Threat Intelligence: хайп или полезный инструмент

Рост числа угроз информационной безопасности стимулирует бизнес совершенствовать подходы к защите данных и инфраструктуры и действовать на опережение с помощью разных инструментов. Например, сервисы аналитики киберугроз работают на противодействие преступным группам еще до начала атаки и повышают эффективность борьбы с инцидентами. Об инструментах для анализа данных, о рисках информационной безопасности и их практической пользе рассказывает Илья Селезнев, руководитель продукта Threat Intelligence группы компаний «Гарда».

Threat Intelligence* (TI) – данные о киберугрозах в структурированном виде. Сервисы TI содержат информацию о тактиках, техниках и практиках злоумышленников, о контексте, связях с другими объектами. Все эти данные постоянно обновляются. По оценке аналитического центра группы компаний «Гарда», в 2023 году заказчики включили Threat Intelligence в число успешных кейсов по импортозамещению систем для сетевой безопасности. 11% компаний использовали решения этого класса для управления активами и сетью, 10% – для реагирования на инциденты.

Основной элемент сервисов TI – потоки данных (фиды) с индикаторами компрометации (Indicators of Compromise, IoС**), по которым можно определить признаки вредоносной активности. Индикаторами могут быть IP-адреса, URL, имена доменов и хостов, e-mail-адреса, хэши вредоносных файлов, ключи реестра и другие данные.

Получить информацию для фидов можно из открытых источников: OSINT***, даркнет, соцсети, специализированные сервисы. Вендоры TI собирают и анализируют информацию также на основе внутренних источников. К ним относятся сетевые ловушки и данные, полученные в ходе эксплуатации продуктов на реальном трафике или при подготовке исследований. Cобрать единожды фиды недостаточно – они не будут работать на повышение эффективности кибербезопасности без постоянного обновления информации и обогащения контекстом, а также без регулярной фильтрации, валидации и приоритизации.

При создании качественного TI к обработке информации подключают аналитиков, которые сопоставляют индикаторы с методами и тактиками преступников, занимаются исследованиями и анализом киберугроз, составляют отчеты по результатам работы. Аналитические отчеты содержат связи между индикаторами и ранжирование их в зависимости от уровня опасности, описание техник и тактик злоумышленников.

Оценка критичности и достоверности индикаторов важна, так как слишком большой объем данных из разных источников способен привести к чрезмерному количеству ложных срабатываний в системе. Если индикаторов мало или вендор не уделяет должного внимания их проверке на актуальность и фильтрации, тогда сервис не будет обеспечивать защиту от новых угроз. Актуализация работает и в обратную сторону – следует регулярно удалять устаревшие индикаторы компрометации. Важно знать, за кем закреплен IP-адрес на момент начала вредоносной деятельности. Порой домен успевают перерегистрировать 2 или 3 раза, и он уже легитимный в период загрузки данных из открытых источников.

Сервисы TI работают как на детектирование инцидентов, так и на их предупреждение. Заказчик получает информацию о новых группировках злоумышленников и их инструментах до того, как произойдет атака, и может подготовиться.

Threat Intelligence помогает провести ретроспективный анализ, чтобы выявить подозрительные артефакты и сопоставить их с обновленными данными об угрозах. Служба безопасности иногда обнаруживает признаки вредоносной активности спустя какое-то время после начала атаки. Например, APT****-группировки могут долго изучать инфраструктуру жертвы и разрабатывать инструменты для внедрения, а после проникновения месяцами оставаться незамеченными. Ретроспективный анализ позволяет детектировать точки входа злоумышленников, этапы развития атаки и скомпрометированные ресурсы. Если в системе управления событиями безопасности просматривать подозрительные адреса только за последнюю неделю или месяц, возникает риск упустить факт компрометации хоста. Ведь иногда индикаторы по сложным атакам, относящимся к APT-активности, появляются с задержкой в 1-2 месяца.

Степень зрелости компании в контексте информационной безопасности определяет потребность в сборе данных о киберугрозах.

TI будет полезен заказчикам с разным уровнем зрелости собственной ИБ, в том числе организациям со базовым набором средств защиты информации. Небольшая компания может использовать фиды/индикаторы, обогащая ими свои СЗИ.

Бизнесу с развитой распределенной инфраструктурой и высоким уровнем зрелости процессов ИБ Threat Intelligence позволит оперативно получать данные о новых атаках киберпреступников и выстраивать эшелонированную защиту, снижать нагрузку на сотрудников центров мониторинга. TI интегрируется с межсетевыми экранами прикладного уровня и с системами анализа трафика и реагирования на угрозы Network Detection and Response (NDR) *****.

Подход к построению безопасной ИТ-инфраструктуры зависит от отраслевой специфики, оценки влияния рисков на бизнес-процессы.

Сталкиваясь с повышенным интересом киберпреступников, компании ищут способы предотвратить изощренные атаки на дальних рубежах, и Threat Intelligence в этом помогает. Если 3-4 года назад сервисы TI рассматривались как перспективные, но необязательные инструменты, то сейчас они становятся частью эшелонированной защиты.

*Threat Intelligence – англ., данные о киберугрозах.

**Indicators of Compromise – англ., индикаторы компрометации.

***Open-Source Intelligence – англ., разведка по открытым источникам.

****Advanced Persistent Threat – англ., целевая (таргетированная) атака.

***** Network Detection and Response – англ., выявление сетевых угроз и реагирование на них.

Статья опубликована на портале it-world.ru 19 апреля 2024 года.