На шаг впереди врага, или практика киберразведки

На шаг впереди врага, или практика киберразведки

На шаг впереди врага, или практика киберразведки

В новом эфире AM Live эксперты поговорили о киберразведывательной деятельности (Threat Intelligence, TI): где взять данные, как их использовать и что бывает, если этим пренебрегать.

 

 

 

 

 

 

 

  1. Введение
  2. Threat Intelligence
    1. 2.1. Как поменялось в России восприятие Threat Intelligence за последние полтора года?
    2. 2.2. Что является результатом Threat Intelligence
    3. 2.3. Кто является потребителем TI
    4. 2.4. Полезность данных TI
  3. Практика применения Threat Intelligence
    1. 3.1. Сценарии использования Threat Intelligence
    2. 3.2. Набор источников Threat Intelligence
  4. Будущее Threat Intelligence
  5. Итоги эфира
  6. Выводы

Введение

Эксперты помогли зрителям AM Live разобраться в том, как устроена российская киберразведка, как грамотно работать с данными Threat Intelligence и какие для этого есть инструменты.

 

Рисунок 1. Эксперты отрасли в студии Anti-Malware.ru

Эксперты отрасли в студии Anti-Malware.ru

 

Спикеры прямого эфира:

  • Анна Олейникова, директор по продуктам Security Vision;
  • Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies;
  • Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского»;
  • Степан Корецкий, руководитель группы предпродаж R-Vision;
  • Игорь Залевский, руководитель центра исследования киберугроз Solar 4RAYS, ГК «Солар».

Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».

 

 

Threat Intelligence

Как поменялось в России восприятие Threat Intelligence за последние полтора года?

Анна Олейникова:

По моему опыту, картина меняется к лучшему. Пару лет назад не было понимания целей и задач платформы, а также того, как её настраивать и использовать. Очень часто TI покупалась в дополнение к какому-то комплексу решений. Сейчас мы видим серьёзный прирост потребности со стороны банков, телекома и ретейла. Но чётких сценариев использования пока ещё не сформировано.

 

Анна Олейникова, директор по продуктам Security Vision

Анна Олейникова, директор по продуктам Security Vision

 

Алексей Вишняков:

По нашим ощущениям, за последние полтора года не особо что-то поменялось. Требования возросли. Но понимания того, что такое TI, у заказчиков пока не сложилось.

Илья Шабанов предложил разобраться в том, следует ли ставить знак равенства между киберразведкой и Threat Intelligence.

 

Илья Шабанов, генеральный директор «АМ Медиа»

Илья Шабанов, генеральный директор «АМ Медиа»

 

По словам Анны Олейниковой, киберразведка не равнозначна TI и включает в себя гораздо больше элементов. Это прежде всего построение гипотез с их последующим подтверждением или опровержением.

В Threat Intelligence входят любые знания, полученные любым из доступных способов, отметил Игорь Залевский. Например, данные из дарквеба — это TI, отчёт и аналитика  — тоже.

Что является результатом Threat Intelligence

По словам Алексея Вишнякова, если у заказчика выросло качество детектирования и он стал быстрее реагировать на происходящее, это и есть тот самый результат.

Компания узнаёт своего противника, отметил Никита Назаров. Получая TI, заказчик приобретает опыт других компаний, который поможет в дальнейшем знать тактики и техники своего противника — и, соответственно, защищаться от них.

 

Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского»

Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского»

 

Игорь Залевский:

Сейчас в России бесполезно объяснять, кто кого как ломает. После 2022 года эта парадигма была полностью разрушена. Сейчас все ломают всех, от взлома или дипфейков страдают все. Сейчас наш враг — это всё, что есть в инфополе.

По мнению Анны Олейниковой, концепция «все атакуют всех» охватывает наиболее распространённые виды угроз, которые действительно касаются каждого. Но есть, например, специфика отраслевая, и это может показать заказчику, что релевантно для конкретной отрасли, региона и т. д.

По данным опроса зрителей AM Live, в 2023 г. 36 % компаний пользуются сервисами TI, 47 % — не пользуются. Оставшиеся 17 % респондентов изучают эту возможность. В 2022 г. зрителей, которые не использовали TI, было больше — 52 %.

 

Рисунок 2. Используете ли вы сервисы Threat Intelligence в данный момент?

Используете ли вы сервисы Threat Intelligence в данный момент?

 

По словам экспертов, одни компании используют TI для обогащения базы инцидентов, другие — для реагирования, для формирования знаний с их последующей передачей в филиалы и т. д.

Кто является потребителем TI

Алексей Вишняков делит работу с киберразведывательной информацией на три уровня. Первый — технический, где потребителями индикаторов компрометации являются не люди, а СЗИ — например, система управления событиями (SIEM), которая должна использовать эти данные в автоматическом режиме. Второй — тактический уровень (техники, тактики и вредоносные кампании), на котором информацию потребляют ИБ-специалисты. Следом идёт стратегический уровень, где описаны группировки, их уровень и мотивы, место происхождения и т. д. — здесь потребителем должен являться топ-менеджмент.

По данным опроса зрителей, в 2023 г. 35 % компаний используют только потоки данных (фиды) с индикаторами компрометации, 16 % опрошенных работают ещё с описаниями техник и тактик (TTP), 6 % дополнительно изучают кампании, а 4 % зрителей эфира стараются проводить атрибуцию нарушителей. В 2022 г. картина немного отличалась: использовавших только фиды было меньше, а всех остальных — больше.

 

Рисунок 3. Какие уровни Threat Intelligence реализованы в вашей компании?

Какие уровни Threat Intelligence реализованы в вашей компании?

 

Полезность данных TI

Илья Шабанов поинтересовался, влияет ли на российские компании незнание, например, китайских тактик и техник. Что будет, если упускать их из виду?

По мнению Алексея Вишнякова, необходимо с самого начала, перед тем как собирать данные «отовсюду», определиться с тем, кого и какими данными будет защищать вендор. Нужно оценивать, где и что будет использоваться.

Не все данные, которые покупает компания, могут оказаться полезными. Ценность TI зависит от работы с данными и конкретного запроса.

Эксперты отметили, что важность данных от регулятора в последнее время возросла. После 2022 года регулятор стал чаще сотрудничать с основными командами реагирования в России.

По мнению Анны Олейниковой, дефицит данных для фидов отсутствует. Ключевую информацию можно получить из открытых источников, а коммерческие фиды дают более специфичную (т. е. более интересную) информацию. Сейчас в мире набирает обороты практика взаимодействия по этому вопросу между коммерческими компаниями.

Практика применения Threat Intelligence

Сценарии использования Threat Intelligence

Алексей Вишняков назвал два возможных сценария использования данных TI: режим блокировки и ретроспективный поиск. По мнению эксперта, это первые две ступеньки, с которых необходимо начинать.

Небольшая компания может загрузить индикаторы в СЗИ без контекста, то есть начать создавать маленький ландшафт угроз, отметил Никита Назаров.

Для подавляющего большинства зрителей эфира (70 %) основной сценарий использования Threat Intelligence — это обнаружение атак и мониторинг ИБ. 9 % применяют киберразведывательные данные в первую очередь для проактивного поиска угроз (Threat Hunting), 7 % — для анализа вредоносного кода, 5 % — для оценки защиты, 2 % — для атрибуции нарушителей. Иные задачи в приоритете у 7 % респондентов.

 

Рисунок 4. Какой сценарий использования Threat Intelligence для вас является главным?

Какой сценарий использования Threat Intelligence для вас является главным?

 

По мнению Степана Корецкого, из результатов проведённого опроса видно, что люди уже начали пользоваться SIEM, межсетевыми экранами, другими СЗИ — а это само по себе есть благо.

Набор источников Threat Intelligence

По мнению Анны Олейниковой, нужно подходить осознанно к выбору фидов. Формула «чем больше, тем лучше» действенна при проработанных сценариях применения данных. 

Если компания начнёт с понимания своих нужд, будет ясно, сколько данных ей требуется и какого рода, отметил Алексей Вишняков. Далее заказчик уже начинает пробовать конкретные источники.

Степан Корецкий, в свою очередь, подчеркнул, что правильное понимание потребностей приходит, как правило, только при наборе большого количества данных.

 

Степан Корецкий, руководитель группы предпродаж R-Vision

Степан Корецкий, руководитель группы предпродаж R-Vision

 

Согласно опросу зрителей, 34 % из них не используют для работы с TI никаких инструментов. 17 % эксплуатируют платформу с открытым исходным кодом, 15 % опрошенных читают бюллетени и вручную вносят данные в средства мониторинга. 12 % используют бесплатные источники и автоматическую загрузку данных в средства мониторинга, ещё столько же — купили коммерческую TI-платформу. И, наконец, 10 % зрителей применяют самописную платформу киберразведки.

 

Рисунок 5. Какие инструменты для работы с TI вы используете?

Какие инструменты для работы с TI вы используете?

 

Будущее Threat Intelligence

Степан Корецкий:

Хочется верить, что люди и дальше будут делиться своими знаниями. За счёт этих знаний будет расти культура TI. Надеюсь, что в будущем количество технических фидов снизится, а аналитика возрастёт. Рынок будет также диктовать условия по качеству данных, которые поступают от регулятора.

Алексей Вишняков:

Мы верим, что результат будет тогда, когда станет ясно, кто и с чем борется. Поэтому в дальнейшем будет больше диалогов между поставщиками и заказчиками, когда будут определяться цели для достижения максимального результата.

 

Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies

Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies

 

Игорь Залевский:

Возрастёт уровень автоматизации процессов управления индикаторами. Возможно, появится ещё больше игроков. С точки зрения конечного потребителя рынок станет ещё более зрелым, чем сейчас.

 

Игорь Залевский, руководитель центра исследования киберугроз Solar 4RAYS, ГК «Солар»

Игорь Залевский, руководитель центра исследования киберугроз Solar 4RAYS, ГК «Солар»

 

Анна Олейникова:

Я не вижу в ближайшем будущем машинного обучения, но я хочу, чтобы TI влиял на моделирование угроз в организации, чтобы оно было менее «бумажным», а также отражал атаки и тактики, которые сейчас превалируют в мире. В последующем симбиоз ML и TI будет эффективным.

Никита Назаров:

— О машинном обучении говорить ещё рано. Для начала нужно всем научиться работать с теми инструментами, которые используются сейчас.

Итоги эфира

Итоговый опрос зрителей AM Live показал, что около трети (31 %) заинтересовались киберразведкой, но пока считают такое решение избыточным. 23 % готовы тестировать TI, 18 % — убедились в правильности выбранной платформы Threat Intelligence. Не поверили в эффективность такого решения 14 % зрителей, 10 % не поняли темы беседы. Оставшиеся 4 % опрошенных будут менять поставщика Threat Intelligence, так как нашли вариант лучше.

 

Рисунок 6. Каково ваше мнение относительно TI после эфира?

Каково ваше мнение относительно TI после эфира?

 

Выводы

В России за последние два года объём рынка Threat Intelligence удвоился. С развитием отрасли информационной безопасности потребность в киберразведывательных данных растёт. Как большие, так и малые компании начинают понимать, что им необходимо пользоваться этим инструментом, поскольку TI помогает собирать информацию о противнике и готовиться к атакам заранее, прорабатывать недопустимые сценарии.

Проект AM Live на этом не останавливается. Эксперты отрасли скоро снова соберутся в нашей студии и обсудят актуальные темы российского ИБ-рынка. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru