threat intelligence вам поможет, если его правильно...
TRANSCRIPT
Threat Intelligence вам поможет, если его правильно приготовить…Михаил Богатырёв[email protected]
@am_rnd amonitoring.ru
©2016, ОАО «ИнфоТеКС».
Возникновение Threat Intelligence Конец прошлого века:• базы антивирусных сигнатур• правила для IDS• списки для спам-фильтров 2014–2015 гг.:
поставщики уже используют термин «threat intelligence» и проводятся первые исследования рынка TI
©2016, ОАО «ИнфоТеКС».
Кто как понимает Threat Intelligence
Военный термин: система по сбору и обработке разведывательных данных о силах и средствах противника
Threat Intelligence (TI) — это совокупность процессов сбора, анализа и обмена подкреплённой доказательствами информацией об угрозах
©2016, ОАО «ИнфоТеКС».
Кто как понимает Threat Intelligence
Признак Стратегическая TI Техническая TIФорма Отчёты, публикации, документы Правила, параметры настройки
Создаётся Людьми Машинами или людьми совместно с машинами
Потребляют Люди Машины и люди
Сроки доставки до потребителя Дни — месяцы Секунды — часы
Период полезности Долгий (год и более) Короткий (до появления нового
эксплойта или уязвимости)
Использование Планирование, принятие решений Обнаружение, приоритизация, реагирование
©2016, ОАО «ИнфоТеКС».
Потребители Threat Intelligence
INSA Cyber Intelligence Task Force White Paper
Уровень управления Операционный уровеньВ
долгосрочной перспективе
СТРАТЕГИ - Высшее руководство Высокоуровневая информация: • Финансовые аспекты, бюджетирование.• Тренды угроз и атак.• Киберриски.
ТЕХНИКИ - Архитекторы и сисадмины Тактики, техники, процедуры (TTP): • Инструменты атакующих.• Цели атак.• Эксплойты и методы защиты. • Критичные обновления.
В краткосрочной
и среднесрочно
й перспективе
ТАКТИКИ - Руководители служб ИБ Детали конкретных готовящихся и проводимых атак: • Кто?• Зачем? • Где?• Когда?• Ресурсы и возможности атакующих.• Как общаются между собой?• Как маскируются?• Что произошло или может произойти?• Способы выявления.• Способы противодействия.
ОПЕРАТОРЫ - персонал SOC, ГР, forensics Индикаторы атак и компрометации: • Образцы или хэш-суммы вредоносного кода.• YARA-rules.• Изменения ключей реестра.• Появление файлов, вредоносного кода.• Фиды вредоносных IP-адресов.• IP-адреса и домены Command & Control.• Почтовые индикаторы (темы, адреса, домены).• Векторы атак. • Изменения количества атакующих ресурсов.• Стадии развития атак. • Способы совершения преступлений.
©2016, ОАО «ИнфоТеКС».
Типы поставщиков Threat Intelligence
Комплексная TITI для пользователей
стратегического уровня
Фиды угроз Приоритизация
Техническая аналитика
Контекст
Статистика
Индикаторы угрозСигнатуры
Правила
©2016, ОАО «ИнфоТеКС».
Где применяются результаты TIТип СЗИ Интеграция TI
Межсетевые экраны / UTM 39.2%
IPS/IDS 41.1%
Управление уязвимостями 30.4%
SIEM 31.6%
Хостовые средства безопасности 34.8%
Средства безопасности приложений 27.2%
IAM / IDM 25.9%
Расследование инцидентов 17.7%
Аналитические платформы, отличные от SIEM (например, BI) 21.5%
Big data 13.9%
2015 г. опрос SANS Institute
©2016, ОАО «ИнфоТеКС».
Источники данных для Threat Intelligence• Технологические собственные (структурированные,
необработанные)• Открытые (человекочитаемые, реже
машиночитаемые)• Фиды (машиночитаемые)• Закрытые• Социальные медиа (человекочитаемые)• Личные контакты• «Глубокий» и «Тёмный» веб (разные)
©2016, ОАО «ИнфоТеКС».
Технологические собственные
Сетевые устройства
Маршрутизаторы
Свичи
Прокси
WiFi
VPN
СЗИ
IPS\IDS
Хостовые IPS\IDS
DLP
Межсетевые экраны
Антивирусы
IAM
Сканеры уязвимостей
Серверы
Приложений
БД
Почта
Веб
«Песочницы» (Sandbox)
Honeypots
Логи СКУД
Операционные системы
Приложения
Технологические собственные
©2016, ОАО «ИнфоТеКС».
Открытые
White papers
Статьи и публикации
Новостные потоки
Выставки и конференции
Государственные и индустриальные
сообщества обмена результатами TI Отчёты об исследованиях
Сообщества обмена информацией для машин
Вендоры ИТ и ИБ
Фирмы, предоставляющие услуги TI
Открытые
©2016, ОАО «ИнфоТеКС».
Фиды
IP и DNS адреса
вредоносных сайтов
спам-серверов
серверов С&C
Узлы
анонимных сетей
p2p сетей
SSL-сертификаты вредоносных сайтов
Заголовки и метаданные писем (спам и фишинг)
Образцы и хэши вредоносного кода
Ключи реестра и файловые артефакты ОС
Фиды уязвимостей (CVE, CWE и т.д)
Базы эксплойтов
Фиды
©2016, ОАО «ИнфоТеКС».
Форматы и языки описания• Open Threat Exchange (OTX) — 51%• Structured Threat Information Expression (STIX) — 46%• Collective Intelligence Framework (CIF) — 39%• Open Indicators of Compromise (OpenIOC) framework — 33%• Trusted Automated eXchange of Indicator Information (TAXII) —
33%• Traffic Light Protocol (TLP) — 28%• Cyber Observable eXpression (CybOX) — 26%• Incident Object Description and Exchange Format (IODEF) — 23%• Vocabulary for Event Recording and Incident Sharing (VERIS) — 20%
SANS Institute
©2016, ОАО «ИнфоТеКС».
Закрытые
Доверенная третья сторона
B2B обмен
Закрытые
©2016, ОАО «ИнфоТеКС».
Социальные медиа
Соцсети
Форумы
Блоги
Чаты
IRC
Paste сайты
Репозитории кода
Социальные медиа
©2016, ОАО «ИнфоТеКС».
Источники данных для Threat Intelligence
• Личные контакты• «Глубокий» и «Тёмный» веб
Искусство возможного …
©2016, ОАО «ИнфоТеКС».
Threat Intelligence от ПМ (ГК InfoTecs)
Правила Продукты Услуги Фиды
IDS VipNet IDS + TIAS Мониторинг IP и домены
HIDS VipNet HIDS Реагирование ВПО
FW/UTM VipNet HW Расследование IOC
SIEM SIEM Создание ЦМ Уязвимости
©2016, ОАО «ИнфоТеКС».
Чем помогло TI
2015 г. IDC 329 компаний 1%
2%
5%
5%
6%
10%
13%
30%
30%
40%
42%
43%
55%Создание профиля нормального поведения
Выявление внешних угроз использования ВПО
Создание правил для антифрод систем
Выявление нарушения политик ИБ
Выявление скомпрометированных учётных записей
Уменьшение количества ложных срабатываний
Ускорение обнаружения и реагирования на атаки
Видимость сетевой и АРМ активности
Мониторинг и менеджмент соответствия стандартам
Обнаружение инсайдеров
Улучшение видимости угроз и атак
Обнаружение новых или неизвестных угроз
Понимание угроз и атак
