Перейти к содержанию

Cyber Threat intellegence

Данные о киберугрозах (CTI или TI) - это информация об актуальных угрозах и группировках киберпреступников, которая позволяет организациям изучить цели, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак.

Первым шагом к сбору CTI являются ответы на следующие вопросы:

1. Кто нас атакует?

2. Какова их мотивация?

3. Какие у них возможности?

4. Какие артефакты и IOC после них остались?

Вместе с ответами на вышеуказанные вопросы, данные для CTI можно собирать из следующих источников:

  • Внутренние:

    1. Данные модели угроз и отчётов реагирования на инциденты.

    2. Отчёты о результатах прохождения мероприятий по повышению осведомленности пользователей.

    3. Системные события и логи

  • Внешние:

    1. Поставщики CTI (как коммерческие так и Open-source)

    2. Прочие публичные источники.

  • Сообщество:

    1. Специализированные ресурсы (как открытые так и в даркнете)

Классификация TI

TI можно классифицировать на следующие группы:

Стратегические данные

Данные о рисках и угрозах которые могут повлиять на деятельность организации. Зависят от деятельности компании и её модели угроз.

Технические данные

Артефакты, IOC-и и прочая техническая информация

Тактические данные

TTP злоумышленников

Оперативные данные

Мотивы и намерения злоумышленников

Жизненный цикл TI

Планирование

Как и в любой другой деятельности, нельзя обойтись без планирования. Здесь определяются цели и следующие параметры:

  • информационные активы и бизнес-процессы

  • потенциальное воздействие на бизнес в результате потери активов или остановки процессов

  • источники данных

  • инструменты и ресурсы необходимых для защиты активов

Сбор данных

Как только проведены меропрития этапа планирования происходит сбор данных из различных источников (указаны выше по тексту)

Обработка

Сырые логи, информация об уязвимостях, трафик, всё это поступает в различных форматах. Следовательно она должна быть соответствующим образом обработана: извлечена, отсортирована, скоррелирована с соответствующими тэгами и т.д.

Анализ

Bзучение полученных данных, в том числе подозрительных файлов и программ, формирование гипотез и рекомендаций. На этапе анализа также выявляются недочеты методик сбора и обработки данных.

Распространение

Передача TI заинтересованным лицам, например специалистам внутри компании, если она собирала данные для себя, или клиентам, если организация выполняла заказ третьих лиц.

Обратная связь

Получение и учет реакции сотрудников или клиентов организации на предоставленную информацию.

Фреймворки CTI

MITRE ATT&CK, TAXII (протокол обмена CTI), STIX (язык описания CTI), Cyber Kill Chain, Diamond model.

Инструменты для работы с CTI

Наименование Описание Примечание
urlscan.io Бесплатный сервис сканирования и анализа сайтов.
Abuse.ch Исследовательский проект который поддерживает сразу несколько CTI сервисов: MalwareBazaar, FeodoTracker и т.д.
MalwareBazaar Коллекция сэмплов и способов выявления (YARA правила, сигнатуры и т.п.) всяческой малвари Относится к Abuse.ch
FeodoTracker Информация об адресах c2 серверов Относится к Abuse.ch
SSL Blacklist Сервис для идентификации и обнаружения зловредных SSL соединений Относится к Abuse.ch
URLhaus Сервис для идентификации и обнаружения сайтов-рассадников малвари Относится к Abuse.ch
ThreatFox Коллекция IOC которые могут экспортированы в различные форматы: MISP, Suricata, JSON, CSV и т.п. Относится к Abuse.ch
PhishTool Сервис для анализа почтовых сообщений на предмет отношения их к спаму.
Talos Intelligence Поставщик CTI и сервис анализа файлов, url и т.п.