Threat Intelligence: шаг вперед или маркетинговый ход?

Александр Бондаренко, генеральный директор компании R-Vision

Недавно я читал сыну пушкинскую «Сказку о золотом петушке», и вдруг подумал, что этот персонаж, собственно, представляет собой систему раннего предупреждения об опасностях. Петушок должен заблаговременно сообщать царю о возможных неприятностях, чтобы тот успел подготовиться и отразить удары. Многие безопасники тоже рады были бы иметь решение, заранее указывающее на пробелы в их системах защиты и векторы атак, которыми попробуют воспользоваться злоумышленники.

Новый старый подход

Серьезными условиями для успешной атаки практически на любую организацию являются следующие факторы:

  • - штат ИБ-специалистов предприятия обычно невелик. Лишь отдельные компании могут похвастать наличием команды, более-менее серьезной по численности и опыту борьбы с кибератаками. Чаще всего у них имеются лишь по два-три специалиста, вынужденных решать текущие задачи ИБ с помощью ограниченных ресурсов;
  • - современные атаки готовятся долго, а осуществляются быстро. В результате с момента обнаружения индикаторов атаки до возникновения связанных с нею серьезных последствий остается очень мало времени для упреждающих действий безопасников;
  • - киберпреступность давно превратилась в серьезную отрасль, в которой используются специализация, обмен информацией и другие возможности, позволяющие киберпреступникам задействовать опыт огромного количества хакеров со всего мира;
  • - команды безопасности компаний часто «варятся в собственном соку» и не всегда обладают информацией, необходимой для отражения кибератак. Для решения этой проблемы и предназначено то, что называется Threat Intelligence (TI).

Помните, одно время были популярны решения класса Honeypot, которые умышленно содержали уязвимости и служили для привлечения внимания атакующих. Это позволяло ИБ-специалистам изучать методы нарушителей и, возможно, даже выслеживать их. Такие системы не получили широкого распространения преимущественно из-за того, что в условиях ограниченности ресурсов и необходимости решения большого спектра задач (как технических, так и бумажных) специалистам по ИБ банально не хватает времени на подобный анализ.

Концепция Threat Intelligence, по идее, позволяет получать готовые результаты: скажем, антивирусный вендор, обладающий целой сетью honeypot-ов по всему миру, изучает действия злоумышленников и далее в каком-то виде (фид, почтовая рассылка и т.п.) поставляет компаниям эту информацию. Вроде, весьма полезный подход, но похоже, что сейчас вокруг TI раздувается маркетинговая шумиха, очень похожая на прежний ажиотаж по поводу облачных технологий. Действительно, виртуализация и предоставление ресурсов в аренду существовали задолго до появления модного слова Cloud, которое лишь позволило вдохнуть новую жизнь в уже существовавшие технологии. Так и с TI: «черные» списки IP-адресов, фиды с хешами вредоносных файлов и пр. использовались и ранее, а теперь все это стали называть Threat Intelligence, чтобы привлечь внимание к данным возможностям и, безусловно, на них заработать.

Несколько принципиальных моментов

Специалистам по ИБ, планирующим воспользоваться TI, важно прояснить для себя следующее.

Если вы присматриваетесь к каким-то сервисам и источникам TI, то заранее определите, как вы будете использовать такую информацию. Ее просмотр «между делом» наверняка не сработает: TI нужно сразу встраивать в ваши текущие активности, а в идеале – автоматизировать, интегрируя с применяемыми средствами защиты (FW, IPS, SIEM и др.). Например, список IP-адресов известных C&C-cерверов можно подгрузить в имеющиеся системы сетевого мониторинга с целью выявления внутренних узлов, с которых следуют обращения к серверам управления, – скорее всего, это означает, что узел заражен и является частью ботнета.

Затем нужно понять, в каком формате будет поставляться информация, что, опять же, связано с возможностями автоматизации ее использования. Если данные приходят в виде e-mail-сообщений, то не факт, что вы сможете их автоматически «парсить» и передавать на средства защиты. А значит, эти данные окажутся бесполезными, ведь попытки ручной обработки заведомо обречены.

Сейчас не существует единого общепризнанного формата обмена данными, но на эту роль претендуют такие стандарты, как STIX (Structured Threat Information eXpression) и TAXII (Trusted Automated Exchange of Indicator Information). Кроме того, крупные производители, например Intel (McAfee), стали предлагать для обмена информацией свои открытые форматы (McAfee Data Exchange Layer – DXL).

Нужно учитывать релевантность информации. Может быть, интересно узнать о появлении очередного банковского троянца, ворующего данные у клиентов банков где-нибудь в Казахстане, но если такие сведения не имеют отношения к вашей деятельности, то зачем они вам нужны с практической точки зрения? Поставщик TI должен обеспечивать настройку фильтрации поступающих данных и обладать информацией, которая относится именно к вашей отрасли, используемым вами технологиям и вашему региону (не секрет, что атаки все чаще имеют отраслевой и/или географический характер).

Где искать источники TI? Практически все крупные антивирусные производители и разработчики средств защиты предлагают соответствующие сервисы поставки информации. Есть и публичные (бесплатные) сервисы, но качество поставляемых ими сведений очень различается, так что при поиске источников с действительно качественной информацией придется потрудиться.

Если вы планируете использовать TI, стоит оценить возможности применение данной информации в уже имеющихся у вас средствах защиты и закладывать требование совместимости с вашими источниками TI при выборе новых систем защиты. Не исключено, что понадобится написать собственные скрипты или программы, которые будут обрабатывать поступающие данные и конвертировать их в информацию, передаваемую на соответствующие СЗИ через программный интерфейс (API).

Золотой петушок

Киберпреступники давно научились объединяться и использовать чужой опыт для совершенствования своих навыков и повышения вероятности успешного осуществления атак. А вот отрасль ИБ традиционно развивалась как достаточно закрытая, и сейчас это создает реальные проблемы для корпоративных ИБ-специалистов: столкнувшись с инцидентами, они, как правило, остаются один на один со своими проблемами. Действительно, компании крайне неохотно сообщают об инцидентах, поскольку публичность такой информации может повредить их имиджу, а кроме того, сейчас почти нет механизмов и площадок для обмена критически важными сведениями и опытом.

Threat Intelligence – лишь первая ласточка. Появляется все больше коммерческих и государственных центров реагирования на инциденты, законодательно вводятся нормы обмена сведениями и уведомлений об инцидентах в России, Европе и США.

Конечно, использование данных киберразведки – не панацея от всех бед, а лишь еще один инструмент, появившийся как ответ на современные вызовы и рост уровня киберпреступности. Однако при его правильном применении, интеграции в реализуемые процессы и защитные технологии есть вероятность того, что вы все же обзаведетесь «золотым петушком», помогающим оперативно выявлять направления, по которым ведется атака на вашу компанию.

Тэги: 
Оцените материал:
Total votes: 32

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Приятно, что кто-то с пользой читает АСП. Это мой любимый пример (привожу его более 15 лет - доходчиво многое объясняет).

К сожалению, все подобные решения слишком "тяжелые" и круг их пользователей - существенно мал.

В итоге вывод очень прост - все это лишнее для бизнеса.......

Затраты, затраты, затраты((((

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.