Практические вопросы выбора инструментов Threat Intelligence

Практические вопросы выбора инструментов Threat Intelligence

Практические вопросы выбора инструментов Threat Intelligence

Почему Threat Intelligence — это не киберразведка, но часто называется так? Что это такое на самом деле? Какой из четырёх уровней TI выбирают российские предприятия? Какие наборы потоков материала (фидов) необходимо использовать? Как ими управлять, как применять в работе с имеющимися средствами защиты информации? Насколько часто индикаторы дают ложные срабатывания и как с этим бороться? Всем ли компаниям необходим TI, какой уровень зрелости в ИБ для этого должен быть достигнут? На эти и другие вопросы в прямом эфире проекта AM Live отвечали ведущие эксперты отечественного рынка — поставщики решений, заказчики, сервис-провайдеры.

 

  

  1. Введение
  2. Что такое Threat Intelligence и кому нужна киберразведка
  3. Практические вопросы применения Threat Intelligence
  4. Как выбрать систему Threat Intelligence
  5. Выводы

Введение

В представлении заказчиков, а зачастую и игроков рынка информационной безопасности нет единого мнения — что такое Threat Intelligence, какие задачи должны решать эти методы, кому они нужны и какую выгоду компания получит после внедрения соответствующих решений. Порой киберразведку представляют как исключительно набор техник для работы с индикаторами — некий дополнительный слой защитных систем с не всегда понятной функциональностью. Так ли это, кто является главным выгодоприобретателем при внедрении Threat Intelligence и вообще корректно ли называть эти практики «киберразведкой», мы обсудили на онлайн-конференции AM Live с ведущими экспертами рынка — представителями компаний с наиболее широкой TI-квалификацией.

В студии Anti-Malware.ru собрались:

  • Никита Вдовушкин, руководитель направления исследования новых киберугроз, компания BI.ZONE.
  • Дмитрий Волков, технический директор и сооснователь компании Group-IB.
  • Илья Осадчий, директор по развитию компании «Тайгер Оптикс».
  • Александр Мазикин, руководитель группы по развитию продаж сервисов компании «Лаборатория Касперского».
  • Артём Мелёхин, старший менеджер по технологической поддержке продаж компании «МегаФон».
  • Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform.
  • Алексей Новиков, директор экспертного центра безопасности компании Positive Technologies (PT Expert Security Center).

Вёл дискуссию и модерировал общение Алексей Лукацкий, бизнес-консультант по безопасности Cisco.

 

 

Что такое Threat Intelligence и кому нужна киберразведка

В первую очередь модератор дискуссии предложил участникам поделиться со зрителями базовыми понятиями — рассказать, что скрывается под термином Threat Intelligence, а также объяснить, каким компаниям нужна киберразведка.

Алексей Новиков:

— Не так важно, как переводится тот или иной термин, важнее понять, как он используется. Для меня Threat Intelligence — это та информация, которая позволяет принять решение специалистам по информационной безопасности.

Илья Осадчий:

— Дословный перевод термина Threat Intelligence — «знания об угрозах». Киберразведка — гораздо более броское, но неточное определение. Для меня Threat Intelligence — это вся информация, которая даёт возможность понять угрозу. Это могут быть как низкоуровневые данные (хеш, IP-адрес), так и данные о конкретном злоумышленнике, заинтересованном в атаке на целевую систему.

Дмитрий Волков:

— По мере того как Threat Intelligence берут на вооружение всё больше компаний, значение этого термина начинает размываться. По нашему мнению, основа киберразведки — это знания. Как эти знания будут использоваться — для борьбы с угрозами, обучения или других целей, — не так уж важно. Фиды и индикаторы, которые многие отождествляют с киберразведкой, — это лишь один, самый нижний её уровень.

Антон Соловей:

— Я бы использовал более широкое понятие Security Intelligence, которое включает в себя Threat Intelligence, Vulnerability Intelligence и другие. Так можно описать любые знания, которые помогают принимать решение. Что же касается термина «киберразведка», то существует довольно много англоязычных определений, которые сложно перевести на русский.

Александр Мазикин:

— Несколько лет назад, когда термин Threat Intelligence только начал появляться на рынке, он мог обозначать всё что угодно. Сейчас ситуация более структурированна и у нас есть определённые стандарты, типы Threat Intelligence. Включать ли Threat Intelligence в более широкое понятие Security Intelligence, куда также будет входить Brand Intelligence и другие сферы, — вопрос открытый.

Никита Вдовушкин:

— Внутри нашей компании Threat Intelligence — это в первую очередь данные, а также процесс: как мы эти данные собираем. Это и то, насколько мы в них уверены, и то, как мы их оцениваем и ранжируем. Поэтому в Threat Intelligence ключевым фактором является контекст технических данных — понимание, почему они хороши для принятия решений, связь индикаторов с конкретными отчётами, уязвимостями, группировками.

Артём Мелёхин:

— Уровень технических данных в Threat Intelligence безусловно важен, однако правильный подход должен включать также использование стратегического слоя. Хороший ИБ-специалист должен правильно понимать данные операционного и тактического уровней, уметь видеть применимость тех или иных уязвимостей, отчётов и других данных.

Эксперты отметили, что Threat Intelligence может участвовать в разных процессах компании. В частности, для службы информационной безопасности может быть важен контекст текущего ландшафта угроз — не конкретные атаки, угрожающие организации, а ключевые тенденции и техники, которые необходимо учитывать. С другой стороны, для расследования конкретного инцидента требуется выяснить, кто стоит за вредоносными действиями и какие методы были использованы. В зависимости от того, где и для чего используется Threat Intelligence в компании, предъявляются разные требования и к его содержимому.

Мы попросили зрителей прямого эфира ответить, использует ли их компания сервисы Threat Intelligence в данный момент. Как оказалось, эксплуатируют платформы этого класса только 36 % респондентов. Ещё 22 % находятся в процессе оценки необходимости таких решений. Не используют Threat Intelligence 42 % зрителей прямого эфира.

 

Рисунок 1. Вы используете сервисы Threat Intelligence в данный момент?

Вы используете сервисы Threat Intelligence в данный момент?

 

Зачем нужен компании Threat Intelligence, если у неё есть другие системы безопасности и сбора данных, такие как IDS, NGFW, SIEM и другие? Как пояснили спикеры, Threat Intelligence поможет увязать всю картину безопасности воедино и отойти от атомарности отдельных решений или вендоров. Особенно это важно для компаний, которые практикуют Threat Response. Кроме того, при помощи методов киберразведки компания может получить информацию об угрозах за периметром безопасности, которые пока не детектированы инструментами защиты.

Ещё один важный момент — многие ИБ-решения имеют «слепые зоны», которыми могут воспользоваться злоумышленники. Threat Intelligence позволяет закрывать эти пробелы. Эксперты отметили, что необходимость применения киберразведки продиктована эволюцией киберугроз — они становятся сложнее, и средства безопасности должны развиваться вместе с ними.

На техническом уровне Threat Intelligence применяется для:

  • реагирования на инциденты,
  • проактивного поиска угроз (Threat Hunting),
  • мониторинга безопасности,
  • анализа вредоносного кода,
  • обнаружения вторжений.

На стратегическом уровне киберразведка способна помочь в принятии решений топ-менеджменту компании. Например, планируя выход на новые рынки, руководству компании важно знать, какие риски в безопасности характерны для новых регионов. Информация, собранная с применением методов Threat Intelligence, даёт возможность оценить предстоящие затраты и соотнести их с предполагаемой прибылью.

Как выяснилось, 30 % зрителей прямого эфира AM Live уже реализовали в своих компаниях технический уровень Threat Intelligence. Таковы результаты опроса, который мы провели параллельно дискуссии. Работают с методами киберразведки на тактическом уровне 9 % опрошенных, а на операционном — лишь 3 %. Атрибуция нарушителей на стратегическом уровне Threat Intelligence реализована у 7 % респондентов. Более половины (51 %) участников опроса не применяют киберразведку ни на одном из уровней.

 

Рисунок 2. Какие уровни Threat Intelligence реализованы в вашей компании?

Какие уровни Threat Intelligence реализованы в вашей компании?

 

Практические вопросы применения Threat Intelligence

В продолжение дискуссии мы предложили нашим спикерам подробнее рассказать о практической реализации методов киберразведки — в частности, пояснить, откуда берутся данные для таких систем и может ли заказчик получать их самостоятельно, не будучи «привязан» к разработчику решения.

Эксперты рассказали, что существует достаточное количество открытых источников, при помощи которых можно самостоятельно получать информацию для Threat Intelligence. Кроме того, специалисты по безопасности могут анализировать данные о срабатываниях имеющихся защитных решений, чтобы понять и предсказать возможные пути будущих атак. В любом случае обработка и анализ данных потребуют от компании дополнительных усилий и, как следствие, затрат. При этом гости студии отметили, что области видимости у вендора и у заказчика существенно различаются.

Зрители онлайн-конференции в первую очередь используют Threat Intelligence для обнаружения атак и мониторинга ИБ. Об этом заявили 46 % участников нашего очередного опроса. Применяют киберразведку для целей Threat Hunting 11 % респондентов, для атрибуции нарушителей и оценки средств защиты — по 6 %. Анализирует средствами Threat Intelligence вредоносный код 1 % участников опроса. В компаниях ещё 30 % наших зрителей TI-системы используются для иных задач.

 

Рисунок 3. Для каких задач ИБ вы в первую очередь используете Threat Intelligence?

Для каких задач ИБ вы в первую очередь используете Threat Intelligence?

 

В соответствии с одной из точек зрения, сбалансированный подход должен охватывать данные из трёх источников: внутренняя информация, сведения из открытых баз и коммерческие фиды, купленные у вендора.

Критерии выбора источников для Threat Intelligence при этом могут быть следующими:

  • возможности автоматизации,
  • интеграция и интероперабельность,
  • частота обновлений,
  • обогащение метаданными,
  • рейтинг сложности,
  • покрытие,
  • видимость даркнета,
  • аккуратность в геолокации,
  • число и спектр источников,
  • качество.

Алексей Лукацкий попросил экспертов в студии пояснить, для чего нужна специализированная платформа Threat Intelligence. Почему нельзя индикаторы и другую информацию загрузить, например, в SIEM-систему или в NGFW? В чём ценность и необходимость именно специализированного решения?

Спикеры рассказали, что решения Threat Intelligence агрегируют информацию изо множества источников и обрабатывают её. Выполнять работу по сбору, анализу и ранжированию данных самостоятельно, без специализированного инструмента возможно, но весьма затратно с точки зрения приложенных сил и потраченных средств. Немаловажно также, что зачастую SIEM просто не способен обработать то количество фидов, которыми оперирует платформа Threat Intelligence. Миллионы индикаторов способны серьёзно замедлить или даже парализовать работу SIEM-решения.

Половина зрителей прямого эфира затруднилась ответить на вопрос, какие технические средства обработки данных Threat Intelligence используются в их компаниях. Ещё 10 % сообщили, что просто читают бюллетени и вручную заносят данные из них в свои средства информационной безопасности. Используют бесплатные источники и напрямую загружают их данные в средства мониторинга и защиты 12 % респондентов. Остальные участники опроса применяют специализированную платформу Threat Intelligence: 12 % — коммерческую, 7 % — с открытым исходным кодом, а 9 % разработали такой инструмент самостоятельно.

 

Рисунок 4. Какие технические решения по обработке данных Threat Intelligence вы используете?

Какие технические решения по обработке данных Threat Intelligence вы используете?

 

Эксперты отметили, что практика покупки как можно большего количества фидов Threat Intelligence не приводит к существенному улучшению качества защиты. Важно использовать именно те данные, которые коррелируют с потенциальными угрозами и профилем деятельности заказчика. В противном случае уровень «шума» будет слишком высок, что скажется на скорости и эффективности работы системы. Наши спикеры обратили внимание, что современные платформы Threat Intelligence — это не просто агрегаторы фидов, но рабочее место аналитика, специалиста киберразведки, которое предоставляет ему инструменты для анализа множества аспектов ИБ-информации.

Рассуждая о возможностях автоматизации процессов Threat Intelligence, эксперты не пришли к единому мнению. Они привели примеры того, как в ряде случаев работа системы может строиться на анализе имеющихся тактик, техник и практик (TTP), их ранжировании, построении матрицы угроз. Однако ключевая роль Threat Intelligence, по мнению многих специалистов, состоит в удобной выдаче информации для аналитика, обогащении её контекстом, выявлении и подсвечивании ИБ-трендов.

По данным нашего опроса 47 % зрителей прямого эфира используют матрицу MITRE ATT&CK или ей подобную в деятельности службы информационной безопасности. Не применяют матрицу в работе 38 % респондентов. Ещё 15 % участников опроса не ограничиваются инструментами MITRE, а работают и с другими TTP.

 

Рисунок 5. Используете ли вы матрицу MITRE ATT&CK или иную в деятельности службы ИБ?

Используете ли вы матрицу MITRE ATT&CK или иную в деятельности службы ИБ?

 

Как выбрать систему Threat Intelligence

Подводя итог дискуссии, модератор предложил гостям студии сформулировать советы по выбору поставщика средств Threat Intelligence.

Эксперты отметили, что в первую очередь заказчик должен понять, для чего ему нужна система киберразведки. Хорошей практикой будет формулировка определённых и измеримых метрик, которые чётко покажут, что должно поменяться в компании после внедрения нового инструмента. Спикеры также посоветовали при внедрении Threat Intelligence начинать с малого: попробовать ограниченное количество источников и «обкатать» систему на небольшом количестве фидов, не нанимая много специалистов-аналитиков. По мнению экспертов, важно получить первые реально работающие кейсы, чтобы понять, куда двигаться дальше.

Гости студии обратили внимание, что необходимо заручиться поддержкой менеджмента компании, поскольку внедрение Threat Intelligence — это длительный процесс, требующий значительных расходов. Важно также помнить о том, что рынок Threat Intelligence уже вполне структурирован и есть чёткие определения того, что эти методы должны приносить компании.

Отдельная группа рекомендаций наших спикеров касалась взаимодействия с вендорами. Эксперты призвали не стесняться общения с компаниями-разработчиками, поскольку те накопили значительный опыт в сфере Threat Intelligence и чаще всего готовы оказать помощь. Важно помнить, что провести пилотный проект — это не проблема. Большинство вендоров готовы предоставлять временный доступ ко своим фидам и платформам. При этом важно, чтобы разработчик также грамотно подходил к пилотированию. Спикеры поделились опытом выдачи заказчику заданий, которые позволяют лучше понять систему и сформулировать свои требования.

Как отметили гости нашей студии, не стоит ориентироваться на маркетинговые материалы: лучше приехать к вендору, познакомиться с ним и задать вопросы не только менеджерам по продажам, но и техническим специалистам. Это позволит как сформировать мнение о разработчике, так и лучше сформулировать свои требования к системе. Коммуникации с разработчиками помогут также понять, что творится за периметром безопасности, каких угроз можно ожидать и какая информация от Threat Intelligence будет нужна в первую очередь.

Традиционный опрос зрителей по результатам прямого эфира показал, что 20 % респондентов смогли убедиться в правильности выбора платформы Threat Intelligence, а ещё 24 % участников опроса заинтересовались такими решениями и готовы их тестировать. Для 2 % зрителей прямой эфир стал поводом задуматься о смене поставщика TI-сервиса, 32 % считают такие системы интересными, но избыточными для их компаний. Не поняли, о чём шла речь на конференции, 15 % опрошенных. Ещё 6 % наших зрителей решили, что участники были неубедительны и не смогли доказать необходимость решений этого класса.

 

Рисунок 6. Каково ваше мнение о Threat Intelligence после эфира?

Каково ваше мнение о Threat Intelligence после эфира?

 

Выводы

Как показали дискуссия и результаты опроса зрителей, вендорам, сервис-провайдерам и системным интеграторам необходимо прилагать больше усилий, чтобы объяснить потенциальным заказчикам преимущества применения платформ Threat Intelligence, их необходимость для инфраструктуры безопасности. Следует помнить, что полноценное применение таких решений требует определённого уровня зрелости компании и высокой вовлечённости руководства в вопросы ИБ. Вместе с тем некоторые методы Threat Intelligence, такие как самостоятельный анализ данных из фидов, ранжирование угроз, работа с TTP, вполне доступны даже небольшим компаниям и способны повысить уровень их защищённости на фоне постоянно меняющегося ландшафта угроз.

Проект AM Live продолжается. Чтобы следить за обсуждением актуальных для отечественного рынка информационной безопасности тем, задавать вопросы экспертам в студии и высказывать своё мнение по ходу прямого эфира, не забудьте подписаться на YouTube-канал AM Live. До новых встреч!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru