SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
13.06.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

Авторы публикации указывают на связь любой серьезной атаки с конкретной группой атакующих, и методы киберразведки (аналитики киберугроз) позволяют ассоциировать наблюдаемые события ИБ или киберинциденты с злоумышленниками для более глубокого понимания целей и возможных средств атаки, поскольку у каждой из киберпреступных групп есть свой «почерк», характерные TTPs и инструменты. Стратегия №6 посвящена методам применения киберразведки в деятельности SOC-центра. 


1. Что такое киберразведка?


По определению авторов публикации, киберразведка или аналитика киберугроз (англ. Cyber Threat Intelligence, сокращенно CTI) - это процесс сбора, обработки, упорядочивания и интерпретации полученных данных в действенную, практически применимую информацию или продукты, которые позволяют понять возможности, способности, действия, намерения атакующих в киберпространстве. В контексте работы SOC-центров, аналитика киберугроз может применяться для понимания действий атакующих и их поведения; при этом данные киберразведки можно коррелировать с внутренними данными SOC о событиях и инцидентах ИБ, что способствует повышению видимости кибератак, снижению ущерба, повышению качества принимаемых решений при реагировании на киберинциденты.


Данные киберразведки помогут также для выявления злоумышленников внутри инфраструктуры, тонкой настройки сенсоров и аналитических систем для лучшего мониторинга, приоритизации ресурсов SOC, обогащения и контекстуализации информации по киберинцидентам, предотвращения или замедления кибератак, а также для прогнозирования поведения атакующих в сети компании. Классический цикл аналитики киберугроз заключается в планировании, сборе, обработке, анализе, распространении, оценке данных киберразведки. Применять данные киберразведки важно, т.к. такой подход позволяет перейти от реактивной модели реагирования на киберинциденты (по факту выявления признаков) к проактивной, при которой действия атакующий прогнозируются и выявляются до выполнения деструктивных или вредоносных действий, которые выявляются СЗИ. При этом источники данных киберразведки могут быть и внешние (аналитические отчеты о киберугрозах от ИБ-компаний, сведения от других SOC, поставщики данных киберразведки - фиды Threat Intelligence, сокращенно TI-фиды), и внутренние (сведения от аналитиков и исследователей внутри компании-заказчика). 


По мнению авторов публикации, источник данных, относящийся к киберугрозам, может считаться источником аналитики киберугроз только в случае предоставления им информации об атакующих (контекст и детали контекста атакующих). Так, IP-адреса, доменные имена, адреса email, сигнатуры вирусов без привязки к конкретным атакующим не могут считаться CTI-данными. При этом CTI-источниками будут считаться аналитические отчеты о киберугрозах, выпускаемые вендорами и исследователями, структурированные отчеты (например, в формате STIX), данные TI-фидов. С учетом потенциального большого числа возможных источников CTI-данных, рекомендуется оценивать следующие характеристики поставляемых источником данных:

- Можно ли использовать полученные данные, например, в корреляционных правилах, в сценариях проактивного поиска киберугроз (Threat Hunting), использовать в средствах предотвращения атак?

- Являются ли получаемые данные актуальными и современными, нет ли среди них устаревшей информации?

- Являются ли получаемые данные релевантными для инфраструктуры и сектора экономики компании-заказчика, поступают ли они из доверенного источника с хорошей репутацией, как происходит обработка и передача CTI-данных, используются ли API-интерфейсы для взаимодействия?

- Являются ли получаемые данные точными и непротиворечивыми? 


2. Цели и планирование использования аналитики киберугроз.


Одной из целей аналитики киберугроз является оказание помощи руководителям компании для фокусирования их внимания на значимых киберугрозах и принятия взвешенных, риск-ориентированных управленческих решений. Поскольку руководители могут находиться на различных иерархических уровнях в компании, предоставляемые им данные киберразведки также распределяются по различных уровням в зависимости от глубины детализации и целей:

- Стратегический уровень, на котором информациях предоставляется топ-менеджменту для формирования бюджета функции кибербезопасности; делаются отчеты о трендах киберпреступлений, релевантных для компании группах киберпреступников и о предлагаемых мерах и методах противодействия.

- Операционный уровень, на котором технические подробности предоставляются ИТ/ИБ-руководителям и руководству SOC, включая данные о вредоносных кампаниях злоумышленников, мотивации атакующих, вероятных целях атак; на основании этой информации проводится изменение ИБ-архитектуры, перенастройка СЗИ, приобретаются новые инструменты для SOC.

- Тактический уровень, на котором детальная информация о TTPs, методах и операциях атакующих в структурированном виде передается в SOC-центр для настройки правил корреляции, сенсоров и аналитических инструментов. 


Интеграция продуктов и сервисов аналитики киберугроз в процессы и инструменты SOC дает следующие преимущества:

- Позволяет выбирать и приоритизировать корректные контрмеры на основании релевантных киберугроз;

- Повышает результативность и полноту действий по реагированию;

- Снижает процент успешных кибератак, включая атаки APT-группировок;

- Улучшает выявление киберугроз, что снижает время незаметного присутствия атакующих в инфраструктуре;

- Повышает ситуационную осведомленность и знания о киберугрозах на основании формирования информативной и детальной отчетности;

- Повышает видимость контекста и связи между инцидентами и влиянием на бизнес;

- Повышает осведомленность коллег из других SOC путем обмена данными об опыте обработки киберугроз;

- Повышает экономическую эффективность и оправданность работы SOC благодаря применению накапливаемым знаний о киберугрозах;

- Повышает осведомленность о профиле угроз компании-заказчика и о возможных целях кибератак;

- Дает понимание недостатков в киберзащите и мотивирует устранять их. 


Эффективное применение аналитики киберугроз требует глубокого понимания деятельности, бизнес-процессов и активов компании-заказчика для профилирования групп потенциальных атакующих. Требуется понимание следующих аспектов:

- Контекст: понимание того, кто и почему будет атаковать компанию, какие возможности есть у злоумышленников, какие последствия может иметь атака;

- Анализ: понимание того, что и когда уже случилось, что происходит сейчас, какие сценарии атаки и TTPs используются;

- Действия: понимание того, где сейчас наблюдается вредоносная активность и какая именно, какие контрмеры следует предпринять, как применить CTI в конкретных СЗИ (например, в системах SIEM, SOAR) для поиска, сдерживания, устранения угрозы.

 

Использование CTI будет результативным и эффективным в случае, если SOC обладает следующими знаниями:

- Информация об атакующих: контекст, мотивы, планы, "почерк" атакующих, технические индикаторы (например, используемое ВПО, а также индикаторы компрометации - сокращенно IoCs, Indicators of Compromise), тренды и предыдущие успешные атаки злоумышленников, возможности атакующих (ресурсы, способности проводить скрытные и сложные кибероперации, примерная численность киберпреступной группировки), используемые ими инструменты, инфраструктуры, ресурсы;

- Релевантность: понимание членами команды SOC особенностей компании-заказчика (бизнес-процессы, конкурентные преимущества, ценные активы, ключевые сотрудники, защищаемая информация, применимые законодательные требования), понимание выстроенных партнерских взаимоотношений с контрагентами, а также иные сведения, которые могут быть интересны атакующим и релевантны их целям;

- Техническая среда: архитектура IT и OT-сетей, облачная и on-prem инфраструктура, состояние цифровых активов, данные об уязвимостях, профиль поведения пользователей, систем и сущностей, а также иная ИБ-релевантная техническая информация (предупреждения, журналы аудита, данные с конечных точек и сетевых устройств и т.д.). 


Авторы публикации подчеркивают, что ключевым аспектом для предотвращения кибератак с использованием методов киберразведки будет понимание целей, мотивов, «почерка» киберпреступников, а также атрибутирования (сопоставления) киберугроз и конкретных инцидентов с определенными группами атакующих. Такие группы могут фигурировать в специализированных отчетах как APT-группировки (Advanced Persistent Threat, буквально «продвинутая постоянная угроза») с определенными порядковыми номерами (например, APT33 или APT41) или именами собственными (например, Darkhotel или Silence); со справочным перечнем этих групп можно ознакомиться на сайте проекта MITRE ATT&CK, там же содержится и описание основных этапов и TTPs современных киберпреступных групп. В целом, понимание того, какая именно группа вероятно готовится или уже производит кибератаку, позволяет предсказать дальнейшие шаги атакующих, а создание профиля киберугроз компании позволяет сузить круг потенциальных APT-групп, которые, с определенной долей вероятности, будут пытаться атаковать компанию, и, соответственно, лучше подготовиться к отражению таких атак, осуществляемых с помощью характерного для конкретной APT-группы инструментария. При этом точное атрибутирование кибератаки конкретной APT-группе может быть весьма ресурсозатратным и не всегда целесообразным, поэтому авторы предлагают использовать методы ассоциации злоумышленников - поиск вероятных связей между вредоносными действиями и возможными киберпреступными группами, что позволит установить взаимосвязи между атакующими и атрибутами атак (например, индикаторами компрометации, TTPs). Такой анализ позволит понять, какие вредоносные действия атакующие уже осуществили, могут осуществить в дальнейшем, а также их мотивацию и конечную цель атаки. Знаниями, которые получают CTI-аналитики в рамках своих исследований, следует в контролируемом виде обмениваться с родительскими, дочерними, партнерскими SOC-центрами и ИБ-подразделениями, докладывать заинтересованными руководителями компании-заказчика. При получении информации о готовящемся кибернападении важно будет подготовить не только защитные меры, но и использовать систему хостов-приманок для атакующих с целью более глубокого понимания их TTPs. 


3. Использование инструментов аналитики киберугроз.


При принятии решения о применении тех или иных CTI-инструментов, авторы публикации рекомендуют обратить внимание на следующие факторы:

- Применимость в технологической составляющей SOC: выдает ил CTI-инструмент данные, применимые в инструментарии SOC и полезные для работы команды SOC?

- Проверка качества данных: если CTI-инструмент выдает неточные данные, то должны быть инструменты настройки доверия получаемой информации;

- Отслеживание происхождения CTI-данных: как изменяются CTI-данные, откуда они приходят, какие исходные данные использовались для формирования CTI-данных, надежен ли их источник?

- Определите и поддерживайте правила атрибуции/ассоциации атакующих: заранее определите уровни вероятности и доверия при проведении атрибутирования или ассоциирования групп атакующих на основе CTI-данных;

- Определите и поддерживайте правила мониторинга и реагирования: заранее договоритесь, когда можно ограничиться мониторингом активности, а когда следует выполнять действия по активному реагированию при выполнении предварительно разработанных условий. 


Для работы с CTI прежде всего нужны квалифицированные, опытные эксперты-аналитики киберугроз, но для помощи им можно использовать технологические решения - такие, как TIP (Threat Intelligence Platform, платформа аналитики киберугроз). Системы TIP предназначены для обработки CTI-данных, т.е. для получения, упорядочивания, корреляции, использования больших объемов данных, относящихся к атакующим, включая индикаторы компрометации; TIP-решения также позволяют эффективно управлять знаниями о киберугрозах в компании. Наиболее эффективно TIP будет применяться в связке с технологическими инструментами SOC, которые позволяют проводить корреляцию, обогащение, совместную работу с CTI-данными, например, с системами SIEM и SOAR и с платформами обработки Big Data. Платформа TIP поможет ответить на вопросы о длительности присутствия атакующих в инфраструктуре, о характере выполненных ими действий, а также о происхождении CTI-данных и о CTI-отчетах с описанием похожей вредоносной активности. 


При выборе TIP-решения следует обратить внимание на следующие характеристики платформы:

- Платформа TIP должна позволять организовать совместную работу аналитиков киберугроз, а также трекинг обнаруженных артефактов, активности злоумышленников и их вредоносных кампаний;

- Интеграционные возможности: TIP-решение должно корректно взаимодействовать с источниками CTI-данных (коммерческими и Open Source) и с инструментами SOC (SIEM, SOAR, Big Data);

- TI-фиды «из коробки»: хорошая TIP должна по умолчанию предоставлять варианты интеграции и получения данных из нескольких источников CTI-данных, а также обеспечивать дедупликацию получаемых данных;

- Обратная связь и скоринг: TIP-решение должно позволять проводить скоринг (оценку) получаемых CTI-данных на основании их качества и применимости, а также приоритизировать обработку CTI-данных в SOC на основании проведенной оценки;

- Конфиденциальность: получаемые CTI-данные могут приходить их различных источников, а их обработка может быть ограничена требования конфиденциальности (например, с применением TLP-меток, от англ. Traffic Light Protocol) - эти обстоятельства требуется учитывать в TIP;

- Ручной анализ: TIP-решение должно позволять аналитику киберугроз самостоятельно связывать признаки активности атакующих, проводить корреляцию, группировать сходные сущности;

- Аудит и управление изменениями: TIP-система должна вести учет выполненных действий и откатывать изменения в случае внесения неверных данных или создания неточной ассоциации или атрибутирования;

- Масштабируемость, производительность: TI-фиды могут содержать миллионы индикаторов компрометации, которые TIP-система должна оперативно обрабатывать. 


4. Сложности и вызовы при работе с CTI-данными.


Авторы публикации напоминают, что задача аналитики киберугроз стоит шире, чем простая обработка индикаторов компрометации (сигнатур, хэшей, IP-адресов и т.д.), которые могут быть легко изменены атакующими для обхода СЗИ; в киберразведке важно понимать TTPs злоумышленников, использовать индикаторы атак и контекстуализированную информацию при анализе. Указаны также некоторые типичные заблуждения, характерные при создании CTI-функции в SOC:

- CTI-данные создаются по-разному: некоторые источники CTI используют общедоступные CTI-данные и переупаковывают их, добавляя свою аналитику, поэтому важно понимать происхождение и изначальные источники CTI-данных; также необходимо понимать, что именно подразумевается под CTI-данными в каждом конкретном случае (это могут быть и списки индикаторов компрометации, и неструктурированные отчеты о киберрасследованиях);

- Слишком большой объем CTI-данных может создать информационный шум, а не принести пользу: важны применимость и результативность CTI-данных, а не их количество;

- Не все CTI-данные полезны для всех SOC: при аналитике киберугроз следует фокусироваться на TTPs тех киберпреступных групп, которые, как правило, атакуют именно тот сектор экономики, в котором работает компания-заказчик услуг SOC;

- Стоимость CTI-сервисов и данных не всегда важна: некоторые большие команды аналитиков киберугроз могут успешно использовать общедоступные CTI-данные и обмен информацией с партнерскими SOC-центрами, а некоторые небольшие SOC могут отдавать предпочтение коммерческим CTI-инструментам и фидам;

- ВПО и CTI - это разные вещи: анализ киберугроз не должен фокусироваться на мониторинге использования ВПО злоумышленниками, т.к. зачастую при атаке используются легитимные утилиты и средства (техника "living off the land"); ВПО может использоваться на каки-то этапах атаки, но фокус CTI-аналитики должен быть на понимании целей и TTPs атакующих для корректного выстраивания защитных мер;

- IoCs и CTI - это разные вещи: индикаторы компрометации могут дать некоторую «пищу для размышлений», но сами по себе не являются аналитикой киберугроз; важно, чтобы киберразведка давала ответы на вопросы лиц, принимающих решения, а также содержала применимый контекст.

MITRE SOC ГОСТы и документы ИБ Управление ИБ Стандарты ИБ TIP Подкасты ИБ

Рекомендуем

Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1

Рекомендуем

Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1

Похожие статьи

Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
SCA на языке безопасника
SCA на языке безопасника
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Интернет вещей и его применение
Интернет вещей и его применение
Разработка без кода
Разработка без кода
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Пентесты
Пентесты
Принципы информационной безопасности
Принципы информационной безопасности

Похожие статьи

Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
SCA на языке безопасника
SCA на языке безопасника
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Интернет вещей и его применение
Интернет вещей и его применение
Разработка без кода
Разработка без кода
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Пентесты
Пентесты
Принципы информационной безопасности
Принципы информационной безопасности