Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
Какое главное слово в словосочетании "Threat Intelligence"?
12 марта 2019 |
Какое главное слово в словосочетании "Threat Intelligence"? Большинство
считает, что threat, угроза. На одном из мероприятий я как-то, не
претендуя на социологическую правильность, провел блиц-опрос на тему,
что для вас значит Threat Intelligence. 68% участников опроса сказали,
что это фиды. Еще 17% сказало, что это информация об угрозах. Оставшиеся
15% затруднились с ответом. Так какое же главное слово в Threat
Intelligence? Увы. Не Threat, и даже не Intelligence. Главное - принятие
решений.
Именно это - ключевая ошибка большинства проектов по TI, которые
реализуются многими компаниями. Cisco достаточно давно занимается
аудитом SOCов и одним из популярных слабых мест в них является именно
процесс Threat Intelligence, который воспринимается как сбор фидов
различных типов и интеграция их в имеющиеся платформы Threat Hunting,
SIEM, Incident Response и др. Поэтому частый вопрос во время аудита,
который ты слышишь: "А какие источники фидов вы можете посоветовать для
нашего TI?" Задаешь встречный вопрос: "А какие решения вы принимаете на
основе желаемого TI?", а в ответ тишина и непонимание. Иногда на тебя
смотрят как на ребенка, которому надо объяснять вроде бы очевидные
вещи.
Кстати, по поводу фидов и их источников. На Уральском форуме в
презентации Владимира Бенгина из Positive Technologies были интересные
цифры (я переделал его слайд), в котором он сравнивал C&C-фиды двух
российских поставщиков за один и тот же интервал времени. Интересный
результат - пересечение на уровне долей процента и это для одного
региона и одного типа фидов. Как тут можно что-то советовать, не зная,
исходной задачи, а самое главное, предназначения TI?
Но вернемся к исходному вопросу. Смена акцента с принятия решения на
работу с индикаторами или угрозами почти постоянно выливается в то, что
мы видим во время аудита - непонимание того, как демонстрировать работу
TI. Точнее демонстрация есть, но она однобока, так как касается только
самого нижнего, технического уровня TI. На этом уровне мы можем понять,
какие источники хороши, а какие нет, какие источники TI наиболее
релевантны для организации, каково соотношение получаемых извне IoC с
теми, которые применялись в компании за отчетный период, каково
распределение полученных IoC по типам и соотношение их с типами угроз
внутри организации и т.п. Но этого мало и это не все, что может дать TI
внедрившей его компании.
Например, именно TI помогает формировать планы по приобретению /
обновлению технологического стека. Например, число индикаторов,
полученных от внешнего источника TI с учетом их полезности для
организации показывает нужно ли дальше платить за текущие источники
фидов или нет. А соотношение количества угроз, пришедших по каналам TI, и
не обнаруженных за счет внутренних возможностей (фишинговые сайты,
украденные логины/пароли, сайты- клоны и т.п.) показывает не пора ли
обновить имеющиеся средства обнаружения той или иной вредоносной
активности, раз они не справляются с поставленной задачей?
А такой показатель, как количество получаемых извне IoC применявшихся в компании? Может оказаться вообще, что индикаторы компрометации вы получаете, но не используете, потому что руки не доходят или не знаете, как автоматизировать процесс интеграции внешних источников с вашими средствами защиты/анализа. Первое говорит о том, что команда TI не очень эффективна, а второе - что возможно имеющиеся средства просто не могут работать с внешними IoCами - такое тоже бывает. О качестве текущих средств защиты и, как следствие, необходимости их обновления или замещения говорит нам и динамика снижения числа ложных срабатываний средств защиты после обогащения сигналов тревоги данными от службы TI, а также соотношение количества обнаруженных угроз средствами защиты организации с данными от службы TI и без них (например, голый IDS в сравнении с IDS + TI или IDS + TI + SIEM). Вот такое применение TI мы в рамках аудита SOCов видим очень и очень редко.
На уровень руководства компании TI тоже готовит свою отчетность, которая помогает руководству принимать соответствующие решения. Например, в одной компании, в которой мы проводили аудит одной из ключевых метрик, по которой топ-менеджмент оценивал эффективность всей ИБ, являлась стоимость учетной записи клиента компании в Darknet (компания была финансовая). Если вдуматься, то это действительно очень интересный показатель, так как его снижение показывает, что злоумышленникам становится проще получать доступ к святая святых финансовой организации. Если он растет, то усилия ИБ заставляют хакеров тратить на получение клиентских данных больше - времени, усилий, денег. И самое интересное, что именно служба TI дает данную метрику, так как именно она следит за Darknet и собирает оттуда структурированную или не очень информацию (ну или привлекает для этого внешние сервисы).
А такой показатель, как количество получаемых извне IoC применявшихся в компании? Может оказаться вообще, что индикаторы компрометации вы получаете, но не используете, потому что руки не доходят или не знаете, как автоматизировать процесс интеграции внешних источников с вашими средствами защиты/анализа. Первое говорит о том, что команда TI не очень эффективна, а второе - что возможно имеющиеся средства просто не могут работать с внешними IoCами - такое тоже бывает. О качестве текущих средств защиты и, как следствие, необходимости их обновления или замещения говорит нам и динамика снижения числа ложных срабатываний средств защиты после обогащения сигналов тревоги данными от службы TI, а также соотношение количества обнаруженных угроз средствами защиты организации с данными от службы TI и без них (например, голый IDS в сравнении с IDS + TI или IDS + TI + SIEM). Вот такое применение TI мы в рамках аудита SOCов видим очень и очень редко.
На уровень руководства компании TI тоже готовит свою отчетность, которая помогает руководству принимать соответствующие решения. Например, в одной компании, в которой мы проводили аудит одной из ключевых метрик, по которой топ-менеджмент оценивал эффективность всей ИБ, являлась стоимость учетной записи клиента компании в Darknet (компания была финансовая). Если вдуматься, то это действительно очень интересный показатель, так как его снижение показывает, что злоумышленникам становится проще получать доступ к святая святых финансовой организации. Если он растет, то усилия ИБ заставляют хакеров тратить на получение клиентских данных больше - времени, усилий, денег. И самое интересное, что именно служба TI дает данную метрику, так как именно она следит за Darknet и собирает оттуда структурированную или не очень информацию (ну или привлекает для этого внешние сервисы).
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.