Источники информации о киберугрозах: открытые данные, разведка, теневая сеть
Разведка угроз и киберугроз
Threat Intelligence (TI), или разведка угроз, представляет собой знания об угрозах, полученные в результате анализа и интерпретации данных. Это не просто набор технических индикаторов или статистики, а полноценные знания, которые можно применить для принятия решений в сфере информационной безопасности. Классическими примерами разведки являются направления FININT (финансовая разведка), HUMINT (разведка через людей), SIGINT (разведка сигналов), GEOINT (геопространственная разведка) и другие.
Но ведь мы здесь говорим о кибербезопасности, а значит, вводим новое понятие — Cyber Threat Intelligence (CTI), или «разведка киберугроз». Оно является одним из направлений большой разведки угроз (TI) и отвечает за все угрозы в киберпространстве. По сути, CTI — это информация об актуальных угрозах и группировках киберпреступников, позволяющая организациям изучить цели, тактику и инструменты злоумышленников для выстраивания эффективной стратегии защиты.
В CTI выделяют три уровня:
Но ведь мы здесь говорим о кибербезопасности, а значит, вводим новое понятие — Cyber Threat Intelligence (CTI), или «разведка киберугроз». Оно является одним из направлений большой разведки угроз (TI) и отвечает за все угрозы в киберпространстве. По сути, CTI — это информация об актуальных угрозах и группировках киберпреступников, позволяющая организациям изучить цели, тактику и инструменты злоумышленников для выстраивания эффективной стратегии защиты.
В CTI выделяют три уровня:
1
Стратегическая разведка — высокоуровневая информация для руководителей и планирования.
Пример: отчёт о тенденциях APT-групп в Восточной Азии за последние два года.
Формат: аналитические обзоры, прогнозы.
Формат: аналитические обзоры, прогнозы.
2
Оперативная разведка — сведения, которые помогают предсказывать или понимать конкретные атаки.
Пример: данные о готовящейся фишинговой кампании с использованием поддельных доменов.
Формат: уведомления, сводки, предупреждения.
Формат: уведомления, сводки, предупреждения.
3
Тактическая разведка — конкретные индикаторы, которые можно сразу внедрить в систему защиты.
Пример: список IP-адресов и хешей вредоносных файлов.
Формат: TI-фиды, YARA-правила, сигнатуры IDS/IPS.
Формат: TI-фиды, YARA-правила, сигнатуры IDS/IPS.
Подведём небольшой итог:
-
TI может быть более широким и исследовательским, не всегда сразу применимым.
CTI всегда нацелен на практическое использование в конкретных защитных сценариях.
Внешние и внутренние источники информации о киберугрозах
Где специалисту киберугроз брать эти актуальные знания об угрозах, атаках, методах атакующих? Аналитики CTI работают с огромным массивом информации, поступающей из разных источников. Чтобы навести порядок, принято разделять их на два ключевых типа: внутренние и внешние.
Внутренние источники
Это данные, которые собираются внутри самой организации с помощью средств защиты и мониторинга. Сюда относятся:
- журналы событий ОС и приложений;
- антивирусные решения;
- системы управления активами;
- SIEM и EDR-платформы;
- почтовые шлюзы и системы фильтрации трафика.
Преимущество таких источников в том, что они позволяют видеть именно те угрозы, которые реально направлены против вашей компании. Например, система защиты почты может заблокировать письмо с вредоносным вложением. На первый взгляд, это стандартная активность, которая происходит ежедневно, но при детальном анализе и другом взгляде, со стороны направления разведки киберугроз, она может оказаться частью целевой кампании. В рамках CTI специалисты могут определить: что за вложение было использовано, к какой группировке относится атака, какие тактики и техники применяют злоумышленники. Такой анализ позволяет не просто реагировать на факт атаки, а выстраивать проактивную защиту — готовиться к действиям противника заранее.
С внутренними источниками мы разобрались, теперь нам осталось понять, как специалисты по разведке киберугроз анализируют внешние источники. Далее разберём открытые и закрытые источники данных, в том числе форумы, куда посторонним вход запрещён.
С внутренними источниками мы разобрались, теперь нам осталось понять, как специалисты по разведке киберугроз анализируют внешние источники. Далее разберём открытые и закрытые источники данных, в том числе форумы, куда посторонним вход запрещён.
Внешние источники
Открытые источники
Когда мы говорим об открытых источниках, важно помнить: «открытый» не всегда значит «официальный» или «безопасный». Это просто означает, что доступ к данным не требует взлома, внутреннего доступа или нарушений закона.
Разведка через открытые источники (Open Source Intelligence, OSINT) — это основа разведки киберугроз, потому что значительная часть информации об атакующих, инструментах и жертвах находится в публичном пространстве.
Разведка через открытые источники (Open Source Intelligence, OSINT) — это основа разведки киберугроз, потому что значительная часть информации об атакующих, инструментах и жертвах находится в публичном пространстве.
1
Публичные репозитории и базы данных
- GitHub, GitLab, Bitbucket — исходный код приложения, конфигурационные файлы, API-ключи, пароли;
- Pastebin, Ghostbin, Pastes.io — часто используются для вывода (эксфильтрации) украденных данных или размещения команд для вредоносного ПО;
- VirusTotal, Any.Run, Urlscan.io — помимо проверки файлов/URL, можно искать похожие вредоносы и исследовать «родственные» образцы;
- Shodan, Censys — сканеры интернета, показывающие уязвимые или неправильно сконфигурированные системы.
Пример
Исследователи нашли на GitHub исходники эксплойта для уязвимости, выложенные случайно злоумышленником в публичный доступ. Эта утечка помогла командам Blue Team заранее подготовить сигнатуры для IDS/IPS.
2
Социальные сети и мессенджеры
- Telegram — каналы с отчётами об угрозах/атаках, чаты злоумышленников, магазины по продаже вредоносного ПО;
- Reddit — обсуждения эксплойтов, фишинговых кампаний, поиск уязвимостей;
- «ВКонтакте» — сбор информации о сотрудниках компаний-целей (для social engineering).
Пример
Перед атакой злоумышленники изучили профили сотрудников в соцсети, чтобы отправить «персонализированные» фишинговые письма с имитацией внутренних проектов.
3
Специализированные платформы
- MISP (Malware Information Sharing Platform) — обмен Indicators of Compromise (IoC) и Tactics, Techniques & Procedures (TTP) атакующих между организациями.
- IoC — цифровой артефакт, который явно указывает на потенциальную вредоносность описываемого объекта и/или факт компрометации информационной системы: хеш-сумма, IP-адрес, домен, URL и т. д.
- OpenCTI — платформа CTI с интеграцией MITRE ATT&CK;
- AlienVault OTX — открытый обмен индикаторами, где можно подписываться на фиды;
- AbuseIPDB — база IP, замеченных в атаках;
- URLhaus — список вредоносных URL, обновляемый сообществом.
4
Публичные отчёты и блоги
- Securelist, RST TI Reports — исследования кампаний и вредоносов;
- Exploit-DB — база эксплойтов с подробным описанием уязвимостей.
5
Поисковые системы и киберархивы
- Google Dorking — специальные поисковые запросы для поиска конфиденциальных файлов, открытых директорий, уязвимых веб-приложений;
- Wayback Machine — архивы старых версий сайтов, иногда с утёкшими файлами.
Закрытые источники
В отличие от открытых, закрытые источники требуют специальных условий доступа: подписки, членства в профессиональном сообществе, сотрудничества с вендорами или государственных разрешений.
Закрытые данные обычно дороже (буквально и в смысле ценности), поскольку:
Закрытые данные обычно дороже (буквально и в смысле ценности), поскольку:
- собираются профессиональными командами с большим набором инструментов;
- проходят верификацию;
- часто включают свежую и уникальную информацию об атаках.
1
Коммерческие TI-платформы
Эти сервисы предоставляют доступ к актуальным индикаторам, аналитике и прогнозам.
- Group-IB Threat Intelligence — расследования киберпреступлений, трекинг APT-групп;
- Anomali ThreatStream — агрегатор данных из множества источников;
- Kaspersky Threat Intelligence Portal, BI.Zone TI-Portal — технические IoC, отчёты по группировкам.
2
Частные исследовательские группы
- закрытые телеграм-группы профессионалов ИБ;
- команды реагирования (CERT/CSIRT), которые делятся информацией по запросу.
3
Государственные источники
- ФинЦЕРТ, НКЦКИ;
- ФСБ, ФСТЭК.
4
Подписки на частные TI-фиды
- хеши вредоносов (MD5/SHA256);
- C2-домены и IP-адреса;
- YARA-правила и сигнатуры IDS/IPS;
- TTP по MITRE ATT&CK.
Теневая сеть
Теневая сеть (Dark Web) — это часть интернета, которая не индексируется обычными поисковыми системами и доступ к которой чаще всего осуществляется через анонимизирующие технологии (Tor, I2P, Freenet).
Там расположены форумы, маркетплейсы и чаты, где киберпреступники обмениваются данными, инструментами и услугами.
Для аналитика CTI такие ресурсы — ценный источник информации, но работать с ними нужно аккуратно, соблюдая законы и этику.
Там расположены форумы, маркетплейсы и чаты, где киберпреступники обмениваются данными, инструментами и услугами.
Для аналитика CTI такие ресурсы — ценный источник информации, но работать с ними нужно аккуратно, соблюдая законы и этику.
Как аналитики CTI могут работать с теневыми ресурсами:
1
Пассивный мониторинг:
- отслеживание упоминаний бренда, доменов, внутренних систем;
- подписка на темы или разделы, связанные с интересующей отраслью/компанией.
2
Сбор и индексация данных:
- зеркалирование форумов через защищённые среды;
- перевод информации в машиночитаемые форматы (IoC, TTP).
3
Анализ трендов:
- выявление роста активности определённых групп;
- наблюдение за новыми методами атак.
4
Корреляция с другими источниками:
- сопоставление найденных данных с внутренними логами;
- проверка, совпадают ли продаваемые учётные данные с действующими пользователями организации.
Итоги
- TI — это «океан знаний», а CTI — это отфильтрованная и актуальная часть этого океана для специалистов по кибербезопасности.
- OSINT, GEOINT, FININT и другие направления в реальной работе часто комбинируются между собой.
- На открытых источниках можно выстроить направление CTI.
- Закрытые источники > открытые источники: ценность в экспертном анализе, работа с обработанными данными.
- Анализ теневых ресурсов — самые актуальные данные о злоумышленниках и возможность превентивно реагировать на атаку.
Курс для старта в ИБ от Inseca
Освойте введение в информационную безопасность. Курс знакомит с основами сети, операционными системами, уязвимостями и средствами защиты, практические задания выполняются в SOC лаборатории Inseca.
Подходит:
Студентам последних курсов и выпускникам технических специальностей (ВУЗов и колледжей)
Начинающим специалистам в сфере ИБ, для систематизации знаний и расширения компетенций
IT-специалистам любого уровня, не имеющим опыта работы в сфере информационной безопасности
Смежным с IT/ИБ специалистам, чтобы сменить профессиональную траекторию и зарабатывать больше.
Узнать больше о тарифах
Подходит:
Студентам последних курсов и выпускникам технических специальностей (ВУЗов и колледжей)
Начинающим специалистам в сфере ИБ, для систематизации знаний и расширения компетенций
IT-специалистам любого уровня, не имеющим опыта работы в сфере информационной безопасности
Смежным с IT/ИБ специалистам, чтобы сменить профессиональную траекторию и зарабатывать больше.
Узнать больше о тарифах
TI-фид (Threat Intelligence feed) — это поток данных о киберугрозах, который поставляется в автоматизированном, машиночитаемом виде, чтобы его можно было прямо интегрировать в системы защиты (SIEM, IDS/IPS, EDR, SOAR и т. д.). Об этом мы подробно поговорим в уроке 2.3 «Индикаторы компрометации. STIX. OpenIOC. Фиды, оценка качества фидов. Отчёты об угрозах».