даркнете. Предупрежден — значит вооружен.
Как пример, можно привести сервис от F6 — Malware Detonation Platform.
https://detonation.f6.security
На портале можно ознакомиться с публичными отчетами MDP и получить частичное представление о работе TI.
Такие сервисы позволяют выстроить на графе взаимосвязи и благодаря визуализации точнее понять, откуда исходит опасность.
Само собой, все качественные порталы стоят денег, но есть и open source (в определенной части) варианты. Как пример — OpenCTI — Open Cyber Threat Intelligence Platform
https://github.com/OpenCTI-Platform/opencti
Как минимум, поможет понять как устроена и работает киберразведка, хотя бы отчасти.
Таким образом, если подвести итог, можно резюмировать, что TI — Threat Intelligence или же Киберразведка позволяет нам осуществлять проактивный мониторинг киберугроз. В свою очередь это способствует повышению общего уровня кибербезопасности в компании и помогает отражать атаки не просто на первоначальном этапе, но еще до их начала.
Киберразведка требует определенного уровня зрелости ИБ в компании, а TI-аналитика, который занимается этим направлением можно сравнить с консультантом по инвестициям. Его задача заранее предсказать, что стоит делать и куда вложиться, а каких вложений лучше избегать.
Удачных исследований!