Погружение в Threat Intelligence: кому и зачем нужны данные киберразведки

от автора

Привет! Меня зовут Антон, я владелец продукта R-Vision Threat Intelligence Platform (TIP). От создания первых прототипов решения до реализации пилотных проектов по его внедрению прошло уже более трех лет, и мне захотелось поделиться накопленным опытом и набитыми шишками с сообществом. Поэтому я решил выпустить серию статей по теме threat intelligence, показать, что это понятие действительно существует как практика и как процесс, а не только как модное веяние, принесенное Gartner и витающее в воздухе любой конференции по информационной безопасности.

Рассказывать буду о различных аспектах TI, проведу параллели и аналогии с нашим продуктом и продуктовыми решениями, затрону альтернативные решения, не обойду вниманием и open-source решения. В первом посте поделюсь своим видением того, что представляет собой TI. Поехали!

Кому и когда нужны данные threat intelligence?

Достаточно сложно кратко объяснить, что такое threat intelligence, так как многое зависит от контекста, в котором употребляется термин: это может быть как процесс, так и действие. Есть ряд устоявшихся академических терминов, например, от Gartner и SANS Institute. 

Определения TI

Cyber threat intelligence is knowledge about adversaries and their motivations, intentions, and methods that is collected, analyzed, and disseminated in ways that help security and business staff at all levels protect the critical assets of the enterprise (Threat intelligence — знания о мотивах, намерениях и методах злоумышленников, собираемые, анализируемые и распространяемые с целью помочь ИБ-специалистам и менеджменту на всех уровнях защищать критические активы организации).

Definitive Guide to Cyber Threat Intelligence

Threat intelligence is evidence based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard» (Threat intelligence — это основанные на фактических данных знания о существующих или возможных угрозах, которые включают контекст, механизмы, индикаторы, последствия, практические рекомендации и могут быть использованы для принятия решений по реагированию).

Gartner, McMillan (2013) from Tactics, Techniques and Procedures (TTPs) to Augment Cyber Threat Intelligence (CTI): A Comprehensive Study

The set of data collected, assessed and applied regarding security threats, threat actors, exploits, malware, vulnerabilities and compromise indicators (Набор данных, собранных, оцененных и примененных в отношении угроз безопасности, субъектов угроз, эксплойтов, вредоносных программ, уязвимостей и индикаторов компрометации).

SANS Institute

Мы же в R-Vision предпочитаем более практический и приземленный подход, поэтому ниже я постараюсь развернуть мысль.

Потребность в «разведывательных данных» — это следствие развития отрасли информационной безопасности, изменения ее уровня зрелости в положительную сторону. Приведу пример: представьте, что некий стартап N выстреливает, гипотеза ценности его продукта подтверждается, продукт (услуга) начинает продаваться, и организация растет. Сначала в организации нет никакой информационной безопасности, всем рулит один админ, нередко — приходящий. Но с ростом компании в ней появляется отдел ИТ. Увеличивается численность сотрудников. На рабочих станциях и серверах появляется антивирус, а в сети — межсетевые экраны. Идет время, организация успешно развивается, масштаб уже превышает 1000 человек. Формируется потребность в выделении функции обеспечения информационной безопасности, так как для ИТ это зачастую непрофильная работа. Появляется отдел информационной безопасности. Бизнес растет, продуктовый портфель расширяется, организация поглощает несколько более мелких игроков рынка. Отдел ИБ растет, оптимизирует и стандартизирует функции, выделяет специальные структуры для их выполнения: эксплуатация и поддержка средств защиты, реагирование на инциденты, управление уязвимостями, аудит и обеспечение соответствия требованиям регуляторов… Продолжать можно долго. Важно, что где-то на этом этапе, может быть, даже раньше (но чаще — позже), организация начинает учитывать риски ИБ наравне с другими. Отделу ИБ с внутренней стороны нужно быть осведомленным об актуальных угрозах и уметь приоритизировать их, а с внешней стороны — предоставлять всем заинтересованным стейкхолдерам от бизнеса информацию о рисках и возможных угрозах на понятном языке. TI может помочь с этим.

Пример выше может показаться громоздким и нежизненным, но я лишь хотел показать, с какого момента TI может быть интересен организациям и организациям какого масштаба. Наша практика показывает, что TI начинают интересоваться с момента построения процесса реагирования на инциденты либо при построении собственного SOC (Security Operations Center). Также TI — это хлеб для провайдеров услуг ИБ (MSSP/MDR). В принципе, TI могут пользоваться даже самые небольшие организации, но им обычно просто не до этого, так как развитие бизнеса — главное на этапе начального роста. Еще одна причина: уровень решений для сбора данных TI и организации процесса работы с ними обычно требует выделения человеческих и материальных ресурсов. Иными словами, сегодня TI интересен в основном либо крупным организациям, либо организациям, которые специализируются на предоставлении услуг по аутсорсингу процессов ИБ.

Как данные threat intelligence помогают решать задачи ИБ, и зачем нужна платформа TI

Threat intelligence — это специфические знания, которые позволяют понимать текущие угрозы, их влияние на организацию или отрасль, сферу деятельности, помогают управлять рисками и принимать стратегические решения. Если обобщить, то они дают возможность:

  • Повысить осведомленность об угрозах и более адекватно подбирать защитные меры, подходящие под  релевантный для организации ландшафт угроз (с учетом специфики ее деятельности/сектора экономики, индустрии).

  • Повысить качество обнаружения и реагирования на угрозы как проактивно, так и реактивно.

Платформа threat intelligence — это система для управления такими знаниями. Для наглядности давайте сравним ее с  с агрегатором данных наподобие RSS-ридера. У RSS-ридера довольно простая задача — собрать статьи, сохранить их и предоставить пользователю для чтения. Платформа TI же должна не только собирать данные, но и давать возможность исследовать полученные сущности, взаимосвязи между ними для понимания картины атаки, развития вредоносного заражения, определения схожих черт различных вредоносных кампаний и группировок, атрибуции атак и аналогичных аналитических задач, в том числе автоматических. 

Зачем это может быть нужно? Источников данных — множество, данных — еще больше. На вход в платформу TI могут быть подключены десятки, а в отдельных случаях и сотни различных источников данных. Каждый источник время от времени обновляется, предоставляет новые и зачастую изменяет ранее предоставленные данные. Платформа TI должна оперативно создавать новые сущности, актуализировать статусы старых, если они изменились, избавляться от дублей, приводить в единый, консистентный вид (нормализация), удалять старые сущности. Явные взаимосвязи между сущностями нужно выделить и связать их между собой, определяя характер связей. И это далеко не все выполняемые операции. 

Кроме того, могут быть операции, выполняемые отложенно. Например, к ним относится корреляция сущностей, то есть предположение о схожести двух или более сущностей на основании выявленной зависимости между ними. Еще пример: выявление «дальних связей» — когда сущности связаны друг с другом не напрямую, а через N иных сущностей. Сюда же можно отнести и расчет рейтингов вредоносности индикаторов компрометации на основе учета массы факторов. И да, это тоже далеко не исчерпывающий список отложенных операций.

Заметьте, я крайне мало упоминал сущность «индикатор компрометации». Это один из наиболее известных терминов TI, важный, но не главный. Индикатор компрометации — это то, что позволяет сделать TI полезной, то есть не просто знать, а применять знания и получать результаты от их применения. 

В следующем посте я расскажу о форматах обмена данными threat intelligence, их сути, объектах и сущностях, важности и иерархии. Stay tuned!

ссылка на оригинал статьи https://habr.com/ru/company/rvision/blog/552506/