Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»

Руслан Рахметов, Security Vision

Авторы публикации указывают на связь любой серьезной атаки с конкретной группой атакующих, и методы киберразведки (аналитики киберугроз) позволяют ассоциировать наблюдаемые события ИБ или киберинциденты с злоумышленниками для более глубокого понимания целей и возможных средств атаки, поскольку у каждой из киберпреступных групп есть свой «почерк», характерные TTPs и инструменты. Стратегия №6 посвящена методам применения киберразведки в деятельности SOC-центра. 

1. Что такое киберразведка?

По определению авторов публикации, киберразведка или аналитика киберугроз (англ. Cyber Threat Intelligence, сокращенно CTI) - это процесс сбора, обработки, упорядочивания и интерпретации полученных данных в действенную, практически применимую информацию или продукты, которые позволяют понять возможности, способности, действия, намерения атакующих в киберпространстве. В контексте работы SOC-центров, аналитика киберугроз может применяться для понимания действий атакующих и их поведения; при этом данные киберразведки можно коррелировать с внутренними данными SOC о событиях и инцидентах ИБ, что способствует повышению видимости кибератак, снижению ущерба, повышению качества принимаемых решений при реагировании на киберинциденты.

Данные киберразведки помогут также для выявления злоумышленников внутри инфраструктуры, тонкой настройки сенсоров и аналитических систем для лучшего мониторинга, приоритизации ресурсов SOC, обогащения и контекстуализации информации по киберинцидентам, предотвращения или замедления кибератак, а также для прогнозирования поведения атакующих в сети компании. Классический цикл аналитики киберугроз заключается в планировании, сборе, обработке, анализе, распространении, оценке данных киберразведки. Применять данные киберразведки важно, т.к. такой подход позволяет перейти от реактивной модели реагирования на киберинциденты (по факту выявления признаков) к проактивной, при которой действия атакующий прогнозируются и выявляются до выполнения деструктивных или вредоносных действий, которые выявляются СЗИ. При этом источники данных киберразведки могут быть и внешние (аналитические отчеты о киберугрозах от ИБ-компаний, сведения от других SOC, поставщики данных киберразведки - фиды Threat Intelligence, сокращенно TI-фиды), и внутренние (сведения от аналитиков и исследователей внутри компании-заказчика). 

По мнению авторов публикации, источник данных, относящийся к киберугрозам, может считаться источником аналитики киберугроз только в случае предоставления им информации об атакующих (контекст и детали контекста атакующих). Так, IP-адреса, доменные имена, адреса email, сигнатуры вирусов без привязки к конкретным атакующим не могут считаться CTI-данными. При этом CTI-источниками будут считаться аналитические отчеты о киберугрозах, выпускаемые вендорами и исследователями, структурированные отчеты (например, в формате STIX), данные TI-фидов. С учетом потенциального большого числа возможных источников CTI-данных, рекомендуется оценивать следующие характеристики поставляемых источником данных:

- Можно ли использовать полученные данные, например, в корреляционных правилах, в сценариях проактивного поиска киберугроз (Threat Hunting), использовать в средствах предотвращения атак?

- Являются ли получаемые данные актуальными и современными, нет ли среди них устаревшей информации?

- Являются ли получаемые данные релевантными для инфраструктуры и сектора экономики компании-заказчика, поступают ли они из доверенного источника с хорошей репутацией, как происходит обработка и передача CTI-данных, используются ли API-интерфейсы для взаимодействия?

- Являются ли получаемые данные точными и непротиворечивыми? 

2. Цели и планирование использования аналитики киберугроз.

Одной из целей аналитики киберугроз является оказание помощи руководителям компании для фокусирования их внимания на значимых киберугрозах и принятия взвешенных, риск-ориентированных управленческих решений. Поскольку руководители могут находиться на различных иерархических уровнях в компании, предоставляемые им данные киберразведки также распределяются по различных уровням в зависимости от глубины детализации и целей:

- Стратегический уровень, на котором информациях предоставляется топ-менеджменту для формирования бюджета функции кибербезопасности; делаются отчеты о трендах киберпреступлений, релевантных для компании группах киберпреступников и о предлагаемых мерах и методах противодействия.

- Операционный уровень, на котором технические подробности предоставляются ИТ/ИБ-руководителям и руководству SOC, включая данные о вредоносных кампаниях злоумышленников, мотивации атакующих, вероятных целях атак; на основании этой информации проводится изменение ИБ-архитектуры, перенастройка СЗИ, приобретаются новые инструменты для SOC.

- Тактический уровень, на котором детальная информация о TTPs, методах и операциях атакующих в структурированном виде передается в SOC-центр для настройки правил корреляции, сенсоров и аналитических инструментов. 

Интеграция продуктов и сервисов аналитики киберугроз в процессы и инструменты SOC дает следующие преимущества:

- Позволяет выбирать и приоритизировать корректные контрмеры на основании релевантных киберугроз;

- Повышает результативность и полноту действий по реагированию;

- Снижает процент успешных кибератак, включая атаки APT-группировок;

- Улучшает выявление киберугроз, что снижает время незаметного присутствия атакующих в инфраструктуре;

- Повышает ситуационную осведомленность и знания о киберугрозах на основании формирования информативной и детальной отчетности;

- Повышает видимость контекста и связи между инцидентами и влиянием на бизнес;

- Повышает осведомленность коллег из других SOC путем обмена данными об опыте обработки киберугроз;

- Повышает экономическую эффективность и оправданность работы SOC благодаря применению накапливаемым знаний о киберугрозах;

- Повышает осведомленность о профиле угроз компании-заказчика и о возможных целях кибератак;

- Дает понимание недостатков в киберзащите и мотивирует устранять их. 

Эффективное применение аналитики киберугроз требует глубокого понимания деятельности, бизнес-процессов и активов компании-заказчика для профилирования групп потенциальных атакующих. Требуется понимание следующих аспектов:

- Контекст: понимание того, кто и почему будет атаковать компанию, какие возможности есть у злоумышленников, какие последствия может иметь атака;

- Анализ: понимание того, что и когда уже случилось, что происходит сейчас, какие сценарии атаки и TTPs используются;

- Действия: понимание того, где сейчас наблюдается вредоносная активность и какая именно, какие контрмеры следует предпринять, как применить CTI в конкретных СЗИ (например, в системах SIEM, SOAR) для поиска, сдерживания, устранения угрозы.

Использование CTI будет результативным и эффективным в случае, если SOC обладает следующими знаниями:

- Информация об атакующих: контекст, мотивы, планы, "почерк" атакующих, технические индикаторы (например, используемое ВПО, а также индикаторы компрометации - сокращенно IoCs, Indicators of Compromise), тренды и предыдущие успешные атаки злоумышленников, возможности атакующих (ресурсы, способности проводить скрытные и сложные кибероперации, примерная численность киберпреступной группировки), используемые ими инструменты, инфраструктуры, ресурсы;

- Релевантность: понимание членами команды SOC особенностей компании-заказчика (бизнес-процессы, конкурентные преимущества, ценные активы, ключевые сотрудники, защищаемая информация, применимые законодательные требования), понимание выстроенных партнерских взаимоотношений с контрагентами, а также иные сведения, которые могут быть интересны атакующим и релевантны их целям;

- Техническая среда: архитектура IT и OT-сетей, облачная и on-prem инфраструктура, состояние цифровых активов, данные об уязвимостях, профиль поведения пользователей, систем и сущностей, а также иная ИБ-релевантная техническая информация (предупреждения, журналы аудита, данные с конечных точек и сетевых устройств и т.д.). 

Авторы публикации подчеркивают, что ключевым аспектом для предотвращения кибератак с использованием методов киберразведки будет понимание целей, мотивов, «почерка» киберпреступников, а также атрибутирования (сопоставления) киберугроз и конкретных инцидентов с определенными группами атакующих. Такие группы могут фигурировать в специализированных отчетах как APT-группировки (Advanced Persistent Threat, буквально «продвинутая постоянная угроза») с определенными порядковыми номерами (например, APT33 или APT41) или именами собственными (например, Darkhotel или Silence); со справочным перечнем этих групп можно ознакомиться на сайте проекта MITRE ATT&CK, там же содержится и описание основных этапов и TTPs современных киберпреступных групп. В целом, понимание того, какая именно группа вероятно готовится или уже производит кибератаку, позволяет предсказать дальнейшие шаги атакующих, а создание профиля киберугроз компании позволяет сузить круг потенциальных APT-групп, которые, с определенной долей вероятности, будут пытаться атаковать компанию, и, соответственно, лучше подготовиться к отражению таких атак, осуществляемых с помощью характерного для конкретной APT-группы инструментария. При этом точное атрибутирование кибератаки конкретной APT-группе может быть весьма ресурсозатратным и не всегда целесообразным, поэтому авторы предлагают использовать методы ассоциации злоумышленников - поиск вероятных связей между вредоносными действиями и возможными киберпреступными группами, что позволит установить взаимосвязи между атакующими и атрибутами атак (например, индикаторами компрометации, TTPs). Такой анализ позволит понять, какие вредоносные действия атакующие уже осуществили, могут осуществить в дальнейшем, а также их мотивацию и конечную цель атаки. Знаниями, которые получают CTI-аналитики в рамках своих исследований, следует в контролируемом виде обмениваться с родительскими, дочерними, партнерскими SOC-центрами и ИБ-подразделениями, докладывать заинтересованными руководителями компании-заказчика. При получении информации о готовящемся кибернападении важно будет подготовить не только защитные меры, но и использовать систему хостов-приманок для атакующих с целью более глубокого понимания их TTPs. 

3. Использование инструментов аналитики киберугроз.

При принятии решения о применении тех или иных CTI-инструментов, авторы публикации рекомендуют обратить внимание на следующие факторы:

- Применимость в технологической составляющей SOC: выдает ил CTI-инструмент данные, применимые в инструментарии SOC и полезные для работы команды SOC?

- Проверка качества данных: если CTI-инструмент выдает неточные данные, то должны быть инструменты настройки доверия получаемой информации;

- Отслеживание происхождения CTI-данных: как изменяются CTI-данные, откуда они приходят, какие исходные данные использовались для формирования CTI-данных, надежен ли их источник?

- Определите и поддерживайте правила атрибуции/ассоциации атакующих: заранее определите уровни вероятности и доверия при проведении атрибутирования или ассоциирования групп атакующих на основе CTI-данных;

- Определите и поддерживайте правила мониторинга и реагирования: заранее договоритесь, когда можно ограничиться мониторингом активности, а когда следует выполнять действия по активному реагированию при выполнении предварительно разработанных условий. 

Для работы с CTI прежде всего нужны квалифицированные, опытные эксперты-аналитики киберугроз, но для помощи им можно использовать технологические решения - такие, как TIP (Threat Intelligence Platform, платформа аналитики киберугроз). Системы TIP предназначены для обработки CTI-данных, т.е. для получения, упорядочивания, корреляции, использования больших объемов данных, относящихся к атакующим, включая индикаторы компрометации; TIP-решения также позволяют эффективно управлять знаниями о киберугрозах в компании. Наиболее эффективно TIP будет применяться в связке с технологическими инструментами SOC, которые позволяют проводить корреляцию, обогащение, совместную работу с CTI-данными, например, с системами SIEM и SOAR и с платформами обработки Big Data. Платформа TIP поможет ответить на вопросы о длительности присутствия атакующих в инфраструктуре, о характере выполненных ими действий, а также о происхождении CTI-данных и о CTI-отчетах с описанием похожей вредоносной активности. 

При выборе TIP-решения следует обратить внимание на следующие характеристики платформы:

- Платформа TIP должна позволять организовать совместную работу аналитиков киберугроз, а также трекинг обнаруженных артефактов, активности злоумышленников и их вредоносных кампаний;

- Интеграционные возможности: TIP-решение должно корректно взаимодействовать с источниками CTI-данных (коммерческими и Open Source) и с инструментами SOC (SIEM, SOAR, Big Data);

- TI-фиды «из коробки»: хорошая TIP должна по умолчанию предоставлять варианты интеграции и получения данных из нескольких источников CTI-данных, а также обеспечивать дедупликацию получаемых данных;

- Обратная связь и скоринг: TIP-решение должно позволять проводить скоринг (оценку) получаемых CTI-данных на основании их качества и применимости, а также приоритизировать обработку CTI-данных в SOC на основании проведенной оценки;

- Конфиденциальность: получаемые CTI-данные могут приходить их различных источников, а их обработка может быть ограничена требования конфиденциальности (например, с применением TLP-меток, от англ. Traffic Light Protocol) - эти обстоятельства требуется учитывать в TIP;

- Ручной анализ: TIP-решение должно позволять аналитику киберугроз самостоятельно связывать признаки активности атакующих, проводить корреляцию, группировать сходные сущности;

- Аудит и управление изменениями: TIP-система должна вести учет выполненных действий и откатывать изменения в случае внесения неверных данных или создания неточной ассоциации или атрибутирования;

- Масштабируемость, производительность: TI-фиды могут содержать миллионы индикаторов компрометации, которые TIP-система должна оперативно обрабатывать. 

4. Сложности и вызовы при работе с CTI-данными.

Авторы публикации напоминают, что задача аналитики киберугроз стоит шире, чем простая обработка индикаторов компрометации (сигнатур, хэшей, IP-адресов и т.д.), которые могут быть легко изменены атакующими для обхода СЗИ; в киберразведке важно понимать TTPs злоумышленников, использовать индикаторы атак и контекстуализированную информацию при анализе. Указаны также некоторые типичные заблуждения, характерные при создании CTI-функции в SOC:

- CTI-данные создаются по-разному: некоторые источники CTI используют общедоступные CTI-данные и переупаковывают их, добавляя свою аналитику, поэтому важно понимать происхождение и изначальные источники CTI-данных; также необходимо понимать, что именно подразумевается под CTI-данными в каждом конкретном случае (это могут быть и списки индикаторов компрометации, и неструктурированные отчеты о киберрасследованиях);

- Слишком большой объем CTI-данных может создать информационный шум, а не принести пользу: важны применимость и результативность CTI-данных, а не их количество;

- Не все CTI-данные полезны для всех SOC: при аналитике киберугроз следует фокусироваться на TTPs тех киберпреступных групп, которые, как правило, атакуют именно тот сектор экономики, в котором работает компания-заказчик услуг SOC;

- Стоимость CTI-сервисов и данных не всегда важна: некоторые большие команды аналитиков киберугроз могут успешно использовать общедоступные CTI-данные и обмен информацией с партнерскими SOC-центрами, а некоторые небольшие SOC могут отдавать предпочтение коммерческим CTI-инструментам и фидам;

- ВПО и CTI - это разные вещи: анализ киберугроз не должен фокусироваться на мониторинге использования ВПО злоумышленниками, т.к. зачастую при атаке используются легитимные утилиты и средства (техника "living off the land"); ВПО может использоваться на каки-то этапах атаки, но фокус CTI-аналитики должен быть на понимании целей и TTPs атакующих для корректного выстраивания защитных мер;

- IoCs и CTI - это разные вещи: индикаторы компрометации могут дать некоторую «пищу для размышлений», но сами по себе не являются аналитикой киберугроз; важно, чтобы киберразведка давала ответы на вопросы лиц, принимающих решения, а также содержала применимый контекст.