В этом хабропосте рассказываем, что скрывается за аббревиатурой TI, зачем он нужен, какие данные о киберугрозах собирает Positive Technologies и какую пользу они приносят компаниям в предупреждении киберугроз. На примере четырех сценариев покажем, как компании могут использовать PT Threat Intelligence Feeds для обнаружения вредоносной активности и предотвращения атак.

Что такое TI

Когда компания выстраивает систему защиты, эта система становится похожа на крепость. У крепости есть стены, которые ее защищают, ворота, которые пропускают всех, кого следует, и закрывают доступ для нежеланных гостей. Важным элементом крепости являются дозорные башни. Их возводят для раннего предупреждения о приближении врагов. С башен стражники могут заранее, еще до того, как начнется нападение, увидеть, кто, откуда и каким оружием собирается их атаковать. В системах защиты информации такими «дозорными башнями» являются данные об угрозах (threat intelligence) и средства, которые с этими данными работают.

Threat intelligence (TI) — это информация, описывающая существующие или потенциальные киберугрозы. Такие данные могут существовать в различных формах: от отчетов, подробно разъясняющих мотивы, инфраструктуру, тактики и техники злоумышленников, до наблюдений за определенными IP-адресами, доменами, файлами и другими артефактами, связанными с киберугрозами.

Ландшафт киберугроз постоянно меняется — появляются новые хакерские группировки, регулярно обнаруживаются новые уязвимости, злоумышленники разрабатывают с нуля или модифицируют существующее вредоносное ПО. Отслеживание этих изменений — особенно с учетом специфики отрасли — сложная задача, требующая большого объема ресурсов SOC-команды.

К сожалению, несмотря на постоянно возрастающее количество кибератак, в том числе и целевых, средства защиты информации не обладают знаниями об актуальных угрозах ИБ, из-за чего не могут их своевременно обнаруживать. Кроме того, сами компании не всегда эффективно реагируют на инциденты.

Согласно последнему отчету Devo SOC Performance Report, 26% компаний отметили, что слишком большое количество оповещений, которое приходится обрабатывать аналитикам, делает работу SOC мучительной. Кроме того, 29% опрошенных организаций рассказали, что не могут набрать и удержать квалифицированных специалистов — этот фактор также мешает быстро обнаруживать киберугрозы и реагировать на них. Помимо этого, наша практика показывает, что у экспертов уходит много времени на оценку опасности угрозы и приоритизацию задач по реагированию — даже при успешном обнаружении киберинцидента они могут потратить от нескольких минут до пары часов на уточнение угрозы: кто конкретно атаковал компанию, с какой целью и какие дальнейшие шаги может предпринять злоумышленник.

Пользуясь данными threat intelligence, компании могут ускорить процессы, связанные с оценкой опасности инцидентов и расстановкой приоритетов, а также быстрее выявлять ложные срабатывания и обнаруживать атаки на ранних стадиях.

Какие данные о киберугрозах собирает Positive Technologies

Многие компании пытаются использовать открытые источники информации о киберугрозах, но сталкиваются с низким качеством таких данных. Ситуацию усугубляет еще и то, что данные в открытых источниках обновляются нерегулярно, поставляются без дополнительного контекста и содержат много ложноположительных индикаторов компрометации, которые только усложняют процесс работы с угрозами. И в итоге оказывается, что вместо уменьшения объема работы команде SOC приходится выполнять дополнительную и трудоемкую задачу по очистке этих данных.

Мы непрерывно собираем и анализируем киберугрозы, а затем публикуем результаты в виде потоков данных с индикаторами компрометации (фидов). Они интегрируются в используемые компаниями системы мониторинга и защиты информации, обогащают их контекстом, необходимым для быстрого обнаружения опасной активности, и тем самым повышают эффективность их работы. Фиды помогают командам SOC своевременно предотвращать киберинциденты, связанные с уже известными атаками.

Многих наверняка интересует вопрос, откуда мы получаем и как обрабатываем данные для фидов? Обработка данных о киберугрозах начинается с файлов, которые поступают из различных источников. Среди них онлайн-сервисы по коллекционированию и проверке файлов на вредоносы, а также специализированные хакерские форумы по разработке и продаже зловредов. Ключевая особенность PT Threat Intelligence Feeds состоит в том, что в их основе лежат данные об угрозах, аккумулированные специалистами нашего экспертного центра безопасности (PT Expert Security Center). Они появляются в ходе расследования реальных атак и изучения деятельности хакерских групп (в том числе APT-группировок) во всем мире. Кроме того, наши специалисты отслеживают специфические угрозы, которые направлены на компании из конкретных отраслей экономики.

Собранные на предыдущем этапе файлы отправляются в обработчик, где распадаются на два потока. PT Sandbox выполняет динамический анализ файлов из первого потока. Второй поток файлов анализирует автоматика в статическом режиме. Ее разработала наша команда threat intelligence, которая специализируется на обработке файлов и извлечении полезной информации из них. Затем результаты анализов смешиваются и поступают в специальную систему, которая предварительно обрабатывает и взвешивает полученную информацию. В дальнейшем система генерирует срезы данных, то есть фиды. Все индикаторы компрометации проверяются на ложные срабатывания и верифицируются алгоритмами, поэтому данные в фидах высокого качества.

Схема обработки данных для PT Threat Intelligence Feeds
Схема обработки данных для PT Threat Intelligence Feeds

База индикаторов компрометации Positive Technologies содержит IP-адреса, URL, домены и хеши файлов.

Типы и количество индикаторов компрометации в фидах
Типы и количество индикаторов компрометации в фидах

Специально для этой статьи мы собрали немного интересной статистики по нашей базе.

Среднее количество обрабатываемых данных в базе индикаторов
Среднее количество обрабатываемых данных в базе индикаторов

В базе Positive Technologies представлены индикаторы компрометации для почти сотни хакерских группировок и более 800 семейств вредоносного ПО. Кроме того, мы определяем географическое местоположение IP-адресов. Сразу сделаем ремарку: эти данные нельзя использовать для определения степени угрозы, исходящей от той или иной страны.

Топ-10 хакерских группировок
Топ-10 хакерских группировок
 Топ-10 актуальных семейств ВПО
 Топ-10 актуальных семейств ВПО
Статистика по уникальной базе индикаторов Positive Technologies
Статистика по уникальной базе индикаторов Positive Technologies

Чем полезны фиды

Чтобы данные о киберугрозах приносили максимальную пользу компании, ей важно иметь контекст индикаторов компрометации. Поэтому, помимо индикаторов, фиды должны включать различную информацию, которая позволит понять контекст угрозы для конкретной организации. В нашей базе содержатся различные фиды (и их наборы) в зависимости от потребностей компании, ее размера и отраслевой принадлежности — всего их сейчас более 40. Например, можем собрать срез по актуальным целевым угрозам или фид с IP-адресами sinkhole-узлов.

Наполнение фидов очень разнообразно. Давайте рассмотрим состав данных в потоках на конкретных примерах.

Состав фида с индикаторами компрометации, относящимися к целевым киберугрозам
Состав фида с индикаторами компрометации, относящимися к целевым киберугрозам

В фидах указываются связи с другими объектами, рейтинг значимости и теги. Последние, на наш взгляд, наиболее полезны, так как хранят много контекста, который аналитики могут свободно интерпретировать. При обогащении мы забираем и внешние данные. Теги выставляются как нами вручную, так и внешними системами.

Состав фида с индикаторами семейств ВПО, которые были активны в последний месяц
Состав фида с индикаторами семейств ВПО, которые были активны в последний месяц
Состав фида с индикаторами по активным вредоносным кампаниям
Состав фида с индикаторами по активным вредоносным кампаниям
Фид с IP-адресами
Фид с IP-адресами
Фид с IP-адресами, распределенными по GeoIP
Фид с IP-адресами, распределенными по GeoIP

На самом деле контекста в фидах намного больше, чем уместилось на скриншотах. Мы показали лишь фрагменты. Пользователи могут сами выбирать данные, которые в них должны содержаться.

Сейчас мы собрали фиды, включающие:

  • белый список доменов, хешей файлов, URL- и IP-адресов;

  • список доменов, хешей файлов, URL- и IP-адресов среднего уровня опасности;

  • IP-адреса CDN;

  • загрузку вредоносных доменов, URL- и IP-адресов;

  • домены, URL- и IP-адреса, ранее использованные в атаках.

В дальнейшем мы планируем добавлять новые данные в фиды, в частности информацию о тактиках, техниках и приемах злоумышленников по матрице MITRE ATT&CK, которая поможет команде SOC выбрать правильные меры реагирования в зависимости от той стадии атаки, на которой находится хакер. Кстати, чтобы специалистам по информационной безопасности было проще раскладывать по полочкам действия атакующих и расследовать инциденты, мы перевели матрицу MITRE ATT&CK на русский язык и опубликовали в интерактивном формате. Сохраняйте в закладки, чтобы она всегда была под рукой!

Сценарии использования потоков данных с индикаторами компрометации

Есть множество сценариев использования данных о киберугрозах: фиды можно загрузить в SIEM-систему (это позволит обнаруживать события ИБ, в которых задействованы критически важные для компании индикаторы компрометации), в другие средства защиты (это обогатит данными об угрозах используемые в компании системы ИБ и повысит их эффективность) или в TI-платформу (это позволит расширить и дополнить контекстом и уникальными данными уже существующую в компании базу знаний об угрозах).

Рассмотрим возможные сценарии использования данных с индикаторами компрометации на примере PT Threat Intelligence Feeds, где он помогает специалистам по защите быстро обнаружить опасную активность в корпоративной сети и предотвратить атаку.

Комплексный сценарий, когда в компании используется несколько средств защиты
Комплексный сценарий, когда в компании используется несколько средств защиты
  1. Детектирование вредоносной активности системой анализа трафика (network traffic analysis, NTA) с помощью activity feed. Информация передается в систему мониторинга событий ИБ и выявления инцидентов (security information and event management, SIEM).

  2. В SIEM-системе инцидент приоритизируется с помощью severity feed. Карточка инцидента передаeтся в систему оркестрации, автоматизации ИБ и реагирования на инциденты (security orchestration, automation and response, SOAR).

  3. В SOAR-платформе создается задание для системы обнаружения угроз и реагирования на них на конечных точках (endpoint detection and response, EDR) с целью поиска связанных индикаторов компрометации на конечных узлах.

  4. Запускаются сценарии реагирования на агентах EDR.

Сценарий, когда атаку проводит внутренний злоумышленник
Сценарий, когда атаку проводит внутренний злоумышленник
  1. Для обнаружения попыток взаимодействия с ресурсами TOR и VPN системой анализа трафика источниками информации служат TOR node feed и VPN feed.

  2. Для блокирования доступа на межсетевом экране нового поколения (next-generation firewall, NGFW) используется TOR node feed.

  3. Внутренний злоумышленник предпринимает попытку установить вредоносное ПО с теневого форума.

  4. Взаимодействие с TOR-сетью блокируется.

Сценарий с расширением выборки данных
Сценарий с расширением выборки данных

1. При проведении ретроспективного анализа фиды используются для поиска событий:

  • retrospective IPs feed — в NetFlow и логах МСЭ;

  • retrospective domains feed — в NTA и логах DNS;

  • retrospective hashes feed — при анализе почтовых вложений или сканировании конечных узлов с помощью EDR.

2. Обнаруживается ранее пропущенная фишинговая рассылка.

3. По найденным образцам выявляются скомпрометированные узлы.

4. Скомпрометированные узлы дополняются информацией из сетевых анализаторов.

Сценарий проактивной защиты
Сценарий проактивной защиты
  1. Для предотвращения наиболее опасного вектора атаки — фишинга — используется фид Phishing malicious domains/URLs/IPs.

  2. Для противодействия наиболее опасному классу ВПО — шифровальщикам — используется Malicious class feed.

  3. Для обнаружения атак конкретной активной группировки (например, Cloud Atlas) используется Malicious group feed.

Подводим итоги

Внешние данные об угрозах позволяют быть в курсе того, кто и какими способами атакует бизнес. Для эффективной защиты от кибератак фиды должны быть актуальными, а также содержать контекст, который поможет принять верное решение по реагированию. Например, в PT Threat Intelligence Feeds регулярно обновляются данные, что позволяет командам SOC держать в фокусе современные угрозы, в том числе заточенные под определенную отрасль, регион или конкретную компанию, и использовать их для проактивной защиты. Кроме того, работу с данными следует максимально автоматизировать, чтобы сократить время специалистов на анализ угроз.

Поделитесь своим опытом использования данных threat intelligence в комментариях. Каких результатов вам удалось добиться?


Авторы:

  • Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies

  • Максим Долгинин, руководитель направления по работе с данными о киберугрозах, Positive Technologies

Комментарии (0)