В этой статье речь пойдёт речь о TI (Threat Intelligence) / CTI (Cyber Threat Intelligence) —анализе киберугроз. Разберемся как его проводят и чем он полезен.
Вадим Матвиенко
руководитель Лаборатории исследований кибербезопасности Аналитического центра «Газинформсервис». С 2019 года занимается вопросами информационной безопасности, в ИТ с 2012.
Что такое анализ киберугроз?
Анализ угроз всё ещё можно охарактеризовать как быстро развивающуюся область. Однако сам по себе анализ угроз или кибер-разведка не нова и берёт своё начало из военной разведки. Существует множество определений, вот одно из них:
«Совокупность мероприятий командования, штабов и действий войск (сил), осуществляемых в целях добывания сведений о противнике, местности и погоде; вид обеспечения военных (боевых) действий. Разведка планируется, организуется и ведется с целью исключить внезапность действий противника и добыть разведывательные сведения, необходимые для эффективного применения войск (сил), средств поражения и радиоэлектронного поражения. Она возникла одновременно с появлением военных (боевых) действий.»
Анализ киберугроз — это гибкая и постоянно развивающаяся технология, которая использует информацию об истории угроз для того, чтобы заранее блокировать и смягчать последствия возможных будущих атак на организацию. Хотя это не отдельное решение, оно является важным элементом архитектуры безопасности. По мере того как угрозы становятся всё более изощрёнными, эффективность решений по обеспечению безопасности во многом зависит от данных, которые они используют для анализа.
Безопасность, основанная на анализе угроз
Многие эксперты считают, что использование подхода, основанного на анализе угроз, является лучшей практикой в области информационной безопасности. Без анализа угроз организации будут защищаться от слишком малого количества рисков, поскольку не понимают, с какими угрозами могут столкнуться. Или, наоборот, пытаются защититься от всех потенциальных угроз, что снижает их работоспособность. Поэтому прежде чем защищаться от угрозы, необходимо её обнаружить.
В основе анализа угроз лежат четыре понятия: риск, угроза, уязвимость и последствие.
Риск часто определяют как сочетание угрозы, уязвимости и последствий. Чтобы внедрить подход к кибербезопасности, основанный на оценке рисков, организациям необходимо понимать существующие угрозы.
Угроза — это намерение и способность злоумышленников атаковать актив, обычно инфраструктуру или систему. Знание об угрозах позволяет организациям подготовиться к ним и защитить себя.
Когда организация понимает, как реагировать на ключевые вопросы, связанные с угрозами, например, кто, вероятно, будет атаковать какие активы, где, когда, как и почему, у неё гораздо больше шансов защититься. Это особенно важно в области кибербезопасности, где количество и разнообразие противников, а также быстрые изменения в методах атак делают защиту сложной задачей.
Если организации хорошо понимают угрозы, с которыми они сталкиваются, то они могут объединить это понимание с анализом зрелости своих средств защиты. Это поможет им оценить вероятность возникновения инцидента.
Затем, сопоставив эту вероятность с оценкой возможных последствий инцидента, организации смогут понять уровень риска. Это позволит им эффективно использовать свои ограниченные ресурсы безопасности для защиты от наиболее значимых рисков.
Данные, информация и аналитические данные
Термины «данные», «информация» и «аналитические данные» часто неправильно используются как взаимозаменяемые, однако в нашем случае это совсем не синонимы.
Данные — это простые факты, которые обычно доступны в больших объёмах. В контексте кибербезопасности примерами таких данных могут служить IP‑адреса или журналы регистрации. Сами по себе необработанные данные могут быть не очень полезны.
Информация получается, когда мы сопоставляем эти данные, чтобы получить полезный результат. Например, если мы сопоставим серию журналов, то сможем увидеть всплеск подозрительной активности.
Аналитические данные, полученные в результате обработки и анализа этой информации, могут быть использованы для принятия обоснованных решений. Например, если мы сопоставим собранные данные журнала с предыдущими отчётами об инцидентах, связанных с аналогичными действиями, то сможем разработать стратегию по смягчению последствий текущего инцидента.
Аналитический цикл
Аналитический цикл — это процесс сбора, обработки и анализа информации для принятия обоснованных решений. Он включает в себя несколько этапов, каждый из которых играет важную роль в получении и использовании аналитических данных. Цикл состоит из нескольких этапов, рассмотрим подробнее каждый из них.
-
Планирование и управление
На этом этапе определяются потребности потребителя и требования к анализу угроз. Исходя из требований, становится ясно, какие данные и информация необходимы для принятия решений.
-
Сбор информации
На этом этапе происходит поиск и сбор необходимых данных. Важно, чтобы процесс сбора был систематичным и основывался на определённых критериях.
-
Анализ
Здесь данные обрабатываются и интерпретируются для получения полезной информации. Анализ может включать в себя различные методы и инструменты, в зависимости от характера данных.
-
Передача информации
Полученные результаты передаются лицам, принимающим решения. Это позволяет им использовать аналитические данные для обоснования своих действий.
Важно отметить, что аналитический цикл непрерывный процесс. Все этапы взаимосвязаны и повторяются в зависимости от потребностей и изменений в ситуации.
Принципы анализа угроз
В приведенной ниже инфографике кратко описаны принципы, которым должны соответствовать процессы и продукты анализа угроз. Эти принципы часто обозначаются мнемоническим знаком CROSSCAT.
-
Centralised (централизация) — централизованное управление обеспечивает эффективное распределение ресурсов и является единым пунктом сбора информации.
-
Responsive (ориентированность) — аналитическая информация должна быть ориентирована на потребителей.
-
Objective (объективность) — анализ должен оставаться достаточным и точным.
-
Systematic (систематизация) — источники информации, наборы данных должны методологически использоваться последовательно и скоординировано.
-
Sharing (распространение) — аналитические данные должны передаваться по защищённым каналам связи. Анализ киберугроз не должен попасть к злоумышленникам.
-
Continius Review (непрерывность) — исследование киберугроз должно анализировать новую информацию и новые угрозы, постоянно во время всего цикла исследования.
-
Accessible (доступность) — продукты и услуги по анализу киберугроз должны разрабатываться и поставляться с учетом их целевой аудитории.
-
Timely (своевременность) — информация бесполезна, если она поступает с опозданием. менее совершенные результаты, предоставленные вовремя, предпочтительнее устаревших материалов.
Источники информации для анализа
Поставщики информации о киберугрозах должны опираться на разнообразные источники данных. Это позволяет клиентам получить полное представление об угрозах, с которыми сталкиваются организации.
Важно учитывать, что спектр киберпреступников, с которыми приходится сталкиваться разным компаниям, различен. Поэтому источники информации о киберугрозах также должны быть разнообразными и соответствовать этим вызовам.
Поставщики аналитических данных обычно используют следующие источники:
Индикаторы компрометации
Индикаторы компрометации (IOCs) — это информация, связанная с вредоносной активностью, такая как хэши образцов вредоносных программ, IP-адреса и доменные имена связанные с атаками. Они используются для обновления систем обнаружения и защиты, таких как брандмауэры, а также для анализа методов, которые используют хакеры (TTP).
Хотя IOCs сами по себе являются данными, а не обработанной информацией, они всё же играют важную роль в анализе киберугроз.
Данные от клиентов
Например, данные об инфраструктуре или сведения из SIEM и других журналов можно сравнить с другой информацией или использовать для прогнозирования возможных угроз и своевременного реагирования на них.
Глубокая сеть (Deep web)
Например, информация с хакерских форумов доступна только зарегистрированным пользователям, среди которых часто встречаются киберпреступники. Эти источники позволяют получить ценные сведения об инструментах и услугах, которые рекламируются и запрашиваются киберпреступниками. Также можно узнать, какие эксплойты обсуждаются, чтобы определить приоритетность исправлений и обновлений ПО.
Даркнет (Dark web)
Торговые площадки и магазины, расположенные в анонимных сетях, таких как Tor или I2P, часто используются преступниками для покупки товаров и услуг.
Информация, полученная из даркнета, помогает проанализировать, насколько легко получить доступ к данным организации (от учётных данных для входа в систему до ценных интеллектуальных активов) для скачивания или продажи. Также можно узнать, не является ли инфраструктура организации уязвимой для атак.
Платформы обмена сообщениями
Злоумышленники также используют платформы обмена сообщениями для общения. Они могут быстро обмениваться информацией через эти платформы.
Некоторые киберпреступники предпочитают не использовать полуобщественные форумы, а общаются напрямую друг с другом. Так они продают свои товары и услуги.
Кибер-активисты тоже используют платформы обмена сообщениями. Они сочетают их с устаревшими каналами интернет-ретрансляции (IRC). Через эти платформы они обсуждают будущие операции. Так можно узнать о возможных тактиках и целях.
Социальные сети
Хакеры могут использовать социальные сети в своих целях. Иногда активисты-хакеры заранее сообщают о своих планах провести атаку. Кроме того, соцсети могут быть использованы как альтернативный способ привлечения клиентов на хакерские услуги, особенно в тех странах, где правоохранительные органы ограничены в своих возможностях и хакеры не рискуют быть арестованными.
Сбор информации из социальных сетей также может включать в себя выявление непреднамеренных утечек данных, которые могли произойти из-за ошибок сотрудников.
Анализ вредоносного программного обеспечения (ВПО)
Анализ вредоносного программного обеспечения (ВПО), позволяет аналитикам извлекать информацию, такую как IOCs из ВПО, которая, в свою очередь, может быть использована для поиска и сравнения с существующим ВПО в базе данных. Анализ позволяет лучше понять новейшие тактики, методы и процедуры, которые используются хакерами, с целью информирования команд кибербезопасности о том, как лучше реагировать.
Геополитические события
Анализ геополитических событий позволят понять как это повлияет на бизнес. Например, зная, насколько стратегические цели развития государства соответствуют целям организации, или как потенциальное соперничество между странами может повлиять на вероятность хакерских атак в регионе её деятельности, организация сможет лучше понять угрозы, с которыми она столкнется.
Базы данных угроз
Базы данных угроз могут помочь понять, какие уязвимости могут быть использованы злоумышленниками и какие из уязвимостей требуют немедленного исправления.
Сайты-вставки (Paste sites)
С помощью сайтов-вставок (таких как https://pastebin.com/) можно получить широкий спектр информации, включая утечку учетных данных, указания на предстоящие действия активистов, фрагменты кода и доказательства нарушений.
Данные от государственных и отраслевых организаций
Данные от государственных (например, ФСТЭК, ФСБ, ЦБ) и отраслевых организаций доступны для некоторых секторов и конкретных проектов. Однако вместо того, чтобы полагаться только на эти источники, аналитики киберугроз должны проверять и объединять информацию из разных источников, чтобы получить более полное представление об угрозе, с которой сталкиваются их клиенты. В идеале разведывательные отчёты должны содержать информацию из нескольких источников — желательно объединять данные как минимум из двух типов источников.
Зачем нужен анализ киберугроз
Как и в случае с обычной разведкой, существует три уровня сбора информации о киберугрозах: оперативный, тактический и стратегический. На каждом уровне информация имеет свои особенности: характер, формат, целевую аудиторию и применение.
Эти уровни и их особенности кратко представлены в инфографике ниже.
Оперативный уровень
Анализ угроз на оперативном уровне часто включает в себя детальное изучение потенциальных будущих операций, направленных против организации. Хотя не всегда легко получить такую информацию, используя подход «из всех источников», поставщик разведывательных данных может обнаружить, например, переписку кибер-активистов, обсуждающих возможные цели предстоящей кампании, или информацию об утечке или продаже данных в даркнете, которые могут быть использованы в операции против компании.
Поставщики аналитических данных о киберугрозах обычно предоставляют оперативную информацию об угрозах, представленную в удобном для восприятия как человеком, так и в формате для обработки автоматизированными средствами.
Тактический уровень
Анализ угроз на тактическом уровне включает в себя материалы, которые описывают методы, тактики и процедуры (TTP — techniques, tactics and procedures), применяемые хакерами. Индикаторы компрометации (Indicators of compromise, IOCs) — это ключевой продукт для поставщиков тактической информации об угрозах. Они служат для обновления систем защиты на основе сигнатур, помогая защититься от известных типов атак. Кроме того, индикаторы компрометации могут быть полезны для более активных действий, таких как поиск и предотвращение потенциальных угроз. Это особенно полезно для подразделений по кибербезопасности, таких как центры обеспечения безопасности (Security Operations Centres, SoCs). Поставщики услуг по анализу киберугроз обычно предоставляют IOCs в машиночитаемых форматах для быстрой передачи в автоматизированном режиме и обработки данных у заказчика. А информацию о тактиках, методах и процедурах (TTP) предоставляют в виде удобных для чтения отчётов.
Стратегический уровень
Анализ угроз на стратегическом уровне предназначен для информирования руководства, отвечающего за безопасность. Отчёт сосредоточен на вопросах бизнес-рисков и не использует техническую терминологию. В нём отражены среднесрочные и долгосрочные тенденции киберугроз.
Выводы
Анализ киберугроз играет ключевую роль в современной информационной безопасности, предоставляя организациям ценную информацию для защиты своих цифровых активов. Вот основные преимущества, которые он приносит:
-
Предотвращение инцидентов безопасности: анализ киберугроз помогает выявлять потенциальные угрозы до того, как они могут нанести ущерб. Это позволяет организациям принимать проактивные меры для предотвращения атак.
-
Повышение осведомленности: организации получают глубокое понимание того, какие угрозы наиболее вероятны, какие уязвимости могут быть использованы злоумышленниками, и какие последствия могут быть у инцидентов. Это позволяет лучше подготовиться к защите.
-
Оптимизация ресурсов безопасности: знание конкретных угроз и уязвимостей позволяет эффективно распределять ограниченные ресурсы безопасности. Организации могут сосредоточиться на самых значимых рисках, минимизируя затраты на менее критичные области.
-
Улучшение реагирования на инциденты: быстрое и точное обнаружение угроз помогает сократить время реагирования на инциденты. Организации могут быстрее изолировать и нейтрализовать угрозы, снижая потенциальный ущерб.
-
Поддержка принятия обоснованных решений: анализ киберугроз предоставляет данные и аналитические выводы, которые помогают руководителям и специалистам по безопасности принимать обоснованные решения. Это важно для стратегического планирования и разработки эффективных политик безопасности.
-
Снижение риска репутационных потерь: быстрая и эффективная реакция на угрозы помогает сохранить доверие клиентов и партнеров. Организации, которые демонстрируют способность защищаться от киберугроз, укрепляют свою репутацию.
-
Информирование о новых угрозах и трендах: Анализ киберугроз позволяет следить за новыми тактиками, методами и процедурами злоумышленников. Это помогает адаптировать стратегии защиты и быть на шаг впереди атакующих.
В результате, анализ киберугроз является неотъемлемой частью эффективной стратегии информационной безопасности. Он предоставляет необходимые инструменты и знания для защиты цифровых активов, минимизации рисков и обеспечения непрерывности бизнес-процессов.
Больше об аналитике киберрисков расскажем в следующих материалах.
ссылка на оригинал статьи https://habr.com/ru/articles/827998/
Добавить комментарий