Что такое CTI и в чём его ценность для организации
Содержание статьи:
Что такое CTI
Данные — информация — знания
Данные — информация — знания в CTI
Зачем подразделение CTI нужно в организации
Чем отличается успешное внедрение CTI от провального
Потребители CTI
Первый подход: три уровня требований CTI
Второй подход: внешние факторы для определения требований CTI
Курс по Threat intelligence в Inseca
Что такое CTI
Данные — информация — знания
Данные — информация — знания в CTI
Зачем подразделение CTI нужно в организации
Чем отличается успешное внедрение CTI от провального
Потребители CTI
Первый подход: три уровня требований CTI
Второй подход: внешние факторы для определения требований CTI
Курс по Threat intelligence в Inseca
Что такое CTI
Cyber
Слово cyber показывает связь с информационными технологиями (ИТ), то есть с компьютерами. Это может относиться ко всем аспектам вычислений, включая хранение данных, защиту данных, доступ к данным, обработку данных, передачу данных и связывание данных.
Threat
Threat (с англ. «угроза») — это высказывание о волеизъявлении причинить вред или создать для кого-либо иные негативные последствия.
Угроза безопасности — это различные действия, которые могут привести к нарушениям состояния защиты информации.
Угроза также может означать предупреждение или знак того, что приближается вред или неприятности.
Intelligence
Согласно словарю английского языка Коллинза, intelligence — это «способность думать, рассуждать и понимать, а не делать что-то автоматически или инстинктивно». Согласно словарю Macmillan, это «способность понимать и думать о вещах, а также приобретать и использовать знания».
Попытки перевести этот термин находят определённые трудности. Существует несколько вариантов перевода слова intelligence на русский язык — «интеллект», «разведка», «ум», «сведения», «информация» и тому подобное. Использовать вариант «разведка» было бы не совсем правильно. Оно ассоциируется преимущественно с военной тематикой, хотя в исконном значении оно значительно глубже. Чтобы не запутаться в сложностях перевода, говоря об intelligence в целом, будем использовать в качестве перевода русское слово «знание». Говоря же об информационной безопасности, будем пользоваться как оригинальным английским термином intelligence, так и устоявшимися русскими вариантами «анализ киберугроз» и «киберразведка, включая современные методы киберразведки.
Слово cyber показывает связь с информационными технологиями (ИТ), то есть с компьютерами. Это может относиться ко всем аспектам вычислений, включая хранение данных, защиту данных, доступ к данным, обработку данных, передачу данных и связывание данных.
Threat
Threat (с англ. «угроза») — это высказывание о волеизъявлении причинить вред или создать для кого-либо иные негативные последствия.
Угроза безопасности — это различные действия, которые могут привести к нарушениям состояния защиты информации.
Угроза также может означать предупреждение или знак того, что приближается вред или неприятности.
Intelligence
Согласно словарю английского языка Коллинза, intelligence — это «способность думать, рассуждать и понимать, а не делать что-то автоматически или инстинктивно». Согласно словарю Macmillan, это «способность понимать и думать о вещах, а также приобретать и использовать знания».
Попытки перевести этот термин находят определённые трудности. Существует несколько вариантов перевода слова intelligence на русский язык — «интеллект», «разведка», «ум», «сведения», «информация» и тому подобное. Использовать вариант «разведка» было бы не совсем правильно. Оно ассоциируется преимущественно с военной тематикой, хотя в исконном значении оно значительно глубже. Чтобы не запутаться в сложностях перевода, говоря об intelligence в целом, будем использовать в качестве перевода русское слово «знание». Говоря же об информационной безопасности, будем пользоваться как оригинальным английским термином intelligence, так и устоявшимися русскими вариантами «анализ киберугроз» и «киберразведка, включая современные методы киберразведки.
-
Cyber Threat Intelligence *Это знания (включая контекст, механизмы, тактики, техники, последствия и практические рекомендации), которые получены на основе фактических данных о существующей или возникающей угрозе или опасности для активов и которые могут использоваться для принятия решений о реагировании субъекта на эту угрозу или опасность.
* Согласно признанному всем ИБ-сообществом определению Gartner
Основная предпосылка процесса intelligence — получение внешней информации из различных источников и её анализ в соответствии с существующими требованиями, что позволяет получить аргументы для принятия решений, а также формировать полноценную аналитику киберугроз.
Этот процесс применим как к принятию человеком бытовых решений, так и к работе организаций. Разница лишь в том, что многие применяют его на практике и совершенно не задумываются, что за привычными действиями стоит сложный процесс. То же самое можно сказать и об информационной безопасности. Многие команды прибегают к аналогичным процессам, не осознавая, что они, по сути, занимаются киберразведкой, а иногда даже используют отдельные элементы threat intelligence системы. Например, когда получают дополнительный контекст по очередному алерту от антивируса.
Этот процесс применим как к принятию человеком бытовых решений, так и к работе организаций. Разница лишь в том, что многие применяют его на практике и совершенно не задумываются, что за привычными действиями стоит сложный процесс. То же самое можно сказать и об информационной безопасности. Многие команды прибегают к аналогичным процессам, не осознавая, что они, по сути, занимаются киберразведкой, а иногда даже используют отдельные элементы threat intelligence системы. Например, когда получают дополнительный контекст по очередному алерту от антивируса.
Данные — информация — знания
Многие источники начинают определение термина Cyber Threat Intelligence со слов «это информация…». Такой подход неверным, и уж тем более неправильно говорить, что это данные.
Все эти термины являются элементами системы, которая проиллюстрирована на рисунке:
Все эти термины являются элементами системы, которая проиллюстрирована на рисунке:
Joint Publication 2−0 — доктрина разведки Вооружённых сил США, которая является одним из основополагающих разведывательных документов на сегодняшний день. Согласно ей, «информация сама по себе может быть полезна командиру, но, когда она связана с другой информацией об оперативной обстановке и рассматривается в свете прошлого опыта, это приводит к новому пониманию информации, которую можно назвать знаниями». Согласно этой доктрине, давайте рассмотрим различия между элементами системы CTI.
Данные — это необработанные и неоспоримые факты, статистика. Сами по себе необработанные данные имеют ограниченную ценность.
Информация — это объединение данных в форму, с помощью которой мы можем ответить на поставленный вопрос.
Знания — это результат анализа данных и информации, с помощью которого выявляются закономерности и обеспечивается важный контекст для принятия обоснованных решений, что является ключевой задачей анализа киберугроз.
Данные — это необработанные и неоспоримые факты, статистика. Сами по себе необработанные данные имеют ограниченную ценность.
Информация — это объединение данных в форму, с помощью которой мы можем ответить на поставленный вопрос.
Знания — это результат анализа данных и информации, с помощью которого выявляются закономерности и обеспечивается важный контекст для принятия обоснованных решений, что является ключевой задачей анализа киберугроз.
Данные — информация — знания в CTI
Зачем подразделение CTI нужно в организации
Полноценное применение и внедрение процессов анализа киберугроз в российских компаниях началось относительно недавно. Сегодня многие компании уже смогли убедиться в ценности данного направления, и вакансия «Аналитик киберугроз» или специалист по киберразведке на hh.ru уже ни у кого не вызывает удивления. В некоторых случаях компании даже создают самостоятельные подразделения, использующие специализированные threat intelligence платформы и решения threat intelligence. Этому есть простое объяснение. В последнее время мы всё чаще слышим о разрушительных кибератаках на критические объекты информационной инфраструктуры и различные предприятия всех отраслей. Утечки персональных данных стали обыденным явлением: в 2024 году утекло более 1,5 млрд записей персональных данных россиян. А сообщения об очередной мощной DDoS-атаке на российские компании уже никого не шокируют. Можно с уверенностью сказать, что кибербезопасность вошла в жизнь каждого современного человека.
Крупным компаниям в таких условиях становится всё сложнее обеспечивать бесперебойную работу своих информационных систем. Проблема в том, что долгие годы компании считали достаточным применение традиционных средств защиты информации, которые широко представлены на рынке, однако сегодня этого недостаточно. На первый план выходит проактивность т.е получение информации и преобразование её в знания о потенциальных киберугрозах с использованием фидов в threat intelligence и аналитических источников.
Эти знания передаются командам безопасности в виде рекомендаций, а также оформляются в отчеты threat intelligence, которые помогают принимать стратегические решения.
Крупным компаниям в таких условиях становится всё сложнее обеспечивать бесперебойную работу своих информационных систем. Проблема в том, что долгие годы компании считали достаточным применение традиционных средств защиты информации, которые широко представлены на рынке, однако сегодня этого недостаточно. На первый план выходит проактивность т.е получение информации и преобразование её в знания о потенциальных киберугрозах с использованием фидов в threat intelligence и аналитических источников.
Эти знания передаются командам безопасности в виде рекомендаций, а также оформляются в отчеты threat intelligence, которые помогают принимать стратегические решения.
Помимо этого, применение киберразведки позволяет:
- Обнаружить готовящиеся на организацию атаки на самом раннем этапе.
- Построить собственный ландшафт киберугроз.
- Выявить слабые места в системе защиты инфраструктуры партнёров организации.
- Обнаруживать утечки конфиденциальных данных.
- Сосредоточиться на актуальных и релевантных киберугрозах и тем самым добиться разумного инвестирования в средства безопасности и максимизировать отдачу от них.
Чем отличается успешное внедрение CTI от провального
1. Взаимодействие с другими подразделениями.
Во многих организациях деятельность по анализу киберугроз сильно разрознена. Например, службы информационной безопасности, антифрод-подразделения и группы по управлению рисками могут каждая по отдельности осуществлять процессы анализа киберугроз и отчитываться об успешной деятельности. Это приводит к нерациональным расходам ресурсов, дублированию и торможению многих процессов. Изолированные внутри каждого подразделения системы не позволяют масштабно и объективно оценить киберриски в рамках всей организации и направить имеющиеся ресурсы туда, где они окажут наибольшее положительное влияние. Процессы CTI внутри организации должны руководствоваться общими принципами, обеспечивать всем заинтересованным сторонам широкий доступ к аналитическим данным и инструментам, поощрять создание общей картины рисков и разумно использовать все имеющиеся ресурсы.
2. Видимость на 360 градусов.
Поскольку киберугрозы могут исходить откуда угодно, CTI необходимо обеспечить видимость как внутри предприятия, так и за его пределами. Любой организации для эффективного анализа необходимо иметь доступ к следующим источникам:
Во многих организациях деятельность по анализу киберугроз сильно разрознена. Например, службы информационной безопасности, антифрод-подразделения и группы по управлению рисками могут каждая по отдельности осуществлять процессы анализа киберугроз и отчитываться об успешной деятельности. Это приводит к нерациональным расходам ресурсов, дублированию и торможению многих процессов. Изолированные внутри каждого подразделения системы не позволяют масштабно и объективно оценить киберриски в рамках всей организации и направить имеющиеся ресурсы туда, где они окажут наибольшее положительное влияние. Процессы CTI внутри организации должны руководствоваться общими принципами, обеспечивать всем заинтересованным сторонам широкий доступ к аналитическим данным и инструментам, поощрять создание общей картины рисков и разумно использовать все имеющиеся ресурсы.
2. Видимость на 360 градусов.
Поскольку киберугрозы могут исходить откуда угодно, CTI необходимо обеспечить видимость как внутри предприятия, так и за его пределами. Любой организации для эффективного анализа необходимо иметь доступ к следующим источникам:
- Внутренняя телеметрия. EDR, SIEM, NGFW, AV, DNS и тд.
- Внешняя телеметрия. VirusTotal, ANY.RUN, MalwareBazaar, OTX Alien Vault и т.д.
- Публичные отчеты об исследовании угроз.
- Публичные и коммерческие потоки данных об угрозах (фиды).
- Внешние поставщики Threat Intelligence.
- Теневые форумы, площадки, сообщества и каналы.
3. Автоматизация и интеграция.
Поскольку требуется собрать, сопоставить и обработать большое количество данных и информации, процессы киберразведки нуждаются в высокой степени автоматизации, что позволит сократить ручной труд и быстро получить значимые результаты. Чтобы обогащать продукты аналитики и эффективно распространять их, должна быть обеспечена интеграция со многими типами решений для обеспечения информационной безопасности, такими как SIEM, SOAR, системами управления уязвимостями, EDR и XDR, Firewall и др.
Необходимо отметить, что не все задачи , стоящие перед подразделением TI, могут быть автоматизированы. Непосредственный анализ данных и информации может выполняться только человеком.
4. Определение потребностей и требований к CTI.
Организации часто впустую тратят огромные ресурсы на сбор и анализ информации, которая не имеет к ним отношения. Чтобы избежать этого, для успешной программы CTI необходимо изначально определить и задокументировать потребности, чтобы гарантировать соответствие деятельности по сбору и обработке информации фактическим приоритетам организации. Согласование также означает адаптацию содержания и формата продуктов аналитики таким образом, чтобы упростить их использование другими командами ИБ и системами защиты информации.
Поскольку требуется собрать, сопоставить и обработать большое количество данных и информации, процессы киберразведки нуждаются в высокой степени автоматизации, что позволит сократить ручной труд и быстро получить значимые результаты. Чтобы обогащать продукты аналитики и эффективно распространять их, должна быть обеспечена интеграция со многими типами решений для обеспечения информационной безопасности, такими как SIEM, SOAR, системами управления уязвимостями, EDR и XDR, Firewall и др.
Необходимо отметить, что не все задачи , стоящие перед подразделением TI, могут быть автоматизированы. Непосредственный анализ данных и информации может выполняться только человеком.
4. Определение потребностей и требований к CTI.
Организации часто впустую тратят огромные ресурсы на сбор и анализ информации, которая не имеет к ним отношения. Чтобы избежать этого, для успешной программы CTI необходимо изначально определить и задокументировать потребности, чтобы гарантировать соответствие деятельности по сбору и обработке информации фактическим приоритетам организации. Согласование также означает адаптацию содержания и формата продуктов аналитики таким образом, чтобы упростить их использование другими командами ИБ и системами защиты информации.
Потребители CTI
Обычно перегружены большим потоком событий информационной безопасности. CTI позволяет выставить приоритеты по инцидентам ИБ, свести к минимуму ложноположительные срабатывания, обеспечить контекст для более эффективного принятия решений и ускорить процесс реагирования.
Получают из TI-отчётов информацию о поведении злоумышленников для построения гипотез о возможном их присутствии в инфраструктуре компании.
Используют информацию от TI для написания правил детектирования вредоносной активности на системах управления событиями ИБ.
Часто с трудом различают релевантные критические уязвимости и те, что менее критичны для собственной инфраструктуры. Причина заключается в большом количестве поступающей информации и нехватке ресурсов на её обработку. Киберразведка предоставляет важный контекст и помогает оценить риски, что позволяет сфокусироваться на уязвимостях, которые действительно важны в первую очередь. Также в случае обнаружения 0-day аналитики киберугроз могут предоставить рекомендации по снижению вероятности эксплуатации уязвимости.
Должны знать мотивы и TTP злоумышленников и отслеживать тенденции в области кибербезопасности для различных отраслей и регионов. Киберразведка предоставляет им более глубокие и обширные знания для получения ценной информации.
Получают сведения об актуальных способах атак и действиях, применяемых злоумышленниками, и успешно эмулируют их в рамках тестирования на проникновение.
Постоянно следят за несанкционированными упоминаниями в интернете и социальных сетях, утечками данных, мошенниками, выдающими себя за сотрудников компании, контрафактной продукцией, поддельными сайтами, фишинговыми атаками и многим другим. Киберразведка отслеживает подобные случаи в масштабе всего интернета и оптимизирует процессы удаления и блокировки нелегального контента.
Сбор информации из множества источников позволяет осуществлять анализ медиаполя и заблаговременно предупреждать подразделения собственной безопасности о возможных нападениях, протестах и других угрозах активам по всему миру.
Используют информацию об онлайн-атаках и утечке корпоративных учётных данных для выявления мошеннических кампаний, усиления аутентификации на основе рисков и улучшения защиты от онлайн-мошенничества.
Мониторинг DarkNet позволяет выявлять скомпрометированные учётные данные сотрудников и деловых партнёров и предотвращать повторное использование утёкших паролей. Данная информация полезна подразделениям, обеспечивающим контроль доступа к ресурсам компании.
Используют информацию о вероятных угрозах и их потенциальном влиянии на бизнес для оценки требований к безопасности, количественной оценки рисков (в идеале в денежном выражении), разработки стратегий смягчения последствий, а также определения приоритетов и защиты инвестиций в кибербезопасность для руководителей, финансовых директоров и членов правления.
Используют TI-аналитику для оценки рисков со стороны партнёров и других лиц, получающих доступ к системам организации. Киберразведка даёт объективную и подробную информацию, которая позволит полноценно оценить их благонадёжность и соответствие всем требованиям. Достичь этого за счёт стандартных опросников и методов оценки поставщика не всегда возможно.
TI предоставляет информацию стратегического характера, которая способна повлиять на развитие направления ИБ в компании.
Множество подразделений информационной безопасности в компании получат выгоды от внедрения CTI.
На самом первом этапе жизненного цикла Threat Intelligence необходимо определить цель применения CTI в организации и донести её до всех заинтересованных команд.
- Эта цель может выглядеть так: устранение пробелов в знаниях о релевантных киберугрозах, которые могут привести к взлому и нарушению работоспособности бизнес-процессов компании.
Разработка правильного набора требований помогает:
- отслеживать релевантные источники угроз;
- осуществлять сбор наиболее полезных разведданных;
- подготавливать аналитические продукты в нужном формате и с нужным уровнем детализации для каждого типа пользователей;
- избегать пустой траты времени и денег на сбор и распространение тривиальных данных.
Фридрих Великий сказал о войне: «Тот, кто защищает всё, не защищает ничего». Этот принцип в равной степени применим и к кибербезопасности. Ни один центр управления безопасностью (SOC) не может отслеживать каждое приложение, сегмент сети, систему и хранилище данных. Никакая группа реагирования на инциденты (Incident Response) не может отслеживать каждое оповещение и событие на SIEM. Ни один менеджер не может выделить бюджет на каждую новую технологию безопасности, которая появляется на рынке. Чтобы оценить усилия, необходимые для защиты конкретной сети или устройства, важно определить поверхность атаки.
Дополнительные сложности создаёт также большой поток информации, поступающий из различных источников. Даже если мы сосредоточимся только на той, что имеет отношение к нам, объём данных всё равно будет превышать возможности аналитиков по её обработке. Поэтому так важно определить требования к CTI и выставить приоритеты. Это позволит быть уверенным, что наиболее важная информация не теряется в общем потоке событий.
Рассмотрим два подхода к определению требований CTI. В первом из них все требования делятся на три уровня, определяющие угрозы, инфраструктуру и источники. Во втором подходе предлагается отталкиваться в основном от внешних факторов, определение которых позволяет выстроить адекватные меры по защите инфраструктуры.
Дополнительные сложности создаёт также большой поток информации, поступающий из различных источников. Даже если мы сосредоточимся только на той, что имеет отношение к нам, объём данных всё равно будет превышать возможности аналитиков по её обработке. Поэтому так важно определить требования к CTI и выставить приоритеты. Это позволит быть уверенным, что наиболее важная информация не теряется в общем потоке событий.
Рассмотрим два подхода к определению требований CTI. В первом из них все требования делятся на три уровня, определяющие угрозы, инфраструктуру и источники. Во втором подходе предлагается отталкиваться в основном от внешних факторов, определение которых позволяет выстроить адекватные меры по защите инфраструктуры.
Первый подход: три уровня требований CTI
- Требования высокого уровняКак следует из названия, это общие требования, которые позволяют определить, какой тип злоумышленника может атаковать нас, кто атакует нашу страну, отрасль.
- Функциональные требованияЭто более практические и технические требования, основанные на типе инфраструктуры вашей организации.
- Операционные требованияНа операционном уровне определяются требования к источникам, которые позволят нам эффективно реагировать и предотвращать возможные кибератаки.
Требования высокого уровня
Представьте, что есть компания полного цикла, которая добывает и перерабатывает бокситы в глинозём, производит и продаёт изделия из алюминия. Большинство заводов по добыче и обработке сырья располагаются в Сибири, и один находится в Швеции. Как все российские акционерные компании, эта раскрывает свою финансовую отчётность на сайте для инвесторов, а вот отчёты за месяц создают сотрудники финансового отдела, и эти бумаги используются только внутри операционного блока организации.
Акционерное общество владеет продуктами деятельности: первичным алюминием и сплавами, фольгой, глинозёмом и бокситами, — а также основными средствами: станками заводов, собственными помещениями, офисной техникой, лицензиями на производство. К злоумышленникам, которые потенциально могут атаковать компанию, относятся хактивисты (в связи с возможными геополитическими конфликтами и призывами прекратить загрязнять природу), спонсируемые государством группировки (кибершпионаж, диверсии), киберпреступники (шифрование и вымогательство, похищение конфиденциальных данных), хакеры, кибертеррористы (создание чрезвычайных ситуаций на производстве, уничтожение инфраструктуры).
В качестве потребителей выступают подразделения SOC, Vulnerability Management, CISO, руководство компании.
Акционерное общество владеет продуктами деятельности: первичным алюминием и сплавами, фольгой, глинозёмом и бокситами, — а также основными средствами: станками заводов, собственными помещениями, офисной техникой, лицензиями на производство. К злоумышленникам, которые потенциально могут атаковать компанию, относятся хактивисты (в связи с возможными геополитическими конфликтами и призывами прекратить загрязнять природу), спонсируемые государством группировки (кибершпионаж, диверсии), киберпреступники (шифрование и вымогательство, похищение конфиденциальных данных), хакеры, кибертеррористы (создание чрезвычайных ситуаций на производстве, уничтожение инфраструктуры).
В качестве потребителей выступают подразделения SOC, Vulnerability Management, CISO, руководство компании.
Важно определить не только место регистрации компании, но и все страны присутствия, даже если это не включает операционную деятельность. Например, организация может реализовывать свою продукцию в определённом регионе.
Многие злоумышленники осуществляют свои атаки на организации определённых стран, руководствуясь политическими мотивами, относительной безопасностью, лёгкостью вывода украденных средств. Существует и обратная ситуация, при которой некоторые группировки исключают возможность работы в определённых странах по причине высокой вероятности задержания и осуждения. Для этого они проводят различные проверки, чтобы определить принадлежность взломанной компании. Например, проверяя раскладку клавиатуры или регион, выбранный в настройках ОС.
Также определение стран присутствия позволит установить приоритетность и критичность событий, поступающих от ваших СЗИ. Например, если вы видите, что в вашей инфраструктуре кто-то совершает подозрительные действия, а вход в систему осуществлялся с зарубежного IP-адреса страны, в которой ваша компания не представлена, это может стать поводом для повышения приоритета события и заведения инцидента.
Многие злоумышленники осуществляют свои атаки на организации определённых стран, руководствуясь политическими мотивами, относительной безопасностью, лёгкостью вывода украденных средств. Существует и обратная ситуация, при которой некоторые группировки исключают возможность работы в определённых странах по причине высокой вероятности задержания и осуждения. Для этого они проводят различные проверки, чтобы определить принадлежность взломанной компании. Например, проверяя раскладку клавиатуры или регион, выбранный в настройках ОС.
Также определение стран присутствия позволит установить приоритетность и критичность событий, поступающих от ваших СЗИ. Например, если вы видите, что в вашей инфраструктуре кто-то совершает подозрительные действия, а вход в систему осуществлялся с зарубежного IP-адреса страны, в которой ваша компания не представлена, это может стать поводом для повышения приоритета события и заведения инцидента.
Страхование, финансовая отрасль, медицина, СМИ и медиасфера — для всех этих отраслей могут быть разные субъекты угроз. Например, в период пандемии множество проправительственных группировок сфокусировались на атаках на медицинские компании и исследовательские центры с целью похищения информации о разрабатываемых вакцинах.
При этом необходимо учитывать также отрасли взаимодействующих с вами компаний, так как ваша организация может стать промежуточной целью на пути к взлому их инфраструктуры. Например, если вы предоставляете услуги по разработке ПО для предприятий финансовой сферы, целесообразно включить в свой ландшафт угрозы, релевантные и для финансовой отрасли.
При этом необходимо учитывать также отрасли взаимодействующих с вами компаний, так как ваша организация может стать промежуточной целью на пути к взлому их инфраструктуры. Например, если вы предоставляете услуги по разработке ПО для предприятий финансовой сферы, целесообразно включить в свой ландшафт угрозы, релевантные и для финансовой отрасли.
К активам можно отнести как системы и устройства, доступность к которым имеет для организации критически важное значение, так и различную информацию и данные (финансовая отчётность, интеллектуальная собственность, конфиденциальная бизнес-информация, учётные данные и др.).
Хактивисты, киберпреступники, спонсируемые государством группировки, хакеры и т. д.
Аналитики SOC, CISO, Threat Hunting, Vulnerability Management и т. д. Это позволяет понять, анализ киберугроз какого уровня вы должны осуществлять (стратегический, операционный, тактический).
Функциональные требования
Возвращаясь к разбору металлургической компании, функциональные требования можно описать так: к активам на внешнем периметре относятся:
- официальный сайт компании (веб-сервер Apache HTTP Server 2.2);
- облачный сервис (на базе популярного провайдера), используемый сотрудниками для хранения данных;
- терминал для подключения пользователей по RDP (ОС Windows Server 2019).
Внутренние активы компании представлены персональными компьютерами и ноутбуками на базе операционных систем Windows 10, Astra Linux, macOS. С целью обеспечения производственных процессов используются ICS-системы фирм Siemens, Schneider Electric и Advantech. Программное обеспечение, используемое внутри компании: VMware Workstation Pro 14, Zoom 5.10, Microsoft Office 2016, «1С:Бухгалтерия 8», Cisco AnyConnect Secure Mobility Client v4, Google Chrome 108 и др.
Это был краткий пример того, как можно описать функциональные требования CTI. На самом деле подобный список может занимать несколько десятков листов — всё зависит от размеров компании, разнообразия используемых устройств и программного обеспечения.
Чтобы собрать данные о внешних активах на периметре, аналитику необходимо получить от других команд ответы на ряд вопросов:
- Какие сервисы выставлены на всеобщее обозрение? Какую операционную систему используют? Какое программное обеспечение (и т. д.)?
- Какие устройства доступны извне? Например, принтеры с удалённым доступом для обслуживания, видеокамеры, IoT-устройства.
Аналогично нужно поступить и для выявления внутренних активов компании.
- Какие типы устройств используются в компании? Какие операционные системы используются?
- Какое программное обеспечение (с указанием версий) вы используете внутри компании? Есть ли незакрытые уязвимости, которые нужно отслеживать? Существуют ли в дикой природе эксплойты к ним?
- Какова схема сетевой архитектуры?
DDoS-атаки, трояны, фишинг, эксфильтрация данных, шифровальщики и т. д.
- Важно!
Критичность некоторых из активов на первый взгляд неочевидна. Поэтому при их определении необходимо руководствоваться бизнес-интересами компании. При этом нужно тесно взаимодействовать с другими подразделениями. Например, что может произойти, если злоумышленники создадут поддельный аккаунт гендиректора вашей компании в популярной соцсети? Или они получат доступ к управлению вашим корпоративным телеграм-каналом? Или какие опасности несёт открытая для всех доска Trello, с помощью которой ваш HR-отдел ставит задачи и обменивается служебной информацией? Ответы на эти вопросы, в том числе полученные от владельцев процессов, помогут определить критичность активов.
В качестве примера таких «неочевидных» активов можно выделить персональные данные сотрудников и клиентов компании. Они включают в себя Ф. И. О., адреса, дни рождения, ИНН и телефонные номера, а также медицинские записи. Персональные данные могут использоваться для осуществления фишинговых атак, продаваться на подпольных форумах и использоваться для создания мошеннических учётных записей, которые преступники могут монетизировать. Киберпреступники и хакеры также могут использовать их в качестве основы для целевых фишинговых атак.
Операционные требования
На предприятии, рассматриваемом нами в качестве примера, организован сбор событий из различных источников с помощью SIEM-системы и их хранение. Также установлено EDR-решение, позволяющее собирать богатую телеметрию со всех систем. В качестве СTI-платформы используется open source решение OpenCTI. В качестве источников данных подключены фиды AbuseIPDB, URLhaus, Circl, Darklist. de, MalwareBazaar, PhishTank, а также фиды от платных источников. Исследование закрытых форумов злоумышленников осуществляется в ручном режиме. Настроена интеграция СTI-платформы с используемыми решениями класса SOAR, IRP, SIEM.
Доступ к внутренним источникам данных позволяет аналитикам эффективно противодействовать возможным киберугрозам. Ниже приведён перечень наиболее популярных источников.
В качестве основных требований крайне важно получить доступ ко всем журналам электронной почты, содержащим отметки времени, отправителя, получателя, тему, наименование вложения, хеш-значение вложения. Также важно иметь возможность просматривать заголовки электронных писем.
Необходимо обеспечить доступ к помещённым в карантин вложениям и письмам, которые по каким-либо причинам были заблокированы. Отличной практикой является интеграция защитных решений почтового трафика с внутренними песочницами, доступ к которым позволит TI-аналитикам быть в курсе возможных атак на организацию.
Логи сетевых устройств: прокси-логи, журналы брандмауэра, журналы IDS, журналы DNS и т. д.
Необходимо обеспечить доступ к помещённым в карантин вложениям и письмам, которые по каким-либо причинам были заблокированы. Отличной практикой является интеграция защитных решений почтового трафика с внутренними песочницами, доступ к которым позволит TI-аналитикам быть в курсе возможных атак на организацию.
Логи сетевых устройств: прокси-логи, журналы брандмауэра, журналы IDS, журналы DNS и т. д.
Необходимо собирать данные о разрешениях доменных имён внутри вашей инфраструктуры.
Возможность поиска/сбора информации и артефактов с хостов.
- Бесплатные/платные фиды.
- Закрытые сообщества, организации, взаимодействие с регуляторами.
Это может быть полноценная платформа Threat Intelligence Platform (TIP) или электронная таблица Excel. Главное, чтобы это отвечало вашим требованиям.
В идеале должна быть обеспечена интеграция с другими системами. Например, с SOAR, SIEM, Vulnerability Management, Asset Management и др.
В идеале должна быть обеспечена интеграция с другими системами. Например, с SOAR, SIEM, Vulnerability Management, Asset Management и др.
Второй подход: внешние факторы для определения требований CTI
Во втором подходе предлагается отталкиваться в основном от внешних факторов.
Все требования также делятся на три уровня: Intelligence Requirements (IRs), Priority Intelligence Requirements (PIRs), Specific Intelligence Requirements (SIRs).
IRs (разведывательные требования) относятся к общим требованиям CTI и включают в себя верхнеуровневое описание релевантных киберугроз. PIRs (приоритетные требования CTI) более детализированы и ориентированы на оперативную деятельность организации. SIRs (специализированные требования) относятся к техническим и сосредоточены на конкретных фактах.
Информация, которая должна быть определена на каждом из уровней, представлена на изображении:
Все требования также делятся на три уровня: Intelligence Requirements (IRs), Priority Intelligence Requirements (PIRs), Specific Intelligence Requirements (SIRs).
IRs (разведывательные требования) относятся к общим требованиям CTI и включают в себя верхнеуровневое описание релевантных киберугроз. PIRs (приоритетные требования CTI) более детализированы и ориентированы на оперативную деятельность организации. SIRs (специализированные требования) относятся к техническим и сосредоточены на конкретных фактах.
Информация, которая должна быть определена на каждом из уровней, представлена на изображении:
IRs отражают мнение высшего руководства компании о том, какие риски и киберугрозы наиболее актуальны для организации и могут повлиять на стратегическое развитие, миссию, операционную деятельность, доходы и репутацию. Утверждаются на высшем уровне руководством компании. Эти требования носят долгосрочный характер и могут быть пересмотрены раз в три года (или при кардинальном изменении внешнего ландшафта угроз).
PIRs более детализированы. Они обязательно должны быть согласованы с IRs. Их содержание должно быть донесено до высшего руководства компании и согласовано с ним. Обновление должно производиться не реже одного раза в год.
SIRs также должны быть согласованы с требованиями более верхнего уровня — PIRs. Их, как правило, больше, чем IRs и PIRs, и они чаще меняются — в зависимости как от динамичного характера деятельности организации, так и от ландшафта киберугроз. SIRs создаются командой киберразведки в сотрудничестве с другими сотрудниками подразделения ИБ и должны быть одобрены на уровне CISO. SIRs должны проходить аудит не реже чем каждые 60 дней.
Оба подхода не противоречат друг другу и отвечают на главные вопросы: кто может атаковать нас и что мы защищаем? Правильный ответ даст возможность сосредоточиться на действительно важных угрозах и успешно отражать их.
PIRs более детализированы. Они обязательно должны быть согласованы с IRs. Их содержание должно быть донесено до высшего руководства компании и согласовано с ним. Обновление должно производиться не реже одного раза в год.
SIRs также должны быть согласованы с требованиями более верхнего уровня — PIRs. Их, как правило, больше, чем IRs и PIRs, и они чаще меняются — в зависимости как от динамичного характера деятельности организации, так и от ландшафта киберугроз. SIRs создаются командой киберразведки в сотрудничестве с другими сотрудниками подразделения ИБ и должны быть одобрены на уровне CISO. SIRs должны проходить аудит не реже чем каждые 60 дней.
Оба подхода не противоречат друг другу и отвечают на главные вопросы: кто может атаковать нас и что мы защищаем? Правильный ответ даст возможность сосредоточиться на действительно важных угрозах и успешно отражать их.
Курс по Threat intelligence в Inseca
Освойте направление Threat Intelligence за 6 недель и научитесь выстраивать системный анализ киберугроз с применением современных инструментов и практик. Курс реализуется при участии BI.ZONE и CyberThreatTech, включает практику в реальных threat intelligence системах и работу с актуальными кейсами. Подходит специалистам ИТ/ИБ, SOC и аналитикам, желающим углубиться в методы киберразведки и выйти на новый профессиональный уровень.
Ответы на частые вопросы
Threat Intelligence — это системный анализ киберугроз, направленный на сбор, обработку и интерпретацию данных о потенциальных атаках. Результатом становятся знания, рекомендации и отчеты threat intelligence.
Threat Hunting — это практическая деятельность по поиску уже присутствующих угроз внутри инфраструктуры. Он опирается на данные, полученные через аналитику киберугроз.
Threat Hunting — это практическая деятельность по поиску уже присутствующих угроз внутри инфраструктуры. Он опирается на данные, полученные через аналитику киберугроз.
Существует множество решений, которые относятся к категории threat intelligence платформы и (Threat Intelligence Management).
Среди наиболее известных:
Среди наиболее известных:
- MISP
- OpenCTI
- Maltego
- VirusTotal
- BI.ZONE Threat Intelligence
- CTT Threat Feed
Главная ценность TI — проактивная защита. Анализ киберугроз позволяет выявлять риски до того, как они реализуются.
Использование threat intelligence системы помогает:
Использование threat intelligence системы помогает:
- понимать, кто и как может атаковать
- выявлять уязвимости заранее
- повышать эффективность SOC и IR-команд
- принимать обоснованные решения на основе аналитики киберугроз
Современные методы киберразведки включают:
- анализ индикаторов компрометации (IOC)
- анализ тактик и техник (MITRE ATT&CK)
- поведенческий анализ угроз
- сбор данных из разных источников
- анализ вредоносных файлов
- построение моделей угроз (Cyber Kill Chain, Diamond Model)
Чтобы стать специалистом по киберразведке, важно развивать как технические, так и аналитические навыки.
Базовые шаги:
Базовые шаги:
- освоить основы информационной безопасности и сетевых технологий
- изучить методы киберразведки и подходы к анализу киберугроз
- научиться работать с инструментами: MISP, OpenCTI, Maltego
- знать основные техникиMITRE ATT&CK и уметь строить модели угроз
- практиковаться на реальных кейсах и данных
- много читать публичных TI-отчетов
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты