Что такое «анализ угроз» (Threat Intelligence)?

Что такое «анализ угроз» (Threat Intelligence)?

Анализ угроз — это знания, которые получены на основе фактических данных о существующей или возникающей угрозе или опасности для активов и которые могут использоваться для принятия решений о реагировании субъекта на эту угрозу или опасность.

Введение в анализ угроз

Анализ киберугроз — это совокупность аналитических данных, ориентированных на обеспечение информационной безопасности. Тщательно отбираемая информация позволяет принимать обоснованные решения о способах защиты пользователей и бизнеса от киберугроз. Вот лишь некоторые вопросы, на которые отвечает анализ угроз:

  • Кто мои противники и как они могут атаковать меня?
  • Как векторы атак влияют на безопасность моей компании?
  • Какие факторы должны отслеживать специалисты отдела безопасности?
  • Как снизить риск кибератаки на мою компанию?

Анализ угроз — это знания (включая контекст, механизмы, показатели, последствия и практические рекомендации), которые получены на основе фактических данных о существующей или возникающей угрозе или опасности для активов и которые могут использоваться для принятия решений о реагировании субъекта на эту угрозу или опасность.

Определение анализа угроз по версии Gartner

В целом, различают три «уровня» анализа киберугроз: стратегический, оперативный и тактический.

Выполняя собственный набор функций, каждый уровень анализа играет значимую роль. Аналитики, использующие суммарные знания, полученные на этих трех уровнях, могут лучше определять, какие решения по обеспечению безопасности следует использовать, а также как и какие упреждающие и ответные меры следует принять в отношении угроз.

Мы будем использовать APT29 и сферу образования, чтобы проиллюстрировать различия между этими тремя типами аналитики.

ТипКлючевое словоПериод полезности
(для обеих сторон)
СпецификаВ основе анализаТипы выходных данных
Стратегический анализКто?
Почему?
Длительный (несколько лет)Не техническийШирокомасштабные кампании, группы, атаки со множеством жертв (и оперативная аналитика)Подробное изложение данных: виктимология, методы в различные годы, сопоставление атак и кампаний с конфликтами, событиями и геополитической обстановкой
Оперативный анализКак?
Где?
Средний (один год или чуть больше)Смешанный (в обоих направлениях одновременно)Целые семейства вредоносных программ, группы угроз, анализ поведения человека (и тактическая аналитика)Краткое изложение данных, маркированные списки таких параметров, как способы закрепления и коммуникации, жертвы, профили групп, профили семейств, описания тактик, техник и процедур (TTP), триггеры, шаблоны и правила методологии
Тактический анализЧто?Короткий (несколько месяцев)ТехническийСобытия безопасности, отдельные экземпляры вредоносных программ, фишинговые сообщения электронной почты, инфраструктура злоумышленниковНеделимые и машиночитаемые индикаторы, такие как IP-адреса, домены, IOC, «подписи»

Levels of threat intelligence

Тактический анализ угроз

Тактический анализ угроз представляет собой самую базовую форму анализа угроз. Это те самые обыкновенные индикаторы компрометации (IOC). Тактический анализ часто используется для обнаружения угроз при передаче данных между компьютерами, а также позволяет специалистам служб реагирования на инциденты находить конкретные артефакты в корпоративных сетях.

Применение тактического анализа угроз

Тактический анализ угроз и индикаторы IOC предназначены для документирования кибератак, выступая в качестве совокупности доказательств (в целях соблюдения нормативных требований, обеспечения работы правоохранительных органов, проведения расследований, в юридических целях и т. д.). Они также применяются как справочные материалы для аналитиков при интерпретации и извлечении контекста для выполнения операций по обеспечению безопасности.

Аналитики получают в свое распоряжение индикаторы компрометации (IOC), которые служат примерами конкретных угроз, например экземпляр вредоносной программы, семейство вредоносных программ, кампания по вторжению или профиль злоумышленника. Аналитики могут обогатить оповещения систем безопасности тактическими аналитическими данными об угрозах, обеспечивая контекст и распознавая угрозы, требующие особого внимания, и отсеивая те, которые можно игнорировать.

Тактический анализ угроз APT29
  • 628d4f33bd604203d25dbc6a5bb35b90
  • 2aabd78ef11926d7b562fd0d91e68ad3
  • 3d3363598f87c78826c859077606e514
  • meek-reflect.appspot.com
  • portal.sbn.co.th
  • 202.28.231.44
  • hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip
  • googleService.exe
  • GoogleUpdate.exe
  • acrotray.exe
  • PCI\VEN_80EE&DEV_CAF
Тактический анализ угроз для сферы образования
  • d9b7b0eda8bd28e8934c5929834e5006
  • support@securitygrade[.]org
  • 46.244.4.37

Оперативный анализ угроз

Оперативный анализ угроз позволяет получить представление о методах работы злоумышленников и выявляет потенциальные риски. Он обеспечивает более осмысленное обнаружение и реагирование на инциденты, а также повышает эффективность программ поиска уязвимостей. Если тактический анализ угроз предоставляет специалистам контекст уже известных угроз, то оперативный анализ позволяет расследовать абсолютно новые угрозы.

Такой тип анализа чаще всего используется следователями-криминалистами и сотрудниками служб реагирования на инциденты и, как правило, включает в себя следующие компоненты:

  • инструменты для конкретных групп угроз (утилиты, семейства бэкдоров, общая инфраструктура);
  • тактики, методы и процедуры (TTP) для конкретных групп угроз (каталоги размещения, правила именования файлов, порты, протоколы, избранные типы файлов);
  • новые TTP (новые методы закрепления, эксплойты, схемы фишинга).

Задумайтесь о следующем с точки зрения реагирования на инциденты: при реагировании на вторжение может возникать вопрос, как именно этот злоумышленник осуществляет повышение привилегий, боковое перемещение или кражу данных. При поиске действий необнаруженных вредоносных программ можно начать с выявления определенного поведения злоумышленника. Независимо от сценария необходимо ответить на вопрос: «А как найти этого злоумышленника в своей среде»?


Использование оперативного анализа

Оперативный анализ угроз — это знания, полученные при изучении сведений об известных атаках. Аналитик может составить достоверную картину методов, применяемых злоумышленниками, объединив тактические индикаторы и артефакты и выполнив их оперативный анализ. Это может помочь укрепить систему защиты, например за счет усовершенствования планов реагирования на инциденты и методов устранения последствий будущих атак и инцидентов.

Аналитики также могут внедрить и усилить программу упреждающего обнаружения («программу поиска») для выявления подозрительных файлов и действий, которые смогли обойти традиционные технологии обеспечения безопасности. Отталкиваясь от этого, специалисты могут разрабатывать методики обнаружения, которые не зависят от IOC, обеспечивая более широкий и своевременный охват угроз.


Примеры оперативного анализа угроз

Пример оперативного анализа угроз APT29
  • Предпочтительный вектор заражения: направленный фишинг с самораспаковывающимся файлом RAR
  • Семейства вредоносных программ первого этапа: COZYCAR, SWIFTKICK, TADPOLE
  • Семейства вредоносных программ второго этапа: SEADADDY, MINIDIONIS, SPIKERUSH
  • Методы закрепления
    • Запланированные задачи для большинства бэкдоров
    • WMI путем ручной установки для бэкдоров, не имеющих встроенной функции закрепления
    • Легитимная замена файла отчета об ошибках Windows (wermgr.exe)
  • Использование TOR для C2
  • Использование Google Документы для C2
  • Использование приложений Google Cloud для пересылки C2 (в качестве прокси-сервера)
  • Использование запросов HTTP POST через порт 443 для C2
  • Использование бэкдоров, настроенных для портов 1, 80, 443, 3389 для C2
  • Использование сценариев PowerShell
  • Использование Py2Exe для изменения и перекомпиляции бэкдоров с отклонением в протоколах C2 и инфраструктуре C2
Пример оперативного анализа угроз для сферы образования
  • Наиболее распространенными векторами атак являются направленный фишинг, атаки методом «водопоя» (watering hole) и внедрение SQL-кода
  • Направленный фишинг преподавателей университетов, специализирующихся на внедрении новых технологий в учебных классах
  • Направленный фишинг специалистов по поиску персонала и кадровых работников
  • Наиболее распространены такие атаки, как направленный фишинг и внедрение SQL-кода (SQLi)
  • Распространенные семейства вредоносных программ: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
  • Распространенные семейства программ тестирования на проникновение: Meterpreter, PowerShell Empire, Metasploit Framework
  • Использование Dropbox для C2
  • Использование HTTPS и пользовательских протоколов TCP для C2
  • Использование доменов верхнего уровня (TLD) .ru, .su для доменов C2
  • Использование yandex.ru и bk.ru для адресов электронной почты
  • Кража баз данных, содержащих имена учащихся, административные учетные данные, платежные реквизиты, номера социального страхования и другие персональные данные.

Стратегический анализ угроз

Стратегический анализ угроз предоставляет общую картину изменения угроз и атак с течением времени. Стратегический анализ угроз может определить исторические тенденции, мотивы или источники, которые стоят за атакой. Четкое представление о злоумышленнике и его причин также «проливает свет» на его будущие действия и тактику. Это делает стратегический анализ надежной отправной точкой при выборе наиболее эффективных мер защиты.

Стратегический анализ угроз может включать следующую информацию:

  • источники вторжений и утечки данных;
  • тенденции группы злоумышленников;
  • тенденции выбора атакуемых отраслей и географических регионов;
  • сопоставление кибератак с геополитическими конфликтами и событиями (Южно-Китайское море, Арабская весна, Россия-Украина);
  • глобальная статистика по утечке данных, вредоносным программам и краже информации;
  • изменения TTP крупных источников атак с течением времени

Использование стратегического анализа угроз

Стратегический анализ угроз основан на огромной базе знаний и включает экспертные мнения и аналитическую информацию, полученные путем обобщения оперативной и тактической аналитической информации об известных кибератаках. Этот тип анализа особенно полезен для людей, занимающих руководящие должности, например для начальников управления информационной безопасностью и руководителей высшего звена, отвечающих за обоснование бюджета и принятие взвешенных решений по вложению средств. Некоторые области применения стратегического анализа угроз:

  • информирование руководителей высшего звена о наиболее опасных источниках атак, соответствующих сценариях рисков и угрозах в сфере общедоступных технологий, а также в криминальном подполье;
  • проведение тщательного анализа рисков и проверки всей технологической цепочки поставок;
  • получение представления о том, какие коммерческие предприятия, поставщики, компании-партнеры и технологические продукты способны увеличить или уменьшить риск для корпоративной среды.

Примеры стратегического анализа

Стратегический анализ угроз APT29
  • APT29 — российский источник атак, который обычно занимается кибершпионажем с целью хищения данных.
  • Жертвами APT29 являются многие глобальные правительственные организации, организации в сфере образования, высоких технологий, финансов, фармацевтической и оборонной промышленности, а также некоммерческие организации.
  • APT29 — это быстро адаптирующаяся сложная группа, способная разрабатывать собственные инструменты атаки, запутанную инфраструктуру команд и управления. В отличие от типичного поведения источников, поддерживаемых российским правительством, эта группа дерзко продолжает свою деятельность даже после их обнаружения.
  • На APT29 исторически возложена задача проведения операций, связанных с вопросами внешней политики государства, особенно тех, которые касаются российско-украинского конфликта. Кроме того, целью атак группы стал ряд западных национальных правительственных учреждений, государственных подрядчиков, оборонных предприятий и научных учреждений.
Стратегический анализ угроз в сфере образования
  • Образовательная ИТ-инфраструктура обладает разнообразной пользовательской базой и, как правило, состоит из множества операционных систем, разных типов компьютеров, программного обеспечения, а также бесчисленных серверов и веб-сайтов, доступных для общего доступа из Интернета. В связи с этим университеты и исследовательские учреждения становятся главными мишенями для злоумышленников, не только как источники ценных данных, но и как будущие точки перехода для других операций по вторжению.
  • В обозримом будущем спада кибершпионажа в сфере образования не ожидается. Мы полагаем, что источники угроз из Китая, России, Ирана и других стран будут проводить шпионские операции по краже данных и торговой информации, по экономической разведке и мониторингу диаспоры.
  • Было замечено, что несколько групп нацеливают свои операции по вторжению на учебные заведения, включая университеты и исследовательские центры:
    • APT10 или «MenuPass Group»
    • APT22 или «Barista Team»
    • APT29 или «The Dukes»

Анализ угроз и бизнес-цели

Целью анализа угроз всегда будет возможность информированного принятия решений и выбора мер. Однако компаниям часто нелегко дается понимание ценности своего отдела анализа угроз, процессов и инструментов. Терминология анализа угроз сильно отличается от бизнес-лексикона, что приводит к неправильному пониманию его цели и ценности.

Компании могут более эффективно использовать свои аналитические программы за счет соотнесения их с общим набором приоритетов, показанным ниже (список не исчерпывающий):

  • увеличение прибыли;
  • сокращение затрат;
  • сокращение и устранение рисков;
  • повышение удовлетворенности клиентов и их удержание;
  • повышение удовлетворенности сотрудников и их удержание;
  • обеспечение соответствия нормативным требованиям.

После того как аналитики угроз начинают понимать бизнес-цели, они могут направить свои действия и усилия на поддержку бизнеса. Не все бизнес-приоритеты будут полностью соответствовать возможностям анализа угроз, и это естественно. Вы можете добиваться необходимой детализации и определять нюансы по мере формирования требований. Ниже перечислены возможные начальные цели для любого отдела анализа угроз.

  • Сокращение расходов, вызываемых мошенничеством и киберпреступностью
    • Совместно со специалистами по борьбе с мошенничеством, определите 3–5 основных типов мошенничества и выясните, какая информация поможет им обнаружить/предотвратить его в будущем.
  • Предотвращение потери данных
    • Что определяет анализ заявок на обработку инцидентов о характере и типе данных, которые затрагивали предыдущие события утечки данных?
    • Какие уязвимости были использованы и каким образом?
  • Защита персональных данных
    • В каких системах хранятся персональные данные, и как уязвимости этих систем соотносятся с известными векторами эксплуатации уязвимостей?
  • Сокращение бизнес-рисков
    • Аналитики угроз могут сосредоточиться на снижении рисков, связанных с потерей данных и внешними угрозами, путем выявления источников угроз и получения информации о внешних угрозах, нацеленных на отрасль, и применения подходящих методов и механизмов обнаружения для пресечения этих угроз.

Эволюция анализа угроз

Анализ угроз будет продолжать развиваться и станет ключевой функцией в сфере безопасности. Интеграция тактического, оперативного и стратегического анализа угроз позволит получить ценную информацию о IOC и методах, используемых злоумышленниками. Это позволит создать более безопасные среды, в которых можно идентифицировать злоумышленников. Все большее число организаций государственного и частного секторов начинают использовать анализ киберугроз. Последние исследования, опубликованные Ponemon Institute, показали, что 80% организаций используют анализ угроз, а еще более высокий процент организаций считает его критически важным.

Организации, использующие анализ киберугроз, противостоят множеству угроз безопасности. Они выявляют угрозы повышенной сложности и реагируют на них. Они предотвращают утечку данных и защищают конфиденциальную информацию. Они снижают расходы, связанные с киберпреступностью и мошенничеством. Самое главное — они снижают общий бизнес-риск.

Threat Intelligence Evolution

Информация на этой странице дает четкое представление о том, что такое анализ киберугроз и какую ценность он представляет. Однако это лишь отправная точка. Помимо этой информации, Anomali предоставляет множество ресурсов, которые могут помочь вам принять взвешенное решение о том, почему стоит добавить функции анализа киберугроз в свой набор технологий обеспечения безопасности и как интегрировать их максимально эффективно.