В світі, де кіберзагрози постійно еволюціонують, важливість Threat Intelligence (розвідувальної інформації про загрози) стає все більш актуальною. Розуміння того, хто є споживачами цієї інформації та чому вона є важливою, може допомогти у формуванні ефективної стратегії кібербезпеки. В цій статті ми забезпечимо всеобхватний погляд на спектр споживачів Threat Intelligence та висвітлимо, чому ця інформація є невід’ємною частиною сучасного кіберпростору. У цій статті ми допоможемо вам зрозуміти, як максимально використати можливості, які надає Threat Intelligence, для забезпечення безпеки вашого бізнесу у цифровому світі. Споживачами Threat Intelligence можуть бути організації різних розмірів і напрямків – від невеликих стартапів до великих корпорацій. Вони включають IT-відділи, команди кібербезпеки, розробників програмного забезпечення та керівників бізнесу.
Основна мета використання Threat Intelligence полягає у виявленні, аналізі та запобіганні потенційних кіберзагроз, що можуть вплинути на їхні операції та активи. Значення Threat Intelligence полягає у її здатності надавати детальні, актуальні дані про поточні кіберзагрози, що включають віруси, троянські програми, фішингові атаки та інші методи кібератак. Ця інформація дозволяє організаціям бути на крок попереду зловмисників, адаптуючи свої захисні стратегії та підвищуючи рівень своєї кіберрезистентності. Аналізуючи дані Threat Intelligence, компанії можуть виявляти вразливі місця у своїх системах, знижувати ризики та запобігати потенційним інцидентам. Використання цих даних також допомагає у розробці більш ефективних політик безпеки та процедур реагування на інциденти. Крім того, в контексті дотримання нормативних вимог, Threat Intelligence може допомогти організаціям забезпечити відповідність законодавству та стандартам, зокрема у сферах захисту даних та кібербезпеки. У підсумку, зростаюча залежність від цифрових технологій та інтернету робить Threat Intelligence необхідним інструментом для будь-якої організації, яка прагне захистити себе від кіберзагроз.
Кожні два-три роки у світі «інформаційної безпеки» з’являється панацея, яка захистить від кіберзлочинців і кіберактивістів, промислового шпигунства та кібератак APT-атака. Усі встановлені комп’ютерні системи були визнані застарілими та морально непридатними та запропоновано їх терміново замінити. Звичайно, не безкоштовно. За чудодійними ліками стоять черги, ліцензій не вистачає. І тут прокинувся продавець.
Подібна ситуація зараз існує з Threa Intelligence. Дуже модно, динамічно, молодіжно, але постачальники, користувачі та покупці часто розуміють ТІ зовсім по-різному.
Давайте спробуємо розібратися, що це за загадковий звір, звідки він так раптово «вискочив», навіщо потрібна і кому цікава така розвідка, і чи можна займатися розвідкою за келихом улюбленого пива.
Розвідка про загрози передбачає регулярний і систематичний збір інформації про загрози, покращення та збагачення цієї інформації, застосування цих знань для цілей захисту та обмін цією інформацією з людьми, які можуть отримати від неї користь. TI — це більше, ніж просто база даних підписів для IDS або набір правил для SIEM. ІТ – це процеси, які мають чітких і вимірюваних (наскільки це можливо) власників, цілі, вимоги та результати. Я буду розуміти ТІ саме в цьому сенсі.
Треба сказати, що до 2014 року жодної розвідки про загрози не було. Звичайно, є, але таке враження складається, дивлячись на теми, які розглядалися на першій конференції ОДА.
А потім почався справжній IT-бум! Список компаній і організацій, які пропонують купити або поділитися інформацією про загрози, зловмисників і шкідливе програмне забезпечення, складається з 126 рядків. І це ще не все. Три роки тому аналітики міжнародних дослідницьких компаній відповіли на запитання про розмір IT-ринку: «Не хвилюйтеся! Такого ринку не існує. Нема чого розглядати». Сьогодні вони (451 Research, MarketsandMarkets, IT-Harvest, IDC і Gartner) оцінюють цей ринок у півтора мільярда доларів у 2018 році.
Завдяки розумінню кіберзлочинців та їх інструментів, тактик та процедур (TTP) можна швидко пропонувати та перевіряти гіпотези. Наприклад, якщо співробітник групи реагування знає, що певні зразки шкідливого ПЗ (яке щойно знайшов антивірус) націлені на компрометацію адміністративних облікових записів, це дуже сильний аргумент на користь того, щоб перевірити логи і спробувати знайти підозрілі авторизації.
Наприклад, ймовірність використання певної вразливості, визначеної в певній інформаційній системі, може бути низькою, але оцінка CVSS висока (у CVSS v.3 інциденти реєструвалися, а оцінки ймовірності були імпортовані). Тому важливо враховувати прийняту модель загроз, стан інфраструктури та зовнішні фактори.
У 2015 році SANS Institute провів міжгалузеве опитування ІТ-споживачів за участю 329 респондентів із Північної, Центральної та Південної Америки, Європи, Близького Сходу та Австралії. Відповідно до цього дослідження, ІТ-клієнти повідомляють про позитивні зміни в кількох сферах доставки ІБ після впровадження ІТ-процесів.
Відповідно до цього дослідження дуже сильно відрізняються форми адаптації.
Тільки в 10% випадків в організаціях немає планів розвивати розвідку кіберзагроз усередині компанії або про такі плани не відомо.
Глобально існує два типи TI – стратегічна та тактична (або «технічна» – кому як подобається). Вони дуже відрізняються і за результатами, і за способами використання цих результатів.
Щоб не писати нудну стіну тексту, ми зібрали усіх споживачів в одну таблицю. У кожній клітинці вказані групи споживачів і результати, які можуть їх найбільше зацікавити.
Той самий набір ІТ-результатів може зацікавити різні цільові групи. Наприклад, «Інструменти, програмне забезпечення та «рейка атаки» в таблиці знаходяться в полі «Технічні», але, звісно, «Тактика» також представлятиме інтерес.
Однак є ще одна сторона, зацікавлена в отриманні інформації від організації: партнери організації. Як правило, зловмисники атакують справжніх підрядників або партнерів цілі в надії, що їхній захист буде легше подолати, і вони зможуть отримати доступ до інформаційних ресурсів цілі. Тому має сенс організувати обмін інформацією про атаки та загрози між партнерами.
Велика кількість видавців CSI та супроводжувачів проектів з відкритим кодом регулярно надають індикатори, підписи та правила виявлення атак для брандмауерів, антивірусного програмного забезпечення, IPS/IDS, UTM. У деяких випадках це необроблені дані, в інших вони доповнені оцінкою ризику або репутації. Індикатори загроз є важливими на технічному рівні ІТ, але часто не забезпечують контекст для реагування на інцидент.
Постачальники технологій та ІТ-компанії надають свої канали даних про загрози. Вони включають перевірені та пріоритетні індикатори загроз, а також технічний аналіз зразків зловмисного коду, інформацію про бот-мережі, DDoS-атаки та типи зловмисної діяльності та інструменти. Часто ці стрічки доповнюються статистикою та прогнозами: наприклад, «ТОП-10 шифрувальників» або «Список найбільших ботнетів» тощо.
Основні недоліки цих потоків включають відсутність галузевої чи регіональної специфіки та малу цінність для користувачів ІТ на стратегічному рівні.
Небагато компаній пропонують справді комплексні ІТ: підтверджені індикатори загроз, релевантні споживачам, канали даних про загрози та ІТ стратегічного рівня.
Сюди зазвичай входять:
Перевірені та розмічені (теговані) індикатори загроз.
Детальна технічна аналітика інструментів атак.
Глибокі дослідження противника, доповнені інформацією на «підпільних» сайтах та з приватних джерел.
Оцінка ландшафту загроз для галузі та окремого підприємства.
Допомога у виробленні вимог до TI.
TI, спеціально підготовлена для користувачів різних рівнів усередині однієї організації.
Аристотель так сказав. А для тих, хто в безпеці, спілкування – це спосіб об’єднати зусилля проти зловмисників. Є навіть більш-менш відомий англійський термін: beer intelligence. Це час, коли детективи зустрічаються та діляться своїми висновками та підозрами в неформальній обстановці. Отже, так, ви також можете дізнатися деяку інформацію за пивом.
Четвертий принцип визначення TI — «і ділитися ними з тими, кому вони можуть бути корисні» — саме про обмін інформацією. І організувати його можна не лише за схемою Б2Б (безпека-безпека), а й за допомогою довіреної третьої сторони (організації), яка збирає, верифікує, знеособлює та розсилає інформацію про погрози всім учасникам спільноти. Такі спільноти підтримуються державними чи громадськими організаціями (наприклад, CiSP), волонтерами (Vulners) та комерційними компаніями (AlienVault Open Threat Exchange).
Тож чи варто впроваджувати у своїй організації процеси threat intelligence? Варто тільки якщо ви знаєте: 1) де застосовувати і як оцінювати результати TI; 2) як TI допомагає процесам забезпечення ІБ; 3) хто відповідатиме на питання, поставлені перед «розвідниками», і можете сформулювати вимоги до TI.