Интервью с Виталием Евсиковым (Inseca) про обучение Threat Intelligence

Редакция CISOCLUB поговорила с Виталием Евсиковым, сооснователем и техническим директором компании Inseca, чтобы обсудить практическую сторону обучения киберразведке (Threat Intelligence) и узнать, какие знания и навыки необходимы специалистам для работы в этом направлении. В интервью Евсиков подчеркнул, что успешное применение киберразведки требует не только теоретических знаний, но и понимания реальных задач, которые возникают в компаниях. Эксперт рассказал, что студенты курса получают возможность отработать сценарии, которые затем можно воспроизвести в своей инфраструктуре, что позволяет в полной мере понять, как CTI может укрепить проактивную защиту организации.

В ходе беседы Виталий обратил внимание на важность формирования собственного ландшафта киберугроз и визуализации данных с использованием таких инструментов, как Maltego, OpenCTI, а также различных аналитических моделей, включая MITRE ATT&CK и Diamond Model. Эти методы помогают специалистам не только структурировать информацию, но и эффективно выстраивать защитные стратегии, основываясь на тактиках и техниках злоумышленников. Он подробно объяснил, как важна оценка надёжности источников данных для минимизации ложноположительных срабатываний, отметив, что это критический навык, который слушатели курса могут применять на практике.

Особое внимание Виталий уделил обмену знаниями в профессиональном сообществе и необходимости избегать когнитивных искажений в процессе анализа киберугроз. В ходе курса слушатели учатся сохранять объективность при обработке информации и понимать, как когнитивные искажения могут повлиять на процесс атрибуции и общий анализ. Эксперт также подчеркнул, что обмен знаниями и проактивная работа с сообществом играют ключевую роль в успешной защите от кибератак.

Какую роль играют практические задания в обучении киберразведке и как они помогают закрепить теоретические знания?

CTI давно уже не является новым и малоизвестным направлением ИБ. Многие компании и специалисты уже успели по достоинству оценить пользу от развития данного направления в своих компаниях. Вместе с тем пока всё ещё немногие могут похвастаться успешным практическим применением CTI в своей инфраструктуре. Дело в том, что, даже имея теоретические представления о том, что такое CTI, немногие умеют применять её на практике. Мы даём реальные практические задания, которые можно с лёгкостью перенести в собственную инфраструктуру и воспроизвести уже на собственных данных. Это лучшим образом показывает практическую применимость всего, чему мы учим.

Какие навыки может получить слушатель курса на этапе планирования работы в CTI и насколько они востребованы в реальных условиях?

Несмотря на кажущуюся теоретическую направленность данного этапа жизненного цикла CTI, он является одним из самых важных. Дело в том, что сегодняшний глобальный ландшафт киберугроз представлен большим количеством различных группировок, каждая из которых использует уникальный набор техник и инструментов. Защищаться от всех киберугроз невозможно, и именно поэтому становится важным определить список наиболее актуальных для вас. Это позволяет сделать этап планирования, на котором вы отвечаете на вопросы, что представляет собой ваша компания, какие активы у неё есть, кто и как может атаковать вас. На курсе мы учим создавать собственный ландшафт киберугроз и наглядно визуализировать его с помощью доступных инструментов.

Как осуществляется взаимодействие с платформами анализа данных, такими как OpenCTI, и какие преимущества они дают в обучении?

В рамках прохождения нашего курса студенты могут подключиться к развёрнутому в нашем облаке стенду с установленным OpenCTI и изучить различные аспекты работы с данной платформой TIP, начиная от настройки и заканчивая работой с дашбордами. Это позволяет наглядно представить то, как можно с помощью данного инструмента реализовать многие процессы TI на практике.

Как оценить качество источников данных в рамках курса и какие ошибки чаще всего допускают начинающие специалисты?

Ответ на этот вопрос волнует практически всех студентов нашего курса. Важность оценки качества источников обусловлена тем, что многие специалисты хотят избавиться от большого количества ложноположительных срабатываний, которые нередко происходят при использовании источников ненадлежащего качества. С другой стороны, оценка источников позволяет руководству принять взвешенное решение относительно того, какие из них использовать, а какие — нет. Начинающие специалисты нередко хотят получить ответ ещё до того, как они начали использовать источник. К сожалению, это помогает лишь в малой степени. Дело в том, что полноценная оценка возможна только при использовании источников непосредственно на собственной инфраструктуре. Именно поэтому на курсе мы рассказываем об основных подходах к оценке надёжности источников, чтобы студенты могли применить их уже в своей работе.

Какие методы анализа киберугроз рассматриваются на курсе и как они помогают формировать эффективную стратегию защиты?

На курсе мы учим студентов исследовать взаимосвязи различных индикаторов, определять тактики, техники и процедуры, анализировать готовые отчёты и готовить собственные исследования. Благодаря этим знаниям и навыкам обучающиеся могут повысить проактивную защиту своих компаний, что подразумевает под собой защиту от релевантных киберугроз ещё до их наступления. Также эти навыки помогают своевременно обнаруживать дополнительные индикаторы злоумышленников на основании связей и быстро обнаруживать все места их возможного присутствия в инфраструктуре во время расследования инцидента.

Как обучать работе с такими аналитическими моделями, как MITRE ATT&CK и Diamond Model, и как эти знания можно применить на практике?

Современные модели, такие как MITRE ATT&CK и Diamond Model, созданы в первую очередь для того, чтобы структурировать имеющуюся информацию о злоумышленниках и позволить специалистам говорить на одном языке. Также они помогают оценить защищённость собственной компании от различных тактик и техник злоумышленников, приоритизировать наиболее популярные из них. Мы учим студентов строить ландшафт угроз, анализировать готовые отчёты, определять тактики и техники на основании процедур.

Как практика работы с Python может помочь слушателям автоматизировать сбор и обработку данных CTI?

В процессе работы с большим количеством данных и источников в рамках реализации процессов TI-специалисты сталкиваются с проблемой ограниченности ресурсов. Автоматизация этих процессов с помощью различных скриптов позволяет более эффективно получать и обрабатывать необходимую информацию. Мы делимся различными способами автоматизации, которые применяются нами в практической работе.

Какие инструменты визуализации данных можно рассматривать на курсе и как они помогают лучше понимать инфраструктуру злоумышленников?

Хоть мы все и привыкли работать с большим количеством текста, но, чтобы понять общую картину и оценить масштаб изучаемой инфраструктуры, лучшим способом является использование различных средств визуализации. В качестве задания мы предлагаем студентам визуализировать отчёт об одной из группировок с помощью графа, построенного в Maltego. Использование подобных инструментов помогает не только наглядно отобразить инфраструктуру злоумышленников, но и обогатить информацию о каждом из её элементов с помощью подключаемых источников дополнительной информации. Это значительно ускоряет работу при анализе большого количества сущностей.

Как обучающий курс может помочь развить критическое мышление и избежать когнитивных искажений при анализе данных киберразведки?

Чем больше мы работаем в каком-либо направлении, тем мы становимся более подверженными различного рода когнитивным искажениям. Также этому способствует большое количество информации, которая поступает к нам извне. В таких условиях становится сложно сохранить объективность при работе с большим количеством информации. Мы решили рассказать студентам о наиболее популярных когнитивных искажениях, которым подвергаются аналитики TI, и привели множество примеров того, как они проявляются в сфере информационной безопасности. Одним из ярких примеров являются ошибки, допускаемые в процессе атрибуции злоумышленников какой-либо известной группировке. Ухватившись за одно свидетельство, специалисты начинают выстраивать дальнейший анализ, исходя из него, подвергаясь так называемому смещению конгруэнтности. Это происходит как у опытных специалистов, так и у начинающих. Важно не поддаваться подобным заблуждениям и всегда критически относиться в том числе и к собственным умозаключениям.

Как осуществлять обмен знаниями TI внутри профессионального сообщества?

Обмен знаниями — это одна из наиболее важных ценностей киберразведки. Эту мысль мы развиваем в каждом модуле нашего курса и приводим множество примеров, когда взаимодействие с сообществом приносило пользу всем сторонам. Таким образом обеспечивается та самая проактивность, о которой мы говорили выше. Мы рассказываем, как правильно делиться знаниями, в каком виде представить информацию, как автоматизировать процесс обмена, не раскрыв при этом конфиденциальных сведений.

Массовые кибератаки, которые мы наблюдаем в последние годы, показали всем, что быть уверенным в стопроцентной защите не может никто. Совместная работа и своевременный обмен информацией помогают снизить успешность атак благодаря их пресечению на самых ранних этапах.