Сегодня формируется мнение, что необходимым звеном в защите каждой компании является если не создание собственного подразделение киберразведки (Threat intelligence, TI), то как минимум приобретение результатов работы профессиональных команд в виде т.н. «фидов» – всевозможных списков подозрительных IP адресов, хешей вредоносов, списков командных центров и т. п.
И действительно, TI дает много ценной информации. Порой даже возникает ощущение, что загрузи только волшебные «фиды» в свой SIEM и все само собой получится, но, к сожалению, это не так. Для получения результата необходимо научиться интегрировать результаты работы TI в процессы обеспечения безопасности. Не говоря уже о том, что эти процессы должны к моменту интеграции быть. Попробуем разобраться по порядку и определиться с задачами, которые можно поставить перед CTI командой, людьми, которым это можно поручить, и средствами, которые понадобятся для достижения успеха.
ЗАДАЧИ
На наш взгляд киберразведка – комплекс процессов, мероприятий, технических средств и компетенций, нацеленный на две ключевые вещи.
Первое – проактивное управления угрозами ИБ еще на дальних подступах, до того момента, как произошел реальный инцидент на собственной инфраструктуре. Эту деятельность необходимо осуществлять через оперативный обмен информацией с киберсообществом: мировым, отраслевым, вендорским (имеются ввиду, в первую очередь, вендоры тех средств защиты, которые вы эксплуатируете). Цель обмена информацией – узнать о том, к чему нам надо подготовить инфраструктуру мониторинга и противодействия, механизмы реагирования и дежурные службы до момента проникновения «заразы» в периметр организации. Мы должны пытаться отслеживать информацию о массовых инцидентах, путях и способах их распространения. Необходимо заранее оценивать степень уязвимости инфраструктуры, понимать, сумеем ли мы закрыть уязвимости, или необходимо «трясти» своих вендоров на предмет выпуска сигнатур, правил обнаружения или, на худой конец, IoC (от indicator of compromise), которые можем заложить в свои SIEM системы для обнаружения признаков активности. На этом этапе важно расписать порядок действий для обнаружения инцидента в различных стадиях, оповестить и потребовать особой внимательности от персонала.
Второй глобальной задачей киберразведки должно стать противодействие целевым атакам. И тут сложность сильно возрастает: мы переходим в сферу «обнаружения необнаруживаемого». Тут от аналитиков требуется предположить, что злоумышленник уже контролирует часть вашей инфраструктуры и, базируясь на знаниях о методах и тактике действий злоумышленников, пытаться строить и проверять гипотезы о том, как обнаружить следы присутствия непрошенных гостей.
Для проверки гипотез необходимо накапливать всю доступную киберразведчику информацию, формировать то, что называется SecBigData или DataLake. Ведь заранее неизвестно, что именно потребуется для выявления злонамеренной активности. Именно тут, на этих массивах данных может сработать и т.н. поведенческий анализ, и появится возможность расширения контекста безопасности. Это сложная и интересная работа, в которой действует «обратный» принцип Парето: когда 95% усилий дают лишь 5% выявленных инцидентов. И то если повезет.
СИЛЫ
Собираетесь ли вы получать данные в виде подписки или хотите пойти по пути самостоятельного исследования OSINT (от оpen source intelligence) источников – важно понимать, что все эти пути затратны. Даже на обработку бесплатных источников нужна пара высококвалифицированных специалистов. Их задачи – вычленять из общего потока крупицы релевантной по отношению к вашей организации информации и перепроверять её, чтобы не тратить время на «утки», подобные информации об атаке Skyfall, в которую после информации о Meltdown и Spectre поверила часть сообщества безопасников.
Обычно штат ИБ-специалистов невелик – 2-3 человека, у которых и без того много работы. Разбор «фидов» за утренним кофе – не даст результата по причинам, описанным ниже.
СРЕДСТВА
Сразу определимся: ручная обработки информации – обречена на провал. Из разных источников информация приходит в различных форматах, так что необходимо либо приобретать специализированную систему обработки информации, либо усаживать своих специалистов за приведение информации к единому формату, продумывать процедуры ее хранения, обсуждения и дальнейшей обработки. Специализированные системы TI имеют необходимый функционал, но их недостаток – они стоят немалых денег.
И самое главное – куда загружать всю эту отфильтрованную и очищенную от «шума» информацию? Как минимум у вас должны быть системы и процессы по обнаружению и реагированию на выявленные угрозы, а точнее процессы:
выявления инцидентов по загружаемым фидам и IoC;
корректировки создаваемых правил для уменьшения числа ложных срабатываний;
реагирования на выявленные инциденты ИБ по заранее подготовленным планам.
Отсутствие любого из перечисленных звеньев сводит на «нет» всю ранее проделанную работу.
УПУЩЕННЫЙ МОМЕНТ – ОБЩЕНИЕ
К сожалению, когда речь заходит об инцидентах мы, безопасники, становимся слушателями. Никто не хочет выносить сор из избы, сеять панику среди своих клиентов информацией об атаках. Но при этом мы готовы внимать любой информации об угрозах. Никому не приходит в голову мысль о том: а откуда же берется релевантная информация, скажем, об атаках на финансовые организации, если они все молчат как партизаны и не делятся тем, что произошло у них? Выходом из этого тупика может стать обмен через третью доверенную сторону, обезличивающую поступающую информацию и раздающую ее остальным участникам обмена. Такой стороной может стать отраслевой или региональный CERT: благо, что инициатив о создании подобных сервисов много и на федеральном, и отраслевом, и частном уровнях.
Кроме того, не стоит недооценивать формат профессионального общения «без галстуков». Дружеские отношения с коллегами по отрасли, возможность переспросить что-то и получить неформальный совет – может заменить дни и даже недели аналитической работы.
ВМЕСТО ВЫВОДОВ
В итоге возможны следующие альтернативные пути по организации/использованию TI:
отказ от самой идеи упования на оперативность вендоров средств защиты;
использование внешних платных/бесплатных сервисов, выделение специалиста для контроля и автоматизации процессов;
создание собственной группы, которая будет использовать платные/бесплатные сервисы и автоматизировать процессы и процедуры выявления и реагирования.
При этом:
Постановка процесса взаимодействия команды/сервиса с исполнительским блоком занимает от 2 до 10 месяцев. Бюджет проекта (при собственной готовности и внешнем TI сервисе) – от 8 000 000 рублей с учетом одного выделенного сотрудника, услугами внешнего SOC, платной подпиской на сервис TI и затратами на автоматизацию процессов. А в качестве обоснования бюджета перед руководством можно указать, что это проект повышает показатели непрерывности бизнеса, доступности сервисов, обеспечивает снижение репетиционных рисков.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
(1).png)