Журнал "Information Security/ Информационная безопасность" #5, 2025

Что важно знать, внедряя TI в процессы? В каждой компании существует опре- деленный уровень зрелости процессов информационной безопасности. Без чет- кого понимания всех возможностей попытка внедрения может доставить много головной боли и навредить другим процессам – как в ИТ, так и в ИБ. Важно понимать, как TI будет встроен во все процессы, начиная от обнаруже- ния событий, реагирования на инциденты и заканчивая сбором метрик эффектив- ности TI в разрезе полезности для биз- неса. Ключевыми факторами, влияющими на решение, могут быть следующие: l достаточная зрелость ИБ-процессов для эффективной работы; l наличие систем управления процес- сом ИБ – SIEM, SOAR, IRP; l наличие человеческих ресурсов; l выбор цели и задач применения; l стоимость внедрения и затраты на постоянную покупку фидов; l выбор поставщиков фидов и степень доверия им. Говоря о выборе цели и задач приме- нения, отдел ИБ может использовать IOC, например, только для обогащения NGFW на внешнем периметре и блоки- ровки через него наиболее опасных индикаторов. Или применять TI только при расследовании инцидентов. Такая гибкость позволяет выстроить процесс даже в небольших компаниях. Что касается последнего пункта – как правило, платные фиды обеспечивают наибольшую эффективность. Поток дан- ных, универсальных взятый для всех атакуемых отраслей, просто огромен. А платные ресурсы могут предоставить более подходящую аналитику для опре- деленных инфраструктур или отраслей. Тем не менее бесплатные фиды также являются неплохим решением, хотя и не обладают порой той самой аналитикой по угрозам, а предоставляют только сырые индикаторы для систем обнару- жения. Системы сбора и анализа данных TI Раскрытие всего потенциала внедре- ния TI может оказаться довольно непро- стой задачей. Так как при классическом применении индикаторов в совокупности с SIEM-системой аналитик может утонуть в бесконечном потоке оповещений. Главный смысл TI – не просто обнару- жить и заблокировать на межсетевом экране IP-адрес атакующего, а объяснить аналитику смысл происходящего. В част- ности, чтобы специалист понял, что определенный адрес относится к такой- то APT-группировке, угрожающей отрас- ли в данный момент. А при обнаружении во внутреннем сетевом трафике адреса биткоин-кошелька легко понять, что наличие такого индикатора внутри сети говорит о возможной компрометации системы и риске ее последующего шиф- рования. Таким образом, специалист может выбрать из десятка событий приоритет- ные угрозы. Автоматизировать процесс приоритизации оповещений об угрозах помогут специализированные платфор- мы TIP (Threat Intelligence Platform). Такие инструменты упрощают весь процесс работы с TI за счет интеграции с суще- ствующими системами защиты. Суще- ствует довольно большое количество как платных, так и Open Source-плат- форм. Недостатки бесплатных и плюсы платных данных TI Из минусов бесплатных потоков дан- ных угроз можно выделить следующие: l не всегда актуальны для определен- ной отрасли; l часто не имеют развернутой анали- тики по угрозам; l нерегулярное обновление; l большая частота ложных срабатыва- ний. Возможен и вариант, когда злоумыш- ленники анализируют бесплатные фиды и корректируют свои TTP, чтобы оста- ваться в тени средств защиты. Платные решения зачастую избавлены от всех этих недостатков. К их плюсам можно также отнести хорошую поддерж- ку по всем вопросам со стороны вендо- ров TI. Тестовый период для проверки готовности к внедрению Многие вендоры предлагают пилотные версии фидов, а также демодоступы к своей TI-платформе. Это поможет оце- нить качество предлагаемой аналитики по угрозам и проверить готовность про- цессов к внедрению. Как пример, "Лабо- ратория Касперского" предлагает бес- платный доступ к своему порталу TI 3 и возможность скачать пробные версии данных об угрозах. Аналогичные порталы есть у Positive Technologies 4 и "Солар" 5 . Выделим также TI от СберБанка 6 , доступ к которой предоставляется бесплатно для всех компаний. Масштаб заявленных данных и аналитических отчетов просто поражает. Для полноты картины желательно получать данные об угрозах хотя бы от двух-трех вендоров. Это связано с тем, что одному поставщику данных невоз- можно охватить все мировые киберу- грозы. А если решений будет несколько, они дополнят друг друга. Впрочем, попытка сразу использовать максимальное количество фидов для небольшого отдела ИБ может быть довольно трудозатратной как с эконо- мической точки зрения, так и с позиции человеческих ресурсов. В таком случае неплохим решением может быть посте- пенное внедрение и использование TI для определенных целей: l предотвращения атак на ранней ста- дии, через применение на средствах защиты; l закрытия слепых зон средств защиты, путем анализа новых угроз; l понимания мотивации и цели зло- умышленника, построение или допол- нение модели угроз для ключевых акти- вов; l раннего выявления атакующего во внутреннем периметре; l расследования инцидентов; l обнаружения утечек данных; l раннего обнаружения фишинговых кампаний, нацеленных на определенную отрасль; l сбора аналитики по векторам атаки через цепочку поставок (партнеры, поставщики). Гибкость вендоров TI позволяет заку- пать кастомизированные данные по запросам для определенных целей. Как доказать пользу от внедрения? Главным доводом в пользу внедрения TI является повышение эффективности защиты компании за счет предотвраще- ния атак на более ранних стадиях MITRE ATT&CK. Даже если TI увеличит эффек- тивность обнаружения злоумышленника во внутренней сети на 10%, убытки при несвоевременном обнаружении могли бы в несколько раз перекрыть стоимость внедрения и использования TI. Для руководства компаний ценность внедрения выражается в стратегической осведомленности по угрозам, уменьше- нии простоя бизнеса, штрафов и репу- тационных потерь. При грамотном внедрении процесса Threat Intelligence компании получают инструмент, позволяющий действовать на опережение и улучшать устойчивость бизнеса к кибератакам. Причем это будет полезно как большим компаниям, так и малым. l • 25 SOC+SOAR www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 3 https://opentip.kaspersky.com/ 4 https://ptsecurity.com/ru-ru/products/threat-intelligence-feeds/ 5 https://rt-solar.ru/services/jsoc/solar_threat_intelligence_feeds/ 6 https://www.sberbank.ru/promo/xti