Киберугроз с каждым днем становится все больше, и здесь на помощь службам информационной безопасности приходит технология Threat Intelligence, которая не только помогает обнаруживать возникающие, развивающиеся и существующие угрозы но и позволяет прогнозировать будущие источники угроз и возможные типы атак, а также внедрять строгие политики управления рисками в организации.
TI используется достаточно давно, и есть несколько уровней глубины анализа, которые могут использоваться.
Что же это такое - TI?
Это знания о киберугрозах и злоумышленниках, позволяющие снизить либо ликвидировать риски в киберпространстве. Можно выделить 4 уровня TI.
стратегический - killchain атаки, последующие шаги злоумышленника;
операционный - данные по конкретным уязвимостям, связанным с инцидентом;
тактический - вопросы поведенческого анализа инцидента;
технический - базовая информация об инциденте: адрес, домен, имя хоста, и прочие технические вопросы, связанные с конкретным инцидентом.
Первый уровень (технический) уже довольно старый, существует с 2001 года.
Почему компания должна выйти на определенный уровень развития для того, чтобы использовать технологии TI?
По мнению экспертов, такая постановка вопроса не совсем корректна. Компании разного уровня зрелости используют разные уровни глубины TI: крупные компании пытаются предсказать, каким атакам они подвергнутся в будущем, анализировать текущие массированные атаки, в то время как компании малого и среднего размера используют результаты TI тактического уровня, например, различные security feeds, блок-листы и прочие источники информации об уже реализованных угрозах. Поэтому можно сказать, что технологиями TI пользуются сейчас все компании, которые хоть как-то внедряют у себя элементы информационной безопасности, даже покупая и используя антивирусы.
Security Vision, как вендор информационной безопасности, понимая актуальность темы, разработал свою собственную TI-платформу. Отдельный аналитический отдел исследует популярные атаки, технологии их сокрытия, стратегии реагирования на инциденты и выделяют характерные IOC, используя TI-платформу. Имеется ряд внедрений TI-платформы у крупных заказчиков. После массового исхода вендоров с российского рынка Security Vision активизировали разработку собственной TI платформы на основе anomali. Эта платформа реализует стадии жизненного цикла инцидента и за пределами TI - от инвентаризации активов до расследования и закрытия инцидентов.
Поскольку коммерческие фиды стоят достаточно недешево, полноценными пользователями TI- платформы все же является крупный и средний бизнес, идущий туда осознанно. Малый (с точки зрения ИБ-бюджета) бизнес будет по-прежнему пользоваться opensource результатами (блек-листами, списками), и полноценное использование TI-платформ для них менее актуально. Кроме того, эффективное использование коммерческих фидов и полноценной платформы подразумевает наличие достаточно развитой IT-инфрастурктуры и внутренних ИБ-процессов.
Почему же это так дорого? По мнению вендора (Security Vision), цена обусловлена необходимостью непрерывной работы штата специалистов, которые обеспечивают полный цикл анализа угроз, от их обнаружения до разработки индикаторов компрометации. При этом цены на коммерческие фиды начинаются от 2 млн. р. в год (информация не от Security Vision).
Проблемы, связанные с использованием TI
Непонимание процесса. Многие заказчики не понимают, как и для чего TI можно правильно использовать.
Отсутствие понимания, какие именно задачи решаются (взять самое дорогое, потому что это модно или просто “на сдачу”).
TI не используется при реальном расследовании инцидентов.
Разнородность форматов данных, отсутствие единого понятийного аппарата, единых стандартов.
Отсутствие компетенций. С индикаторами надо уметь работать.
Обоснование бюджета на TI-платформы пока затруднено: специалистам ИБ сложно разъяснить бизнесу ценность этих продуктов при их достаточно высокой стоимости. Возможно, проблема будет решаться за счет сокращения и упрощения функционала для того, чтобы подобные платформы были более доступны небольшим компаниям.
Что выбрать - opensource или коммерческое решение? Ответ, как всегда, зависит от целей, подхода и имеющихся ресурсов. При наличии в штате достаточно квалифицированных специалистов opensource может стать допустимой альтернативой, при учете всех связанных рисков.
Использование собранной информации:
Ситуационная осведомленность
Идентификация инцидентов:
Обнаружение технических IoC
Обнаружение аномальной активности - например, запросы на необычные адреса, которые могут принадлежать командным серверам ботнетов
Ретроспективный поиск IoC
Пример ретро-анализа инцидента и обогащения
нашли инцидент по корреляциям SIEM, производим поиск IoC в TI-платформе
проверяем данные в TI-платформе на предмет наличия ассоциированных с этим IoC других IoC через threat actor или компании
на основании собранного data set IoC производим ретроспективный поиск
Преимущества TI:
Проактивная защита: индикатор до фактического воздействия
Более эффективное и бстрое расследование инцидентов
Формирование своего реального ландшафта угроз
Какие ожидания у заказчиков от TI и как эти ожидания меняются с развитием технологий?
Как правило, заказчики продолжают ориентироваться на самый нижний уровень использования TI, т.е. на конкретные фиды/источники, желательно от нескольких поставщиков, которые можно использовать для обнаружения, а операционному и стратегическому уровню внимания уделяется недостаточно вследствие недостаточной зрелости процессов заказчиков.
Для того, чтобы пытаться что-то спрогнозировать, необходимо наличие команды, которая будет анализировать собранные данные и на основе этого анализа строить прогнозы, но это мало у каких компаний есть сейчас. Иногда спрос стимулируется маркетинговыми методами крупных вендоров, но он как правило не вызван реальной потребностью компаний-заказчиков.