thread intelligent что это
Что такое threat intelligence и как применять?
Отслеживание угроз – один из важных процессов обеспечения эффективной защиты бизнеса. Потребность в разведывательных данных возникла не сразу. Долгое время отрасль информационной безопасности реагировала реактивно на действия злоумышленников. Но при современных технологиях и стремительной скорости кибератак возникает острая потребность предугадывать атаки и распознавать их по самым ранним признакам. Threat Intelligence – одна из таких техник, позволяющая узнавать об угрозах до того, как они реализовались и повлекли ущерб.
Что такое threat intelligence?
Есть множество подходов к определению, что такое threat intelligence, причем они изменяются с течением времени. Работая над созданием threat intelligence платформы, мы выработали свое понимание этого понятия.
Threat Intelligence представляет собой знания об угрозах, полученные в результате анализа и интерпретации данных. Threat Intelligence объединяет три взаимосвязанных элемента: 1) контекст, 2) индикаторы компрометации, 3) взаимосвязи и обогащения. Каждый элемент не несет ценности сам по себе, но в совокупности они образуют как раз эти самые ценные знания.
Процесс обработки threat intelligence начинается со сбора сырых данных – потока информации, которую необходимо нормализовать, обогатить контекстом и выявить взаимосвязи. После этого мы получим некий профиль или «карточку» угрозы, с которой впоследствии будет работать аналитик и анализировать в разрезе конкретной организации. После анализа контекста злоумышленника и контекста компании аналитик выдаст решение, которое уже можно назвать «знанием».
Процесс TI очень похож на классическую разведку, в которой команда получает задание, собирает разведданные, выводит их на командира, который анализирует риски, связанные с текущей ситуацией, принимает решение и действует.
Аналогично работает киберразведка. Исходя из контекста конкретной организации, необходимо собрать данные, проанализировать, обработать, обогатить их. В результате, они преобразуются в знания, которые передаются директору по информационной безопасности (CISO) или лицу, принимающему решение, после чего он анализирует соответствующие риски и принимает это решение. Поэтому качество данных TI напрямую влияет на скорость и качество принятия решений.
Данные киберразведки принято подразделять на три уровня:
Операционный или технический уровень. К нему относятся индикаторы компрометации, т.е. признаки, по которым можно распознать потенциальную угрозу (например, хэши вредоносных файлов, IP-адреса, домены, связанные с преступной активностью, и т.д.) и осуществить технические меры по ее блокировке.
Тактический уровень. На этом уровне проводится анализ поведения нарушителей, опираясь на информацию о технике, тактике и процедурах злоумышленника (TTP), и вырабатывается понимание, кто, что и зачем может осуществить против организации. В результате у нее появляется возможность предвидеть атаки и прогнозировать свою дальнейшую деятельность.
Стратегический уровень. Сюда можно отнести аналитические данные о тенденциях угроз в мире с целью выработки дальнейшей стратегии развития системы информационной безопасности организации. Опираясь на информацию из предыдущих уровней, осуществляется представление актуальных угроз и необходимых мер перед топ-менеджментом организации, планирование задач и потребностей (в новых людях, процессах, инструментах).
Работа данными киберразведки должна обеспечиваться на всех трех уровнях. При потере одного из них вся концепция снижает ощутимую пользу для организации.
В чем же ценность Threat Intelligence?
Threat Intelligence находится в тесной взаимосвязи с другими процессами информационной безопасности – реагированием на инциденты, управлением рисками, управлением уязвимостями, выявлением мошенничества и операционной деятельностью ИБ подразделения. Повысить эффективность данных процессов, качество и скорость принятия решений в рамках этих процессов – это и есть, по сути, главная задача работы с TI.
В первую очередь, использование threat intelligence в разы повышает качество и скорость реагирования на инциденты. Когда приходит информация о новой угрозе, можно оперативно поставить ее на мониторинг, параллельно блокируя некоторые индикаторы компрометации. Зная контекст, понимая, каким образом будет происходить кибератака, все возможные варианты ее развития и каким образом эта угроза могла попасть в инфраструктуру, можно вовремя ее выявить, обработать в рамках конкретного инцидента, построить для нее подходящие сценарии реагирования.
В плане управления уязвимостями данные об угрозах помогают в расстановке приоритетов и определении критичности уязвимостей. Threat intelligence дает необходимую фактуру для анализа и оценки рисков — информацию об актуальных угрозах, полученную на тактическом и стратегическом уровне TI. В результате процесс риск-менеджмента становится более практичным и качественным.
Threat intelligence позволяет выстраивать операционную деятельность ИБ-подразделения, действовать проактивно, планировать, внедрять и реализовывать защитные меры, ориентируясь на актуальный ландшафт угроз, а не вслепую.
Почему TI мало кто использует?
Выстраивая процесс киберразведки, каждая организация сталкивается с определенными сложностями. Во-первых, данные сложно получать. Фидов киберразведки огромное множество, при этом нет единого стандарта — каждый поставщик или канал предоставляет их в своем виде. Часть данных поставляется в машиночитаемой форме, другая – в виде отчетов, рассчитанных на чтение аналитиком. В результате, прежде чем начать анализировать данные, даже если используется всего 2-3 источника, их требуется привести к единой модели представления, нормализовать.
Для правильной интерпретации и принятия решений сырых данных из фидов не достаточно, требуется их обогатить контекстом, дополнительной информацией, которая поможет подобрать наиболее правильную тактику ответных действий. Если фидов слишком много, возникает сложность в их практическом применении. Нужно производить фильтрацию и отбор, чтобы не захлебнуться в потоке информации.
Еще один важный момент заключается в том, что пользу TI сложно оценивать, нет каких-то объективных метрик. Ее эффективность можно измерять косвенно через повышение эффективности тех процессов, с которыми она связана. Поэтому чаще всего threat intelligence используется в ИБ-подразделениях или SOC, которые достигли определенного уровня зрелости.
Как сделать TI по-настоящему рабочим инструментом?
Для начала необходимо определить цель и задачи, которые планируется решать с помощью TI и как будут оцениваться результаты выполнения этих задач. Не стоит начинать работу с инструментами threat intelligence, если нет понимания, зачем это нужно.
Если решение о необходимости использования threat intelligence принято, имеет смысл сразу использовать для этого специализированную платформу управления данными киберразведки. Это может быть open-source или коммерческое решение, позволяющее автоматизировать все рутинные операции. Если используется хотя бы несколько источников фидов, без автоматизации невозможно качественно с ними работать, осуществлять нормализацию и хранение в единой базе, а также работать с открытыми угрозами.
Важно на регулярной основе проводить оценку качества и количества источников данных (фидов), избавляясь от тех, которые ненадежны, дают большое количество ложноположительных срабатываний, сокращая поток данных и повышая его качество.
Этапы работы с TI
Поэтапно процесс работы с TI выглядит следующим образом
Подведем итог
Threat intelligence – это важный инструмент для принятия решений в области информационной безопасности. Он дает понимание ландшафта угроз для прогнозирования возможных атак и реализации адекватных мер защиты; повышает качество и скорость реагирования на инциденты, тем самым позволяя минимизировать возможный ущерб. Информация об актуальных угрозах помогает в более точной оценке ИБ-рисков и планировании необходимых мер по их обработке.
Как показывает практика, обычно организации начинают интересоваться работой с данными киберразведки с момента построения собственного центра реагирования на инциденты (security operations center, SOC). И если вы уже поняли, что вам точно необходима киберразведка, стоит сразу выстраивать этот процесс на базе автоматизированной платформы.
О потребителях и типах Threat Intelligence
Раз в два-три года в «информационно-безопасном» мире появляется панацея от всех бед, которая защитит и от киберпреступников, и от киберактивистов, от промышленного шпионажа и APT-атак. Все установленные ИБ-системы объявляются морально устаревшими и никуда не годными, их предлагается срочно заменить. Естественно, не бесплатно. За чудо-лекарством выстраиваются очереди, лицензий на всех не хватает. А потом продавец просыпается.
Очень похожая ситуация сейчас складывается с Threat Intelligence. Это очень модно, драйвово, молодёжно, но провайдеры, пользователи и покупатели зачастую понимают под TI совсем разные вещи.
Давайте попробуем разобраться, что же это за загадочный зверь, откуда он так внезапно «выскочил», зачем нужна и кому интересна такая разведка, и можно ли заниматься разведкой за бокалом любимого пива.
Что такое Threat Intelligence
Threat Intelligence — это регулярно и системно собирать информацию об угрозах, улучшать и обогащать её, применять эти знания для защиты и делиться ими с теми, кому они могут быть полезны. TI — это не только базы сигнатур для IDS или наборы правил для SIEM. TI — это процессы, у которых есть владельцы, цели, требования и понятный и измеримый (насколько это возможно) результат. TI я буду понимать именно в этом смысле.
Стоит сказать, что до 2014 года никакой threat intelligence не было. Ну, то есть была, конечно, но такое впечатление складывается, когда смотришь на темы выступлений более ранних RSA Conference.
А потом начался настоящий TI-бум! В моём списке компаний и организаций, которые предлагают приобрести или обменяться информацией об угрозах, злоумышленниках и вредоносном коде, 126 строк. И это далеко не все. Три года назад аналитики международных исследовательских компаний на вопрос о размере рынка TI отвечали: «Отстаньте! Нет такого рынка. Считать нечего». Теперь они же (451 Research, MarketsandMarkets, IT-Harvest, IDC и Gartner) оценивают этот рынок в полтора миллиарда долларов в 2018 году.
| Прогноз | 2013 | 2014 | 2015 | 2016 | 2017 | 2018 | 2019 | 2020 | Годовой рост, % |
|---|---|---|---|---|---|---|---|---|---|
| 451 Research | 1,0 | 3,3 | 34,0 | ||||||
| MarketsandMarkets | 3,0 | 5,86 | 14,3 | ||||||
| IT-Harvest | 0,25 | 0,46 | 1,5 | 80,0 | |||||
| IDC | 0,9 | 1,4 | 11,6 | ||||||
| Gartner | 0,25 | 1,5 | 43,1 |
Почему выгодно адаптировать процессы TI?
Ускоряет реагирование на инциденты информационной безопасности
Благодаря пониманию киберпреступников и их инструментов, тактик и процедур (TTP) можно быстро предлагать и проверять гипотезы. Например, если сотрудник группы реагирования знает, что определённые образцы вредоносного ПО (которое только что нашёл антивирус) нацелены на компрометацию административных учётных записей, это очень сильный довод в пользу того, чтобы проверить логи и попытаться найти подозрительные авторизации.
Помогает расставить приоритеты
Например, вероятность эксплуатации конкретной обнаруженной уязвимости в конкретной информационной системе может быть низкой, а CVSS-оценка — высокой (в CVSS v.3 проблему пофиксили и ввели оценку вероятности). Поэтому важно учитывать принятую модель угроз, состояние инфраструктуры и внешние факторы.
В 2015 году SANS Institute провёл исследование потребителей TI из различных отраслей, в котором участвовали 329 респондентов из Северной, Центральной и Южной Америки, Европы, Ближнего Востока и Австралии. Согласно этому исследованию, потребители TI фиксируют положительные изменения в нескольких направлениях обеспечения ИБ после внедрения процессов TI.
Согласно этому же исследованию очень сильно отличаются формы адаптации.
Только в 10% случаев в организациях нет планов развивать разведку киберугроз внутри компании или о таких планах не известно.
Типы Threat Intelligence
Глобально существует два типа TI — стратегическая и тактическая (или «техническая» — кому как нравится). Они сильно отличаются и по результатам, и по способам использования этих результатов.
| Признак | Стратегическая TI | Техническая TI |
|---|---|---|
| Форма | Отчёты, публикации, документы | Наборы правил, параметры настройки |
| Создаётся | Людьми | Машинами или людьми совместно с машинами |
| Потребляют | Люди | Машины и люди |
| Сроки доставки до потребителя | Дни — месяцы | Секунды — часы |
| Период полезности | Долгий (год и более) | Короткий (до появления новой уязвимости или нового метода эксплуатации) |
| Допущения | Гипотезы возможны, однако они должны основываться на каких-то данных | Неприемлемы, поскольку машины не понимают нечётких инструкций |
| Фокус | Планирование, принятие решений | Обнаружение, приоритизация, реагирование |
Потребители Threat Intelligence
Чтобы не писать стену скучного текста, я собрал всех потребителей в одной таблице. В каждой ячейке указаны группы потребителей и то, какие результаты могут быть им наиболее интересны.
Один и тот же набор результатов TI может быть интересен различным целевым группам. Например, «Инструменты, ПО и „железки“ атакующих» в таблице находятся в поле «Техники», но, конечно, были бы интересны и «Тактикам».
