8126 подписчиков

Threat Intelligence в России

28 минут

5 прочтений

6 июня

Устойчивый рост интереса к услугам Threat Intelligence (TI) среди российских компаний разных отраслей деятельности наблюдается в течение двух последних лет. Согласно статистике компании F.A.C.C.T., в первом полугодии 2023 года спрос на такие услуги вырос в стране примерно на 30%. При этом в компании Positive Technologies говорили о росте такого показателя в 2023 году на 40%, в компании «Информзащита» — на 25%.

Причем интерес к услугам киберразведки растёт не только у бизнеса, но и у государственного сектора. Например, в июле 2023 года ДИТ Москвы представил тендер на 250 млн. рублей на «оказание комплексной услуги по киберразведке и расследованию инцидентов информационной безопасности».

Мы решили поговорить с экспертами отрасли на тему Threat Intelligence, спросив у них, что изменилось на этом рынке в последний год, как обосновать затраты на киберразведку перед руководством, что стало с источником данных Threat Intelligence в России после ухода зарубежных вендоров, с какими проблемами можно столкнуться при работе с Threat Intelligence. Также мы обсудили другие темы. На вопросы CISOCLUB ответили:

Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора по ИБ «Бастион».
Николай Арефьев, генеральный директор ООО «Технологии киберугроз».
Андрей Шабалин, аналитик по информационной безопасности NGR Softlab.
Александр Котов, руководитель направления по развитию бизнеса ИБ компании Axoft.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
Елена Шамшина, руководитель департамента киберразведки компании F.A.C.C.T.
Илья Селезнев, руководитель продукта Гарда Threat Intelligence.

Изменился ли спрос на Threat Intelligence за последний год? Что происходит на рынке?

Николай Арефьев, генеральный директор ООО «Технологии киберугроз»:

«Рынок Threat Intelligence в России стабилен, на нем не наблюдалось какого-то взрывного роста, или падения. Это вполне можно понять, т.к. это направление очень нишевое. Осознание необходимости и потребности в TI происходит не внезапно, как озарение. Как правило, до необходимости использования TI компании доходят по мере роста своих компетенций в ИБ.

Таким образом рынок TI в прошлом году рос вместе с общим рынком информационной безопасности».

Елена Шамшина, руководитель департамента киберразведки компании F.A.C.C.T.:

«Если рассматривать российский рынок Threat Intelligence, то можно наблюдать, что к нему повысился интерес со стороны потенциальных клиентов после февраля 2022, когда количество атак на российские компании резко возросло (и остается на высоком уровне), при этом сложность атак также повышается. Если ранее в TI видели ценность в основном очень крупные и зрелые (с точки зрения ИБ и ИТ) компании, то в настоящее время ценность TI начинают понимать не только компании-гиганты и банки из ТОП-10. Отметим, что сейчас Threat Intelligence интересен не только банкам и финансовым компаниям (как было ранее), но и организациям из совершенно разных сфер: ритейл, промышленное производство, телеком, логистика.

Это происходит вследствие того, что ущерб от атак (шифровальщики, утечки и уничтожение данных, мощные DDoS-атаки, шпионаж) может значительно превышать стоимость приобретения Threat Intelligence.

В то же время, вендоры по Threat Intelligence в России сосредоточили свои усилия на исследовании угроз именно для данного региона, что значительно повышает ценность данных для потенциальных клиентов».

Александр Котов, руководитель направления по развитию бизнеса ИБ компании Axoft:

«За последние пару лет рынок Threat Intelligence в России вырос в два-три раза, и спрос только увеличивается. Во-первых, все больше заказчиков обращают внимание на этот класс решений, так как ландшафт угроз трансформируется крайне быстро. Во-вторых, меняется направленность действий злоумышленников в связи с политической обстановкой в мире. Появляется масса новых группировок, информацию о действиях которых как раз и позволяет получить Threat Intelligence».

Олег Скулкин, руководитель BI.ZONE Threat Intelligence:

«Спрос однозначно растет, а с ним растет и зрелость тех, кто пользуется подобными продуктами. Если в начале года многих интересовали только потоки данных об угрозах, сегодня все больше заказчиков интересуется в том числе данными других уровней».

Илья Селезнев, руководитель продукта Гарда Threat Intelligence:

«Взрывного роста в этом году не произошло, однако мы видим устойчивое и стабильное увеличение спроса на продукт «Гарда TI». Это выражается как в количестве пилотных проектов, так и коммерческих отгрузок. По нашим подсчетам, эти цифры выросли примерно на треть.

Это косвенно подтверждает данные исследования, которое проводил центр стратегических разработок. В нем они указывали, что рынок TI в России будет расти на 32% ежегодно до 2026 года. Одновременно со спросом меняются и предпочтения заказчиков. Они становятся более избирательны и требовательны к продукту, к качеству фидов.

Все чаще к нам приходят запросы только на определенный тип данных, например, списки ботнет-сетей, которые были активны последние 3 дня. В случае с «Гарда Threat Intelligence» благодаря конструктору выгрузок и дополнительным фильтрам заказчик может задавать любые параметры и в итоге получить именно те данные, которые его интересуют».

Каковы основные различия между Threat Intelligence и киберразведкой в контексте их применения и целей?

Елена Шамшина, руководитель департамента киберразведки компании F.A.C.C.T.: «Существует довольно большое количество определений термина Threat Intelligence, или Cyber Threat Intelligence (CTI), если мы говорим об интересующей нас сфере киберугроз.

Threat Intelligence – это данные о текущих или потенциальных киберугрозах, имеющих отношение к компании, их тактиках и техниках. Такие данные обычно собираются из нескольких источников, анализируются, уточняются и систематизируются, чтобы помочь специалистам по информационной безопасности снизить и смягчить риски кибербезопасности.

Основная цель Threat Intelligence – предоставлять данные проактивно. А для этого необходимо знать об атаках еще до момента их совершения.

А киберразведка — это процесс получения информации об угрозах и атакующих. Каждый вендор TI применяет для этого свои способы, знания и know-how, а также свою методику хранения полученной информации.

Напомним также, что традиционно выделяют три уровня Threat Intelligence: стратегический, операционный и тактический.

Стратегические данные предназначены для понимание ландшафта угроз на верхнем уровне – какие тренды и группировки используются в атаках против родственных компаний или по отрасли, и к каким рискам это ведет. Эта информация полезна для CISO и CEO. Стратегический уровень позволяет оценить, в каких приоритетных направлениях следует развивать ИБ в компании.
Операционный уровень включает информацию об инструментах, тактиках и процессах атакующих. Широко признанным источником подобной информации является матрица MITRE ATT&CK. В ней можно найти подробные сведения о том, как злоумышленники проникают в системы. Информация операционного уровня полезна ИБ-аналитикам и CISO. Она позволяет им понять, на что следует выделять финансы и ресурсы при организации системы защиты предприятия. Операционный уровень позволяет ответить на вопрос о том, что надо делать, чтобы защититься от внешних угроз в данном регионе или индустрии.
Тактический уровень киберразведки отражает техническую информацию о тех или иных группировках злоумышленников. Эта информация позволяет распознать характерные индикаторы и выявлять реальные угрозы, с которыми может столкнуться компания, сократить время выявления атаки».

Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «Интересный вопрос. Мне кажется, киберразведка — это процесс, а вот Threat Intelligence — результат киберразведдеятельности. В целом кажется, что сейчас они взаимозаменяемы: мы называем киберразведкой то, что за рубежом называется Threat Intelligence».

По словам Николая Арефьева, генерального директора ООО «Технологии киберугроз», есть несколько взглядов на разделение понятий Threat Intelligence и киберразведки, но он придерживается такого мнения, что киберрразведка – это процесс сбора информации об атакующих, их целях и методах атак. Threat Intelligence, же – это знания и навыки для превентивного, или реактивного реагирования на кибер-атаки.

«К примеру, чтобы понять наш ландшафт угроз, необходимо провести киберразведку, а затем систематизировать и аккумулировать ее в виде знаний о киберугрозах (Threat Intelligence). То есть Киберразведка и Threat Intelligence – это история про сбор и систематизацию данных, а также принятие решений на их основе».

Какие результаты приносит использование Threat Intelligence, и как обосновать затраты на TI перед руководством?

Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора по ИБ «Бастион»:

«Результат от использования Threat Intelligence будет зависеть от того, как компания использует полученные данные. Это может быть более раннее обнаружение угроз за счет использования Threat intelligence фидов и ускорение реагирования на инциденты благодаря оперативному получению дополнительного контекста к угрозе. При появлении угрозы аналитик получает дополнительную информацию об атакующем, например, используемые им ТТРs и инструменты, что сразу позволяет искать их в сети и остановить развитие инцидента».

Николай Арефьев, генеральный директор ООО «Технологии киберугроз»: «Это очень хороший вопрос и ответ на него не всегда очевиден. Приведу аналогию: «Какие результаты приносит использование Государственной библиотеки имени Ленина, как обосновать затраты на поход в эту Библиотеку перед руководством?»

Threat Intelligence – ровно, как и Библиотека, может быть использована просто для хранения знаний, а может использоваться для понимания, осмысления, переосмысления и восстановления хронологии событий в прошлом. Использование этих знаний позволяет понять свой ландшафт угроз, какие акторы на нем находятся, какова их модель поведения и что надо делать чтобы им противостоять.

Относительно затрат на TI. Напрямую оценить затраты, без «натягивания совы на глобус», крайне сложно и аналогия выше это показывает. Однако есть очень субъективный способ, который может дать хотя бы какие-то оценки – это пилотный проект. В процессе пилота можно будет понять, что дает именно вашей компании TI конкретного вендора. Хочу подчеркнуть: «именно вашей компании» и «TI конкретного вендора».

Александр Котов, руководитель направления по развитию бизнеса ИБ компании Axoft, заявил, что результат использования TI – обладание информацией об актуальных угрозах (применительно к отрасли), тактиках и техниках определенных хакерских групп. В конце концов, данные из Darknet. Как раз эти знания позволяют предотвратить большое количество атак, либо минимизировать ущерб от кибератаки.

«Обосновать затраты можно, основываясь не только на мировом опыте (периодически возникают инциденты мировой значимости, например, атака системы ядерной программы Ирана в 2011 году). За последние несколько лет было много историй, связанных с атакой крупных российских компаний. Каждая организация может оценить финансовые потери в случае целевой атаки и сопоставить их со стоимостью решений TI».

Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «Во-первых, TI дает понимание реального ландшафта угроз. Это, в свою очередь, позволяет CISO или специалистам по кибербезопасности донести важность своей работы до руководства не на воображаемых, а на реальных примерах.

Threat intelligence — это не только индикаторы компрометации. Например, TI-портал позволяет построить ландшафт угроз, получить контекст к сработкам СЗИ, сократить время реагирования на инциденты, приоритизировать устранение уязвимостей, которые эксплуатируются реальными злоумышленниками, получить информацию с теневых ресурсов, проверить эффективность работы СЗИ, провести киберучения в формате red или purple teaming либо осуществить проактивный поиск киберугроз. Если правильно объяснить руководству, зачем это нужно, думаю, проблем не возникнет».

Елена Шамшина, руководитель департамента киберразведки компании F.A.C.C.T., отметила, что Threat Intelligence дает клиентам ценнейшую возможность выявить признаки подготовки к атаке еще до ее начала и заблокировать атаку на ранней стадии или предотвратить полностью. Также Threat Intelligence предоставляет данные о техниках, тактиках и инструментах атакующих в текущих реалиях, что поможет менеджменту компании определиться со стратегией выстраивания или улучшения ИБ систем в компании, сосредоточившись на важных аспектах. Помимо этого, клиент может получить информацию об атрибуции атаки к конкретному атакующему по имеющимся индикаторам.

«Таким образом, пользователь будет знать не только тот факт, что его атаковали с помощью вредоносной программы, но и кто это делал, какие цели преследовал, какие техники применял в других атаках.

Также требуется оценить, какой ущерб может нанести определенный вид атаки на организацию. Здесь важно отметить, что некоторые атаки влияют на бизнес не только в моменте, и на устранение их последствий потребуется значительное время и труд квалифицированных сотрудников.

Некоторые вендоры Threat Intelligence самостоятельно проводили исследования экономического обоснования своего продукта и готовы предоставить эту информацию потенциальным клиентам на этапе пилотного тестирования/подготовки к приобретению».

Какие инструменты и СЗИ наиболее эффективны для работы с данными Threat Intelligence?

Илья Селезнев, руководитель продукта Гарда Threat Intelligence: «Чтобы ответить на этот вопрос нужно понимать, для чего используют данные TI. Если говорить о поддержании общего уровня защищенности и блокировке вредоносной активности еще на подступах к инфраструктруре, то очевидна связка Threat Intelligence с периметровыми СЗИ: межстевыми экранами, WAF, IPS/IDS, NGFW, Anti-DDoS. В этом случае данные, поступающие из TI, дополнят уже существующие списки нежелательных адресов и доменов, что повысит защищенность периметра.

Такой вид применения подойдет большинству компаний даже с ограниченным штатом и ресурсами. Если говорить про системы классов IRP/SOAR и SIEM, то Threat Intelligence здесь – это инструмент обогащения и приоритезации. Можно получить информацию о техниках и тактиках, о сроке жизни и о критичности того или иного индикатора и т.д., благодаря чему понять, какое событие несет в себе наибольшую угрозу для компании. В портфеле группы компаний «Гарда» некоторые системы уже интегрированы с TI.

Для «Гарда NDR» TI обеспечивает репутационные списки, обогащая данные о контексте угроз, что позволяет точнее детектировать и быстрее предотвращать даже самые сложные атаки. В случае с «Гарда Deception» TI предоставляет информацию о файле, загруженном в файловую ловушку (malware, эксплоит и т.д.), в том числе сведения об уровне опасности файла. Кроме того, TI используют в качестве помощника при расследовании инцидентов. Но в этом случае на стороне заказчика уже должна быть сформирована команда аналитиков киберугроз, которые смогут использовать функциональность продукта на 100%».

Николай Арефьев, генеральный директор ООО «Технологии киберугроз», отметил, что для использования TI чаще всего используются 3 типа СЗИ:

NGFW, для блокировки наиболее опасных индикаторов.
SIEM, для написания детектирующей логики, а также выявления взаимодействий с индикаторами.
SOAR, для расширения контекста инцидентов.
TIP, для долгосрочного хранения и анализа TI-данных.

Елена Шамшина, руководитель департамента киберразведки компании F.A.C.C.T.: «F.A.C.C.T. Threat Intelligence содержит в себе более 25 подключаемых уникальных потоков данных: компрометации, атаки и угрозы,опасные ip-адреса и многое другое. Эти потоки данных могут обогатить данные в SIEM и SOAR системах на стороне заказчика, а также для обогащения данных из других Threat Intelligence платформ, если таковые имеются у заказчика.

Обогащение этими данными позволяет решать проблемы и задачи следующих направлений:

Оценка ландшафта угроз в режиме реального времени.
Ускорение работы с выявленными инцидентами.
Превентивная защита от актуальных киберугроз.
Многократное увеличение уровня технической эффективности от работы система типа SIEM и SOAR.
Увеличение уровня экономической эффективности от окупаемости инвестиций (ROI до 400%).

В настоящее время (май 2024) F.A.C.C.T. Threat Intelligence имеет готовые интеграции с такими продуктами, как MISP, PT MaxPatrol, Security Vision TIP. Помимо этого, данные могут быть экспортированы в форматах API 2.0, STIX/TAXII 2.1, и в любых требуемых форматах заказчика посредством собственной консольной утилиты. Инженеры компании F.A.C.C.T. готовы произвести новые разработки под требования Заказчика».

Олег Скулкин, руководитель BI.ZONE Threat Intelligence, указал на то, что главный инструмент работы с TI — это человек. Если говорить про данные технического уровня, можно как применять их на потоке событий для обогащения, так и обеспечивать блокировку сетевых коммуникаций, связанных с вредоносной активностью. Тем не менее, мне кажется, главная задача данных Threat Intelligence — обогащение, то есть получение контекста к сработкам СЗИ.

Как изменился набор источников данных Threat Intelligence в России после ухода зарубежных вендоров?

Олег Скулкин, руководитель BI.ZONE Threat Intelligence, заявил, что здесь важно понимать, что зарубежные вендоры не предоставляли большого количества данных, относящихся к локальному ландшафту угроз, так что их уход едва ли повлиял на качество предоставляемых вендорами данных.

Николай Арефьев, генеральный директор ООО «Технологии киберугроз», согласен с мнением коллеги, поэтому отметил, что его компания не наблюдает какого-то изменения в наборе TI-источников, так как ключевые игроки в этом направлении всегда были отечественные компании.

Как машинное обучение и искусственный интеллект применяются в киберразведке?

Николай Арефьев, генеральный директор ООО «Технологии киберугроз»: «Как правило, в процессе киберразведки приходится иметь дело с огромным датасетом текста, на естественном языке (английский, русский, китайский, корейский, и т.д.). Этот датасет формируется путем сбора сообщений из соцсетей, сообщений в DarkWeb, или из публичной аналитики по анализу угроз. Естественно, что анализировать такой объем информации вручную – неподъемная задача.

Скачок в развитии Генеративных сетей, а именно в LLM дал аналитикам крайне полезный инструмент, как для анализа собранного датасета, так и интерфейса для выявления закономерностей внутри него и взаимодействия с этими данными на естественном языке».

Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «Разумеется, для обработки данных. Эти технологии позволяют обрабатывать большие объемы данных более качественно, что облегчает работу аналитиков и дает им возможность сфокусироваться на наиболее важном».

Кто является основным потребителем TI-фидов внутри компании, и как организована работа?

Александр Котов, руководитель направления по развитию бизнеса ИБ компании Axoft, подчеркнул, что потребителями TI-фидов могут быть совершенно разные группы в компании, начиная от сисадминов, заканчивая руководством компании. Разные группы могут использовать различные данные об угрозах.

«Например, сисадминам интересны будут данные о техниках и тактиках злоумышленников. Руководителем ИБ – данные о конкретных атаках и пр. Но, все же, основными потребителями я бы назвал специалистов по ИБ и сотрудников SOC – для них использование фидов позволяет распознать атаку на различных уровнях, а также максимально быстро отреагировать на нее».

Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора по ИБ «Бастион», заметил, что основные пользователи, использующие TI-фиды – SOC, специалисты по реагированию на инциденты и Threat Hunter’ы.

Николай Арефьев, генеральный директор ООО «Технологии киберугроз»: «Скоуп потребителей TI очень сильно зависит от ИБ-зрелости компании. В крупных и зрелых, с точки зрения ИБ, компаниях стратегический TI может подниматься до уровня топ-менеджмента, а операционный и тактический TI использоваться ИБ-специалистами для написания новых детектов, либо в процессе формирования гипотез при Threat Hunting.

Отдельная история с SOC, т. к. там, как правило выделяется специализированный отдел для работы с TI».

Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «Как я уже сказал, фиды могут потреблять как СЗИ для получения контекста и обнаружения угроз, так и непосредственно специалисты — опять же для получения контекста к сработкам таких средств. Фиды могут интегрироваться с СЗИ, желательно это делать не напрямую, а с помощью модулей интеграции. Так вы не будете нагружать SIEM. При этом можно их и вообще не интегрировать, а пользоваться порталом для получения контекста к сработкам СЗИ».

С какими основными проблемами сталкиваются специалисты при работе с Threat Intelligence, и как они их решают?

По словам Елены Шамшиной, руководителя департамента киберразведки компании F.A.C.C.T., основная проблема специалистов по работе с Threat Intelligence — это объемный поток данных, поставляемых TI подрядчиком, с которыми не всегда понятно, что именно делать. Решить эту проблему позволяют обучения вендора TI и изучение документации, юзкейсов.

В рамках F.A.C.C.T. Threat Intelligence осуществляется онбординг новых клиентов, где подробно объясняются аспекты использования данных, предоставляемых F.A.C.C.T. TI, также при необходимости осуществляется техническая поддержка для интеграции с имеющимися решениями на стороне Заказчика.

«Уровень видения каждого вендора ограничен. Поэтому входящие данные со стороны заказчиков (взаимообмен данными с экспертами TI) всегда приветствуется — это поможет специалистам TI расширить область исследуемых угроз и обогатить данные Заказчика.

В F.A.C.C.T. Threat Intelligence имеется специальный инструмент для этого – Service Desk, где заказчики могут напрямую взаимодействовать с аналитиками по интересующим их вопросам. Поэтому, если клиент не находит в портале Threat Intelligence информации по своей проблеме, рекомендуем воспользоваться указанным инструментом».

Андрей Шабалин, аналитик по информационной безопасности NGR Softlab:

«Основные проблемы при работе с Threat Intelligence достаточно тривиальны для сфер деятельности, так или иначе связанных с обработкой больших объёмов неоднородных данных. Качественные фиды, в первую очередь, должны быть актуальными для субъектов, использующих их в своей работе, т.к. в случае нерегулярного обновления или оказания несвоевременной поддержки, эффективность от внедрения подобных решений стремится к нулю.

Эта проблема особенно актуальна для свободно распространяемых решений, где наполнение платформы данными полностью занимается сообщество. Другой немаловажной сложностью может стать организация процесса работы с имеющимися данными, в частности, неунифицированный формат поставляемой информации и тесно связанное с ним отсутствие стандартизированного протокола обмена данных.

Стоит отметить, что избежать подобные проблемы поможет предварительный анализ решений на предмет простоты интеграции с используемым в инфраструктуре стэком. Наиболее зрелые решения зачастую предполагают возможность использования таких общепринятых протоколов, как STIX/TAXII, или упрощённое взаимодействие компонентов в рамках одной экосистемы».

Николай Арефьев, генеральный директор ООО «Технологии киберугроз»: «Приведу проблемы по степени их значимости.

По нашим наблюдениям самая первая проблема – это объемы данных. Не придумав способа, как из всего потока данных выделять релевантные для компании, в этом потоке можно утонуть.
Вторая проблема – это нехватка специалистов, которые бы полноценно анализировали релевантный TI и доводили собранные данные до реальных «артефактов», будь то правила детекта, или стратегические рекомендации для руководства по направлению ИБ.
Третья проблема – это всем хорошо известная и извечная борьба с ложными срабатываниями.
Четвертая проблема – поиск поставщиков релевантного TI. Поясню. К сожалению, каждый день в мире появляется столько новых киберугроз, что ни одна компания не способна проанализировать их все. Это приводит к тому, что Заказчики используют одновременно нескольких поставщиков. В среднем, на зарубежном рынке, в компании может быть до 5 поставщиков TI. Для России среднее значение составляет 1-2 поставщика».

Олег Скулкин, руководитель BI.ZONE Threat Intelligence, уверен, что самая распространенная проблема — непонимание того, что можно делать с данными. Эту проблему зачастую помогает решать вендор: мы активно доносим до наших заказчиков, как эффективно использовать предоставляемые нами разведданные.

«Вторая проблема — отсутствие тех или иных данных на портале. Тут зачастую тоже помогает вендор. Например, если наш заказчик чего-то не находит на портале, он может обратиться к нам, и мы можем провести анализ имеющихся у него данных или собрать какие-то данные для него».

Какие существуют сценарии работы с данными Threat Intelligence?

Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «TI позволяет построить ландшафт угроз, получить контекст к сработкам СЗИ, сократить время реагирования на инциденты, приоритизировать устранение уязвимостей, которые эксплуатируются реальными злоумышленниками, получить информацию с теневых ресурсов, проверить эффективность работы СЗИ, провести киберучения в формате red или purple teaming либо осуществить проактивный поиск киберугроз».

Николай Арефьев, генеральный директор ООО «Технологии киберугроз», выделил следующие сценарии:

Блокировка, т. е. использование TI в СЗИ для немедленной блокировки вредоносной активности
Формирование инцидента, т.е. использование TI для разработки детектирующего, но неблокирующего правила. В отличие от предыдущего сценария здесь цена ошибки несколько ниже, а решение о блокировки принимает человек, расследующий инцидент.
Ретроспектива, т.е. анализ ранее собранных данных в целях обнаружения в прошлом атак, о которых стало известно только сейчас.

Елена Шамшина, руководитель департамента киберразведки компании F.A.C.C.T.: «Первый и самый очевидный сценарий — это использования фидов Threat Intelligence для обогащения SIEM / SOAR или других внутренних систем (например firewall, NGFW, IDS/IPS).

Но фиды — это лишь часть данных Threat Intelligence. F.A.C.C.T. Threat Intelligence предоставляет данные для выявления всевозможных видов атак и устранения рисков на стороне Заказчика, в том числе используя взаимодействие с аналитиками F.A.C.C.T.

Приведем несколько сценариев из практики:

На протяжении 2022-2024 годов наблюдаем, что атакующие используют скомпрометированные данные, продаваемых на андеграундных ресурсах, для получения первоначального доступа в компанию. Система F.A.C.C.T. Threat Intelligence позволяют определить внутренние домены компании, к которым относятся скомпрометированные данные, и далее по запросу Заказчика возможно установить конкретного скомпрометированных корпоративного пользователя и оперативно принять меры, связанные с его скомпрометированной учетной записью.
Система F.A.C.C.T. Threat Intelligence выявляет скомпрометированные банковские карты и предоставляет эту информацию банкам-эмитентам указанных карт, которые могут оперативно блокировать карты сразу после получения информации о компрометации, до совершения хищения денежных средств с них.
Мониторинг андеграундных ресурсов позволяет в реальном времени выявлять упоминания Заказчика, планируемых атак или мошеннических схем. Аналитики F.A.C.C.T. Threat Intelligence обладают экспертизой для того, чтобы выявить дополнительную информацию об угрозе, даже если она не была предоставлена в первоначальном сообщении.
Система F.A.C.C.T. Threat Intelligence предоставляет данные о новых уязвимостях с указанием версий ПО и уровня критичности уязвимости. Данная информация может быть использована для оперативного обновления уязвимых версий ПО, а если же обновить невозможно – то установить повышенный мониторинг, а в самых критичных случаях – вывести уязвимый хост из сети».

Как использование данных Threat Intelligence влияет на управление инцидентами и реагирование на кибератаки?

Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора по ИБ «Бастион»: «Правильное использование данных Threat Intelligence с высокой вероятностью позволяет из единичной сработки СЗИ или обнаруженного следа активности злоумышленника получать более развернутую информацию о нем, что приводит к ускорению процесса реагирования на инцидент.

Одно дело, когда специалист по реагированию просто видит сработку антивируса и совсем другое, когда за счет использования Threat Intelligence данных он понимает, что данный инструмент используется определенным атакующим, который обычно получает первоначальный доступ определенным образом и вдобавок использует другие инструменты, оставляющие определенные следы».

Николай Арефьев, генеральный директор ООО «Технологии киберугроз»: «При работе над уже случившимся инцидентом TI является отличным способом обогатить инцидент, тем самым дав аналитику намного больше контекста при принятии решения.

Также TI может дать сведения, полезные при анализа сценариев развития атаки.

Например: в рамках расследования аналитик нашел на зараженной машине ВПО и посчитал его hash. Используя TI, можно постараться узнать, что это за ВПО, как оно попадает в инфраструктуру, как себя ведет и с какими внешними ресурсами взаимодействует и не стоит ли за ним какая-то хакерская группировка».

Александр Котов, руководитель направления по развитию бизнеса ИБ компании Axoft, отметил, что использование данных киберразведки позволяет сократить время реагирования за счет понимания тактик злоумышленников и техник, которые они используют.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «Контекст, который можно получить с помощью TI, позволяет сократить время на идентификацию угрозы и корректно отреагировать на выявленный инцидент. Например, можно превратить вердикт Trojan.Generic в название конкретного ВПО, выявить его функциональные возможности, а также связи с какими-то группировками, другим ВПО, инструментами, тактиками, техниками и процедурами.

Какие ключевые критерии выбора TI-платформ, TI-фидов, TI-порталов?

Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «Разумеется, актуальность данных. Важно, чтобы они относились именно к локальному ландшафту угроз, тогда они будут полезными и применимыми.

Также стоит помнить о своих потребностях и, уже исходя из этого, выбирать функциональные возможности платформы. Так как платформа — это все-таки некоторая коробка для данных, которая может поставляться с фидами или без. Потоки фидов, соответственно, можно в эту коробку завести, обогатив таким образом свои СЗИ дополнительной информацией о киберугрозах.

А вот портал, в свою очередь, позволяет получать киберразведданные всех уровней, начиная от потоков фидов и заканчивая аналитической информацией для технических специалистов и C-level».

Андрей Шабалин, аналитик по информационной безопасности NGR Softlab: «Наиболее важными критериями для выбора TI-платформ и используемых фидов являются актуальность поставляемой информации и гибкость в разрезе интеграции. Причем актуальность в данном случае может включать в себя как частоту обновления, так и, например, количество использующих данное решение организаций из схожих отраслей или наличие специализированных фидов.

Кроме того, немаловажным критерием выбора является то, насколько оперативно работают коммуникации между данными организациями, т.к. от этого во многом зависит эффективность выстраиваемых в компании процессов Threat Intelligence. Гибкость же подразумевает под собой простоту интеграции с уже имеющимися системами безопасности и средствами защиты, например, посредством общепринятых и распространенных в отрасли протоколов.

Если подобная возможность отсутствует, значительно облегчить процесс может наличие качественно задокументированного интерфейса взаимодействия с продуктом или использование решений из продуктовой линейки одного поставщика средств защиты информации, если такой имеется».

Николай Арефьев, генеральный директор ООО «Технологии киберугроз»: «Если не касаться выборов поставщика, а именно поговорить про технику, то:

Насколько полно платформа может вместить в себя ваши TI-данные. Например, ваш поставщик TI поставляет данные в формате STIX-bundle, но платформа может принять только индикаторы из этого STIX, пропуская связи прочие объекты.
Если ли возможность создавать свои знания, а не пользоваться только тем, что приходит от поставщика.
Можно ли отчуждать знания из платформы и делиться ими».

Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора по ИБ «Бастион»: «Критерии выбора TI-платформ, TI-фидов, TI-порталов сильно зависят от уровня зрелости компании. Основные критерии выбора:

Региональное присутствие поставщика Threat Intelligence в вашем регионе. Другими словами, это должна быть компания с опытом реагирования на инциденты и мониторинга инфраструктуры в этом регионе.
Простота интеграции с имеющимися СЗИ».

Илья Селезнев, руководитель продукта Гарда Threat Intelligence: «TI Feeds и TIP – это разные классы решений, которые выполняют разные задачи. Сосредоточимся на фидах. Главный критерий – это количество срабатываний, причем, как ложных, так и истинных. Соответственно, с хорошим TI должно быть как можно меньше ложных и как можно больше истинных срабатываний.

Если ситуация обратная, то от такого решения будет больше проблем, чем пользы. Не стоит забывать и про актуальность данных, их срок жизни, актуальность для конкретной страны или организации. К другим немаловажным критериям относятся простота внедрения, возможности интеграций, понятный интерфейс. Например, чтобы начать использовать «Гарда TI», не нужно никаких внедрений, стороннего софта или оборудования.

Сервис поставляется в облаке с доступом к личному кабинету через веб-интерфейс. Выгрузка производится с помощью API и средствами командной строки. Таким образом, с момента покупки до момента начала использования может пройти всего один день. Не стоит забывать про пилотный проект. Любой вендор на рынке с радостью даст свой продукт для тестирования, в ходе которого заказчик, во-первых, сможет определить собственные приоритетные критерии, а во-вторых, понять соответствует ли продукт таковым».

Оригинал публикации на сайте CISOCLUB: "Threat Intelligence в России".