Threat Intellegence — это основанные на фактических данных знания о существующих или возможных угрозах, которые включают контекст, механизмы, индикаторы, последствия, практические рекомендации и могут быть использованы для принятия решений по реагированию.
Gartner, McMillan (2013) from Tactics, Techniques and Procedures (TTPs) to Augment Cyber Threat Intelligence (CTI): A Comprehensive Study
Зачем?
Повысить осведомленность об угрозах и более адекватно подбирать защитные меры, подходящие под релевантный для организации ландшафт угроз (с учетом специфики ее деятельности/сектора экономики, индустрии);
-
Повысить качество обнаружения и реагирования на угрозы как проактивно, так и реактивно.
Сегодня большинство организаций сосредотачивают свои усилия только на установке технических средств защиты, таких как IPS/IDS, МЭ, SIEM, но не используют в полной мере собранные данные для аналитики.
Аналитический цикл
Аналитический цикл
-
Планирование / Planning
Определение перечня активов;
Определение перечня угроз;
Определить перечень источников информации.
Внутренние
Firewall, IDS, SIEM, AVВнешние
Информация сообщества Сбор информации / Collection
-
Обработка и Анализ / Processing and Analysis
После сбора необработанных данных их необходимо преобразовать в формат, пригодный для анализа.
Насколько найденные угрозы применимы к конкретной организации (регион и сектор).
-
Обратная связь / Dissemination
Заключительный этап жизненного цикла аналитики угроз включает в себя определение, нужно ли вносить коррективы в перечень угроз.
3 уровня анализа угроз
Тактическая разведка
Цель: получить более широкое представление об угрозах.
Тактическая разведка ориентирована на ближайшее будущее, носит технический характер и выявляет простые индикаторы компрометации (IOC – Indicators Of Compromise).
IOC: IP-адреса, URL, хэши, домены, имя файла/путь, значение реестра, имена пользователей, адреса e-mail.
+ процесс почти всегда автоматизирован;
- короткий срок службы, поскольку IOC, могут устареть за несколько дней или даже часов.
Вопросы, которые нужно задать:
Какие есть каналы IOC? (SIEM, Firewall, AV, Endpoints, IDS, NGFW)
Являются ли IOC актуальными?
Оперативная разведка
Цель: отслеживание активных APT-группировок, чтобы лучше понять противников, стоящих за атаками.
За каждой атакой стоят вопросы:
«Кто?» - атрибуция;
«Почему?» - мотивация;
-
«Как?» - TTP.
Тактика, методы и процедуры / Tactics, Techniques, and Procedures (TTPs) — цель состоит в том, чтобы определить модели поведения, которые можно использовать для защиты от определенных стратегий и векторов угроз, используемых злоумышленниками.
Для оперативной разведки необходим человеческий анализ информации. Оперативная разведка требует больше ресурсов, чем тактическая разведка, но имеет более длительный срок службы, потому что злоумышленники не могут быстро изменить свои TTP.
Стратегическая разведка
Злоумышленники не действуют в вакууме — почти всегда существуют факторы более высокого уровня, для выполнения кибератак. Например, атаки национальных государств обычно связаны с геополитическими условиями.
Стратегическая разведка показывает, как глобальные события, внешняя политика и другие долгосрочные местные и международные движения могут потенциально повлиять на информационную безопасность организации.
Как использовать результат от Threat Intellegence
расширить перечень угроз;
использовать при установлении приоритета устранения уязвимостей;
реагирование на инциденты;
оценка рисков;
повышение осведомлённости;
комплаенс.
Ссылки:
1) https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/
2) https://sansorg.egnyte.com/dl/wemprzgelW
4) http://dx.doi.org/10.6028/NIST.SP.800-150
6) https://apt.securelist.com/
7) https://attack.mitre.org/groups/
8) https://www.ptsecurity.com/ru-ru/research/
9) https://securelist.com/
10) https://portswigger.net/daily-swig
11) https://www.crowdstrike.com/resources/reports/
12) https://www.securitylab.ru/
13) https://www.anti-malware.ru/