SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

TIP и TI (Threat Intelligence или Киберразведка), что это такое

TIP и TI (Threat Intelligence или Киберразведка), что это такое
04.10.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   

Руслан Рахметов, Security Vision


В ранее опубликованной статье, посвященной индикаторам компрометации, мы обсудили виды и типы индикаторов компрометации (Indicators of Compromise, IoC), которые используются в такой сфере кибербезопасности, как киберразведка (CyberThreat Intelligence, сокращают часто CTI или просто TI, от Threat Intelligence). В данной статье мы обсудим, что такое TI, как и зачем применять методы киберразведки, какую пользу получит бизнес от использования технологии threat intelligence. Приступим!


Киберразведка

Итак, сам термин киберразведка появился путем перевода англоязычного словосочетания cyberthreat intelligence, который стал популярен примерно 10-12 лет назад. Именно тогда западные ИБ-вендоры стали активно публиковать свои отчеты о некоторых хакерских киберпреступных APT-группировках (Advanced Persistent Threat, буквально «продвинутая постоянная угроза») и кибероперациях, которые они проводили. В то время общее количество зарегистрированных APT-групп не превышало 2-3 десятков (по некоторым данным, на сегодняшний день их уже несколько сотен), и эксперты-аналитики присваивали им порядковые номера, например APT-1 или APT-12 (список группировок, не претендующий на полноту, приведен на сайте проекта MITRE ATT&CK ). По мере исследования различных сложных кибератак у экспертов сформировалось убеждение в том, что для осуществления успешной атаки APT-группировки должны обладать не только ресурсами, но и определенным опытом и наработками. Так, они должны владеть информацией об ИТ-инфраструктуре атакуемой компании и используемом ПО и средствах защиты, а также разработать или приобрести «рабочие» эксплойты под уязвимости, которые планируют эксплуатировать при атаке. Кроме того, предварительно должны быть настроены хакерские Command&Control-серверы (C&C или C2), которые принимают информацию с зараженных компьютеров и контролируют их с помощью отправляемых атакующими команд, а также должны быть разработаны шаблоны фишинговых писем, с которых как правило и начинаются такие атаки, причем для увеличения вероятности «пробива», т.е. успешного открытия фишингового письма невнимательным пользователем, злоумышленники должны изучить особенности ведения документопроизводства в конкретной компании и обладать списком валидных email-адресов сотрудников компании, по которым будет осуществлена рассылка.


Эксперты, проанализировав все эти факты, пришли к выводу, что злоумышленники стараются повторно использовать свои техники и методы взлома, C2-серверы и уязвимости для экономии и повышения своего «профита» от нелегальной деятельности. Глубокий продолжительный анализ киберпреступной деятельности различных группировок позволил сформировать наборы атрибутов, т.е. характерных для APT-группировок признаков атак, которые образуют своеобразный почерк конкретных киберпреступников. Например, разные APT-группировки используют различные освоенные ими фреймворки для управления атаками (самыми популярными являются Metasploit Framework и Cobalt Strike - платформы для проведения тестов на проникновение), определенные излюбленные и уже обкатанные способы первичного проникновения (как правило, фишинг, атаки на веб-сервисы, эксплуатация уязвимостей на периметре сети и подкуп инсайдеров), разнообразные способы взаимодействия между соучастниками, а также различные профили компаний - целей атак. На последнем пункте остановимся подробнее: было бы легкомысленно считать, что крупные APT-команды, обладающими существенными ресурсами, будут тратить их впустую на цели, которые не принесут им никакого результата. Для подавляющего большинства атакующих результат - это ценная коммерческая информация (которую можно продать конкурентам или шантажировать владельцев её разглашением), персональные данные сотрудников и клиентов (которые можно легко монетизировать продажей на черном рынке или использовать для дальнейшего фишинга), а также финансовые средства, получаемые путем прямого хищения (из подключенных систем дистанционного банковского обслуживания) или путем шантажа (яркий пример - атаки вирусов-шифровальщиков). 


Материально замотивированные атакующие подойдут к вопросу совершения атаки с позиции экономической целесообразности, т.е. получения максимальной выгоды при минимальных затратах: если у киберпреступной группировки есть немалый опыт успешных атак на организации промышленности, то они будут продолжать атаковать этот сектор; если у злоумышленников есть выход на инсайдеров из телеком-компаний, то они и станут жертвами новых атак; если же у некой APT-группировки есть понимание работы современного кредитно-финансового учреждения, то и атаковать она будет в основном банки.


Threat intelligence (TI)

Итак, в результате исследования совершенных кибератак и использовавшихся в них техник и методов аналитики сделали вывод, что для успешного противодействия взломам надо проводить атрибуцию атакующих путем исследования поведения APT-группировок и анализа индикаторов компрометации. Стали появляться и использоваться различные методы такой атрибуции: анализ сэмплов вредоносного ПО (поиск характерных паттернов в коде вирусов или использования типичных эксплойтов), анализ инфраструктур и взаимосвязей C2-серверов (IP-адресация, данные из SSL-сертификатов, используемые хостинги и облачные провайдеры), оценка профилей атакуемых компаний (сектор экономики, используемый софт и системы, общие собственники/акционеры) и способов вывода похищенных денежных средств (выкуп в криптовалюте, вывод на счета фирм-однодневок, перечисление украденных денег на банковские карты физических лиц - «дропов»). Кроме того, аналитики ИБ стали мониторить крупные теневые форумы и интернет-площадки, поскольку некоторые киберпреступники активно общаются на закрытых Даркнет-ресурсах, где ищут сообщников и партнеров по нелегальному бизнесу, покупают и продают украденные данные, вредоносное ПО и эксплойты, нанимают программистов-вирусописателей, предлагают инсайдерам незаконно подзаработать, наконец, просто общаются на специфические темы. Многочисленные аспекты такого мониторинга и анализа, включая технические, инфраструктурные, экономические и даже психологические аспекты слежки за APT-группировками, и стали образовывать составные части нового направления в кибербезопасности - киберразведки (threat intelligence).


С технической точки зрения, ИБ-специалист, который только погружается в тему киберразведки, скорее всего первоначально обратит внимание на источники данных киберразведки - Threat Intelligence Feeds, или TI-фиды для краткости. В этих наборах данных могут фигурировать такие детали, как хэши вредоносных файлов, фишинговые URL, IP-адреса и имена C2-доменов, даже названия специфических веток реестра или имена файлов. При этом также важно понимать и учитывать актуальность и срок жизни полученных индикаторов: зачастую использовавшийся в 1-2 атаках несколько лет назад какой-либо IP-адрес будет до настоящего времени помечаться как «потенциально вредоносный», несмотря на то, что веб-ресурс, который хостится на данном адресе, уже несколько раз поменялся. Также важно понимать контекст полученных индикаторов, например: какой APT-группировкой в настоящий момент используется вредоносный файл с поступившим через TI-фид хэшем, является ли наша компания целевой для данной APT-группы, и если да, то с помощью каких тактик, техник и процедур (Tactics, Techniques and Procedures, TTPs) данная APT-группировка обычно атакует своих жертв, какой метод атаки выбрала эта группировка для проведения своей новой вредоносной кампании (например, целенаправленный фишинг, эксплуатация новой уязвимости в установленном у нас веб-сервере, атака путем перебора паролей из свежей утечки) - все эти данные помогут нам подготовиться к возможной атаке и корректно осуществить процедуру реагирования на киберинцидент.


Полезной опцией будет также возможность проведения ретроспективного анализа, когда новые поступившие TI-данные сравниваются с накопленными ранее артефактами из нашей ИТ-инфраструктуры и затем делается вывод о возможно уже произошедшей незамеченной атаке, характерные индикаторы компрометации которой были ранее неизвестны. Кроме того, если в системе управления кибербезопасностью компания применяет IRP/SOAR-решение, то для проведения корректной процедуры реагирования на киберинцидент будет необходимо интегрировать механизм получения и обработки TI-фидов, например, с использованием решения класса TIP - Threat Intelligence Platform, такого как модуль TIP платформы Securtiy Vision. Такие решения позволяют агрегировать разрозненные данные киберразведки, приводить их к единому формату для удобства использования, обогащать релевантным контекстом, а также непосредственно выявлять признаки взлома инфраструктуры компании путем сравнения получаемых от СЗИ данных с индикаторами компрометации.


С точки зрения бизнес-пользы, оказываемой системами киберразведки, можно условно выделить несколько уровней Threat Intelligence. На первом уровне - оперативном - осуществляется техническая обработка индикаторов компрометации: обогащение, агрегация, нормализация и загрузка в системы и средства защиты. Это дает возможность аналитикам SOC-центра оптимизировать процессы реагирования на киберинциденты, улучшив таким образом показатели MTTD (mean time to detect, среднее время обнаружения киберинцидента) и MTTR (mean time to respond, среднее время реагирования на киберинцидент), что в свою очередь напрямую ведет к снижению ущерба от реализации кибератаки. На втором уровне - тактическом - происходит анализ тактик, техник и процедур атакующих, что помогает руководителю департамента ИБ выстроить экономически обоснованную современную систему управления кибербезопасностью с учетом актуальных угроз и возможностей продвинутых атакующих. 


На верхнем уровне - стратегическом - руководство компании получает возможность принимать риск-ориентированные управленческие решения на основе сведений о современных кибератаках и возможностях APT-группировок, таким образом демонстрируя ситуационную осведомленность в вопросах прогнозирования деятельности и развития компании с учетом результатов анализа актуальных киберрисков, привлекательности компании для конкретных групп злоумышленников, экономически обоснованных затрат на обеспечение кибербезопасности.


Кибератаки

Разумеется, средства киберразведки не являются «серебряной пулей» от всех угроз, и нельзя переоценивать возможности лишь одного их аспектов выстраивания системы управления ИБ. Например, следует учитывать возможные ошибки ложной атрибуции, когда APT-группировки намеренно меняют элементы своей атаки и методы взлома, чтобы ввести в заблуждение системы ИБ и аналитиков, которые могут неверно атрибутировать произошедшую кибератаку с другой группировкой. Также следует учитывать возможность перепродажи доступа к взломанной инфраструктуре, когда APT-группировка, которая никогда «не работала» в вашей сфере экономики, всё же успешно осуществляет атаку и решает перепродать украденные учетные данные вашей инфраструктуры уже более заинтересованной в вашей деятельности кибергруппировке. Также атакующие могут нарочно пустить киберразведку по ложному следу: осуществить попытку взлома с использованием легко обнаруживаемого инструментария, попутно проводя скрытную вторую атаку, которая может остаться незамеченной на фоне «быстрой победы» над первой, отвлекающей.



SOC Подкасты ИБ IRP TIP

Рекомендуем

Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Пентесты
Пентесты
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Модель зрелости SOAR
Модель зрелости SOAR

Рекомендуем

Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Пентесты
Пентесты
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Модель зрелости SOAR
Модель зрелости SOAR

Похожие статьи

Как устроены вредоносные программы
Как устроены вредоносные программы
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление ИТ-активами
Управление ИТ-активами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации

Похожие статьи

Как устроены вредоносные программы
Как устроены вредоносные программы
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление ИТ-активами
Управление ИТ-активами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации