13.07.2018

Фиды - это еще не Threat Intelligence

“А у вас есть фиды?” - так часто начинается разговор наших заказчиков, которые обращаются к нам с вопросом о наличии у нас решений класса Threat Intelligence. “А у нас есть фиды!” - так часто звучит доказательство наличия системы TI в организации. Но фиды - это еще не Threat Intelligence, это скорее попытка заговорить о создании программы TI (или CTI, Cyber Threat Intelligence) в организации. Хотя и просто работа с фидами - это тоже непросто. Как, например, понять, когда полученный в рамках обмена фидами индикатор в виде IP-адреса вредоносного узла необходимо перестать учитывать, потому что он был "вылечен"? Или вот реальный свежий пример. Приходит в рамках информационного обмена индикатор в виде имени домена, который надо блокировать, а там "media.kaspersky.com"!!! С какого перепуга, спрашивается? Начинаешь переписку, а тебе в качестве доказательства вредоносности приводят статью из New York Times, где говорится, что продукты ЛК шпионят за пользователями. Просишь доказательств, а их нет. И как верить такому источнику? А ведь можно вспомнить и историю с Гризлигейтом, когда Россию обвиняли почем зря во вмешательстве в американские выборы и приводились "какие-то" индикаторы, которые с тем же успехом могли играть и против американцев. А ведь это только фиды. В категории уровней TI - это самый нижний, технический уровень.


Выше у нас еще есть тактический уровень, на котором надо оперировать тактиками, техниками и процедурами (TTP). Помните, в ноябре 2016-го я писал об этом? В пирамиде это самый верхний и самый непростой уровень для сбора информации. Да, мы можем использовать ATT&CK, но как формализовать описание методов злоумышленников? Тоже непростая задача; особенно в условиях повального импортозамещения, когда все западные продукты, использующие ATT&CK в своей работе, не могут быть использованы многими российскими предприятиями, а российские продукты вообще не используют ATT&CK в своем функционале.


Но допустим мы решили и эту проблему, какие сложности встают перед нами? Второй по поулярности вопрос после "а у вас есть фиды", звучит так: "А можете прислать ссылок на источники фидов и желательно бесплатных?" :-) Ох уж это неискоренимая жажда халявы :-) Ну да ладно, есть такие списки и предоставляемые ими фиды вполне себе неплохи на первых порах (с учетом ранее описанных нюансов).


А где их хранить все эти фиды и описание TTP? А как поднять с тактического уровня на операционный и оперировать уже целыми кампаниями? Как от разрозненных индикаторов перейти к пониманию того, что против нас действует целая группировка и уж точно попадание в логи МСЭ или IPS IP-адреса из присланного фида является неслучайным совпадением? Для этого нам нужны платформы Threat Intelligence (TIP), которые могут быть коммерческими и бесплатными, закрытыми и открытыми, зарубежными и отечественными. А не накроется ли выбранными нами TIP медным тазом, как это произошло с Soltra)? Есть ли у нас план Б на этот случай?


И конечно не стоит сбрасывать со счетом TI, предоставляемый нам государством, ГосСОПКОЙ или ФинЦЕРТом. В чем их сила, а в чем слабость? Это тоже вопросы, которые требуют ответа. Правда, с ГосСОПКОЙ пока все ясно - там нет ничего, что можно было реально использовать, - ни достаточного количества данных, ни ясной процедуры подключения, ни утвержденных стандартов обмена данными об инцидентах.


Кстати, о стандартах. Какой их них выбрать? STIX, используемый большинством компаний в мире и ставший по сути стандартом де-факто в этой области? CybOX? А может отечественный СТО 1.5, разработанный Банком России, и требуемый для взимодействия с ФинЦЕРТом? А что будет использовать ГосСОПКА (кроме TLP)? Не получится ли так, что мы сейчас выберем то, что не будет поддерживаться ни регуляторами (куда уж без них), ни отечественными разработчиками (хотя вот BI.ZONE в своей платформе обмена данными использует расширенный вариант STIX).


Но допустим мы выбрали платформу, выбрали источники фидов, научились описывать не только отдельные индикаторы и целые компании, но даже смогли подняться на стратегический уровень TI (он не всем нужен, кстати) и заняться атрибуцией нарушителей (со всеми оговорками, которые связаны с данной процедурой). Как измерить процесс Threat Intelligence? Как понять, что и сам процесс работает эффективно, и используемые нами источники дают ценную информацию, которую мы действительно используем, а не просто складируем в TIP?


Много вопросов набежало, не правда ли? Вот о них мы и будем говорить в рамках мастер-класса, который я буду вести на "Код ИБ. ПРОФИ" в Сочи через две недели (регистрируйтесь - места еще вроде остались). Это помимо проводимых мной там киберучений. Понятно, что задача это будет непростая - вложить в 1 час столько материала. А я его перелопатил много, когда готовился к конференции. Имеющийся личный опыт и опыт службы ИБ Cisco будут наложены на более чем 300 различных источников (стандартов, Best Practices, книг, презентаций и т.п.), которые я проанализировал и систематизировал. Десятки часов изучения будут скомпонованы в одну презентацию длительностью 1 час. Понятно, что в эти 60 минут все 300 материалов уложить сложно, но я попробую (систематизация у меня всегда получалась хорошо). В любом случае скучно не будет, а материал будет иметь практическую направленность, которую можно будет применять сразу по возвращению в свой город. И да, презентацию я выкладывать не буду, как не делал этого и по киберучениям, - за участие в мероприятии и доступ к этому контенту люди платят деньги и было бы неправильно выкладывать в паблик то, за что люди тратят свои кровные или финансы своих компаний.

3 коммент.:

Roman S комментирует...

Тема фидов всегда была всегда условно говоря на оутсорсе.
Есть например коммерческий антивирус и коммерческий ips/utm. У которых есть команды, которые и должны этим заниматься. Пылесосить различные источники TI, фильтровать их значимость, отсеивать треш и выдавать для своего продукта --причесанный-- массив данных.
У вас есть фиды?
Да есть - две штуки. 1 от поставщика антивируса (который уже endpoint), 2-й от поставщика ips/utm. Руками надо куда лазить, что вписывать? Нет все вписано в дефолт конфиг.

Вот чего действительно не хватает, так это юзерфрендли сайта обмена инцидентами.
Не у всех есть желание и возможность поставить MISP, разбираться в нем, заниматься поддержкой.
Подход госсопки - пишите письма "что у вас случилось", тоже не продуктивный.
В идеале, это расширить например функции известного раскрученного сервиса Virustotal, информация оттуда и так уже идет всем крупным ИБ вендорам, имеется community из пользователей, система рейтингов.

Алексей Лукацкий комментирует...

Да, фиды на аутсорсе. Но фид фиду рознь. И управлять ими не так просто и очевидно. А то, что поставляют антивирусные и IPS вендоры - это все-таки не совсем то.

Unknown комментирует...

Мне кажется вопрос "А сколько у вас фидов?" это из серии "А сколько у вас корреляций?" для SIEM решений.

Без отправки в локальные решения (FW, IPS, AV, SIEM), без процессинга мета данных как TLP, тэгов, критичности и без отправки обратно в платформу TI информации об увиденных sightings это все похоже на бесполезную трату денег. Типа купили фидов, галку поставили а использовать не умеем.

А про внешний обмен, так тут хотя бы соорудить обмен информации внутри компании, как в сообщении выше endpoint<->IPS/NGFW а уж потом про комьюнити говорить всерьез... без отдельной платформы TI я себе это вообще слабо представляю. Не представляю насколько в РФ распространены TI платформы.