Киберразведка как основа стратегии защиты от инцидентов: собирать данные самим или доверить внешним поставщикам?
Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
Выстроить эффективную стратегию защиты от киберинцидентов позволяют данные киберразведки. С их помощью специалисты получают основную информацию о злоумышленниках: кого, с какой целью и какими методами они планируют атаковать.
В этом материале мы разберемся, стоит ли самостоятельно заниматься киберразведкой, где получить готовые киберразведданные, как и для чего их применить.
Что такое киберразведка и киберразведданные
Существует множество определений этого термина. И каждое из них верное. Воспользуемся самым простым и понятным: киберразведка — это знания, которые позволяют понять, кто, как и зачем атакует или будет атаковать организацию.
Киберразведданные позволяют ответить на такие вопросы:
- Какие кластеры нацелены на организацию и почему?
- Как их обнаружить и какие методы они используют?
- Какие уязвимости эти кластеры используют или использовали ранее?
- Какие системы будут атакованы с наибольшей вероятностью? Насколько они критичны для бизнес-процессов?
Киберразведданные включают в себя несколько уровней. И к этому тоже есть несколько подходов. Одни специалисты делят все киберразведданные на два уровня: стратегический и операционный, другие — на три: стратегический, операционный и тактический, а некоторые выделяют четыре: стратегический, операционный, тактический и технический.
С учетом многообразия данных разделение на четыре уровня выглядит наиболее корректным. Вот как это можно представить на примерах из практики.
| Уровень | Описание | Пример |
| Стратегический | Высокоуровневая обобщенная информация об угрозах. Предназначена для руководителей | В I квартале 2024 г. возобновилась активность кластера Gremlin Wolf. Его особенности: Нацелен на российские компании из сфер ритейла, логистики и страхованияИспользует фишинговые письма от имени контролирующих органов и стремится скомпрометировать сразу несколько систем, расширяя плацдарм для реализации атакиПытается распространить программы-вымогатели по всей IT-инфраструктуреПеред распространением ВПО иногда выгружает конфиденциальную информациюТребует выкуп до 1 млрд рублей |
| Тактический | Техническая информация о методах атакующих. Предназначена для специалистов по кибербезопасности | Кластер Lone Wolf активен минимум с 2023 г. Его ключевые особенности: Атакует российские организации разных отраслейИспользует фишинговые рассылки с вредоносными документами Word и Excel, чтобы загрузить на устройство жертвы Cobalt Strike BeaconОсуществляет постэксплуатацию средствами Cobalt StrikeСобирает информацию об удаленных системах с помощью SoftPerfect Network ScannerПродвигается по сети, используя протоколы RDP и SMBИспользует AnyDesk как альтернативное средство закрепленияСобирает и выгружает конфиденциальные данные, распространяет программу-вымогатель, созданную с помощью билдера LockBit |
| Операционный | Информация о конкретных атаках или кампаниях определенного кластера активности | 16 апреля команда BI.ZONE Threat Intelligence обнаружила новую кампанию кластера Fluffy Wolf. Что о ней известно: Преступники распространяют ВПО Meta Stealer через фишинговые письмаЖертва получает письмо с архивом, пароль от которого указан в имени файла: 16_04_2024_doc_1C (ПАРОЛЬ 123).rarАрхив содержит исполняемый файл, мимикрирующий под финансовые отчеты 1С: 16_04_2024_doc_1C.PDF.exe |
| Технический | Потоки индикаторов компрометации (фиды) | Индикаторы компрометации, связанные с атаками кластера Core Werewolf: clodmail[.]ruseemsurprise[.]commoscowguarante[.]comlinux-tech-world[.]netlinux-techworld[.]comlinux-tech-world[.]com |
Какие задачи можно решить с помощью киберразведданных
Работа с качественными киберразведданными на деле намного проще, чем может показаться. Рассмотрим типовые проблемы, с которыми сталкиваются специалисты по кибербезопасности, и разберемся, как может помочь киберразведка.
Построение ландшафта киберугроз с учетом отрасли и географии
Из-за переизбытка разнородной информации об угрозах сложно выделить риски, актуальные для конкретной организации. Зачастую специалисты пытаются защититься от всего и сразу, что мешает правильно расставить приоритеты в безопасности и приводит к инцидентам.
Любому бизнесу важно понимать, какие кластеры активности атакуют его отрасль в том регионе, где он работает. Такую информацию можно получить благодаря киберразведданным, а еще они полезны для изучения методов и инструментов атакующих. Эти знания позволят правильно расставить приоритеты, чтобы снизить вероятность инцидентов.
Получение контекста к срабатываниям СЗИ
Недостаток контекста к срабатываниям СЗИ не позволяет эффективно провести этап идентификации, отчего нельзя перейти к следующему этапу жизненного цикла реагирования на инцидент. Это значительно затрудняет работу сотрудников по кибербезопасности.
Информация киберразведки помогает установить связи выявленных индикаторов компрометации с известными угрозами, инструментами и методами атакующих. Специалисты могут правильно идентифицировать угрозу и получить дополнительную информацию для корректного реагирования.
Сокращение время реагирования на инциденты
Иногда специалисты сталкиваются с недостатком информации об угрозе в ходе реагирования на инцидент, что препятствует эффективному прохождению его жизненного цикла. Из-за этого злоумышленники могут активно противодействовать попыткам ограничить им доступ к скомпрометированной IT‑инфраструктуре.
Данные киберразведки позволяют быстро реконструировать жизненный цикл атаки на основе данных об активности выявленного кластера, дополнительных сведений о методах и инструментах, а также индикаторов компрометации. Все это облегчает анализ и сокращает время, необходимое для реагирования.
Устранение уязвимостей, которые эксплуатируют злоумышленники
Несмотря на то, что постоянно публикуется информация об огромном количестве уязвимостей, в реальных атаках эксплуатируется лишь небольшое их количество. Некорректная приоритизация устранения уязвимостей приводит к возникновению инцидентов. Проще говоря, специалисты могут сосредоточиться на уязвимости, которая почти не используется в атаках, и не успеть устранить другую, по-настоящему опасную. Этим обязательно воспользуются злоумышленники.
Киберразведданные включают информацию об уязвимостях, которые злоумышленники эксплуатируют в реальных атаках, а также тех, которые обсуждают на теневых ресурсах. Так специалисты могут корректно расставить приоритеты.
Получение информации с теневых ресурсов
Злоумышленники постоянно совершенствуют используемые методы и инструменты, а также разрабатывают новые. Часто организации узнают о них только после того, как преступники воспользуются ими в ходе кибератаки.
В данные киберразведки включают информацию с теневых ресурсов, которую обсуждает киберпреступное сообщество. Изучение этих ресурсов позволяет получить сведения о новых инструментах злоумышленников, эксплуатируемых уязвимостях, а также компрометации других организаций в той же отрасли или том же регионе.
Проверка корректности работы детектирующей логики
Существует множество способов реализовать различные методы атак. Зачастую трудно определить, как именно эти методы будут реализованы и обнаружат ли их имеющиеся средства защиты.
Благодаря киберразведданным специалисты могут получить детальную информацию о процедурах, используемых злоумышленниками, а еще применять эти сведения для проверки детектирующей логики.
Проведение киберучений в формате Red Team или Purple Team
Методы специалистов в ходе киберучений в формате Red Team или Purple Team могут совершенно не коррелировать с теми, которые используют злоумышленники в атаках на организации. Так что такие учения не позволяют определить, защищена ли организация от реальной атаки.
В киберразведданные можно включить профили кластеров активности. Затем отфильтровать их по отраслям и географии и использовать для разработки плана эмуляции. Это позволит проверить в ходе киберучений, насколько организация защищена от реальных атак.
Проактивный поиск угроз
Некоторые методы злоумышленников связаны с возможностями операционных систем и легитимными инструментами. Из-за этого атаки сложно обнаружить имеющимися средствами защиты информации.
Киберразведданные могут содержать детальную информацию о тактиках, техниках и процедурах атакующих. Это позволит выявить потенциально вредоносную активность, даже если имеющиеся СЗИ ее не обнаружат, а еще использовать данные о ней для формирования гипотез с целью последующего проактивного поиска угроз.
Самостоятельный сбор киберразведданных или внешний поставщик: плюсы и минусы
Компания может нанять специалистов и предложить им анализировать имеющуюся телеметрию, обрабатывать данные из открытых источников, внутренних инцидентов, делать ханипоты, проводить дни и вечера на различных теневых ресурсах, отслеживать, какие уязвимости используются злоумышленниками, — в общем, заниматься всем тем, что ежедневно делают киберразведчики.
Как видите, пул задач обширен, а значит, и специалистов понадобится немало. По заверению Энди Пиацца (Global Head of Threat Intelligence в IBM Security X-Force), среднестатистической организации необходимо от 4 до 10 специалистов по киберразведке. Да, от 4 до 10. Помимо того, что их нужно найти и удержать в условиях высокой конкуренции между работодателями, придется еще выделить значительный бюджет на работу подразделения. Так что затраты на самостоятельный сбор киберразведданных будут в среднем в несколько раз выше, чем на оплату работы внешних поставщиков.
Но преимущества и недостатки каждого из подходов не ограничиваются вопросами стоимости. Остановимся на этом подробнее.
Самостоятельное получение киберразведданных
| Плюсы | Минусы |
| + больший фокус на конкретной организации + возможность анализа собственной телеметрии + конечный продукт полностью соответствует предъявляемым требованиям | − недостаток компетенций и опыта − высокая стоимость − ограниченность покрытия имеющейся телеметрией |
Получение данных от внешних поставщиков
| Плюсы | Минусы |
| + высокий уровень профессионализма + большое количество разнообразных источников данных + возможность использовать опыт вендора | − менее таргетированный подход: внешние поставщики не концентрируются только на угрозах, актуальных для конкретного клиента, а наблюдают за всем ландшафтом киберугроз − формат данных может не полностью удовлетворять требованиям заказчика − некоторые поставщики предоставляют данные в сложных для восприятия форматах, которые требуют высокого уровня компетенций персонала |
Самостоятельный сбор и обработка киберразведданных обеспечивает больший фокус на конкретной организации, при этом есть риск упустить критически важное из-за ограниченности покрытия и недостаточного уровня компетенций. Внешний поставщик наблюдает за всем ландшафтом киберугроз, а не сосредоточен на задачах конкретного заказчика. Зато располагает более широким набором источников данных и более глубокой экспертизой.
Какие выводы можно сделать
Киберразведданные не ограничиваются индикаторами компрометации и могут использоваться для решения самых разных задач. Киберразведка уже стала базовым компонентом стратегии безопасности любой организации, поскольку позволяет своевременно узнать актуальные угрозы и превентивно защититься от них.
Выбор — создать собственную команду киберразведки или обратиться к внешнему исполнителю — зависит от множества факторов. Однако важно иметь в виду, что современные порталы threat intelligence аккумулируют информацию об угрозах, необходимую специалистам по кибербезопасности, и обращение к этим ресурсам может существенно сэкономить ресурсы команды и финансы компании.
Автор: Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
