Журнал "Information Security/ Информационная безопасность" #6, 2020

Дивный новый мир атак, инцидентов и TI Злоумышленники оценили преимуще- ства современного цифрового мира и, конечно же, активно их используют в своих интересах. Трансграничность современных ИТ-систем и высокая ско- рость взаимодействия позволяют осу- ществить одну и ту же атаку одномо- ментно, сразу на всю отрасль в рамках одного региона или даже на нескольких континентах. У организаций почти нет шансов покинуть позицию "догоняющих". Своевременность получения знаний о новых угрозах, техниках и тактиках, инструментах хакеров значительно влияет на способность обеспечить адек- ватный отпор, мониторинг и реагирова- ние на инциденты. То есть оперативность становится чуть ли не главным ИБ-трен- дом в любой организации. Логичный ответ на сложившуюся ситуацию – всплеск интереса к таким направлениям, как Threat Intelligence. К сожалению, многие выбирают (и даже используют) TI, не понимая, зачем конкретно он им нужен, ориентируясь на модную терми- нологию, магические квадранты. Ну и еще, может быть, на рекомендации, почерпнутые на той или иной конферен- ции или в экспертном клубе. Что такое TI? Это знания о существующей (или новой) угрозе, об опасностях для биз- нес-активов, основанные на фактах и включающие контекст, механизмы, инди- каторы, последствия и рекомендации, которые могут быть использованы для обоснованных решений по реагированию на эту угрозу. Такая информация на практике помогает принимать решения и правильно приоритизировать события ИБ, применяемые меры и средства защи- ты, причем не только на уровне выявле- ния инцидента в инфраструктуре, но и на уровне очередности внедрения средств защиты, разработки детектиро- вания техник и выстраивания процессов. То есть, понимая, какие техники и так- тики наиболее актуальны в данный момент, пользователь TI сможет оценить степень защищенности компании и подо- брать наиболее эффективные средства защиты. TI: брать не глядя или не брать вовсе На что надо обратить внимание при выборе TI? Первое, о чем следует задуматься, – релевантность. Скажем, информация об угрозах кредитно-финансовой сфере, может, и важна для объектов энергетики, но в приоритете для них данные о груп- пировках, атакующих именно энергети- ческий сектор. А для некоторых отраслей следует учитывать еще и региональную специфику, в зависимости от географи- ческой принадлежности существенно меняется портрет атакующих. Далее – достоверность, то есть то, насколько полученным данным можно доверять. Некоторые поставщики TI пре- доставляют данные разного качества, и, опираясь на них, нужно по-разному под- ходить к использованию TI. Данные с низким уровнем доверия скорее сле- дует воспринимать как инструмент обо- гащения других, более надежных, или в принципе расценивать как справочную информацию. И только при наличии дополнительного, более критического контекста, полученного изнутри инфра- структуры, использовать их при реаги- ровании на инцидент или его расследо- вании. Данные с уровнем доверия, близ- ким к 100%, целесообразно сразу использовать для блокировки на СЗИ или, при обнаружении их у себя в инфра- структуре, генерировать инцидент. Если же поставщик не дает такой оценки, то тогда лучше иметь собственные процес- сы и технологии обработки и верифика- ции данных. На моей памяти было мно- жество историй, когда поставщик TI ошибался и в своих данных указывал вполне легитимные ресурсы как опас- ные. В результате одной из них однажды ИТ-служба некой компании долго не могла понять, почему департамент заку- пок не может со своих рабочих ПК попасть на сайт госзакупок. Кстати, подобным почти всегда грешит TI, нахо- дящийся в свободном доступе. Не менее важна актуальность данных. К примеру, нет смысла применять в опе- рационной деятельности здесь и сейчас информацию об атаке АPT-группировки полугодичной давности и соответствую- щие индикаторы компрометации. 38 • УПРАВЛЕНИЕ Threat Intelligence: куда и как его "прикладывать" последние годы мы наблюдаем рост числа инцидентов, вызванных целевыми атаками: только в III квартале этого года количество целевых атак увеличилось до 70% 1 . Сегодня они отличаются технологической сложностью: хакеры активно используют средства антианализа, антиатрибуции, антифорензики, затрудняющие анализ и расследование инцидентов. Сокращается окно между появлением новой технологии и принятием ее на вооружение злоумышленниками: в среднем между появлением нового эксплойта и началом его использования проходит от трех до пяти дней. А особо продвинутые группировки на адаптацию новых эксплойтов и техник под себя и вовсе тратят считаные часы. Как обеспечить достаточную эффективность защиты, которая в этой гонке является “догоняющей стороной”? Ответом на этот вопрос может стать Threat Intelligence (TI). При его правильном “прикладывании”, конечно. В Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) 1 https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2020-q3/