Журнал "Information Security/ Информационная безопасность" #5, 2020

Программа Threat Intelligence включает много организационных мероприятий. Часть программы стратегическая и закры- вает, например, такие вопросы, как инве- стиции в средства защиты в соответствии с актуальностью угроз. А другая часть программы – операционная, она включает в себя технические мероприятия, напри- мер работу с индикаторами компромета- ции (IOC) – объектами, наблюдаемыми в сети или операционной системе, кото- рые с большой долей вероятности ука- зывают на взлом устройства или ПО. В процессе насыщения ИБ-систем наи- более полными данными о существующих угрозах встает два вопроса. Первый – откуда получать эту информацию, вто- рой – как проверить ее актуальность, то есть как информацию сделать знанием, имеющим под собой эмпирическую осно- ву. Дело в том, что индикатор компроме- тации, который указывал на вредоносный домен неделю назад, сегодня уже может потерять свою актуальность. Например, из-за уязвимости в плагине CMS взломан легальный сайт, в результате чего зло- умышленники залили на него фишинговую страницу для получения учетных данных пользователей для того или иного интер- нет-банкинга. Через неделю владелец сайта обнаруживает взлом и устраняет уязвимость. Таким образом, этот индика- тор теряет свою ценность в настоящем. Эти и ряд других важных условий мы учитывали в первую очередь при разра- ботке облачного сервиса RST Threat Feed 1 , решив задачи сбора, агрегации, верификации и ранжирования индика- торов. Сбор индикаторов На данном этапе важно определить, какие источники должны стать частью вашей базы индикаторов. Нужно учиты- вать, что источники часто имеют пере- сечения, так как многие ресурсы копи- руют информацию друг у друга. Это не критично для самой фазы сбора, однако влияет на последующий скоринг собран- ной информации, поэтому важно исклю- чать ресурсы, "вслепую" копирующие индикаторы без публикации дополни- тельной информации по ним, и стараться собирать сведения из независимых источников. В любом случае будут иметь место некоторые пересечения, так как зачастую одна и та же угроза может быть обнаружена специалистами неза- висимо друг от друга в Китае, США, Иране и России. Следует отдельно отме- тить, что есть ряд уважаемых malware- исследователей, которые делятся информацией о найденных индикаторах в Twitter, Pastebin и на других платфор- мах. Такие результаты чаще всего будут уникальными и представляют реальный интерес. Сбор подобных сведений поз- воляет получать индикаторы, которые еще "зеленые" в VirusTotal и неизвестны многим antimalware-компаниям. Каждый источник имеет свою историю ошибок первого (false positive) и второго (false negative) рода и специализацию. При формировании списка таких источ- ников желательно определить, какой из них является более, а какой менее дове- ренным. Такой первоначальный скоринг может быть сформирован после сбора и анализа пересечений потенциальных ошибок первого рода с учетом устаре- вания индикаторов в течение продол- жительного времени, когда накаплива- ется достаточная статистика. Кроме того, важно учитывать специа- лизацию источника. Есть источники, которые ведут список хостов, которые пытаются подобрать пароли на открытых ssh-портах, а есть такие, которые пуб- ликуют информацию по C2-серверам определенного семейства троянов. Дру- гой тип источников ведет списки узлов, участвующих в проверках веб-эксплой- тов "по площадям", используя роботов для "проверки боем" на актуальные уязвимости. Такая "заточенность" на определенные виды угроз также помо- гает определить место источника с точки зрения важности предоставляемых им результатов и необходимости включения в "общий котел" для последующей обра- ботки в скоринговой модели. Одной из дополнительных сложностей сбора является необходимость норма- лизации данных, так как каждый источ- ник публикует их в своем "любимом формате": текстовые файлы, csv, json, XML, STIX, MISP event, openioc и др. Формат живых сообщений исследова- телей зачастую требует лингвистиче- ского анализа и преобразования чело- веческого текста в язык машины. Ранжирование индикаторов В процессе ранжирования индикато- ров может быть выбрано много подходов и формул для вычисления степени дове- рия к индикатору. Если охарактеризовать степень доверия неким числом, то оно будет меняться во времени из-за дина- мического характера использования ком- пьютерных ресурсов атакующими. Например, в код вредоноса может быть спрятана функция, вычисляющая домен- ное имя в зависимости от времени. Ска- жем, на октябрь это будет список из одних 100 доменов, а на ноябрь это уже будет список других доменов. Нередко те или иные замеченные IP-адреса пере- стают использоваться и доменные имена перерегистрируются на другие, как толь- ко злоумышленник видит, что эффек- тивность его "деятельности" снижается. При этом часто инфраструктура, нахо- дящаяся во временном владении зло- умышленника, может быть "переисполь- зована": по истечении некоторого вре- мени он может решить, что данный IP- адрес давно не "работал" и пора его снова пустить в дело. Одним из способов отслеживания устаревания индикаторов является мони- 22 • СПЕЦПРОЕКТ Особенности сбора, агрегации и ранжирования индикаторов компрометации се больше компаний сегодня структурируют свои подходы к использованию CTI (Cyber Threat Intelligence), чтобы снизить риски ИБ, уменьшить затраты на устранение последствий от инцидентов и освободить время персонала, занимающегося их расследованием. В современной компании можно найти множество решений и технологий, направленных на обнаружение и предотвращение вредоносной активности злоумышленников: SIEM, SOAR, EDR, IPS, NGFW, SWG, SEG, CASB и т.д. В этой статье поговорим о программе Threat Intelligence. В Юрий Сергеев, RST Cloud 1 https://www.rstcloud.net/profeed