Cyber Threat intellegence
Данные о киберугрозах (CTI или TI) - это информация об актуальных угрозах и группировках киберпреступников, которая позволяет организациям изучить цели, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак.
Первым шагом к сбору CTI являются ответы на следующие вопросы:
1. Кто нас атакует?
2. Какова их мотивация?
3. Какие у них возможности?
4. Какие артефакты и IOC после них остались?
Вместе с ответами на вышеуказанные вопросы, данные для CTI можно собирать из следующих источников:
-
Внутренние:
-
Данные модели угроз и отчётов реагирования на инциденты.
-
Отчёты о результатах прохождения мероприятий по повышению осведомленности пользователей.
-
Системные события и логи
-
-
Внешние:
-
Поставщики CTI (как коммерческие так и Open-source)
-
Прочие публичные источники.
-
-
Сообщество:
- Специализированные ресурсы (как открытые так и в даркнете)
Классификация TI
TI можно классифицировать на следующие группы:
Стратегические данные
Данные о рисках и угрозах которые могут повлиять на деятельность организации. Зависят от деятельности компании и её модели угроз.
Технические данные
Артефакты, IOC-и и прочая техническая информация
Тактические данные
TTP злоумышленников
Оперативные данные
Мотивы и намерения злоумышленников
Жизненный цикл TI
Планирование
Как и в любой другой деятельности, нельзя обойтись без планирования. Здесь определяются цели и следующие параметры:
-
информационные активы и бизнес-процессы
-
потенциальное воздействие на бизнес в результате потери активов или остановки процессов
-
источники данных
-
инструменты и ресурсы необходимых для защиты активов
Сбор данных
Как только проведены меропрития этапа планирования происходит сбор данных из различных источников (указаны выше по тексту)
Обработка
Сырые логи, информация об уязвимостях, трафик, всё это поступает в различных форматах. Следовательно она должна быть соответствующим образом обработана: извлечена, отсортирована, скоррелирована с соответствующими тэгами и т.д.
Анализ
Bзучение полученных данных, в том числе подозрительных файлов и программ, формирование гипотез и рекомендаций. На этапе анализа также выявляются недочеты методик сбора и обработки данных.
Распространение
Передача TI заинтересованным лицам, например специалистам внутри компании, если она собирала данные для себя, или клиентам, если организация выполняла заказ третьих лиц.
Обратная связь
Получение и учет реакции сотрудников или клиентов организации на предоставленную информацию.
Фреймворки CTI
MITRE ATT&CK, TAXII (протокол обмена CTI), STIX (язык описания CTI), Cyber Kill Chain, Diamond model.
Инструменты для работы с CTI
| Наименование | Описание | Примечание |
|---|---|---|
| urlscan.io | Бесплатный сервис сканирования и анализа сайтов. | |
| Abuse.ch | Исследовательский проект который поддерживает сразу несколько CTI сервисов: MalwareBazaar, FeodoTracker и т.д. | |
| MalwareBazaar | Коллекция сэмплов и способов выявления (YARA правила, сигнатуры и т.п.) всяческой малвари | Относится к Abuse.ch |
| FeodoTracker | Информация об адресах c2 серверов | Относится к Abuse.ch |
| SSL Blacklist | Сервис для идентификации и обнаружения зловредных SSL соединений | Относится к Abuse.ch |
| URLhaus | Сервис для идентификации и обнаружения сайтов-рассадников малвари | Относится к Abuse.ch |
| ThreatFox | Коллекция IOC которые могут экспортированы в различные форматы: MISP, Suricata, JSON, CSV и т.п. | Относится к Abuse.ch |
| PhishTool | Сервис для анализа почтовых сообщений на предмет отношения их к спаму. | |
| Talos Intelligence | Поставщик CTI и сервис анализа файлов, url и т.п. |