В условиях постоянно растущих киберугроз и увеличивающегося объема данных, компании сталкиваются с необходимостью эффективного управления инцидентами безопасности. Для решения этой проблемы используются инструменты по типу SIEM, SOAR и IRP, а в крупных компаниях, как правило, используют сразу комплекс систем от разных вендоров, формируя эшелонированную защиту от сложных угроз информационной безопасности. Эти решения играют важную роль в построении стратегии киберзащиты компании, эксперты даже скажут, что это те решения безопасности, без которых компании не смогут выжить. Но если разбираться глубже, становится очевидно, что камнем преткновения всех этих систем становится некачественное обогащение, дефицит и замкнутость источников данных (Фиды данных/Feeds), которыми оперируют системы для выявления и реагирования на угрозы внутри периметра организации.
Что же такое SIEM, SOAR, IRP и какие функции они выполняют?
SIEM (Security Infromation and Event Management) – это система, которая собирает, анализирует и коррелирует логи и события с различных устройств и приложений, чтобы выявлять потенциальные угрозы и аномалии в поведении внутренней сети. Основные функции SIEM включают централизованный сбор данных внутри инфраструктуры, их анализ для обнаружения инцидентов и генерацию предупреждений в случае обнаружения подозрительной активности, помогает в расследовании внутренних инцидентов
SOAR (Security Orchestration, Automation and Response) — это система, которая автоматизирует и оркестрирует процессы реагирования на угрозы, интегрируя различные системы безопасности и автоматизируя рутинные задачи. SOAR позволяет ускорить реагирование на инциденты и снизить нагрузку на специалистов за счет автоматизации сценариев, а также может использоваться как эффективное дополнение к системам по типу SIEM.
IRP (Incident Response Platform) — платформа для управления процессом реагирования на инциденты. IRP помогает координировать действия всех участников команды безопасности, начиная от обнаружения инцидента и заканчивая его разрешением. Основные функции IRP включают управление жизненным циклом инцидента, эскалацию угроз, взаимодействие между отделами и ведение отчетности.
Что объединяет эти системы управления безопасностью? - Зависимость от фидов.
В рамках постоянно меняющихся трендов и увеличения количества сложных киберугроз эффективность всех этих инструментов зависит от глубины добываемых данных и аналитики извне инфраструктуры, что подводит нас к следующему аспекту – интеграция качественных фидов киберразведки.
Киберразведка (Threat Intelligence) – это в первую очередь сложный и комплексный подход к сбору, анализу и атрибуции критически важной информации об атакующих, который был преобразован в SaaS-решение с возможностью удобной интеграции данных в другие системы СЗИ на периметре инфраструктуры. Система предоставляет оперативную информацию об индикаторах компрометации, что позволяет подготовиться к атакам и защититься от актуальных киберугроз. Threat Intelligence берет данные из всевозможных открытых и закрытых источников, от общедоступных баз данных до хакерских форумов и Darkweb’а. Одной из основных целей Threat Intelligence является снижение операционных и финансовых рисков за счет обогащения глубоким контекстом СЗИ о новых и существующих угрозах информационной безопасности, которые могут навредить развитию бизнеса.
Важно понимать, что Threat Intelligence это больше чем просто информация – это также анализ противников, их мотивов и методов, основанный на сборе данных, которые обогащаются контекстом. С помощью этого можно обнаруживать угрозы до того как они нанесут ущерб.
Системы управления безопасностью без Threat Intelligence
Решения класса SIEM, SOAR, IRP – действенные инструменты для управления кибербезопасностью, но без поддержки интеграции фидов Threat Intelligence они не полностью раскрывают свой потенциал. Это происходит по нескольким причинам:
Сложность определения реальной угрозы. Без базы знаний TI трудно оперативно определить, какие инциденты требуют немедленного внимания, а какие можно проигнорировать.
Постоянная эволюция угроз. Киберугрозы быстро развиваются, и системы безопасности должны постоянно адаптироваться. TI предоставляет свежие данные о новых атаках, что позволяет своевременно обновлять механизмы защиты.
Оптимизация ресурсов. Интеграция фидов Threat Intelligence помогает правильно распределять ресурсы и концентрировать усилия на действительно критичных инцидентах, что уменьшает нагрузку на команду безопасности.
Таким образом, системы класса SIEM, SOAR, и IRP это в первую очередь инструменты для использования данных. Если они не обогащаются актуальной и оперативной информацией, то они не принесут никакой значимой пользы клиенту. Функции средств анализа и детекта инцидентов информационной безопасности неэффективны без понимания того, кто конкретно атакует, какими инструментами, с какой целью и какие дальнейшие шаги предпримет.
Отдельно стоит отметить систему TIP (Threat Intelligence Platform), которая по-существу может выполнять задачи и достигать целей киберразведки. Однако, также как и системы по управлению инцидентами ИБ (SIEM, SOAR и так далее) системы класса TIP нуждаются в своевременном обогащении коммерческими фидами в силу выбранного ими вектора реализации. Команды, которые обслуживают и поддерживают системы TIP, зачастую не обладают собственной многолетней экспертизой и специфичными процессами в области киберразведки на уровне узконаправленных поставщиков данных Threat Intelligence. Тем не менее, эти системы прекрасно справляются с автоматизацией сценариев и скоростью реагирования на периметре Инфраструктуры.
Преимущества интеграции Threat Intelligence с системами управления безопасностью
Ключевым преимуществом является существенное снижение времени реагирования на инциденты в случае их возникновения. По оценкам экспертов Threat Intelligence и Лаборатории компьютерной криминалистики F.A.C.C.T., время реагирования на инциденты сокращается на 10-40% при использовании данных Threat Intelligence. Также, плюсы использования включают в себя и финансовую выгоду: убытки организаций, использующие атрибутированные данные киберразведки, снижаются на 20-30% в сравнении с компаниями, которые не используют продвинутые решения по управлению угрозами.
Обогащение фидами Threat Intelligence систем управления безопасности позволяет принимать обоснованные решения по улучшению политик безопасности и внедрению необходимых защитных мер. Благодаря интеграции, компании могут быстрее реагировать на угрозы, успевая устранить их еще до того, как они смогут нанести ущерб.
Как строится принцип взаимодействия SIEM, SOAR, IRP и TI?
Подготовленные по уникальному алгоритму коллекции данных TI интегрируются в эти инструменты и в дальнейшем могут использоваться для проверки индикаторов компрометации, включая тактики, техники и процедуры, используемые злоумышленниками, которые уже могут присутствовать внутри инфраструктуры.
Threat Intelligence от F.A.C.C.T. предоставляет компаниям доступ к аналитическим отчетам об угрозах за пределами их собственных сетей и цифрового присутствия, а также за пределами экспертизы поставщиков решений систем управления безопасностью.
Более того, в TI от F.A.C.C.T. имеются уже готовые нативные и консольные интеграции сторонних владельцев решений систем управления безопасностью, а также данные Threat Intelligence могут быть получены в универсальных форматах и протоколах STIX\TAXII 2, Rest API.
Данные Threat Intelligence от F.A.C.C.T. заведомо являются достоверными за счет компетентной атрибуции и уникальных правил очистки данных. Получая сразу очищенные фиды с высокой степенью доверия, заказчику не требуется организовывать сложные мероприятия по настройке правил-корреляции, вайтлистинга или настройке правил фильтрации, что существенно сокращает время на выявление и нейтрализацию инцидента.
Какими данными Threat Intelligence обогащает системы управления безопасностью?
В Threat Intelligence от F.A.C.C.T. представлены следующие коллекции данных, которые можно использовать для обогащения данных в SIEM, SOAR и IRP. Описания к основным коллекциям:
Категория “Утечки”
Аккаунты
Хакеры используют фишинговые веб-сайты и вредоносное ПО для ПК и Android для кражи логинов и паролей. Это могут быть учетные данные для внутренних корпоративных систем или внешних сервисов для клиентов, например, данные интернет-банкинга. Вредоносные программы передают перехваченные данные на удаленные серверы, контролируемые злоумышленниками. В этой коллекции содержатся учетные данные, собранные с различных фишинговых ресурсов, ботнетов, серверов управления и контроля (C&C) и учетных записей электронной почты, используемых хакерами. Клиент видит только записи, связанные с его официальными доменами, указанными в настройках компании.
Банковские карты
Коллекция содержит информацию о скомпрометированных банковских картах. Сюда входят данные, собранные из карточных магазинов, специализированных форумов и общедоступных источников. Все собранные данные группируются по номеру карты. Мы используем BIN (банковские идентификационные номера) для идентификации банков-эмитентов всех скомпрометированных карт. Это означает, что каждый клиент видит только те карты, которые он выпустил. Для этого мы просим каждого клиента предоставить список всех его BIN. Этот список могут редактировать только администраторы F.A.C.C.T.
Публичные утечки
Существуют специализированные сайты для обмена текстовой информацией (например, Pastebin и аналогичные ресурсы). На них можно загружать тексты и отправлять ссылку на них кому угодно. Такими ресурсами активно пользуются как легитимные IT-специалисты, так и хакеры. IT-специалисты могут недооценивать риски и загружать файлы конфигурации сетевого оборудования, экспортировать таблицы из баз данных, фрагменты кода, содержащие учетные данные для доступа и многое другое. Хакеры в основном выкладывают списки имен пользователей, паролей, данные банковских карт, файлы конфигурации троянов, результаты атак и различные логи.
Git утечки
Репозитории с открытым исходным кодом, такие как GitHub, содержат код, который может искать любой желающий. Они часто используются злоумышленниками, планирующими атаковать определенную компанию. Также нередки случаи, когда утечка кода компании происходит неумышленно по вине сотрудников.
Поиск утечек, которые затрагивают клиентов, делится на два основных этапа:
1. F.A.C.C.T. Threat Intelligence выполняет поиск по исходным кодам, связанным с клиентом. Например, F.A.C.C.T. ищет доменные имена клиента, внешние IP-адреса или имена его внутренних систем. Правила поиска задаются в настройках компании.
2. Внутри таких хранилищ мы ищем признаки конфиденциальной информации, такой как логины и пароли, API-ключи, данные банковских карт. При обнаружении таких признаков клиент уведомляется, а данные становятся доступны для клиента в интерфейсе системы.
Утечки баз данных
Мы собираем утекшие в публичный доступ базы данных и ищем записи, связанные с доменами клиентов. Для каждого найденного логина клиент увидит, в какой базе данных он был обнаружен, и какая дополнительная информация утекла для этого пользователя. По умолчанию клиент видит только записи, связанные с его официальными доменами, указанными в настройках компании. Однако пользователь может искать любые данные, например, для проверки утечек, связанных с личными адресами сотрудников или VIP-персон его компании.
Андеграундные магазины
В этой коллекции отображается самая свежая информация о скомпрометированных данных с различных торговых площадок даркнета (где продаются нелегальные или предоставляются нелегальные услуги). Чаще всего это вредоносные программы, взломанные базы данных социальных сетей и т. д. Информация, полученная из этой коллекции, может помочь обнаружить соответствующие точки компрометации, которые ставят под угрозу сотрудников компании, клиентов или системы во внутренней сети.
Категория “Вредоносное ПО”
Конфигурации
Конфигурационные файлы, которые вредоносные программы получают из центра управления вредоносными программами. Содержит хэш-суммы вредоносных файлов, которые были использованы хакерами, IP-адреса и домены.
Отчеты
Коллекция содержит подробную информацию о конкретных вредоносных программах, обнаруженных в ходе анализа активности злоумышленников. Может содержать связанные имена злоумышленников. Кроме того, в коллекции могут содержаться данные о легитимных инструментах, используемые злоумышленниками во время атаки.
Signatures (Suricata)
Коллекция содержит сигнатуры вредоносных программ, которые можно использовать для обогащения систем выявления вредоносных программ, обнаружения потенциально конфиденциальной информации и оперативной идентификации конкретных вредоносных программ. Здесь можно найти имя сигнатуры, класс и необработанные данные (если обнаружены).
Yara rules
Коллекция включает данные, связанные с правилами YARA, установленными F.A.C.C.T., и содержащие информацию о конкретных семействах вредоносных программ. Здесь могут отображаться имя правила YARA, класс и необработанные данные (если они обнаружены).
Фишинг комплекты
Фишинг комплект — это набор страниц, скриптов и изображений, которые поддерживают работу фишингового веб-сайта. Другими словами, это готовый фишинговый веб-сайт с соответствующим файлом настроек, который определяет параметры отображения страницы.
Уязвимости
Коллекция уязвимостей отображает информацию об уязвимостях, обнаруженных в программном обеспечении по версиям. Помимо общей информации, подраздел также содержит данные о существующих эксплойтах с возможностью просмотра ссылок на PoC (Proof-of-Concept) и дополнительную информацию.
Категория “Атаки”
DDoS
Информация об атаках, создающих нагрузку на сервер и выполняемая одновременно с большого количества компьютеров (часто используется сеть зараженных компьютеров, входящих в ботнет).
Фишинг
Информация о различных фишинговых ресурсах (включая сайты, замаскированные под Google, Microsoft и т. д.). F.A.C.C.T. собирает эти данные с помощью анализа Passive-DNS, выполняемого системами Managed XDR (ManagedExtended Detection and Response), оповещений, полученных CERT, отслеживаемых спам-сообщений, вредоносной контекстной рекламы, новых доменных имен и других ценных данных.
Дефейсы
Атаки с дефейсом часто проводятся хактивистами, целью которых является привлечение внимания к чему-либо. После успешной атаки субъекты угроз публикуют информацию на специальных сайтах, посвященных дефейсу, в социальных сетях или на своих личных сайтах. Раздел содержит дефейсированные страницы вместе с динамическим контентом. В подменю вы также можете найти псевдонимы, контактные данные и названия групп, участвующих в атаке с дефейсом.
Категория “Опасные IP”
Tor
Коллекция Tor отображает данные о выходных узлах Tor, которые являются конечными ретрансляторами Tor в цепи. Узлы действуют как посредники между клиентом Tor и общедоступным Интернетом.
Открытые прокси
Коллекция Open proxy показывает информацию о списках прокси-серверов, которые находятся в открытом доступе на различных интернет-ресурсах, связанных с анонимностью. Также прокси-сервера могут быть указаны в конфигурационных файлах атакующих утилит. Кроме того, прокси-серверы могут быть настроены как открытые прокси намеренно или в результате неправильной настройки или нарушений.
Socks прокси
Коллекция Socks-прокси показывает информацию об адресах, на которых установлено вредоносное ПО, превращающее зараженные компьютеры в SOCKS-прокси.
Такие компьютеры (боты) сдаются в аренду и используются в различных атаках, чтобы обеспечить атакующему максимальную анонимность.
VPN
Эта коллекция содержит информацию о публичных и частных серверах VPN, которые были идентифицированы системой F.A.C.C.T. TI. Эти записи могут быть использованы для идентификации или блокировки соединений между корпоративной сетью и обнаруженными серверами.
Сканирующие IP
Эта коллекция содержит данные о публичных и частных IP-адресах, которые были идентифицированы системой F.A.C.C.T. TI в подозрительной активности. Эти записи могут быть использованы для идентификации или блокировки соединений между корпоративной сетью и обнаруженными серверами.
Категория “Угрозы”
Атакующие
Эта коллекция содержит отчеты об известных инцидентах и тенденциях киберпреступности, а также индивидуальные отчеты для клиентов. Она также содержит отчеты о конкретных угрозах и сложных вредоносных программах и атаках, готовящихся против клиентов F.A.C.C.T. Такие отчеты содержат подробную информацию о вредоносной активности, индикаторах и артефактах, а также рекомендации экспертов. Стратегические данные, содержащиеся в отчетах, помогают компаниям подготовиться за несколько месяцев до атак и улучшить свои существующие политики безопасности.
Открытые угрозы
Коллекция объединяет публичные отчеты от различных поставщиков и исследователей кибербезопасности по всему миру. Все обнаруженные события классифицируются по таким критериям, как субъект угрозы, вредоносное ПО или страна, и помечаются общими идентификаторами. Это упрощает понимание контента с первого взгляда и применение интеллектуальной фильтрации на основе определенных тегов. Индикаторы из этого канала могут быть автоматически проанализированы для интеграции с вашими текущими системами безопасности, но вы должны рассматривать этот канал как канал с низкой степенью достоверности. Команда Threat Intelligence не просматривает эти индикаторы, и мы предполагаем, что они могут вызывать некоторые ложные срабатывания в вашей среде.
Хак-форумы
Коллекция содержит данные из сообщений, собранных на закрытых онлайн-форумах, к которым нет прямого доступа. Киберпреступные группировки используют такие форумы для сбора информации для дальнейшего планирования атак. Аналитики и автоматизированные системы F.A.C.C.T. собирают и классифицируют различные типы информации, чтобы предупредить клиентов о возникающих или будущих атаках.
Мессенджеры (Telegram)
В этой коллекции можно найти информацию из чатов и каналов Telegram. Система Threat Intelligence анализирует каждый чат и канал (даже приватные). Записи могут содержать банковские/личные учетные данные, медиа, файлы, ссылки, ip-адреса и домены компаний, которые могут стать целью в ближайшем будущем, или уже были атакованы и это обсуждалось в конкретном чате/канале.
«Мы осуществляем анализ и разведку данных с 2003 года, обладаем более чем 25 уникальными потоками данных, которые включают в себя компрометации, атаки и угрозы, опасные IP-адреса и многое другое, что позволяет утверждать о наличии у нас самого широкого и уникального спектра источников данных».
Елена Шамшина, Технический руководитель департамента F.A.C.C.T. Threat Intelligence
Результаты от совместного использования Threat Intelligence и систем управления безопасностью
Среди клиентов F.A.C.C.T. TI подавляющее большинство используют интеграции данных в системы управления безопасностью. Это позволяет компаниям оперативно проверять индикаторы новых угроз внутри своих сетей, узнавать о подозрительных соединениях, выявлять признаки атаки до начала ее реализации.
Более того, клиенты могут разрабатывать автоматизированные сценарии реагирования на основе данных Threat Intelligence для быстрого реагирования на угрозы, такие как блокировка IP-адресов, URL или доменов, ассоциированных с известными угрозами, и автоматически изолировать зараженные системы или учетные записи пользователей.
Заключение
Интеграция фидов Threat Intelligence (TI) с системами управления безопасностью, такими как SIEM, SOAR, IRP существенно усиливает защиту компаний от киберугроз. Эти системы сами по себе играют важную роль в обнаружении и реагировании на инциденты, однако без актуальной информации об атаках их эффективность снижается. Внедрение TI сокращает время реагирования на инциденты, снижает операционные и финансовые риски, и оптимизирует использование ресурсов команд ИБ. Таким образом, компании, использующие комплексные решения с обогащением данными TI, оказываются в более выгодном положении в борьбе с постоянно развивающимися киберугрозами.