| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
В ранее опубликованной статье, посвященной индикаторам компрометации, мы обсудили виды и типы индикаторов компрометации (Indicators of Compromise, IoC), которые используются в такой сфере кибербезопасности, как киберразведка (CyberThreat Intelligence, сокращают часто CTI или просто TI, от Threat Intelligence). В данной статье мы обсудим, что такое TI, как и зачем применять методы киберразведки, какую пользу получит бизнес от использования технологии threat intelligence. Приступим!
Киберразведка
Итак, сам термин киберразведка появился путем перевода англоязычного словосочетания cyberthreat intelligence, который стал популярен примерно 10-12 лет назад. Именно тогда западные ИБ-вендоры стали активно публиковать свои отчеты о некоторых хакерских киберпреступных APT-группировках (Advanced Persistent Threat, буквально «продвинутая постоянная угроза») и кибероперациях, которые они проводили. В то время общее количество зарегистрированных APT-групп не превышало 2-3 десятков (по некоторым данным, на сегодняшний день их уже несколько сотен), и эксперты-аналитики присваивали им порядковые номера, например APT-1 или APT-12 (список группировок, не претендующий на полноту, приведен на сайте проекта MITRE ATT&CK ). По мере исследования различных сложных кибератак у экспертов сформировалось убеждение в том, что для осуществления успешной атаки APT-группировки должны обладать не только ресурсами, но и определенным опытом и наработками. Так, они должны владеть информацией об ИТ-инфраструктуре атакуемой компании и используемом ПО и средствах защиты, а также разработать или приобрести «рабочие» эксплойты под уязвимости, которые планируют эксплуатировать при атаке. Кроме того, предварительно должны быть настроены хакерские Command&Control-серверы (C&C или C2), которые принимают информацию с зараженных компьютеров и контролируют их с помощью отправляемых атакующими команд, а также должны быть разработаны шаблоны фишинговых писем, с которых как правило и начинаются такие атаки, причем для увеличения вероятности «пробива», т.е. успешного открытия фишингового письма невнимательным пользователем, злоумышленники должны изучить особенности ведения документопроизводства в конкретной компании и обладать списком валидных email-адресов сотрудников компании, по которым будет осуществлена рассылка.
Эксперты, проанализировав все эти факты, пришли к выводу, что злоумышленники стараются повторно использовать свои техники и методы взлома, C2-серверы и уязвимости для экономии и повышения своего «профита» от нелегальной деятельности. Глубокий продолжительный анализ киберпреступной деятельности различных группировок позволил сформировать наборы атрибутов, т.е. характерных для APT-группировок признаков атак, которые образуют своеобразный почерк конкретных киберпреступников. Например, разные APT-группировки используют различные освоенные ими фреймворки для управления атаками (самыми популярными являются Metasploit Framework и Cobalt Strike - платформы для проведения тестов на проникновение), определенные излюбленные и уже обкатанные способы первичного проникновения (как правило, фишинг, атаки на веб-сервисы, эксплуатация уязвимостей на периметре сети и подкуп инсайдеров), разнообразные способы взаимодействия между соучастниками, а также различные профили компаний - целей атак. На последнем пункте остановимся подробнее: было бы легкомысленно считать, что крупные APT-команды, обладающими существенными ресурсами, будут тратить их впустую на цели, которые не принесут им никакого результата. Для подавляющего большинства атакующих результат - это ценная коммерческая информация (которую можно продать конкурентам или шантажировать владельцев её разглашением), персональные данные сотрудников и клиентов (которые можно легко монетизировать продажей на черном рынке или использовать для дальнейшего фишинга), а также финансовые средства, получаемые путем прямого хищения (из подключенных систем дистанционного банковского обслуживания) или путем шантажа (яркий пример - атаки вирусов-шифровальщиков).
Материально замотивированные атакующие подойдут к вопросу совершения атаки с позиции экономической целесообразности, т.е. получения максимальной выгоды при минимальных затратах: если у киберпреступной группировки есть немалый опыт успешных атак на организации промышленности, то они будут продолжать атаковать этот сектор; если у злоумышленников есть выход на инсайдеров из телеком-компаний, то они и станут жертвами новых атак; если же у некой APT-группировки есть понимание работы современного кредитно-финансового учреждения, то и атаковать она будет в основном банки.
Threat intelligence (TI)
Итак, в результате исследования совершенных кибератак и использовавшихся в них техник и методов аналитики сделали вывод, что для успешного противодействия взломам надо проводить атрибуцию атакующих путем исследования поведения APT-группировок и анализа индикаторов компрометации. Стали появляться и использоваться различные методы такой атрибуции: анализ сэмплов вредоносного ПО (поиск характерных паттернов в коде вирусов или использования типичных эксплойтов), анализ инфраструктур и взаимосвязей C2-серверов (IP-адресация, данные из SSL-сертификатов, используемые хостинги и облачные провайдеры), оценка профилей атакуемых компаний (сектор экономики, используемый софт и системы, общие собственники/акционеры) и способов вывода похищенных денежных средств (выкуп в криптовалюте, вывод на счета фирм-однодневок, перечисление украденных денег на банковские карты физических лиц - «дропов»). Кроме того, аналитики ИБ стали мониторить крупные теневые форумы и интернет-площадки, поскольку некоторые киберпреступники активно общаются на закрытых Даркнет-ресурсах, где ищут сообщников и партнеров по нелегальному бизнесу, покупают и продают украденные данные, вредоносное ПО и эксплойты, нанимают программистов-вирусописателей, предлагают инсайдерам незаконно подзаработать, наконец, просто общаются на специфические темы. Многочисленные аспекты такого мониторинга и анализа, включая технические, инфраструктурные, экономические и даже психологические аспекты слежки за APT-группировками, и стали образовывать составные части нового направления в кибербезопасности - киберразведки (threat intelligence).
С технической точки зрения, ИБ-специалист, который только погружается в тему киберразведки, скорее всего первоначально обратит внимание на источники данных киберразведки - Threat Intelligence Feeds, или TI-фиды для краткости. В этих наборах данных могут фигурировать такие детали, как хэши вредоносных файлов, фишинговые URL, IP-адреса и имена C2-доменов, даже названия специфических веток реестра или имена файлов. При этом также важно понимать и учитывать актуальность и срок жизни полученных индикаторов: зачастую использовавшийся в 1-2 атаках несколько лет назад какой-либо IP-адрес будет до настоящего времени помечаться как «потенциально вредоносный», несмотря на то, что веб-ресурс, который хостится на данном адресе, уже несколько раз поменялся. Также важно понимать контекст полученных индикаторов, например: какой APT-группировкой в настоящий момент используется вредоносный файл с поступившим через TI-фид хэшем, является ли наша компания целевой для данной APT-группы, и если да, то с помощью каких тактик, техник и процедур (Tactics, Techniques and Procedures, TTPs) данная APT-группировка обычно атакует своих жертв, какой метод атаки выбрала эта группировка для проведения своей новой вредоносной кампании (например, целенаправленный фишинг, эксплуатация новой уязвимости в установленном у нас веб-сервере, атака путем перебора паролей из свежей утечки) - все эти данные помогут нам подготовиться к возможной атаке и корректно осуществить процедуру реагирования на киберинцидент.
Полезной опцией будет также возможность проведения ретроспективного анализа, когда новые поступившие TI-данные сравниваются с накопленными ранее артефактами из нашей ИТ-инфраструктуры и затем делается вывод о возможно уже произошедшей незамеченной атаке, характерные индикаторы компрометации которой были ранее неизвестны. Кроме того, если в системе управления кибербезопасностью компания применяет IRP/SOAR-решение, то для проведения корректной процедуры реагирования на киберинцидент будет необходимо интегрировать механизм получения и обработки TI-фидов, например, с использованием решения класса TIP - Threat Intelligence Platform, такого как модуль TIP платформы Securtiy Vision. Такие решения позволяют агрегировать разрозненные данные киберразведки, приводить их к единому формату для удобства использования, обогащать релевантным контекстом, а также непосредственно выявлять признаки взлома инфраструктуры компании путем сравнения получаемых от СЗИ данных с индикаторами компрометации.
С точки зрения бизнес-пользы, оказываемой системами киберразведки, можно условно выделить несколько уровней Threat Intelligence. На первом уровне - оперативном - осуществляется техническая обработка индикаторов компрометации: обогащение, агрегация, нормализация и загрузка в системы и средства защиты. Это дает возможность аналитикам SOC-центра оптимизировать процессы реагирования на киберинциденты, улучшив таким образом показатели MTTD (mean time to detect, среднее время обнаружения киберинцидента) и MTTR (mean time to respond, среднее время реагирования на киберинцидент), что в свою очередь напрямую ведет к снижению ущерба от реализации кибератаки. На втором уровне - тактическом - происходит анализ тактик, техник и процедур атакующих, что помогает руководителю департамента ИБ выстроить экономически обоснованную современную систему управления кибербезопасностью с учетом актуальных угроз и возможностей продвинутых атакующих.
На верхнем уровне - стратегическом - руководство компании получает возможность принимать риск-ориентированные управленческие решения на основе сведений о современных кибератаках и возможностях APT-группировок, таким образом демонстрируя ситуационную осведомленность в вопросах прогнозирования деятельности и развития компании с учетом результатов анализа актуальных киберрисков, привлекательности компании для конкретных групп злоумышленников, экономически обоснованных затрат на обеспечение кибербезопасности.
Кибератаки
Разумеется, средства киберразведки не являются «серебряной пулей» от всех угроз, и нельзя переоценивать возможности лишь одного их аспектов выстраивания системы управления ИБ. Например, следует учитывать возможные ошибки ложной атрибуции, когда APT-группировки намеренно меняют элементы своей атаки и методы взлома, чтобы ввести в заблуждение системы ИБ и аналитиков, которые могут неверно атрибутировать произошедшую кибератаку с другой группировкой. Также следует учитывать возможность перепродажи доступа к взломанной инфраструктуре, когда APT-группировка, которая никогда «не работала» в вашей сфере экономики, всё же успешно осуществляет атаку и решает перепродать украденные учетные данные вашей инфраструктуры уже более заинтересованной в вашей деятельности кибергруппировке. Также атакующие могут нарочно пустить киберразведку по ложному следу: осуществить попытку взлома с использованием легко обнаруживаемого инструментария, попутно проводя скрытную вторую атаку, которая может остаться незамеченной на фоне «быстрой победы» над первой, отвлекающей.
