17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
Презентация с обзором 17 способов проникновения в корпоративную сеть, минуя межсетевой экран. В качестве примера решения для борьбы с многими из них описывается Cisco Stealthwatch и Cisco ISE.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
Презентация с обзором 17 способов проникновения в корпоративную сеть, минуя межсетевой экран. В качестве примера решения для борьбы с многими из них описывается Cisco Stealthwatch и Cisco ISE.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
Презентация с коротким обзором применения искусственного интеллекта, читай, машинного обучения, в кибербезопасности, и вопросов, которые надо решить при выборе вендора, предлагающего ИИ, или при построении собственного решения по ИИ в ИБ.
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
FireEye - система защиты от целенаправленных атакDialogueScience
В настоящее время угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара будет рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
Презентация с коротким обзором применения искусственного интеллекта, читай, машинного обучения, в кибербезопасности, и вопросов, которые надо решить при выборе вендора, предлагающего ИИ, или при построении собственного решения по ИИ в ИБ.
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
FireEye - система защиты от целенаправленных атакDialogueScience
В настоящее время угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара будет рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Обзор применения искусственного интеллекта в кибербезопасности как с позитивной, так и с негативной стороны. Как ИИ используют безопасники. Как ИИ используют хакеры. Какие угрозы могут быть для ИИ.
Similar to От разрозненных фидов к целостной программе Threat intelligence (20)
Мое выступление на Kaspersky ICS Security Conference в сентябре 2020 года в Сочи о том, на что обращать внимание при разработке дашбордов по ИБ АСУ ТП для лиц, принимающих решения
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
Презентация о том, как можно вынести тему ИБ на руководство финансовой организации? Как говорить с ним на языке денег и какие метрики использовать, если мы не можем монетизировать тему ИБ?
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот на SOC Forum KZ я выбрал 5 советов, недооценка которых может сделать проект по SOC неудачным. Это не единственные советы, но за 20 отведенных мне минут, больше просто не получилось.
3. Почему?
• 98% всех технологий ИБ реактивны
• 97% всех технологий ИБ базируется
на сигнатурном подходе
• Современные угрозы полиморфны💊
4. Жизненный цикл обнаружения угроз
4
Новые методы
обнаружения
(сигнатуры,
правила, ИИ)
Получение
сигналов
тревоги
Приоритезация
сигналов
Реагирование
Большинство
вендоров
фокусируется только
тут и увеличивает
число сигнатур атак
5. Как улучшить ситуацию с обнаружением
угроз?
5
Повысить качество
обнаружения
• Снижение ложных
срабатываний
• Сдвиг от обнаружения
эксплойтов
• Использование
разных поставщиков
методов обнаружения
• Новые методы
обнаружения
• Новые источники
данных
• Ретроспектива
• Один источник –
несколько
инструментов анализа
(IDS, SIEM, IOC)
Быстрее обнаруживать
• Собственная
лаборатория
• Обмен информацией
об угрозах
• Ловушки
• Анализ
инфраструктуры
злоумышленников
• Разные места
установки
• Улучшение методов
уведомления об
угрозах
Быстрее создавать
методы обнаружения
• Автоматизация
создания сигнатур на
стороне потребителя
• Автоматизация
создания сигнатур на
стороне вендора
Быстрее доставлять
методы обнаружения
• Распределенные
центры обновлений
(облака)
• Изменение частоты
обновления
7. Как обычно воспринимается TI?
• Threat Intelligence – знание (включая процесс его
получения) об угрозах и нарушителях, обеспечивающее
понимание методов, используемых злоумышленниками
для нанесения ущерба
• Оперирует не только и не столько статической
информацией об отдельных уязвимостях и угрозах, сколько
более динамичной и имеющей практическое значение
информацией об источниках угроз, признаках
компрометации (объединяющих разрозненные сведения в
единое целое), вредоносных доменах и IP-адресах,
взаимосвязях и т.п.
8. Одного понимания мало – нужно
принятие решений
• Intelligence – это информация,
используемая для принятия решений
• Threat Intelligence – это информация о
нарушителях, которая используется для
принятия решений☝
9. Что такое Threat Intelligence
• TI – это не про доступ к фидам с индикаторами.
Это про понимание возможностей атакующих вас
• TI – это дисциплина, позволяющая иметь
основанные на доказательствах знания, в том
числе, контекст, механизмы, индикаторы, а также
практические рекомендации, о существующей или
потенциальной угрозе для активов, которые могут
быть использованы для принятия решения
относительно реакции на угрозу или опасность
Gartner
🔍
10. Что делает intelligence плохой или
хорошей?
• Осуществимость: Мы можем принять решения на
ее основе?
• Уверенность: Насколько вероятно, что это
произошло?
• Своевременность: Мы можем нивелировать
ущерб?
🔍
11. Что делает intelligence плохой или
хорошей?
• Осуществимость: Можем заблокировать
порт 1434!
• Уверенность: Многие с этим столкнулись!
• Своевременность: Мы можем
предотвратить ущерб
• Осуществимость: Что это за адрес?
• Уверенность: Что это за адрес?
• Своевременность: Что это за адрес?
12. От сырых данных к intelligence
U.S. Department of Defense’s Joint Publication 2-0: Joint Intelligence
16. Зачем и кому нужна TI?
Реагирование на инциденты
Поиск угроз (Threat Hunting)
Мониторинг безопасности
Анализ вредоносного кода
Обнаружение вторжений
18. Если обнаружение не помогло. Threat Hunting
18
Формулируем
гипотезу
Ищем в
инфраструктуре
Найдено?
Расширяем
поиски
Реагирование
Новые методы
обнаружения
(сигнатуры,
правила, ИИ)
Не найдено?
Начинаем с
начала
19. Как это может выглядеть?
Вы пока еще ничего не знаете, но формулируете гипотезу!
Для подтверждения или опровержения гипотезы вы загружаете IoC в систему Threat Hunting
26. 300065-INV-WSA-INTEL: 15 Day Historical Search for URL Indicators
Objective:
This report leverages actionable intelligence (specifically URL indicators) gathered from various
sources to detect social engineering attacks, cyber crime, DDoS attacks, advanced/multi-stage
attacks, and many other types of threats.
Working:
index=wsa earliest=-15d latest=-24h [inputlookup crits_amber_last_24hours.csv | where NOT
like(confidence, "benign") | eval cs_url=indicator+"*" | fields cs_url] | `Intel-WSA-Output-
Format(intel-url-amber)`
Analysis: Analyse the meta data available for this log source: is there a high event count for a single
host? Are the source/target ports suspicious or typically vulnerable? What is the locality of the target
and source? Etc.
Each indicator comes from a particular source and a specific reference. At times it will be useful to
have this information to understand what kind of attack the indicator was involved in and how the
indicator was actually used in the attack.
Reference: wiki/9ADYAg, bugzilla: 9755
27. Визуализация скрытых связей
• Облачный сервис
Threatcrowd.org позволяет
организовать поиск
взаимосвязей между IoC:
• IP-адреса
• Доменные имена
• Хеши файлов
• Имена файлов
• Аналогичную задачу можно
реализовать с помощью
OpenDNS, Maltego, VirusTotal
Graph, а также OpenGraphitti
29. Применение IoC при анализе внешнего и
внутреннего окружения
https://www.virustotal.com/#/graph-overview Cisco Visibility
• Анализ без привязки к внутренней
инфраструктуре и
скомпрометированным узлам
• Анализ с привязкой к внутренней инфраструктуре и
скомпрометированным узлам за счет доступа к
данным от средств защиты
36. 5 этапов процесса Threat Intelligence
Планирование
Сбор
Обработка и
анализ
Распространение
информации
Разбор полетов
• Зачем нам Threat Intelligence?
• Какие у нас требования?
• Кто (нарушитель) может атаковать нас (модель
нарушителя)?
• Нюансы (геополитика, отрасль…)
• Своя или внешняя система Threat Intelligence?
• Что может провайдер TI (источники)?
• Возможности провайдера стыкуются
с вашими потребностями?
• Кто внутри вас будет общаться с
провайдером и как?
• Как «сырые» данные превратятся в TI?
• Платформа для обработки и анализа?
• Кто проводит анализ?
• Кому можно распространять
информацию? На каких условиях?
• Какие стандарты используются для
распространения?
• Когда распространять информацию?
• Какие действия необходимо
произвести на основании
полученных данных?
• Как взаимодействовать со
средствами защиты?
40. Уровни Threat Intelligence
Стратегический
Операционный
Тактический
Технический
Улучшают возможности SOC/NOC и других
специалистов по ИБ реагировать,
обнаруживать или предотвращать кибератаки
Улучшают возможности CIO/CISO/CTO в
использовании ИТ/ИБ в защите и реагировании
Улучшают принятие решения относительно
киберрисков на уровне CRO, CEO, Правления и
др.
Описывают индикаторы для вредоносной
активности
41. Дополнительные
преимущества
Затраты
Зрелость TI или как все реализуют TI
Уровень Наличие плана /
программы
Ответственный
персонал
Тип Threat Intelligence
1 Нет плана ИТ-специалисты Технический
2 Зачатки плана ИБ-специалисты Технический
3 Хороший план ИБ-специалист с фокусом
на TI
+ Тактический
4 Отличный план Специалист по TI + Операционный
5 Идеальный план Группа по TI + Стратегический
43. Откуда можно брать данные TI?
• Открытые источники фидов
• Частные (закрытые) источники фидов
• Социальные сети
• Twitter
• Сайты и блоги исследователей
• Youtube
• Deep Web / Darknet
🔍
45. Вы доверяете своему вендору?
16 апреля 2015 года
http://www.zdnet.com/article/pal
o-alto-networks-mcafee-
websense-gateway-systems-
allow-malicious-traffic-to-slip-
through-the-net/
Дело СОВСЕМ не в названиях
компаний, проблема в
методологии
46. Риски получения данных об угрозах из
одного источника
• Получение информации с ошибками
• Отсутствие или исчезновение информации на конкретные
угрозы
• Отсутствие учета вертикальной или страновой специфики
• Смена политики лицензирования
• Смена собственника
• Поглощение компании-разработчика
• Сотрудничество со спецслужбами
• Санкции…
53. Не все разработчики СЗИ знают о новых
угрозах4% всего контента
96% всего контента
Tor
I2P
Freenet
Gigatribes
RetroShare
Tribler
GNUNet
OneSwarm
ZeroNet
Syndie
58. Адреса IPv4 Домены / FQDN
Хэши (MD5,
SHA1)
URL
Транзакционные
(MTA, User-
Agent)
Имя файла / путь
Mutex
Значение
реестра
Имена
пользователей
Адреса e-mail
Распространенные типы IoC
59. Фиды Threat Intelligence
• Фиды (feeds) – способ представления данных об угрозах
• Поддержка различных языков программирования
и форматов данных
• JSON
• XML
• CyBOX
• STiX
• CSV
• И другие
60. Этапы зрелости использования фидов
Эпизодическое применение фидов
Регулярное использование отдельных
ресурсов с фидами
Использование платформы TI
Использование API для
автоматизации
Обмен фидами
62. Источники фидов
http://atlas.arbor.net/
Инициатива Arbor ATLAS (Active Threat Level Analysis
System)
• Глобальная сеть анализа угроз (обманные системы)
• Информация берется от обманных систем (honeypot),
IDS, сканеров, данных C&C, данных о фишинге и т.д.
• Публичная информация о Топ10 угрозах
• Для доступа к некоторым данным требуется регистрация
http://www.spamhaus.org
Проект для борьбы со спамом
• Поддерживает различные базы данных (DNSBL) с
данными
по угрозам (IP-адреса) – спамеры, фишеры, прокси,
перехваченные узлы, домены из спама
• Реестр ROKSO с самыми известными спамерами в мире
• Проверка и исключение своих узлов из «черных списков»
63. Источники фидов
https://www.spamhaustech.com
SpamTEQ – коммерческий сервис Spamhaus
• Фиды по репутациям IP- и DNS-адресов
• Ценовая политика зависит от типа организации и
типа запрашиваемых данных
• Годовой абонемент
https://www.virustotal.com
Проект для борьбы со спамом
• Проверка файлов и URL на вредоносность
• Бесплатный сервис
• Система поиска
64. Источники фидов
https://www.threatgrid.com
Фиды по сетевым
коммуникациям
• IRC, DNS, IP
• Россия и Китай
• Сетевые аномалии
• RAT и банковские троянцы
• И др.
https://www.alienvault.com/open-threat-exchange
Открытое community по обмену информацией об угрозах
• IP- и DNS-адреса
• Имена узлов
• E-mail
• URL и URI
• Хеши и пути файлов
• CVE-записи и правила CIDR
Форматы:
• JSON
• CyBOX
• STiX
• CSV
• Snort
• Raw
65. Источники фидов
https://www.cisco.com/security
IntelliShield Security Information Service
• Уязвимости
• Бюллетени Microsoft
• Сигнатуры атак Cisco
• Web- и обычные угрозы
• Уязвимые продукты (вендор-независимый)
http://www.malwaredomains.com
Проект DNS-BH (Black Holing)
• Обновляемый «черный» список доменов, участвующих в
распространении вредоносного кода
• Список доступен в формате AdBlock и ISA
66. Какие еще источники фидов есть?
IOC
• Abuse.ch
• Blocklist.de
• CleanMX
• EmergingThreats
• ForensicArtifacts
• MalwareIOC
• Nothink
• Shadowserver
DNS
• ISC DNSDB
• BFK edv-
consulting
Вредоносное ПО
• VirusShare.com
68. А еще?
• CrowdStrike
• Dshield
• Emerging Threat
• FarSight Security
• Flashpoint Partners
• IOCmap
• iSightPartners
• Microsoft CTIP
• Mirror-ma.com
• ReversingLabs
• SenderBase.org
• ShadowServer
• Threat Recon
• Team Cymru
• Webroot
• ZeusTracker
• И другие
69. На что обратить внимание при выборе
фидов?
• Тип источника
• Уровни представления информации
• Широта охвата
• Число записей
• Языковая поддержка/покрытие
• Доверие к источнику (популярность и
отзывы)
• Оперативность/частота предоставления
фидов
• Платность
• Формализованность представления
информации
• Возможность автоматизации
• Соответствие вашей инфраструктуре
• Частота ложных срабатываний
• Возможность отката назад или
пересмотра статуса угрозы (например,
для вылеченного сайта)
70. Кто смотрит на ретроспективу?
• Как определить, что индикатор
компрометации все еще актуален?
• Я не знаю практически ни одного
источника/сервиса TI, который бы
поддерживал в актуальном состоянии
данные об индикаторах
компрометации
Отсутствие ретроспективной аналитики
Пусть хотя бы будет дата последней
активности
71. Помните, что С в IoC означает
прошлое время! Оперативно
отслеживайте источники IoCов
73. Текущий рынок Threat Intelligence
• Крупные производители средств защиты имеют
собственные процессы/подразделения Threat
Intelligence
• Например, покупка ThreatGRID компанией Cisco или
AlienVault компанией AT&T
• Существуют самостоятельные компании,
предоставляющие услуги Threat Intelligence всем
желающим
• IQRisk, ETPro, ThreatStream
• Существуют открытые источники Threat
Intelligence
• Развиваются отраслевые/государственные
центры обмена информацией Threat Intelligence
• Например, ISAC в США
80. Adversarial Tactics, Techniques & Common
Knowledge (ATT&CK)
• Систематизированный набор данных о техниках,
тактиках и процедурах, используемых
злоумышленниками
• 10 тактик = 200 техник с подробным описанием в
формате Wiki
• «Корпоративная» версия матрицы рассчитана на
Windows, Linux и MacOS
• Разработана «Мобильная» версия
• Готовится версия для АСУ ТП
82. Принципы ATT&CK
• Обнаружение компрометации в реальном
времени, а не пост-фактум
• Фокус на поведении, а не статических
правилах
• Моделирование угроз
• Динамичный дизайн
• Реалистичное окружение
83. От ATT&CK к CAR
• Какие известные
нарушители (в базу CARET
входит множество
известных групп - Lazarus,
Cobalt, APT28, APT3 и т.п.)
могут быть детектированы
или не детектированы?
• Какие методы защиты могут
детектировать конкретные
техники злоумышленников
или конкретные хакерские
группы?CARET – Cyber Analytics Repository Exploration Tool
84. От ATT&CK к CAR
Как бороться с Lazarus или Dragonfly? CARET даст ответ
• Какие данные
требуются для ваших
методов защиты?
• Какие инвестиции надо
сделать для борьбы с
определенными
нарушителями или
методами атак?
85. От TTP к кампаниям
• Adversary Emulation
Plan – набор
документов
описывающие
последовательности
TTP, используемые
разными хакерскими
группировками в
рамках различных
кампаний
• Хороший инструмент
для создания
собственных Red
Team
96. Откуда мы получаем данные о группировках?
https://www.fireeye.com/current-threats/apt-groups.html
97. Вас атакует «Срущий слон»!
Fancy Bear Deep Panda Charing Kitten Crouching Yeti Epic Turla DarkHotel
А также «Ливийские скорпионы», «Пыльная буря», «Хищная панда», «Тропический
кавалерист», «Ночной дракон», «Цветочная леди», «Ледяной туман», «Панда со
скрипкой», «Обрезанный котенок», «Шакал повстанцев», «Скрытый ястреб», «Летучий
кедр»…
98. Откуда берутся имена группировок?
• Где вы больше себя чувствуете
героем – борясь с неизвестной
группой лиц, группой APT28 или
«Скрытой коброй»?
• Имя должно быть забавным,
эмоциональным, мифологическим,
секретным
• Никакой стандартизации
103. Методы атрибуции обычно применяются
в совокупности
• Место регистрации IP-адресов и доменов, участвующих в
атаке, или предоставляющих инфраструктуру для реализации
атаки
• Трассировка атаки до ее источника
• ВременнЫе параметры
• Анализ программного кода, в котором могут быть найдены
комментарии, ссылки на сайты, домены, IP-адреса, которые
участвуют в атаке
• Изучение «почерка» программистов
104. Методы атрибуции обычно применяются
в совокупности
• Стилометрия (изучение стилистики языка в комментариях и
иных артефактах)
• Обманные системы (honeypot)
• Анализ активности на форумах и в соцсетях
• Анализ постфактум (продажа украденной информации…)
• Оперативная разработка
105. Одиночные «доказательства» русского
следа
• Хакеры действовали из часового пояса, в котором находится
Москва
• Хакеры действовали в то время, когда в Москве рабочие часы
• Хакеры действовали с IP-адресов, зарегистрированных в
России
• Хакеры использовали сервисы, у которых был русскоязычный
интерфейс
108. В чем смысл TIP?
Исследователь находит новое ВПО в
файле Word в рамках целевого фишинга
– известен хеш файла
7c47ff87c0frca93e135c9acffee48d3f
– песочница показывает еще и C2
Запросу в TIP показывает, что тот же
файл/C2 был использован ранее
специфической хакерской группой X
Группа X использует различные хакерские форумы, известные IRC-сервера,
семплы ВПО, URL и C2
Проверка известных мест «тусовки» группы Х и обнаружение использования ими
новых IoС, которые загружаются в TIP и находятся следы других заражений
109. Коммерческие решения vs open source
позволяют собирать индикаторы
компрометации из различных
коммерческих и бесплатных, закрытых
и открытых, государственных и
частных источников,
классифицировать их и производить с
ними различные операции, включая и
выгрузку в средства защиты и системы
мониторинга (SIEM)
TI-платформы
MITRE CRiTs
IT-ISAC на базе Anomali ThreatStream
110. Перечень open source TI-платформ
Название Владелец Сайт
Collaborative Research Into
Threats (CRITs)
MITRE https://crits.github.io/ https://github.com/crits
Collective Intelligence
Framework (CIF)
CSIRT Gadgets Foundation http://csirtgadgets.org/
https://github.com/csirtgadgets
GOSINT Cisco https://github.com/ciscocsirt/GOSINT
https://gosint.readthedocs.io/en/latest/
MANTIS Cyber Threat
Intelligence Management
Framework
SIEMENS https://django-mantis.readthedocs.io/en/latest/
https://github.com/siemens/django-mantis
Malware Information Sharing
Platform (MISP)
CIRCL http://www.misp-project.org/
https://github.com/MISP
https://www.misp-project.org/communities/
MineMeld PaloAlto Networks https://www.paloaltonetworks.com/product
s/secure-the-network/subscriptions/minemeld
https://github.com/PaloAltoNetworks/minemeld
Yeti Yeti https://yeti-platform.github.io/
https://github.com/yeti-platform
111. Перечень TI-community
Название Владелец Сайт
Open Threat Exchange
(OTX)
AlienVault https://www.alienvault.com/open-threat- exchange
ThreatExchange Facebook https://developers.facebook.com/products/t hreat-
exchange
X-Force Exchange IBM https://exchange.xforce.ibmcloud.com/
Платформа обмена
данными
Ассоциация банков
«Россия» / BI.ZONE
https://asros.gti.bi.zone/
ФинЦЕРТ* Банк России
ГосСОПКА** ФСБ
* - планируется автоматизировать обмен данными между участниками через создаваемую АСОИ
** - вообще ничего не понятно
112. Facebook тоже вышел на рынок Threat
Intelligence
11 февраля 2015 года!
http://threatexchange.fb.com/
113. Популярный Maltego
• Maltego – open source решение для
анализа данных, полученных из
разных источников, и связей между
ними
• Canari Framework –
инфраструктура, позволяющая
более эффективно использовать
Maltego
• Malformity – Maltego-проект,
базирующийся на Canari, для
проведения исследования
вредоносного кода и др.
114. Платформы Threat Intelligence
https://www.threatgrid.com
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированые данные
• Приватная маркировка
• Облако или on-premise
• Индикаторы компрометации
• Интеграция с различными SIEM
https://www.iocbucket.com
Возможности:
• Редактор IOC (индикаторов компрометации)
• Поддержка YARA и OpenIOC
• Обмен IOC
• Бесплатная
• Готовится сервис фидов (коммерческих и
бесплатных)
• Готовится поддержка TAXII
115. Платформы Threat Intelligence
https://www.threatstream.com
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированные данные
• Приватная маркировка
• Интеграция с различными поставщиками фидов
• Гибкость
• Работа на мобильных платформах (Apple Watch)
• Интеграция с различными SIEM
http://csirtgadgets.org/collective-intelligence-framework/
Возможности:
• Open source платформа
• Собирает данные из различных источников,
поддерживающих стандарт CIF
• Позволяет идентифицировать инциденты
• Может формировать правила для IDS
• Есть фиды и API
116. Платформы Threat Intelligence
https://www.threatconnect.com
6 уровней:
• Индивидуальный
• Базовый
• Команда
• Предприятие
• MSSP
• ISAC/ISAO
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированые данные
• Приватная маркировка
• Облако или on-premise
• Тактический / стратегический
https://crits.github.io
Платформа open source от MITRE
• Использует другие open source решения, объединяя их вместе
• Анализ и обмен данных об угрозах
• Изолированная или разделяемая архитектура
117. Особенности TIP на примере BI.ZONE
• Хранение IoC
• Поиск / фильтрация IoC
• Атомарные IoC (без TTP)
• Небольшое количество источников TI
• Проведение анализа IoC - частично
• Автоматизация передачи IoC в
средства защиты - нет
• Отслеживание актуальности IoC - нет
125. У меня есть фиды (IoC) и что дальше?
Фиды
«Yara»
SIEM
СрЗИ
Руки
J
126. Средства для поиска угроз на базе IoC
• Yara
• PowerShell
• AutoRuns – Utility
• Loki
• Wireshark – tshark
• ...
127. Threat Intelligence API
• Большое количество угроз и непредсказуемость времени их получения
требует автоматизации процесса Threat Intelligence и его интеграции с
существующими решениями класса SIEM или SOC
• Автоматизация может быть достигнута за счет API / SDK, который сможет
• Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat
Intelligence, включая платформы TI
• Поддержка различных языков программирования
• Go и Ruby
• Java и .NET
• Perl и PHP
• Powershell и Python
• RESTful
• WSDL и SOAP
128. API для автоматизации процесса
VirusTotal
https://www.virustotal.com/en/documentation/public-api/
• Загрузка и сканирование файлов
• Загрузка и сканирование URL
• Получение отчетов
ThreatGRID
Широкие возможности по загрузке и получении ответа
• Артефакты (хэш, путь)
• URL
• Ключ реестра
• Домен / имя узла
• IP
• IOC
• Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)
129. API для автоматизации процесса
OpenDNS
Анализ DNS/IP-адресов на предмет их вредоносности
BI.ZONE
Широкие возможности по загрузке и получении ответа
• Артефакты (хэш, путь)
• URL
• Домен / имя узла
• IP
• И др.
133. • Описание различных проблем с ИБ
• CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак
• CCE (http://cce.mitre.org/) - описание конфигураций
• CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными
средствами защиты (аналог SDEE/RDEP)
• CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры
• CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей
• CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей
• CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО
• MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME
• MARF (http://datatracker.ietf.org/wg/marf/documents/)
• OVAL (http://oval.mitre.org/) - язык описания уязвимостей
• CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки
защищенности
Стандарты Threat Intelligence
134. • Признаки компрометации (Indicators of Compromise) и информация о
нарушителях и хакерских кампаниях
• OpenIOC (http://openioc.org) - преимущественно хостовые признаки
• CybOX (http://cybox.mitre.org)
• OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox)
• STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей
• IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется
• RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга
• IODEF-SCI – расширение IODEF для добавления дополнительных данных
• VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon
• x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях
Стандарты Threat Intelligence
135. • Обмен информацией
• TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX
• VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA
• SecDEF – европейский стандарт ENISA
• CAIF (http://www.caif.info) - европейский стандарт
• DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт
• IODEF
• RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики
• MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX,
IODEF, STIX и TAXII в единое целое
• RFC 5941 – обмен информацией о мошенничестве (фроде)
• MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного
кода
Стандарты Threat Intelligence
136. • Разное
• TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг
распространения информации
• CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и
нейтрализовать угрозы путем генерации правил для Snort, iptables и др.
Стандарты Threat Intelligence
138. Как классифицируются индикаторы
компрометации (TLP)?
Цвет Значение
Red Recipients may not share TLP: RED information with any parties
outside of the specific exchange, meeting, or conversation in
which it is originally disclosed.
Amber Recipients may only share TLP: AMBER information with
members of their own organisation who need to know, and only
as widely as necessary to act on that information..
Green Recipients may share TLP: GREEN information with peers and
partner organisations within their sector or community, but not via
publicly accessible channels.
White TLP: WHITE information may be distributed without restriction,
subject to copyright controls.
139. Использование протокола TLP для
обмена информацией об угрозах
NSIE
ONA
DSIE
US-CERT
CISCP
ANTI-S Crimeware
Cisco
SIO
Mandiant
Cisco
CSIRT
ISAC
141. Обмен информацией об угрозах
• Тема не нова
Сигнатуры, черные списки, базы репутаций
Обычно неструктуировано и ориентировано на работу с
человеком
• Нужно M2M-взаимодействие
STIX / TAXII
📨
153. Но не сильно рассчитывайте на
регуляторов
t12 мая 13 мая 15 мая 17 мая 19 мая
WannaCry
US-CERT
DHS
CERT-EU
ICS-CERT
FTC
АНБ
ABA
ENISA
2 июня
NCCIC
ФБР
NCSC
SEC
ЦБ
155. Искать ли новые источники TI или
оставить используемые сейчас?
• Какое соотношение получаемых извне IoC с теми, которые
применялись в компании за отчетный период?
Ответ на этот вопрос помогает понять, насколько вообще внешние источники
помогают вашей организации в обнаружении атак и инцидентов?
• Какие источники TI наиболее релевантны для организации?
Это предыдущий показатель применительно к каждому внешнему источнику
• Число индикаторов, полученных от внешнего источника TI с
учетом их полезности для организации (полезно при
принятии финансовых решений о продлении контракта на TI)
🎯
156. Искать ли новые источники TI или
оставить используемые сейчас?
• Соотношение количества угроз, пришедших по каналам TI, и
не обнаруженных за счет внутренних возможностей
(фишинговые сайты, украденные логины/пароли, сайты-
клоны и т.п.)
• Какое количество получаемых извне IoC применялось в
компании?
Может оказаться вообще, что индикаторы компрометации вы получаете, но не
используете, потому что руки не доходят или не знаете, как автоматизировать
процесс интеграции внешних источников с вашими средствами защиты/анализа
• Сколько IoC, сформированных службой TI, помогло отразить
инциденты в организации (например, на МСЭ, IPS, рутерах и
т.п.)?
• Распределение полученных IoC по типам и соотношение их с
типами угроз внутри организации
🎯
157. Искать ли новые источники TI или
оставить используемые сейчас?
• Сколько playbook было создано/обновлено и использовано
группой по реагированию на инциденты на основе IoC,
сформированных службой TI?
• Динамика снижения числа ложных срабатываний средств
защиты после обогащения сигналов тревоги данными от
службы TI
• Снижение времени (ускорение) на расследование инцидента
и реагирование на него за счет обогащения данных об
инцидентах данными от службы TI
• Соотношение количества обнаруженных угроз средствами
защиты организации с данными от службы TI и без них
(например, голый IDS в сравнении с IDS + TI или IDS + TI +
SIEM)
🎯
158. Искать ли новые источники TI или
оставить используемые сейчас?
• Количество самостоятельно обнаруженных и отреверсенных
вредоносов по сравнению с традиционными антивирусными
программами (если это функция TI)
• Количество подготовленных бюллетеней по
акторам/угрозам/кампаниям, которые имели отношение к
предприятию; особенно тех бюллетеней, которые описывают
угрозы, направленные именно на само предприятие, а не
веерные угрозы
• Количество подготовленных бюллетеней, направленных в
ФинЦЕРТ/ГосСОПКУ/иным внешним лицам (если стоит
задача awareness и обучения отрасли/индустрии)
• Участие в стандартизации вопросов обмена информацией об
угрозах (если такая тема актуальна для организации)
🎯
159. Пример дашборда по TI в Cisco
Копировать чужие дашборды бессмысленно – вы должны ответить на вопрос:
«Что нужно именно вам?»
161. Инфраструктура под
расследованием
Меры защиты и
восстановления
Системы коммуникаций и
взаимодействия
РасследованиеМониторинг и
реагирование
Обогащение/TI
Телеметрия и
другие
источники
Решения провайдеров
по ИБ
Управление
сервисами
Security Analytics
Suite
AV Intel
Providers
Cloud
Infra
Service
Provider
Solutions
Digital
Forensics
Tools
Security Case
Management
Enrichment
Providers
Threat Intel
Providers
Платформы для разведки
Threat
Intelligence
Malware
Analysis
Knowledge
Base
Log
Management
Native Logs
Cyber Security
Controls
Wiki
Comm &
Collab Apps
Internal Infra
Ticketing
Training
Platforms
Physical Security
Controls
Sensor
Telemetry
Other Data
Sources
162. С чего начать?
• Какие инциденты были самыми популярными у вас
за прошедший год?
Программы-вымогатели, фишинг, вредоносное ПО, DDoS?
• Какие типы нарушителей были самыми
популярными у вас за прошедший год?
Киберпреступники, инсайдеры?
• Начните строить TI с этих типов угроз и
нарушителей
• Используйте open source источники и платформы
TI
🔬
163. А можно предсказывать угрозы?
Оптимизация
Информация
Взгляд в прошлое
Взгляд в будущее
В поле зренияОписательная
аналитика
Что
случилось?
Диагностическая
аналитика
Почему это
случилось?
Предсказательная
аналитика
Что
случится?
Предписывающая
аналитика
Что я должен
сделать?
Сложность
Ценность
164. Опыт Cisco: комбинируйте методы
обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования
165. Не покупайте Threat
Intelligence только потому,
что так делают все/многие!
Тоже самое относится к SOCам, UEBA, EDR, CASB, SOAR и другим
новомодным аббревиатурам и технологиям
166. Выводы
• Система Threat Intelligence как никогда важна в текущих
условиях для каждой организации, отрасли, государства
• Система Threat Intelligence должна стать неотъемлемой
частью эффективного системы ИБ на предприятии
• Сегодня есть все возможности, ресурсы и инструменты
для создания такой системы
• Стандартизация и автоматизация (включая обновления)
– ключ к эффективной системе Threat Intelligence
• Система Threat Intelligence не «висит в воздухе» –
необходимо создание целой инфраструктуры для ее
эффективного функционирования
👩🚒