Что такое Threat Intelligence?
Если задать этот вопрос группе специалистов в области информационной безопасности, мы получим принципиально разные ответы. Несмотря на все старания вендоров и аналитических агентств, на различных рынках сложилось разное понимание и отношение к Threat Intelligence.
Зачастую многие специалисты ставят знак равенства между термином «киберразведка» (а именно такой перевод TI предлагают многие участники рынка) и понятием «фиды» (машиночитаемые потоки данных, англ. Machine Readable Threat Intelligence, MRTI). На самом же деле MRTI - это лишь верхушка айсберга и отличный первый этап для компании, начинающей свой путь в мир TI.
Согласно аналитическому агентству Gartner, Threat Intelligence - это основанные на фактах знания, включая контекст, механизмы, индикаторы, последствия и практические рекомендации о существующих или возникающих угрозах для активов, которые могут быть использованы для принятия решений, касающихся реагирования субъекта на эту угрозу или опасность.
Весьма сложное определение, но в итоге все упирается в знания, которые используются для принятия решений и позволяют опередить злоумышленника в вечной игре в догонялки. На данном этапе на рынке сформировалась весьма стройная картина того, какие данные могут поставляться в виде подписок на TI-сервисы.
К чему пришел рынок за эти годы?
- атака Stuxnet, 2010 г.;
- написание отчета APT1 компанией Mandiant, 2013 г.
О Stuxnet за годы было сказано и написано немало статей и даже были сняты фильмы, но именно это кибероружие и последующие события заложили фундамент для дальнейшего развития рынка Threat Intelligence. И уже через несколько лет Mandiant выпустила свой отчет об APT1, став основоположником описаний таргетированных атак.
С тех пор мы пришли к четкому пониманию того, какие типы данных должны поставляться вендорами. Аналитические агентства начали оценивать предложения компаний по различным критериям и выделили более десятка крупных игроков. Они же сформировали видение типов Threat Intelligence, доступных для использования:
- Technical - по большей части рассчитан на службу мониторинга и улучшение покрытия путем поставки больших объемов сырой машиночитаемой информации.
Примерно такой структуры придерживаются все крупные игроки, поэтому заказчики всегда понимают и знают, что именно они приобретают, несмотря на различия между основными поставщиками.
Отдельно стоит выделить такой класс решений, как Threat IntelligencePlatform (TIP) - решения для использования, хранения и распространения данных об угрозах, позволяющие получать данные из нескольких источников в десятках разных форматов. TIP позволяет упростить и автоматизировать процесс работы с данными, выстроить процессы и распределить поток между различными решениями и командами.
Как все это использовать?
Количество сценариев не ограничено ― мы же говорим о знаниях. Но в то же время есть и понятные, базовые пути использования Threat Intelligence.
- Детектирование угроз. С помощью интеграции машиночитаемых данных в различные системы безопасности мы можем усилить механизмы детектирования свежими данными из различных источников. Платформы SIEM или Threat Intelligence смогут использовать эти данные на потоке для выявления подозрительной или зловредной активности.
- Реагирование. Валидация событий и их приоритезация - серьезная проблема для служб информационной безопасности. По статистике, около половины событий просто не расследуются. TI может помочь выявить и не упустить серьезные угрозы в рамках процесса мониторинга инфраструктуры.
- Расследование инцидентов. Данные могут позволить изучить угрозы, с которыми вы столкнулись, более тщательно и глубоко. Крайне важно понимать, что именно произошло в рамках конкретного инцидента, а не просто заблокировать угрозу. Операционные и тактические данные очень пригодятся на этом этапе.
- Поиск угроз (Threat Hunting). Процессы поиска целевых атак, новых угроз, присутствия злоумышленников в сети не могут существовать без подпитки свежими данными извне. Техники и тактики, используемые злоумышленниками, свежие индикаторы компрометации, описания методологии атак - минимальный необходимый набор данных для выстроенного процесса Threat Hunting.
- Устранение. Последние несколько лет активизировалась дискуссия о сервисах по мониторингу и защите бренда: социальные сети, darkweb, неправомерное использование товарных знаков, фишинг и так далее. Есть различные мнения, относить ли Brand Protection к рынку Threat Intelligence или нет, но сценарий по мониторингу и устранению (takedown) угроз мы не можем не рассмотреть.
Есть ли какие-то устоявшиеся практики?
С 2013 г. MITRE Corporation разрабатывает и обновляет свое руководство по классификации и описанию кибератак, известное, как MITRE ATT&CK Framework (Adversarial Tactics, Techniques, and Common Knowledge). Матрица представляет собой набор описанных техник, тактик и процедур (Technics, Tactics and Procedures, TTPs), использующихся злоумышленниками. Этими стандартными описаниями команды исследователей по всему миру пользуются при написании отчетов о различных атаках. Аналогичный каталог ведет и ФСТЭК России.
Де-факто ATT&CK Framework становится индустриальным стандартом для описания TTPs злоумышленников. Такой же процесс мы уже видели при возникновении форматов OpenIOC или STIX и TAXII, используемых для передачи информации об угрозах.
С чего же начать?
Самый простой путь - машиночитаемая информация для интеграции в системы мониторинга - такие, как SIEM. Даже один специалист, ответственный за Threat Intelligence, способен выстроить начальный фреймворк, который позволит в будущем перейти на следующий уровень - использование Threat Intelligence во всех процессах информационной безопасности: от базового мониторинга до Threat Hunting в рамках третьей линии Security Operations Center. Да, наличие Threat Data Feeds - это еще не фреймворк, но хотя бы его начало.
Всем этим критериям отвечает решение от «Лаборатории Касперского», включающее в себя все доступные и требуемые типы данных, а также консультационную и интеграционную поддержку. Решение признано лидером в области сервисов оперативного информирования о киберугрозах, что подтверждается как крупнейшими аналитическими агентствами, так и опрошенными клиентами.
Что будет дальше?
Мы видим следующие основные тренды.
Унификация и автоматизация. Организациям становится все сложнее справляться с потоком информации, получаемой извне; автоматизация процессов обработки и унификация данных должны помочь справиться с этой задачей.
Целевая информация. Получение данных о конкретной компании или целой стране. Фокус на информации, релевантной для конкретного заказчика.
Обмен данными. Рынок Threat Intelligence образовался в первую очередь за счет обмена данными между компаниями. Пример таких взаимоотношений ― финансовые и государственные Computer Emergency Response Team (CERT), оперативно оповещающие компании о текущих атаках, а также открытые системы обмена информацией между специалистами информационной безопасности.
Digital Risk Protection. Threat Intelligence становится частью процессов, связанных с рисками для бренда в целом. Информация об утечках, фотографии рабочих мест в социальных сетях, обсуждения и прочие данные, полезные для выстраивания процесса управления рисками.
Упрощение. Информация должна быть доступной и простой для понимания. Открытым остается вопрос, считать ли защиту бренда частью Threat Intelligence или выделять в отдельную нишу, например, Digital Risk Protection. Разные поставщики по-разному позиционируют такого рода решения.
Как итог, защита современной организации или даже целой страны требует новых подходов к организации этого процесса. Threat Intelligence не является панацеей, но позволяет эффективно двигаться в сторону современной многоуровневой системы защиты. Противостояние угрозам требует глубокого понимания тактик и инструментов, используемых злоумышленниками, и Threat Intelligence - уже не просто модное название, а необходимость.
Хотите узнать больше? Запросите демо-доступ к решению Kaspersky Threat Intelligence.