Киберразведка (Threat Intelligence)

Киберразведка (Threat Intelligence)

Руслан Рахметов, Security Vision

В ранее опубликованной статье, посвященной индикаторам компрометации, мы обсудили виды и типы индикаторов компрометации (Indicators of Compromise, IoC), которые используются в такой сфере кибербезопасности, как киберразведка (CyberThreat Intelligence, сокращают часто CTI или просто TI, от Threat Intelligence). В данной статье мы обсудим, что такое TI, как и зачем применять методы киберразведки, какую пользу получит бизнес от использования технологии threat intelligence. Приступим!

Итак, сам термин киберразведка появился путем перевода англоязычного словосочетания cyberthreat intelligence, который стал популярен примерно 10-12 лет назад. Именно тогда западные ИБ-вендоры стали активно публиковать свои отчеты о некоторых хакерских киберпреступных APT-группировках (Advanced Persistent Threat, буквально «продвинутая постоянная угроза») и кибероперациях, которые они проводили. В то время общее количество зарегистрированных APT-групп не превышало 2-3 десятков (по некоторым данным, на сегодняшний день их уже несколько сотен), и эксперты-аналитики присваивали им порядковые номера, например APT-1 или APT-12 (список группировок, не претендующий на полноту, приведен на сайте проекта MITRE ATT&CK ). По мере исследования различных сложных кибератак у экспертов сформировалось убеждение в том, что для осуществления успешной атаки APT-группировки должны обладать не только ресурсами, но и определенным опытом и наработками. Так, они должны владеть информацией об ИТ-инфраструктуре атакуемой компании и используемом ПО и средствах защиты, а также разработать или приобрести «рабочие» эксплойты под уязвимости, которые планируют эксплуатировать при атаке. Кроме того, предварительно должны быть настроены хакерские Command&Control-серверы (C&C или C2), которые принимают информацию с зараженных компьютеров и контролируют их с помощью отправляемых атакующими команд, а также должны быть разработаны шаблоны фишинговых писем, с которых как правило и начинаются такие атаки, причем для увеличения вероятности «пробива», т.е. успешного открытия фишингового письма невнимательным пользователем, злоумышленники должны изучить особенности ведения документопроизводства в конкретной компании и обладать списком валидных email-адресов сотрудников компании, по которым будет осуществлена рассылка.

Эксперты, проанализировав все эти факты, пришли к выводу, что злоумышленники стараются повторно использовать свои техники и методы взлома, C2-серверы и уязвимости для экономии и повышения своего «профита» от нелегальной деятельности. Глубокий продолжительный анализ киберпреступной деятельности различных группировок позволил сформировать наборы атрибутов, т.е. характерных для APT-группировок признаков атак, которые образуют своеобразный почерк конкретных киберпреступников. Например, разные APT-группировки используют различные освоенные ими фреймворки для управления атаками (самыми популярными являются Metasploit Framework и Cobalt Strike - платформы для проведения тестов на проникновение), определенные излюбленные и уже обкатанные способы первичного проникновения (как правило, фишинг, атаки на веб-сервисы, эксплуатация уязвимостей на периметре сети и подкуп инсайдеров), разнообразные способы взаимодействия между соучастниками, а также различные профили компаний - целей атак. На последнем пункте остановимся подробнее: было бы легкомысленно считать, что крупные APT-команды, обладающими существенными ресурсами, будут тратить их впустую на цели, которые не принесут им никакого результата. Для подавляющего большинства атакующих результат - это ценная коммерческая информация (которую можно продать конкурентам или шантажировать владельцев её разглашением), персональные данные сотрудников и клиентов (которые можно легко монетизировать продажей на черном рынке или использовать для дальнейшего фишинга), а также финансовые средства, получаемые путем прямого хищения (из подключенных систем дистанционного банковского обслуживания) или путем шантажа (яркий пример - атаки вирусов-шифровальщиков). Материально замотивированные атакующие подойдут к вопросу совершения атаки с позиции экономической целесообразности, т.е. получения максимальной выгоды при минимальных затратах: если у киберпреступной группировки есть немалый опыт успешных атак на организации промышленности, то они будут продолжать атаковать этот сектор; если у злоумышленников есть выход на инсайдеров из телеком-компаний, то они и станут жертвами новых атак; если же у некой APT-группировки есть понимание работы современного кредитно-финансового учреждения, то и атаковать она будет в основном банки.

Итак, в результате исследования совершенных кибератак и использовавшихся в них техник и методов аналитики сделали вывод, что для успешного противодействия взломам надо проводить атрибуцию атакующих путем исследования поведения APT-группировок и анализа индикаторов компрометации. Стали появляться и использоваться различные методы такой атрибуции: анализ сэмплов вредоносного ПО (поиск характерных паттернов в коде вирусов или использования типичных эксплойтов), анализ инфраструктур и взаимосвязей C2-серверов (IP-адресация, данные из SSL-сертификатов, используемые хостинги и облачные провайдеры), оценка профилей атакуемых компаний (сектор экономики, используемый софт и системы, общие собственники/акционеры) и способов вывода похищенных денежных средств (выкуп в криптовалюте, вывод на счета фирм-однодневок, перечисление украденных денег на банковские карты физических лиц - «дропов»). Кроме того, аналитики ИБ стали мониторить крупные теневые форумы и интернет-площадки, поскольку некоторые киберпреступники активно общаются на закрытых Даркнет-ресурсах, где ищут сообщников и партнеров по нелегальному бизнесу, покупают и продают украденные данные, вредоносное ПО и эксплойты, нанимают программистов-вирусописателей, предлагают инсайдерам незаконно подзаработать, наконец, просто общаются на специфические темы. Многочисленные аспекты такого мониторинга и анализа, включая технические, инфраструктурные, экономические и даже психологические аспекты слежки за APT-группировками, и стали образовывать составные части нового направления в кибербезопасности - киберразведки (threat intelligence).

С технической точки зрения, ИБ-специалист, который только погружается в тему киберразведки, скорее всего первоначально обратит внимание на источники данных киберразведки - Threat Intelligence Feeds, или TI-фиды для краткости. В этих наборах данных могут фигурировать такие детали, как хэши вредоносных файлов, фишинговые URL, IP-адреса и имена C2-доменов, даже названия специфических веток реестра или имена файлов. При этом также важно понимать и учитывать актуальность и срок жизни полученных индикаторов: зачастую использовавшийся в 1-2 атаках несколько лет назад какой-либо IP-адрес будет до настоящего времени помечаться как «потенциально вредоносный», несмотря на то, что веб-ресурс, который хостится на данном адресе, уже несколько раз поменялся. Также важно понимать контекст полученных индикаторов, например: какой APT-группировкой в настоящий момент используется вредоносный файл с поступившим через TI-фид хэшем, является ли наша компания целевой для данной APT-группы, и если да, то с помощью каких тактик, техник и процедур (Tactics, Techniques and Procedures, TTPs) данная APT-группировка обычно атакует своих жертв, какой метод атаки выбрала эта группировка для проведения своей новой вредоносной кампании (например, целенаправленный фишинг, эксплуатация новой уязвимости в установленном у нас веб-сервере, атака путем перебора паролей из свежей утечки) - все эти данные помогут нам подготовиться к возможной атаке и корректно осуществить процедуру реагирования на киберинцидент.

Полезной опцией будет также возможность проведения ретроспективного анализа, когда новые поступившие TI-данные сравниваются с накопленными ранее артефактами из нашей ИТ-инфраструктуры и затем делается вывод о возможно уже произошедшей незамеченной атаке, характерные индикаторы компрометации которой были ранее неизвестны. Кроме того, если в системе управления кибербезопасностью компания применяет IRP/SOAR-решение, то для проведения корректной процедуры реагирования на киберинцидент будет необходимо интегрировать механизм получения и обработки TI-фидов, например, с использованием решения класса TIP - Threat Intelligence Platform, такого как модуль TIP платформы Securtiy Vision. Такие решения позволяют агрегировать разрозненные данные киберразведки, приводить их к единому формату для удобства использования, обогащать релевантным контекстом, а также непосредственно выявлять признаки взлома инфраструктуры компании путем сравнения получаемых от СЗИ данных с индикаторами компрометации.

С точки зрения бизнес-пользы, оказываемой системами киберразведки, можно условно выделить несколько уровней Threat Intelligence. На первом уровне - оперативном - осуществляется техническая обработка индикаторов компрометации: обогащение, агрегация, нормализация и загрузка в системы и средства защиты. Это дает возможность аналитикам SOC-центра оптимизировать процессы реагирования на киберинциденты, улучшив таким образом показатели MTTD (mean time to detect, среднее время обнаружения киберинцидента) и MTTR (mean time to respond, среднее время реагирования на киберинцидент), что в свою очередь напрямую ведет к снижению ущерба от реализации кибератаки. На втором уровне - тактическом - происходит анализ тактик, техник и процедур атакующих, что помогает руководителю департамента ИБ выстроить экономически обоснованную современную систему управления кибербезопасностью с учетом актуальных угроз и возможностей продвинутых атакующих. На верхнем уровне - стратегическом - руководство компании получает возможность принимать риск-ориентированные управленческие решения на основе сведений о современных кибератаках и возможностях APT-группировок, таким образом демонстрируя ситуационную осведомленность в вопросах прогнозирования деятельности и развития компании с учетом результатов анализа актуальных киберрисков, привлекательности компании для конкретных групп злоумышленников, экономически обоснованных затрат на обеспечение кибербезопасности.

Разумеется, средства киберразведки не являются «серебряной пулей» от всех угроз, и нельзя переоценивать возможности лишь одного их аспектов выстраивания системы управления ИБ. Например, следует учитывать возможные ошибки ложной атрибуции, когда APT-группировки намеренно меняют элементы своей атаки и методы взлома, чтобы ввести в заблуждение системы ИБ и аналитиков, которые могут неверно атрибутировать произошедшую кибератаку с другой группировкой. Также следует учитывать возможность перепродажи доступа к взломанной инфраструктуре, когда APT-группировка, которая никогда «не работала» в вашей сфере экономики, всё же успешно осуществляет атаку и решает перепродать украденные учетные данные вашей инфраструктуры уже более заинтересованной в вашей деятельности кибергруппировке. Также атакующие могут нарочно пустить киберразведку по ложному следу: осуществить попытку взлома с использованием легко обнаруживаемого инструментария, попутно проводя скрытную вторую атаку, которая может остаться незамеченной на фоне «быстрой победы» над первой, отвлекающей.


Интересные публикации