Что такое Threat Intelligence и для чего нужны TI-фиды

Threat intelligence — процесс сбора данных об актуальных угрозах и действиях киберпреступников, включая цели, тактику и инструменты злоумышленников. Процесс и данные — TI‑фиды, — в теории, позволяют выстроить более эффективную стратегию защиты от самых актуальных атак.

В России популярность TI растет — больше половины российских компаний, опрошенных RVision, уже используют их в своей работе.

Добавление фидов в SIEM‑системы позволяет детектировать события по уже известным индикаторам компрометации. Анализируя данные из фидов, команды безопасности могут узнать особенности поведения злоумышленников в целевых атаках, оценить степень защищённости своей организации от таких атак и внедрить дополнительные меры защиты.

По источнику данных TI‑фиды можно разделить на две большие группы: внешние и внутренние. Внешние содержат индикаторы от вендоров или из открытых источников. Внутренние фиды генерируются внутри самой организации.

Среди российских компаний наиболее популярны внешние фиды. Они позволяют быстро получить и применять информацию об угрозах, которую любезно собрал коммерческий поставщик или сообщество. Однако у них могут быть свои недостатки.

Что не так с внешними фидами?

Фиды нужны, чтобы получать информацию об актуальных угрозах. Но в реальности далеко не все фиды являются актуальными. Так, авторы одного исследования изучили 24 открытых фида и выяснили, что среднее время включения индикаторов в списки с того момента, как они становятся активными, составляет 21 день, а для некоторых фидов эта скорость может быть значительно ниже. Эта же проблема существует и с коммерческими фидами.

То, какая информация попадает в фиды, зависит от источников данных вендора, прежде всего клиентской базы. Данные могут содержать искажения — перекосы географического или отраслевого характера. Например, если данные собираются преимущественно в США, какое отношение они имеют к угрозам для российского банка?

Проблемы с качеством данных в теории можно компенсировать количеством — подпиской на несколько фидов. Однако это создаёт новые сложности — растёт количество ложных срабатываний и, следовательно, требуется больше усилий и ручной работы для настройки.

И самое главное — во внешних TI‑фидах может просто не быть индикаторов, по которым можно обнаружить хорошо подготовленную целевую атаку именно на вашу организацию. Примером могут служить атаки через компрометацию деловой переписки (BEC‑атаки), которые активно задействуют методы социальной инженерии. Злоумышленник может направить жертве письмо вообще без ссылок и вредоносных вложений, но при этом под видом руководителя дать поручения, например, срочно совершить платеж или выслать информацию.

Несмотря на техническую простоту, такие атаки могут привести к серьёзным убыткам: в 2019 году сотрудник американского подразделения компания Nikkei перевёл мошенникам 29 миллионов долларов, а в 2020-м правительство Пуэрто‑Рико потеряло из‑за BEC‑атаки 2,6 миллионов.

Как обнаружить такие атаки с помощью внешних фидов — не ясно.

Внутренние фиды — хорошее решение?

Внутренний TI и фиды — аналитика и наборы данных, которые организация сама получает из угроз, с которыми сталкивается. Такая информация поступает своевременно — например, если вы обнаружили целевую атаку, ее не видит ни один вендор TI, но вы уже можете пользоваться ее индикаторами.

Проблема в том, что для ведения процесса и сбора внутренних фидов нужна экспертиза и ресурсы. Эксперты обходятся дорого, и их не так много на рынке. И даже если вы привлекли их к сотрудничеству, они могут элементарно не увидеть атаку, которая пришла в виде письма без ссылок и вредоносных вложений одному из тысяч сотрудников организации.

При чем здесь сотрудники? 

Атаки на сотрудников и опасные действия людей — главная причина современных инцидентов. Обычно команды безопасности даже не предполагают, что сотрудники могут действовать правильно и стараются применить все возможные средства защиты, чтобы выявить и устранить угрозу, которую пропустил пользователь.

Но если значительное количество атак направлено на людей, может быть, сами сотрудники могут первыми обнаружить угрозу?

Представим, что вашему коллеге из отдела закупок под видом ответа на запрос предложений приходит фишинговое письмо. Оно не было определено как спам и попало в его почтовый ящик. Письмо может содержать ссылку на легитимный сервис, такой как Яндекс.Диск или вложение, которое, сюрприз! — не детектируется антивирусом как вредоносное. Либо вообще не содержит ссылок и вложений, как в примерах выше — только вопросы, которые дают нужную мошеннику информацию.

В обычной ситуации сотрудник запускает вложения, переходит по ссылкам и компрометирует свою рабочую станцию, учетную запись и данные клиентов, а командам безопасности приходится расследовать инцидент и пытаться остановить развитие атаки.

Но если сотрудник обучен правилам безопасности и умеет применять их на практике, он не только не совершит опасное действие, но и сообщит об атаке в команду безопасности, которая увидит и сможет разобрать ее на технические индикаторы.

Один грамотный сотрудник может выявить целевую атаку, а команда безопасности — остановить ее

Копия письма со всеми заголовками и содержимым пересылается на адрес службы безопасности и переносится в папку нежелательной почты в почтовом ящике сотрудника.

Фактически сами сотрудники начинают генерировать внутренний поток данных — TI‑фид, который службы безопасности могут использовать, чтобы быстро и вовремя остановить атаку:

Общий алгоритм работы следующий:

1. Внимательные и грамотные сотрудники выявляют цифровую атаку.

2. Статистика об этих безопасных и корректных действиях сохраняется в «Антифишинге» — системе, которая управляет навыками пользователей.

3. Исходные данные — заголовки и тело письма, вложения, ссылки и прочие детали, — уходят на анализ в адрес корпоративного центра мониторинга и реагирования на инциденты.

4. Аналитики из команды безопасности проводят расследование и извлекают собственные индикаторы компрометации (IoC).

5. Команда безопасности блокирует атаки по выявленным IoC на технических средствах защиты ещё до того, как информация об этих IoC станет доступна во внешних фидах.

При этом всегда стоит применять лучшие практики для фильтрации почты. Проверьте, что на уровне почтового сервиса уже настроены:

• проверка PTR адреса почтового сервера отправителя;

• проверки наличия MX записи домена отправителя;

• проверка политик SPF, DKIM и DMARC (SPF+DKIM):

  

Эти шаги повысят эффективность фильтрации подобных писем на уровне всей организации и помогут уменьшить количество атак, которые доходят до сотрудников.

Как мотивировать сотрудников сообщать об атаках? 

1. Объяснить людям правила безопасной работы

Просто и максимально наглядно им нужно объяснить, в чем заключается проблема, что может пойти не так и что лично им нужно делать в случае подозрительной ситуации.

Обучение не должно делаться ради галочки. Наоборот, на конкретных примерах сотрудникам нужно показать, какие актуальные угрозы информационной безопасности существуют сегодня, с какими сталкивается организация, к каким последствиям может привести успешная атака для конкретного человека и для всей организации.

В результате обучения у людей должно появиться чёткое представление, какие правила они должны исполнять, чтобы избежать проблем, а также как они могут сообщить о цифровой атаке и любой подозрительной ситуации:

Обучение — хорошая возможность для начала выстраивания диалога с командой безопасности, чтобы сотрудники не стеснялись и не боялись обратиться к коллегам, если у них будут дополнительные вопросы или если они столкнутся с подозрительной активностью.

2. Научить людей работать безопасно на практике

Именно навыки определяют, как будет действовать человек в случае реальной цифровой атаки или иной опасной ситуации. Навыки не могут быть сформированы никаким, даже самым лучшим обучающим курсом. Они формируются только на личном, практическом опыте в максимально реалистичных условиях.

Никто не выдаст человеку водительские права, пока он не научится водить автомобиль. Одной теории недостаточно, чтобы безопасно ездить за рулем. Точно так же одной теории недостаточно, чтобы безопасно работать в цифровой среде.

Чтобы помочь каждому сотруднику сформировать навыки безопасной работы в цифровой среде, специальная система в организации должна автоматически создавать атаки и отслеживать небезопасные действия каждого сотрудника:

Такие атаки должны проходить автоматически, в случайное время и отправляться каждому сотруднику — включая руководителей и членов команды безопасности. Навыки каждого сотрудника должны быть тренированы и исключений быть не может.

3. Делиться успешными кейсами и подкреплять безопасное поведение

Команды безопасности могут разбирать и публиковать во внутренних чатах наглядную информацию и схемы самых актуальных угрозах.

Данные для таких разборов можно еженедельно брать в бесплатном открытом дайджесте Антифишинга: https://blog.antiphish.ru/.

Хорошая идея — рассказывать людям о реальных примерах того, как репорт одного из коллег помог остановить серию атак, которая могла бы привести к реальному ущербу.

Можно объединить усилия с HR и использовать программы бонусов и мотивации, такие как присвоение звания киберчемпиона за активное участие в поиске угроз или розыгрыш подарочных сертификатов.

В результате даже далекие от безопасности сотрудники будут воспринимать выполнение правил безопасности и выявление атак как важную и полезную игру, которая не мешает, а помогает им в работе.

Важные выводы

1. Внешние TI‑фиды — популярная и полезная технология. Они помогают получить информацию об угрозах и лучше защитить организацию, но могут быть не актуальны и не релевантны конкретно для вашей организации.

2. Внутренние фиды — хорошая альтернатива, но для их составления нужны технологии и ресурсы экспертов, а данные об атаках могут просто не доходить до них.

3. Сотрудники — главная и первая цель в современных атаках, и именно они могут быть вашими лучшими threat hunter'ами.

4. Обучение, непрерывная тренировка и мотивация людей помогут запустить процесс, в результате которого тысячи сотрудников будут не мешать, а помогать защищать вашу организацию.