Что такое threat intelligence и как применять?

Отслеживание угроз – один из важных процессов обеспечения эффективной защиты бизнеса. Потребность в разведывательных данных возникла не сразу. Долгое время отрасль информационной безопасности реагировала реактивно на действия злоумышленников. Но при современных технологиях и стремительной скорости кибератак возникает острая потребность предугадывать атаки и распознавать их по самым ранним признакам. Threat Intelligence – одна из таких техник, позволяющая узнавать об угрозах до того, как они реализовались и повлекли ущерб.

Что такое threat intelligence?

Есть множество подходов к определению, что такое threat intelligence, причем они изменяются с течением времени. Работая над созданием threat intelligence платформы, мы выработали свое понимание этого понятия.

Threat Intelligence представляет собой знания об угрозах, полученные в результате анализа и интерпретации  данных. Threat Intelligence объединяет три взаимосвязанных элемента: 1) контекст, 2) индикаторы компрометации, 3) взаимосвязи и обогащения. Каждый элемент не несет ценности сам по себе, но в совокупности они образуют как раз эти самые ценные знания.

Процесс обработки threat intelligence начинается со сбора сырых данных – потока информации, которую необходимо нормализовать, обогатить контекстом и выявить взаимосвязи. После этого мы получим некий профиль или «карточку» угрозы, с которой впоследствии будет работать аналитик и анализировать в разрезе конкретной организации. После анализа контекста злоумышленника и контекста компании аналитик выдаст решение, которое уже можно назвать «знанием».

Процесс TI очень похож на классическую разведку, в которой команда получает задание, собирает разведданные, выводит их на командира, который анализирует риски, связанные с текущей ситуацией, принимает решение и действует.

Аналогично работает киберразведка. Исходя из контекста конкретной организации, необходимо собрать данные, проанализировать, обработать, обогатить их. В результате, они преобразуются в знания, которые передаются директору по информационной безопасности (CISO) или лицу, принимающему решение, после чего он анализирует соответствующие риски и принимает это решение. Поэтому качество данных TI напрямую влияет на скорость и качество принятия решений.

Данные киберразведки принято подразделять на три уровня:

Операционный или технический уровень. К нему относятся индикаторы компрометации, т.е. признаки, по которым можно распознать потенциальную угрозу (например, хэши вредоносных файлов, IP-адреса, домены, связанные с преступной активностью, и т.д.) и осуществить технические меры по ее блокировке.

Тактический уровень. На этом уровне проводится анализ поведения нарушителей, опираясь на информацию о технике, тактике и процедурах злоумышленника (TTP), и вырабатывается понимание, кто, что и зачем может осуществить против организации. В результате у нее появляется возможность предвидеть атаки и прогнозировать свою дальнейшую деятельность.

Стратегический уровень. Сюда можно отнести аналитические данные о тенденциях угроз в мире с целью выработки дальнейшей стратегии развития системы информационной безопасности организации. Опираясь на информацию из предыдущих уровней, осуществляется представление актуальных угроз и необходимых мер перед топ-менеджментом организации, планирование задач и потребностей (в новых людях, процессах, инструментах).

Работа данными киберразведки должна обеспечиваться на всех трех уровнях. При потере одного из них вся концепция снижает ощутимую пользу для организации.

В чем же ценность Threat Intelligence?

Threat Intelligence находится в тесной взаимосвязи с другими процессами информационной безопасности – реагированием на инциденты, управлением рисками, управлением уязвимостями, выявлением мошенничества и операционной деятельностью ИБ подразделения. Повысить эффективность данных процессов, качество и скорость принятия решений в рамках этих процессов – это и есть, по сути, главная задача работы с TI.

В первую очередь, использование threat intelligence в разы повышает качество и скорость реагирования на инциденты. Когда приходит информация о новой угрозе, можно оперативно поставить ее на мониторинг, параллельно блокируя некоторые индикаторы компрометации. Зная контекст, понимая, каким образом будет происходить кибератака, все возможные варианты ее развития и каким образом эта угроза могла попасть в инфраструктуру, можно вовремя ее выявить, обработать в рамках конкретного инцидента, построить для нее подходящие сценарии реагирования.

В плане управления уязвимостями данные об угрозах помогают в расстановке приоритетов и определении критичности уязвимостей. Threat intelligence дает необходимую фактуру для анализа и оценки рисков – информацию об актуальных угрозах, полученную на тактическом и стратегическом уровне TI. В результате процесс риск-менеджмента становится более практичным и качественным.

Threat intelligence позволяет выстраивать операционную деятельность ИБ-подразделения, действовать проактивно, планировать, внедрять и реализовывать защитные меры, ориентируясь на актуальный ландшафт угроз, а не вслепую.

Почему TI мало кто использует?

Выстраивая процесс киберразведки, каждая организация сталкивается с определенными сложностями. Во-первых, данные сложно получать. Фидов киберразведки огромное множество, при этом нет единого стандарта – каждый поставщик или канал предоставляет их в своем виде. Часть данных поставляется в машиночитаемой форме, другая – в виде отчетов, рассчитанных на чтение аналитиком. В результате, прежде чем начать анализировать данные, даже если используется всего 2-3 источника, их требуется привести к единой модели представления, нормализовать.

Для правильной интерпретации и принятия решений сырых данных из фидов не достаточно, требуется их обогатить контекстом, дополнительной информацией, которая поможет подобрать наиболее правильную тактику ответных действий. Если фидов слишком много, возникает сложность в их практическом применении. Нужно производить фильтрацию и отбор, чтобы не захлебнуться в потоке информации.

Еще один важный момент заключается в том, что пользу TI сложно оценивать, нет каких-то объективных метрик. Ее эффективность можно измерять косвенно через повышение эффективности тех процессов, с которыми она связана. Поэтому чаще всего threat intelligence используется в ИБ-подразделениях или SOC, которые достигли определенного уровня зрелости.

Как сделать TI по-настоящему рабочим инструментом?

Для начала необходимо определить цель и задачи, которые планируется решать с помощью TI и как будут оцениваться результаты выполнения этих задач. Не стоит начинать работу с инструментами threat intelligence, если нет понимания, зачем это нужно.

Если решение о необходимости использования threat intelligence принято, имеет смысл сразу использовать для этого специализированную платформу управления данными киберразведки. Это может быть open-source или коммерческое решение, позволяющее автоматизировать все рутинные операции. Если используется хотя бы несколько источников фидов, без автоматизации невозможно качественно с ними работать, осуществлять нормализацию и хранение в единой базе, а также работать с открытыми угрозами.

Важно на регулярной основе проводить оценку качества и количества источников данных (фидов), избавляясь от тех, которые ненадежны, дают большое количество ложноположительных срабатываний, сокращая поток данных и повышая его качество.

Этапы работы с TI 

Поэтапно процесс работы с TI выглядит следующим образом

  1. Сбор данных из разных источников, который подразумевает заведение всех имеющихся источников по фидам на одну платформу для работы с ними в одном окне. Это могут быть любые источники об угрозах, поступающие в SOC, внешние данные от провайдеров, открытые источники, от партнеров, регуляторов (к примеру, ФинЦЕРТ), данные сетевой телеметрии (маршрутизаторов, межсетевых экранов, песочницы, SIEM-систем и пр.).
  2. Обработка собранных фидов предполагает их нормализацию и стандартизацию для того, чтобы все они были приведены к единому формату, к единой карточке.
  3. Обогащение дополнительным контекстом, если данных недостаточно. Для обогащения данных существуют универсальные сервисы (например, VirusTotal, whois и другие) и узкоспециализированные источники. Обычно аналитик знает, видя данные об угрозе, из какого узкоспециального фида необходимо обогатить эту информацию. Удобно, когда выбранная платформа threat intelligence интегрирована с необходимой подборкой сервисов обогащения.
  4. Обнаружение индикаторов компрометации в собственной инфраструктуре. Например, R-Vision TIP позволяет завести поток данных из SIEM-системы и проверить конкретный набор индикаторов в этом потоке событий.
  5. Распространение индикаторов на средства защиты и мониторинга.

Подведем итог

Threat intelligence – это важный инструмент для принятия решений в области информационной безопасности. Он дает понимание ландшафта угроз для прогнозирования возможных атак и реализации адекватных мер защиты; повышает качество и скорость реагирования на инциденты, тем самым позволяя минимизировать возможный ущерб. Информация об актуальных угрозах помогает в более точной оценке ИБ-рисков и планировании необходимых мер по их обработке.

Как показывает практика, обычно организации начинают интересоваться работой с данными киберразведки с момента построения собственного центра реагирования на инциденты (security operations center, SOC). И если вы уже поняли, что вам точно необходима киберразведка, стоит сразу выстраивать этот процесс на базе автоматизированной платформы.

Поделиться записью: