| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Авторы публикации указывают на связь любой серьезной атаки с конкретной группой атакующих, и методы киберразведки (аналитики киберугроз) позволяют ассоциировать наблюдаемые события ИБ или киберинциденты с злоумышленниками для более глубокого понимания целей и возможных средств атаки, поскольку у каждой из киберпреступных групп есть свой «почерк», характерные TTPs и инструменты. Стратегия №6 посвящена методам применения киберразведки в деятельности SOC-центра.
1. Что такое киберразведка?
По определению авторов публикации, киберразведка или аналитика киберугроз (англ. Cyber Threat Intelligence, сокращенно CTI) - это процесс сбора, обработки, упорядочивания и интерпретации полученных данных в действенную, практически применимую информацию или продукты, которые позволяют понять возможности, способности, действия, намерения атакующих в киберпространстве. В контексте работы SOC-центров, аналитика киберугроз может применяться для понимания действий атакующих и их поведения; при этом данные киберразведки можно коррелировать с внутренними данными SOC о событиях и инцидентах ИБ, что способствует повышению видимости кибератак, снижению ущерба, повышению качества принимаемых решений при реагировании на киберинциденты.
Данные киберразведки помогут также для выявления злоумышленников внутри инфраструктуры, тонкой настройки сенсоров и аналитических систем для лучшего мониторинга, приоритизации ресурсов SOC, обогащения и контекстуализации информации по киберинцидентам, предотвращения или замедления кибератак, а также для прогнозирования поведения атакующих в сети компании. Классический цикл аналитики киберугроз заключается в планировании, сборе, обработке, анализе, распространении, оценке данных киберразведки. Применять данные киберразведки важно, т.к. такой подход позволяет перейти от реактивной модели реагирования на киберинциденты (по факту выявления признаков) к проактивной, при которой действия атакующий прогнозируются и выявляются до выполнения деструктивных или вредоносных действий, которые выявляются СЗИ. При этом источники данных киберразведки могут быть и внешние (аналитические отчеты о киберугрозах от ИБ-компаний, сведения от других SOC, поставщики данных киберразведки - фиды Threat Intelligence, сокращенно TI-фиды), и внутренние (сведения от аналитиков и исследователей внутри компании-заказчика).
По мнению авторов публикации, источник данных, относящийся к киберугрозам, может считаться источником аналитики киберугроз только в случае предоставления им информации об атакующих (контекст и детали контекста атакующих). Так, IP-адреса, доменные имена, адреса email, сигнатуры вирусов без привязки к конкретным атакующим не могут считаться CTI-данными. При этом CTI-источниками будут считаться аналитические отчеты о киберугрозах, выпускаемые вендорами и исследователями, структурированные отчеты (например, в формате STIX), данные TI-фидов. С учетом потенциального большого числа возможных источников CTI-данных, рекомендуется оценивать следующие характеристики поставляемых источником данных:
- Можно ли использовать полученные данные, например, в корреляционных правилах, в сценариях проактивного поиска киберугроз (Threat Hunting), использовать в средствах предотвращения атак?
- Являются ли получаемые данные актуальными и современными, нет ли среди них устаревшей информации?
- Являются ли получаемые данные релевантными для инфраструктуры и сектора экономики компании-заказчика, поступают ли они из доверенного источника с хорошей репутацией, как происходит обработка и передача CTI-данных, используются ли API-интерфейсы для взаимодействия?
- Являются ли получаемые данные точными и непротиворечивыми?
2. Цели и планирование использования аналитики киберугроз.
Одной из целей аналитики киберугроз является оказание помощи руководителям компании для фокусирования их внимания на значимых киберугрозах и принятия взвешенных, риск-ориентированных управленческих решений. Поскольку руководители могут находиться на различных иерархических уровнях в компании, предоставляемые им данные киберразведки также распределяются по различных уровням в зависимости от глубины детализации и целей:
- Стратегический уровень, на котором информациях предоставляется топ-менеджменту для формирования бюджета функции кибербезопасности; делаются отчеты о трендах киберпреступлений, релевантных для компании группах киберпреступников и о предлагаемых мерах и методах противодействия.
- Операционный уровень, на котором технические подробности предоставляются ИТ/ИБ-руководителям и руководству SOC, включая данные о вредоносных кампаниях злоумышленников, мотивации атакующих, вероятных целях атак; на основании этой информации проводится изменение ИБ-архитектуры, перенастройка СЗИ, приобретаются новые инструменты для SOC.
- Тактический уровень, на котором детальная информация о TTPs, методах и операциях атакующих в структурированном виде передается в SOC-центр для настройки правил корреляции, сенсоров и аналитических инструментов.
Интеграция продуктов и сервисов аналитики киберугроз в процессы и инструменты SOC дает следующие преимущества:
- Позволяет выбирать и приоритизировать корректные контрмеры на основании релевантных киберугроз;
- Повышает результативность и полноту действий по реагированию;
- Снижает процент успешных кибератак, включая атаки APT-группировок;
- Улучшает выявление киберугроз, что снижает время незаметного присутствия атакующих в инфраструктуре;
- Повышает ситуационную осведомленность и знания о киберугрозах на основании формирования информативной и детальной отчетности;
- Повышает видимость контекста и связи между инцидентами и влиянием на бизнес;
- Повышает осведомленность коллег из других SOC путем обмена данными об опыте обработки киберугроз;
- Повышает экономическую эффективность и оправданность работы SOC благодаря применению накапливаемым знаний о киберугрозах;
- Повышает осведомленность о профиле угроз компании-заказчика и о возможных целях кибератак;
- Дает понимание недостатков в киберзащите и мотивирует устранять их.
Эффективное применение аналитики киберугроз требует глубокого понимания деятельности, бизнес-процессов и активов компании-заказчика для профилирования групп потенциальных атакующих. Требуется понимание следующих аспектов:
- Контекст: понимание того, кто и почему будет атаковать компанию, какие возможности есть у злоумышленников, какие последствия может иметь атака;
- Анализ: понимание того, что и когда уже случилось, что происходит сейчас, какие сценарии атаки и TTPs используются;
- Действия: понимание того, где сейчас наблюдается вредоносная активность и какая именно, какие контрмеры следует предпринять, как применить CTI в конкретных СЗИ (например, в системах SIEM, SOAR) для поиска, сдерживания, устранения угрозы.
Использование CTI будет результативным и эффективным в случае, если SOC обладает следующими знаниями:
- Информация об атакующих: контекст, мотивы, планы, "почерк" атакующих, технические индикаторы (например, используемое ВПО, а также индикаторы компрометации - сокращенно IoCs, Indicators of Compromise), тренды и предыдущие успешные атаки злоумышленников, возможности атакующих (ресурсы, способности проводить скрытные и сложные кибероперации, примерная численность киберпреступной группировки), используемые ими инструменты, инфраструктуры, ресурсы;
- Релевантность: понимание членами команды SOC особенностей компании-заказчика (бизнес-процессы, конкурентные преимущества, ценные активы, ключевые сотрудники, защищаемая информация, применимые законодательные требования), понимание выстроенных партнерских взаимоотношений с контрагентами, а также иные сведения, которые могут быть интересны атакующим и релевантны их целям;
- Техническая среда: архитектура IT и OT-сетей, облачная и on-prem инфраструктура, состояние цифровых активов, данные об уязвимостях, профиль поведения пользователей, систем и сущностей, а также иная ИБ-релевантная техническая информация (предупреждения, журналы аудита, данные с конечных точек и сетевых устройств и т.д.).
Авторы публикации подчеркивают, что ключевым аспектом для предотвращения кибератак с использованием методов киберразведки будет понимание целей, мотивов, «почерка» киберпреступников, а также атрибутирования (сопоставления) киберугроз и конкретных инцидентов с определенными группами атакующих. Такие группы могут фигурировать в специализированных отчетах как APT-группировки (Advanced Persistent Threat, буквально «продвинутая постоянная угроза») с определенными порядковыми номерами (например, APT33 или APT41) или именами собственными (например, Darkhotel или Silence); со справочным перечнем этих групп можно ознакомиться на сайте проекта MITRE ATT&CK, там же содержится и описание основных этапов и TTPs современных киберпреступных групп. В целом, понимание того, какая именно группа вероятно готовится или уже производит кибератаку, позволяет предсказать дальнейшие шаги атакующих, а создание профиля киберугроз компании позволяет сузить круг потенциальных APT-групп, которые, с определенной долей вероятности, будут пытаться атаковать компанию, и, соответственно, лучше подготовиться к отражению таких атак, осуществляемых с помощью характерного для конкретной APT-группы инструментария. При этом точное атрибутирование кибератаки конкретной APT-группе может быть весьма ресурсозатратным и не всегда целесообразным, поэтому авторы предлагают использовать методы ассоциации злоумышленников - поиск вероятных связей между вредоносными действиями и возможными киберпреступными группами, что позволит установить взаимосвязи между атакующими и атрибутами атак (например, индикаторами компрометации, TTPs). Такой анализ позволит понять, какие вредоносные действия атакующие уже осуществили, могут осуществить в дальнейшем, а также их мотивацию и конечную цель атаки. Знаниями, которые получают CTI-аналитики в рамках своих исследований, следует в контролируемом виде обмениваться с родительскими, дочерними, партнерскими SOC-центрами и ИБ-подразделениями, докладывать заинтересованными руководителями компании-заказчика. При получении информации о готовящемся кибернападении важно будет подготовить не только защитные меры, но и использовать систему хостов-приманок для атакующих с целью более глубокого понимания их TTPs.
3. Использование инструментов аналитики киберугроз.
При принятии решения о применении тех или иных CTI-инструментов, авторы публикации рекомендуют обратить внимание на следующие факторы:
- Применимость в технологической составляющей SOC: выдает ил CTI-инструмент данные, применимые в инструментарии SOC и полезные для работы команды SOC?
- Проверка качества данных: если CTI-инструмент выдает неточные данные, то должны быть инструменты настройки доверия получаемой информации;
- Отслеживание происхождения CTI-данных: как изменяются CTI-данные, откуда они приходят, какие исходные данные использовались для формирования CTI-данных, надежен ли их источник?
- Определите и поддерживайте правила атрибуции/ассоциации атакующих: заранее определите уровни вероятности и доверия при проведении атрибутирования или ассоциирования групп атакующих на основе CTI-данных;
- Определите и поддерживайте правила мониторинга и реагирования: заранее договоритесь, когда можно ограничиться мониторингом активности, а когда следует выполнять действия по активному реагированию при выполнении предварительно разработанных условий.
Для работы с CTI прежде всего нужны квалифицированные, опытные эксперты-аналитики киберугроз, но для помощи им можно использовать технологические решения - такие, как TIP (Threat Intelligence Platform, платформа аналитики киберугроз). Системы TIP предназначены для обработки CTI-данных, т.е. для получения, упорядочивания, корреляции, использования больших объемов данных, относящихся к атакующим, включая индикаторы компрометации; TIP-решения также позволяют эффективно управлять знаниями о киберугрозах в компании. Наиболее эффективно TIP будет применяться в связке с технологическими инструментами SOC, которые позволяют проводить корреляцию, обогащение, совместную работу с CTI-данными, например, с системами SIEM и SOAR и с платформами обработки Big Data. Платформа TIP поможет ответить на вопросы о длительности присутствия атакующих в инфраструктуре, о характере выполненных ими действий, а также о происхождении CTI-данных и о CTI-отчетах с описанием похожей вредоносной активности.
При выборе TIP-решения следует обратить внимание на следующие характеристики платформы:
- Платформа TIP должна позволять организовать совместную работу аналитиков киберугроз, а также трекинг обнаруженных артефактов, активности злоумышленников и их вредоносных кампаний;
- Интеграционные возможности: TIP-решение должно корректно взаимодействовать с источниками CTI-данных (коммерческими и Open Source) и с инструментами SOC (SIEM, SOAR, Big Data);
- TI-фиды «из коробки»: хорошая TIP должна по умолчанию предоставлять варианты интеграции и получения данных из нескольких источников CTI-данных, а также обеспечивать дедупликацию получаемых данных;
- Обратная связь и скоринг: TIP-решение должно позволять проводить скоринг (оценку) получаемых CTI-данных на основании их качества и применимости, а также приоритизировать обработку CTI-данных в SOC на основании проведенной оценки;
- Конфиденциальность: получаемые CTI-данные могут приходить их различных источников, а их обработка может быть ограничена требования конфиденциальности (например, с применением TLP-меток, от англ. Traffic Light Protocol) - эти обстоятельства требуется учитывать в TIP;
- Ручной анализ: TIP-решение должно позволять аналитику киберугроз самостоятельно связывать признаки активности атакующих, проводить корреляцию, группировать сходные сущности;
- Аудит и управление изменениями: TIP-система должна вести учет выполненных действий и откатывать изменения в случае внесения неверных данных или создания неточной ассоциации или атрибутирования;
- Масштабируемость, производительность: TI-фиды могут содержать миллионы индикаторов компрометации, которые TIP-система должна оперативно обрабатывать.
4. Сложности и вызовы при работе с CTI-данными.
Авторы публикации напоминают, что задача аналитики киберугроз стоит шире, чем простая обработка индикаторов компрометации (сигнатур, хэшей, IP-адресов и т.д.), которые могут быть легко изменены атакующими для обхода СЗИ; в киберразведке важно понимать TTPs злоумышленников, использовать индикаторы атак и контекстуализированную информацию при анализе. Указаны также некоторые типичные заблуждения, характерные при создании CTI-функции в SOC:
- CTI-данные создаются по-разному: некоторые источники CTI используют общедоступные CTI-данные и переупаковывают их, добавляя свою аналитику, поэтому важно понимать происхождение и изначальные источники CTI-данных; также необходимо понимать, что именно подразумевается под CTI-данными в каждом конкретном случае (это могут быть и списки индикаторов компрометации, и неструктурированные отчеты о киберрасследованиях);
- Слишком большой объем CTI-данных может создать информационный шум, а не принести пользу: важны применимость и результативность CTI-данных, а не их количество;
- Не все CTI-данные полезны для всех SOC: при аналитике киберугроз следует фокусироваться на TTPs тех киберпреступных групп, которые, как правило, атакуют именно тот сектор экономики, в котором работает компания-заказчик услуг SOC;
- Стоимость CTI-сервисов и данных не всегда важна: некоторые большие команды аналитиков киберугроз могут успешно использовать общедоступные CTI-данные и обмен информацией с партнерскими SOC-центрами, а некоторые небольшие SOC могут отдавать предпочтение коммерческим CTI-инструментам и фидам;
- ВПО и CTI - это разные вещи: анализ киберугроз не должен фокусироваться на мониторинге использования ВПО злоумышленниками, т.к. зачастую при атаке используются легитимные утилиты и средства (техника "living off the land"); ВПО может использоваться на каки-то этапах атаки, но фокус CTI-аналитики должен быть на понимании целей и TTPs атакующих для корректного выстраивания защитных мер;
- IoCs и CTI - это разные вещи: индикаторы компрометации могут дать некоторую «пищу для размышлений», но сами по себе не являются аналитикой киберугроз; важно, чтобы киберразведка давала ответы на вопросы лиц, принимающих решения, а также содержала применимый контекст.