Ана­лити­ки обе­щают рын­ку Threat Intelligence взрыв­ной рост — до 55 мил­лиар­дов дол­ларов США к 2033 году, а в Рос­сии этот рынок уд­воил­ся за пос­ледние два года. В этой статье мы под­робно погово­рим о том, что вхо­дит в понятие TI, и раз­берем­ся, как кибер­развед­ка выг­лядит с точ­ки зре­ния заказ­чика.

Ин­терес­но, что спе­циалис­ты иног­да сами спо­рят о том, что такое Threat Intelligence. Одни утвер­жда­ют, что TI — это боль­ше про при­мене­ние зна­ний о киберуг­розах при реаги­рова­нии на инци­ден­ты, дру­гие — что глав­ное — это иссле­дова­ние вре­донос­ного ПО, третьи скон­цен­три­рова­лись на клас­сифика­ции зло­умыш­ленни­ков, чет­вертые пол­ностью ушли в сбор инди­като­ров ком­про­мета­ции.

При­чина спо­ров, на мой взгляд, в том, что тон зада­ют пос­тавщи­ки услуг, а они исхо­дят из удоб­ной для себя позиции. То есть каж­дый рек­ламиру­ет то нап­равле­ние, которым сам занима­ется.

Я сог­ласен со все­ми пред­ста­вите­лями отрасли: все перечис­ленное дей­стви­тель­но мож­но отнести к Threat Intelligence. Но в этой статье и на сво­ем прак­тичес­ком кур­се по кибер­развед­ке Threat Intelligence я рас­ска­зываю о при­мене­нии TI с позиции пот­ребите­ля, пос­коль­ку здесь есть свои осо­бен­ности.

Что же цен­ного может дать внед­рение и активное при­мене­ние Threat Intelligence в орга­низа­ции?

 

История Threat Intelligence

Для начала погово­рим о появ­лении TI. Если не вда­вать­ся в исто­рию отдель­ных видов раз­ведки, таких как OSINT, TECHINT, SOCMINT, GEOINT, HUMINT и дру­гих, которые раз­вивались во мно­гом бла­года­ря уси­лиям воен­ных, то вре­менем появ­ления Threat Intelligence мож­но счи­тать конец нулевых годов.

Упо­мина­ния были, безус­ловно, и рань­ше, но имен­но в это вре­мя сло­жилась та база, которая затем прев­ратилась в при­выч­ную нам TI. Как раз тог­да появи­лась ком­пания iSIGHT, которая пер­вой наз­вала основным нап­равле­нием деятель­нос­ти про­активное выяв­ление киберуг­роз (в 2016 году была куп­лена аме­рикан­ской ком­пани­ей FireEye).

В те же годы начали все чаще зву­чать заяв­ления о том, что для защиты от нарас­тающих киберуг­роз ста­новит­ся недос­таточ­но тра­дици­онных ИБ‑решений, осно­ван­ных преж­де все­го на реак­тивных мерах. Пре­вен­тивные меры, уже тог­да широко при­меняв­шиеся в круп­ных ком­пани­ях, тоже не всег­да помога­ют, так как зло­умыш­ленни­ки при­думы­вают новые изощ­ренные спо­собы их обхо­да. Начина­ется нас­тоящая гон­ка воору­жений меж­ду кибер­прес­тупни­ками и защит­никами.

В 2011 году мир стал сви­дете­лем одной из самых резонан­сных компь­ютер­ных атак за всю исто­рию раз­вития информа­цион­ных сис­тем. Спец­служ­бам США и Изра­иля сов­мес­тно уда­лось раз­работать вре­донос­ное ПО под наз­вани­ем Stuxnet и ата­ковать с его помощью компь­ютер­ную сис­тему ядер­ной прог­раммы Ира­на. Этот слу­чай показал всем, нас­коль­ко серь­езный ущерб может нанес­ти компь­ютер­ная ата­ка. При­чем не в вир­туаль­ном, а в реаль­ном мире.

Мно­гие вен­доры, оце­нив пер­спек­тивность нового нап­равле­ния, ринулись соз­давать про­дук­ты под брос­кой вывес­кой Threat Intelligence, порой выдавая за них дав­но извес­тные всем инс­тру­мен­ты. Так началась еще одна гон­ка: за раз­дел рын­ка.

Од­но из занят­ных пос­ледс­твий этой гон­ки — появ­ление нес­коль­ких наз­ваний для одних и тех же груп­пировок. Каж­дая ком­пания пыта­ется прис­воить самос­тоятель­но выдуман­ное имя бан­де кибер­прес­тупни­ков, при­чем желатель­но яркое и запоми­нающееся — что­бы оно при­жилось и дру­гим ком­пани­ям не оста­валось ничего дру­гого, кро­ме как исполь­зовать его. Ста­ли даже рисовать брос­кие изоб­ражения — как буд­то занялись про­моуше­ном у зло­умыш­ленни­ков и прод­вига­ют их брен­ды. Тут сра­зу вспо­мина­ется Crowdstrike и их клас­сные карика­туры.

Изображение группировки Primitive Bear
Изоб­ражение груп­пиров­ки Primitive Bear

Но не всё в мире TI так жес­тко слу­жит ком­мерции. В 2013 году была соз­дана база зна­ний MITRE ATT&CK. Мало кто пом­нит, но этот популяр­ней­ший в наше вре­мя инс­тру­мент появил­ся бла­года­ря экспе­римен­ту, в ходе которо­го спе­циалис­ты MITRE поп­робова­ли клас­сифици­ровать дей­ствия зло­умыш­ленни­ка, что­бы отве­тить на воп­рос «Нас­коль­ко хорошо мы справ­ляем­ся с обна­руже­нием задоку­мен­тирован­ного поведе­ния кибер­прес­тупни­ков?».

Как видишь, дело заш­ло зна­читель­но даль­ше прос­того отве­та на воп­рос. Мат­рица ATT&CK рас­тет и пол­нится, воз­никло мно­жес­тво сто­рон­них инс­тру­мен­тов, осно­ван­ных на ATT&CK. И каж­дый ува­жающий себя раз­работ­чик ИБ‑решений в том или ином виде исполь­зует эту мат­рицу в сво­их про­дук­тах.

За­тем ста­ли появ­лять­ся плат­формы и пор­талы Threat Intelligence. Одним из пер­вых мож­но наз­вать про­ект CyDefSig, открыв­ший­ся в 2011 году. Поз­же он прев­ратил­ся в MISP — популяр­ный во всем мире про­дукт, вок­руг которо­го сло­жилось свое сооб­щес­тво.

С 2013 года дей­ству­ет плат­форма Anomali Threat Stream, которая и сей­час уве­рен­но раз­вива­ется и про­дол­жает быть эта­лоном. На рос­сий­ском рын­ке активно прод­вигать TI в мас­сы взя­лась ком­пания Group-IB со сво­им про­дук­том Threat Intelligence & Attribution.

Се­год­ня толь­ко на нашем рын­ке пред­став­лено нес­коль­ко десят­ков про­дук­тов, пос­вящен­ных Threat Intelligence. Это плат­формы, пор­талы, фиды, раз­личные сер­висы. Иссле­дова­тель­ские агентства обе­щают это­му нап­равле­нию небыва­лый рост. А на сай­тах под­бора сот­рудни­ков все чаще появ­ляют­ся вакан­сии вро­де «ана­литик TI».

 

Определение и уровни TI

Ду­маю, инту­итив­но ты уже прек­расно понима­ешь, что такое TI, но все же давай вспом­ним фор­маль­ное опре­деле­ние. Threat Intelligence — это «зна­ния (вклю­чая кон­текст, механиз­мы, так­тики, тех­ники, про­цеду­ры и прак­тичес­кие рекомен­дации), которые получе­ны на осно­ве фак­тичес­ких дан­ных о сущес­тву­ющей или воз­ника­ющей угро­зе или опас­ности для акти­вов и которые могут исполь­зовать­ся для при­нятия решений о реаги­рова­нии субъ­екта на эту угро­зу или опас­ность».

Так это понятие рас­кры­ла все­мир­но извес­тная ана­лити­чес­кая ком­пания Gartner. Зачас­тую при опре­деле­нии TI поль­зуют­ся фор­мулиров­ками «TI — это информа­ция» или «TI — это дан­ные». Это невер­ный под­ход, и сле­дующее изоб­ражение объ­ясня­ет почему.

  • Дан­ные — это необ­работан­ные и неос­поримые фак­ты, ста­тис­тика. Сами по себе необ­работан­ные дан­ные име­ют огра­ничен­ную цен­ность.
  • Ин­форма­ция — это объ­еди­нение дан­ных в фор­му, с помощью которой мы можем отве­тить на пос­тавлен­ный воп­рос.
  • Зна­ния — это резуль­тат ана­лиза дан­ных и информа­ции. С помощью зна­ний выяв­ляют­ся законо­мер­ности и дает­ся кон­текст для при­нятия обос­нован­ных решений.

Вот имен­но к получе­нию зна­ний и стре­мит­ся Threat Intelligence.

Даль­ше сто­ит упо­мянуть про уров­ни Threat Intelligence. Их три. Или четыре?

Раз­ные источни­ки информа­ции дают раз­ный ответ. И даже сами наз­вания уров­ней отли­чают­ся. На самом деле важ­но не количес­тво вооб­ража­емых уров­ней, а то, как про­исхо­дит работа на каж­дом из них. Я ста­раюсь ори­енти­ровать­ся на под­ход, которо­го при­дер­жива­ется инсти­тут SANS, опре­деля­ющий три уров­ня TI:

  1. Стра­теги­чес­кий. При­мер: «Жер­тва­ми Lazarus явля­ются мно­гие гло­баль­ные пра­витель­ствен­ные орга­низа­ции, орга­низа­ции в сфе­ре обра­зова­ния, высоких тех­нологий, финан­сов, фар­мацев­тичес­кой и обо­рон­ной про­мыш­леннос­ти, а так­же неком­мерчес­кие орга­низа­ции».
  2. Опе­ратив­ный. При­мер: «Исполь­зование при­ложе­ний Google Cloud для пересыл­ки C2 (в качес­тве прок­си‑сер­вера)».
  3. Так­тичес­кий. При­мер: 628d4f33bd604203d25dbc6a5bb35b90, googleService.exe, PCI\VEN_80EE&DEV_CAF.
 

Жизненный цикл TI

За­метил, что ни по одно­му воп­росу у спе­циалис­тов по TI нет еди­ного мне­ния? С жиз­ненным цик­лом ров­но та же исто­рия. Кто‑то говорит, что у него шесть эта­пов, кто‑то счи­тает, что пять. Здесь и в сво­ем кур­се я пред­лагаю рас­смат­ривать четыре уров­ня в соот­ветс­твии с методо­логи­ей CREST.

Сог­ласно CREST, уров­ни такие: «Пла­ниро­вание и нап­равле­ние», «Сбор дан­ных», «Ана­лиз информа­ции», «Рас­простра­нение раз­веддан­ных и обратная связь». На каж­дом дела­ется мно­жес­тво отдель­ных шагов. А пос­ледний этап хоть и счи­тает­ся зак­лючитель­ным, но не завер­шает про­цесс Threat Intelligence, а дает вход­ные дан­ные для пер­вого эта­па, который откры­вает новый цикл. И так может пов­торять­ся до бес­конеч­ности.

 

Планирование и направление

На этом эта­пе про­исхо­дит коор­динация раз­ведыва­тель­ной деятель­нос­ти, что поз­воля­ет эффектив­но отве­чать на зап­росы пот­ребите­ля. Раз­работ­ка пра­виль­ного набора тре­бова­ний помога­ет:

  • от­сле­живать релеван­тные источни­ки угроз;
  • со­бирать наибо­лее полез­ные раз­веддан­ные;
  • го­товить ана­лити­чес­кие про­дук­ты в нуж­ном фор­мате и с нуж­ным уров­нем детали­зации для каж­дого типа поль­зовате­лей;
  • из­бегать пус­той тра­ты вре­мени и денег на сбор и рас­простра­нение три­виаль­ных дан­ных.

Оп­ределить пра­виль­ные для ком­пании тре­бова­ния мож­но, выявив ее осо­бен­ности. В какой сфе­ре работа­ет, в каких стра­нах пред­став­лена, какие важ­ные кри­тичес­кие акти­вы име­ются, кто может ата­ковать, кому в ком­пании наибо­лее инте­рес­на информа­ция TI, кто будет глав­ным пот­ребите­лем.

До­пус­тим, на эта­пе пла­ниро­вания мы выяс­нили, что наша ком­пания из Рос­сии. Из это­го сле­дует, что по понят­ным при­чинам нам не сто­ит опа­сать­ся атак, исхо­дящих от груп­пировок Evil Corp, Fancy Bear, Turla.

Важ­но так­же опре­делить акти­вы. В пер­вую оче­редь — все сер­висы, которые работа­ют на внеш­нем перимет­ре. Это поз­волит эффектив­но монито­рить теневые ресур­сы в поис­ках новых приз­наков угроз или новос­тей о ком­про­мета­ции. Не сто­ит забывать и про внут­ренние акти­вы. Зна­ние того, какое ПО исполь­зует­ся в инфраструк­туре, поможет эффектив­но собирать информа­цию обо всех релеван­тных уяз­вимос­тях и воз­можном появ­лении экс­пло­итов к ним.

Что­бы эффектив­но сопос­тавлять дан­ные о киберуг­розах с внут­ренни­ми источни­ками, необ­ходимо опре­делить, какие типы событий твоя ком­пания спо­соб­на отсле­живать и нас­коль­ко хорошо выс­тро­ен про­цесс пар­синга. На этом эта­пе может воз­никнуть зависи­мость от дру­гих под­разде­лений, поэто­му важ­но выс­тро­ить диалог с ними. Ина­че ты можешь стол­кнуть­ся с проб­лемой, ког­да закуп­ленные фиды так и про­лежат «в короб­ке». Нап­ример, если нет логов запус­ка фай­лов, соб­ранных с рабочих стан­ций, вряд ли будут полез­ны инди­като­ры хешей вре­доно­сов.

И конеч­но, сто­ит решить, какие инс­тру­мен­ты для обес­печения Threat Intelligence будет исполь­зовать ком­пания. Тут воз­можны вари­анты от таб­лицы в Excel до пол­ноцен­ной ком­мерчес­кой TI-плат­формы. От выбора зависит, какой объ­ем дан­ных получит­ся обра­ботать и с какими сис­темами есть воз­можность интегри­ровать­ся для эффектив­ного обме­на информа­цией.

На этом же эта­пе необ­ходимо опре­делить собс­твен­ный лан­дшафт угроз, что­бы понимать, от чего сто­ит защищать­ся. Один из вари­антов — пос­тро­ение теп­ловой кар­ты с релеван­тны­ми тех­никами ATT&CK в MITRE Navigator. На кур­се я рас­ска­зываю, как это сде­лать.

 

Сбор данных

На этом эта­пе собира­ют дан­ные и информа­цию в соот­ветс­твии с тре­бова­ниями, опре­делен­ными на пре­дыду­щем шаге. Здесь недос­таточ­но будет прос­то под­клю­чить фиды от популяр­ного бес­плат­ного источни­ка к раз­верну­той в инфраструк­туре плат­форме MISP. Такой сце­нарий име­ет мало обще­го с Threat Intelligence. Что­бы собира­емые дан­ные при­носи­ли нас­тоящую поль­зу, важ­но пра­виль­но опи­сать их, клас­сифици­ровать, выс­тавить при­ори­теты реаги­рова­ния на них.

Сбор дан­ных вклю­чает как исполь­зование готовых решений, так и соз­дание собс­твен­ных инс­тру­мен­тов. Нап­ример, это могут быть раз­личные пар­серы, поз­воля­ющие получать информа­цию от релеван­тных для ком­пании источни­ков. Как соз­дать такой инс­тру­мент, я тоже рас­ска­зываю на кур­се.

И не сто­ит забывать про внут­ренние источни­ки информа­ции. Они, на мой взгляд, отно­сят­ся к одним из самых важ­ных, так как дают наибо­лее релеван­тную информа­цию. Это могут быть отче­ты о выяв­ленных уяз­вимос­тях, хос­товые и сетевые жур­налы, резуль­таты раз­бора инци­ден­тов.

info

Сво­им опы­том сбо­ра дан­ных TI из откры­тых источни­ков и инте­рес­ными кей­сами поделит­ся соос­нователь ком­пании RST Cloud Николай Арефь­ев, встре­ча с которым сос­тоит­ся в про­цес­се про­хож­дения кур­са.

 

Анализ

В ходе ана­лиза необ­работан­ные дан­ные и информа­ция сопос­тавля­ются, объ­еди­няют­ся с дру­гими источни­ками и прев­раща­ются в раз­веддан­ные.

На этом эта­пе выпол­няют нор­мализа­цию и обра­бот­ку дан­ных, получен­ных из всех источни­ков, а затем — непос­редс­твен­но ана­лиз, для которо­го необ­ходимо выс­тро­ить вза­имос­вязи, кор­реляции, вли­яния раз­ных фак­торов непос­редс­твен­но на ту или иную цель. Резуль­татом это­го эта­па мож­но счи­тать получе­ние непос­редс­твен­но дан­ных раз­ведки (Intelligence), то есть тех самых зна­ний.

Лю­бой из соз­данных про­дук­тов ана­лити­ки дол­жен обла­дать кон­тек­стом. Это то, что помога­ет ана­лити­ку TI и любому дру­гому поль­зовате­лю с пер­вого взгля­да понять, с чем он име­ет дело. Вот так выг­лядит инди­катор ком­про­мета­ции без кон­тек­ста:

sha256: 2aea7391a49bf92040bb0d41a97e400489a047a6dde7e4cc90875c7eb9733b51

На рисун­ке ниже при­веден он же, толь­ко уже обо­гащен­ный кон­тек­стом из дру­гих источни­ков. Раз­ница оче­вид­на.

И конеч­но же, говоря об ана­лизе киберуг­роз, нель­зя не вспом­нить MITRE ATT&CK. Выделе­ние TTP (так­тики, тех­ники, про­цеду­ры), которы­ми поль­зуют­ся зло­умыш­ленни­ки, — это как раз яркий при­мер ана­лиза. Понима­ние этих так­тик и тех­ник поз­воля­ет орга­низо­вать эффектив­ную защиту, соз­дать работа­ющие пра­вила кор­реляции и при необ­ходимос­ти вос­создать дей­ствия зло­умыш­ленни­ков, что­бы выявить бре­ши в обо­роне.

 

Распространение разведданных и обратная связь

Все наши дос­тижения так и оста­нут­ся лежать «в сто­ле», если мы не смо­жем рас­простра­нить их сре­ди пот­ребите­лей в мак­сималь­но удоб­ном и наг­лядном виде.

Да­вай прой­дем­ся по спис­ку пот­ребите­лей TI и кон­крет­ных про­дук­тов, которые им тре­буют­ся:

  • Ко­ман­ды SOC и Incident Response — инди­като­ры ком­про­мета­ции, помощь при рас­сле­дова­нии инци­ден­тов, иссле­дова­ния зло­умыш­ленни­ков и их TTPs.
  • Ко­ман­ды по управле­нию уяз­вимос­тями — информа­ция об уяз­вимос­тях и экс­пло­итов к ним.
  • Ру­ково­дите­ли про­ектов — оцен­ка пар­тне­ров и под­рядчи­ков.
  • Ко­ман­ды Red Team — зна­ния о TTPs зло­умыш­ленни­ков для пос­леду­ющей ими­тации их дей­ствий.
  • Threat Hunting — зна­ния о том, что нуж­но искать в инфраструк­туре.
  • Ко­ман­ды по защите брен­да — сооб­щения о любых угро­зах, нап­равлен­ных на бренд и его дис­кре­дита­цию.
  • Ко­ман­ды по раз­работ­ке пра­вил кор­реляции — идеи для соз­дания кон­тента.
  • Собс­твен­ная безопас­ность — ана­лиз меди­апо­ля.
  • Груп­пы по пре­дот­вра­щению мошен­ничес­тва — сооб­щения об утеч­ке дан­ных сот­рудни­ков и кли­ентов, скам‑кам­пани­ях.
  • Под­разде­ления, обес­печива­ющие кон­троль дос­тупа к ресур­сам ком­пании — резуль­таты монито­рин­га дар­кне­та и дру­гих источни­ков уте­чек дан­ных.
  • Ру­ково­дите­ли служб безопас­ности и ком­пании — информа­ция стра­теги­чес­кого харак­тера, поз­воля­ющая опре­делить тен­денции раз­вития киберуг­роз и соот­нести их с рис­ковой моделью.

Как видишь, TI вза­имо­дей­ству­ет с боль­шим количес­твом пот­ребите­лей. Информа­ция может пос­тупать к ним в виде отче­тов, инди­като­ров ком­про­мета­ции, слу­жеб­ных сооб­щений, фай­лов в стан­дарти­зиро­ван­ных фор­матах STIX/MISP и так далее.

За­мечу так­же, что в некото­рых круп­ных ком­пани­ях в сос­таве TI-под­разде­лений все чаще появ­ляют­ся собс­твен­ные PR-менед­жеры. Их задача сос­тоит в том, что­бы мак­сималь­но инте­рес­но и полез­но рас­простра­нять зна­ния о киберуг­розах не толь­ко сре­ди сот­рудни­ков тех­ничес­ких под­разде­лений, но и сре­ди обыч­ных поль­зовате­лей, тем самым повышая уро­вень их гра­мот­ности и под­готов­ки.

 

Итоги

Threat Intelligence за дос­таточ­но корот­кий пери­од из нового нап­равле­ния прев­ратилась в «мас­тхев» — по край­ней мере для круп­ных ком­паний, жела­ющих отсле­живать важ­ные для себя киберуг­розы на дол­жном уров­не.

Вы­бирая кон­крет­ное решение, сто­ит пом­нить важ­ное пра­вило: на кон­крет­ные инс­тру­мен­ты нуж­но обра­щать вни­мание в пос­леднюю оче­редь. Гораз­до важ­нее люди и выс­тро­енные про­цес­сы, бла­года­ря которым от этих инс­тру­мен­тов мож­но получить мак­сималь­ную отда­чу.

 

О курсе

Свой курс я пос­тро­ил, ори­енти­руясь на это пра­вило, что­бы выпус­кни­ки мог­ли не толь­ко нажимать на нуж­ные кноп­ки и читать с экра­на, но и понимать свое мес­то в струк­туре все­го нап­равле­ния ИБ, осоз­навать зна­чимость выпол­няемой работы и раз­вивать Threat Intelligence в сво­их ком­пани­ях, ори­енти­руясь на луч­шие мировые прак­тики.

А для ком­паний, жела­ющих оку­нуть­ся в это увле­катель­ное нап­равле­ние и раз­вить его у себя, курс может слу­жить методич­кой, где отра­жены наибо­лее важ­ные момен­ты и перечис­лены под­водные кам­ни и ошиб­ки, избе­жать которых самос­тоятель­но не всег­да получа­ется. Всем заин­тересо­вав­шимся пред­лагаю за­писать­ся на демодос­туп и озна­комить­ся с содер­жимым кур­са самос­тоятель­но.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии