Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

От разрозненных фидов к целостной программе Threat intelligence

1,157 views

Published on

Презентация, посвященная процессу Threat Intelligence - от разрозненных фидов до стратегического TI, анализа кампаний и атрибуции киберпреступников

Published in: Technology
  • Be the first to comment

От разрозненных фидов к целостной программе Threat intelligence

  1. 1. Бизнес-консультант по безопасности Алексей Лукацкий От разрозненных фидов к к целостной программе Threat Intelligence: пошаговая инструкция
  2. 2. Среднее время необнаружения Bitglass 205 Trustwave 188 Mandiant 229 Ponemon 206 HP 416 Symantec 305 Cisco 200
  3. 3. Почему? • 98% всех технологий ИБ реактивны • 97% всех технологий ИБ базируется на сигнатурном подходе • Современные угрозы полиморфны💊
  4. 4. Жизненный цикл обнаружения угроз 4 Новые методы обнаружения (сигнатуры, правила, ИИ) Получение сигналов тревоги Приоритезация сигналов Реагирование Большинство вендоров фокусируется только тут и увеличивает число сигнатур атак
  5. 5. Как улучшить ситуацию с обнаружением угроз? 5 Повысить качество обнаружения • Снижение ложных срабатываний • Сдвиг от обнаружения эксплойтов • Использование разных поставщиков методов обнаружения • Новые методы обнаружения • Новые источники данных • Ретроспектива • Один источник – несколько инструментов анализа (IDS, SIEM, IOC) Быстрее обнаруживать • Собственная лаборатория • Обмен информацией об угрозах • Ловушки • Анализ инфраструктуры злоумышленников • Разные места установки • Улучшение методов уведомления об угрозах Быстрее создавать методы обнаружения • Автоматизация создания сигнатур на стороне потребителя • Автоматизация создания сигнатур на стороне вендора Быстрее доставлять методы обнаружения • Распределенные центры обновлений (облака) • Изменение частоты обновления
  6. 6. Threat Intelligence
  7. 7. Как обычно воспринимается TI? • Threat Intelligence – знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба • Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.
  8. 8. Одного понимания мало – нужно принятие решений • Intelligence – это информация, используемая для принятия решений • Threat Intelligence – это информация о нарушителях, которая используется для принятия решений☝
  9. 9. Что такое Threat Intelligence • TI – это не про доступ к фидам с индикаторами. Это про понимание возможностей атакующих вас • TI – это дисциплина, позволяющая иметь основанные на доказательствах знания, в том числе, контекст, механизмы, индикаторы, а также практические рекомендации, о существующей или потенциальной угрозе для активов, которые могут быть использованы для принятия решения относительно реакции на угрозу или опасность Gartner 🔍
  10. 10. Что делает intelligence плохой или хорошей? • Осуществимость: Мы можем принять решения на ее основе? • Уверенность: Насколько вероятно, что это произошло? • Своевременность: Мы можем нивелировать ущерб? 🔍
  11. 11. Что делает intelligence плохой или хорошей? • Осуществимость: Можем заблокировать порт 1434! • Уверенность: Многие с этим столкнулись! • Своевременность: Мы можем предотвратить ущерб • Осуществимость: Что это за адрес? • Уверенность: Что это за адрес? • Своевременность: Что это за адрес?
  12. 12. От сырых данных к intelligence U.S. Department of Defense’s Joint Publication 2-0: Joint Intelligence
  13. 13. IP без (или с неверным) контекста… 8.8.8.8
  14. 14. IP с контекстом…лучше Хеши MD5 вложения: b4fe7224da594703e78d62d9cb85c5f4c3a00 c36ea51040c3a10c557154bc7b15b9acbcd6 5555398a7e3fd0f0a389cf9582b75b4f8855d be555bff080c57808aBe699ba4855340adf5c 9d7092e9df08b Внешние URL из текста письма: hxxp://internetz1[.]com/03/39.exe hxxp://gggrp[.]com/03/59.exe hxxp://fefg[.]com/03/39.exe hxxp://woofe[.]com/03/39.exe hxxp://contestswin[.]net/03/39.exe Хеши MD5 содержимого: 5e91af2e44c17de55134ff935c0f30f1 C2: 130.0.133[.]35 ВПО: Dridex Имя файла-вложения: RZZA3440.doc
  15. 15. От сырых данных к анализу
  16. 16. Зачем и кому нужна TI? Реагирование на инциденты Поиск угроз (Threat Hunting) Мониторинг безопасности Анализ вредоносного кода Обнаружение вторжений
  17. 17. Threat Intelligence в Threat Hunting
  18. 18. Если обнаружение не помогло. Threat Hunting 18 Формулируем гипотезу Ищем в инфраструктуре Найдено? Расширяем поиски Реагирование Новые методы обнаружения (сигнатуры, правила, ИИ) Не найдено? Начинаем с начала
  19. 19. Как это может выглядеть? Вы пока еще ничего не знаете, но формулируете гипотезу! Для подтверждения или опровержения гипотезы вы загружаете IoC в систему Threat Hunting
  20. 20. Как это может выглядеть?
  21. 21. Как это может выглядеть?
  22. 22. Как это может выглядеть? Гипотеза подтвердилась! У вас одна жертва внутри сети!
  23. 23. Как это может выглядеть?
  24. 24. Как это может выглядеть?
  25. 25. Threat Intelligence в расследовании инцидентов
  26. 26. 300065-INV-WSA-INTEL: 15 Day Historical Search for URL Indicators Objective: This report leverages actionable intelligence (specifically URL indicators) gathered from various sources to detect social engineering attacks, cyber crime, DDoS attacks, advanced/multi-stage attacks, and many other types of threats. Working: index=wsa earliest=-15d latest=-24h [inputlookup crits_amber_last_24hours.csv | where NOT like(confidence, "benign") | eval cs_url=indicator+"*" | fields cs_url] | `Intel-WSA-Output- Format(intel-url-amber)` Analysis: Analyse the meta data available for this log source: is there a high event count for a single host? Are the source/target ports suspicious or typically vulnerable? What is the locality of the target and source? Etc. Each indicator comes from a particular source and a specific reference. At times it will be useful to have this information to understand what kind of attack the indicator was involved in and how the indicator was actually used in the attack. Reference: wiki/9ADYAg, bugzilla: 9755
  27. 27. Визуализация скрытых связей • Облачный сервис Threatcrowd.org позволяет организовать поиск взаимосвязей между IoC: • IP-адреса • Доменные имена • Хеши файлов • Имена файлов • Аналогичную задачу можно реализовать с помощью OpenDNS, Maltego, VirusTotal Graph, а также OpenGraphitti
  28. 28. Визуализация скрытых связей Библиотека OpenGraphitti (open source)
  29. 29. Применение IoC при анализе внешнего и внутреннего окружения https://www.virustotal.com/#/graph-overview Cisco Visibility • Анализ без привязки к внутренней инфраструктуре и скомпрометированным узлам • Анализ с привязкой к внутренней инфраструктуре и скомпрометированным узлам за счет доступа к данным от средств защиты
  30. 30. Threat Intelligence в обнаружении атак
  31. 31. Атомарные индикаторы для IPS/NGFW
  32. 32. Атомарные индикаторы для IPS/NGFW
  33. 33. Threat Intelligence в мониторинге
  34. 34. Как это может выглядеть в SOC?
  35. 35. Как выстроить программу TI?
  36. 36. 5 этапов процесса Threat Intelligence Планирование Сбор Обработка и анализ Распространение информации Разбор полетов • Зачем нам Threat Intelligence? • Какие у нас требования? • Кто (нарушитель) может атаковать нас (модель нарушителя)? • Нюансы (геополитика, отрасль…) • Своя или внешняя система Threat Intelligence? • Что может провайдер TI (источники)? • Возможности провайдера стыкуются с вашими потребностями? • Кто внутри вас будет общаться с провайдером и как? • Как «сырые» данные превратятся в TI? • Платформа для обработки и анализа? • Кто проводит анализ? • Кому можно распространять информацию? На каких условиях? • Какие стандарты используются для распространения? • Когда распространять информацию? • Какие действия необходимо произвести на основании полученных данных? • Как взаимодействовать со средствами защиты?
  37. 37. 4 уровня Threat Intelligence
  38. 38. Категории/уровни Threat Intelligence • Инструменты • Артефакты • Индикаторы • Кампании • Тактика • Техника • Процедуры • Атрибуция • Цели • Стратегия Стратегический Тактический ТехническийОперационный Долгосрочные Краткосрочные Менее детальные Более детальные
  39. 39. Карты атак бесполезны? Не всегда https://lukatsky.blogspot.com/2014/07/blog-post.html
  40. 40. Уровни Threat Intelligence Стратегический Операционный Тактический Технический Улучшают возможности SOC/NOC и других специалистов по ИБ реагировать, обнаруживать или предотвращать кибератаки Улучшают возможности CIO/CISO/CTO в использовании ИТ/ИБ в защите и реагировании Улучшают принятие решения относительно киберрисков на уровне CRO, CEO, Правления и др. Описывают индикаторы для вредоносной активности
  41. 41. Дополнительные преимущества Затраты Зрелость TI или как все реализуют TI Уровень Наличие плана / программы Ответственный персонал Тип Threat Intelligence 1 Нет плана ИТ-специалисты Технический 2 Зачатки плана ИБ-специалисты Технический 3 Хороший план ИБ-специалист с фокусом на TI + Тактический 4 Отличный план Специалист по TI + Операционный 5 Идеальный план Группа по TI + Стратегический
  42. 42. Источники Threat Intelligence
  43. 43. Откуда можно брать данные TI? • Открытые источники фидов • Частные (закрытые) источники фидов • Социальные сети • Twitter • Сайты и блоги исследователей • Youtube • Deep Web / Darknet 🔍
  44. 44. Откуда мы получаем данные об угрозах?
  45. 45. Вы доверяете своему вендору? 16 апреля 2015 года http://www.zdnet.com/article/pal o-alto-networks-mcafee- websense-gateway-systems- allow-malicious-traffic-to-slip- through-the-net/ Дело СОВСЕМ не в названиях компаний, проблема в методологии
  46. 46. Риски получения данных об угрозах из одного источника • Получение информации с ошибками • Отсутствие или исчезновение информации на конкретные угрозы • Отсутствие учета вертикальной или страновой специфики • Смена политики лицензирования • Смена собственника • Поглощение компании-разработчика • Сотрудничество со спецслужбами • Санкции…
  47. 47. Может увеличить число источников?
  48. 48. Cisco Systems Free / Open Source Государство ISAC Коммерчес- кие Частные Внутренние Откуда служба ИБ Cisco берет данные Threat Intelligence?
  49. 49. Сколько источников нужно?
  50. 50. 3rd party тоже не панацея. Оцените риски!
  51. 51. TI – это не только структурированная информация Кто будет читать неструктурированную информацию?
  52. 52. Анализ злоумышленников без анализа Darknet / Deep Web?
  53. 53. Не все разработчики СЗИ знают о новых угрозах4% всего контента 96% всего контента Tor I2P Freenet Gigatribes RetroShare Tribler GNUNet OneSwarm ZeroNet Syndie
  54. 54. Биржи скупки инсайда
  55. 55. Критерии выбора TI-источников 1. Автоматизация 2. Интеграция и интероперабельность 3. Частота обновлений 4. Обогащение метаданными 5. Рейтинг сложности 6. Покрытие 7. Видимость Darknet 8. Аккуратность в геолокации 9. Число и спектр источников 10.Качество ✅
  56. 56. Что дают источники? Фиды!
  57. 57. TTP Инструменты Сетевые / хостовые артефакты Доменные имена IP-адреса Хеши Тривиально Элементарно Просто Раздражающе Сложно Тяжело Пирамида боли Дэвида Бьянко
  58. 58. Адреса IPv4 Домены / FQDN Хэши (MD5, SHA1) URL Транзакционные (MTA, User- Agent) Имя файла / путь Mutex Значение реестра Имена пользователей Адреса e-mail Распространенные типы IoC
  59. 59. Фиды Threat Intelligence • Фиды (feeds) – способ представления данных об угрозах • Поддержка различных языков программирования и форматов данных • JSON • XML • CyBOX • STiX • CSV • И другие
  60. 60. Этапы зрелости использования фидов Эпизодическое применение фидов Регулярное использование отдельных ресурсов с фидами Использование платформы TI Использование API для автоматизации Обмен фидами
  61. 61. Вы помните сколько источников IoC у службы ИБ Cisco?
  62. 62. Источники фидов http://atlas.arbor.net/ Инициатива Arbor ATLAS (Active Threat Level Analysis System) • Глобальная сеть анализа угроз (обманные системы) • Информация берется от обманных систем (honeypot), IDS, сканеров, данных C&C, данных о фишинге и т.д. • Публичная информация о Топ10 угрозах • Для доступа к некоторым данным требуется регистрация http://www.spamhaus.org Проект для борьбы со спамом • Поддерживает различные базы данных (DNSBL) с данными по угрозам (IP-адреса) – спамеры, фишеры, прокси, перехваченные узлы, домены из спама • Реестр ROKSO с самыми известными спамерами в мире • Проверка и исключение своих узлов из «черных списков»
  63. 63. Источники фидов https://www.spamhaustech.com SpamTEQ – коммерческий сервис Spamhaus • Фиды по репутациям IP- и DNS-адресов • Ценовая политика зависит от типа организации и типа запрашиваемых данных • Годовой абонемент https://www.virustotal.com Проект для борьбы со спамом • Проверка файлов и URL на вредоносность • Бесплатный сервис • Система поиска
  64. 64. Источники фидов https://www.threatgrid.com Фиды по сетевым коммуникациям • IRC, DNS, IP • Россия и Китай • Сетевые аномалии • RAT и банковские троянцы • И др. https://www.alienvault.com/open-threat-exchange Открытое community по обмену информацией об угрозах • IP- и DNS-адреса • Имена узлов • E-mail • URL и URI • Хеши и пути файлов • CVE-записи и правила CIDR Форматы: • JSON • CyBOX • STiX • CSV • Snort • Raw
  65. 65. Источники фидов https://www.cisco.com/security IntelliShield Security Information Service • Уязвимости • Бюллетени Microsoft • Сигнатуры атак Cisco • Web- и обычные угрозы • Уязвимые продукты (вендор-независимый) http://www.malwaredomains.com Проект DNS-BH (Black Holing) • Обновляемый «черный» список доменов, участвующих в распространении вредоносного кода • Список доступен в формате AdBlock и ISA
  66. 66. Какие еще источники фидов есть? IOC • Abuse.ch • Blocklist.de • CleanMX • EmergingThreats • ForensicArtifacts • MalwareIOC • Nothink • Shadowserver DNS • ISC DNSDB • BFK edv- consulting Вредоносное ПО • VirusShare.com
  67. 67. Перечень публичных источников фидов • www.dragonresearchgroup.org • isc.sans.edu • www.malc0de.com • www.malwaredomains.com • www.nothink.org • www.openbl.org • www.projecthoneypot.org • www.shadowserver.org • www.trustedsec.com • reputation.alienvault.com • security-research.dyndns.org • siteinspector.comodo.com • www.abuse.ch • support.clean-mx.de • urlblacklist.com • virbl.org • www.mirc.com • www.nothink.org • www.openbl.org • vxvault.siri-urz.net • www.alexa.com • www.autoshun.org • www.blocklist.de • www.ciarmy.com • www.dnsbl.manitu.net • www.malwareblacklist.com • www.malwaredomainlist.com • www.spamhaus.org • www.threatexpert.com https://github.com/hslatman/awesome-threat-intelligence
  68. 68. А еще? • CrowdStrike • Dshield • Emerging Threat • FarSight Security • Flashpoint Partners • IOCmap • iSightPartners • Microsoft CTIP • Mirror-ma.com • ReversingLabs • SenderBase.org • ShadowServer • Threat Recon • Team Cymru • Webroot • ZeusTracker • И другие
  69. 69. На что обратить внимание при выборе фидов? • Тип источника • Уровни представления информации • Широта охвата • Число записей • Языковая поддержка/покрытие • Доверие к источнику (популярность и отзывы) • Оперативность/частота предоставления фидов • Платность • Формализованность представления информации • Возможность автоматизации • Соответствие вашей инфраструктуре • Частота ложных срабатываний • Возможность отката назад или пересмотра статуса угрозы (например, для вылеченного сайта)
  70. 70. Кто смотрит на ретроспективу? • Как определить, что индикатор компрометации все еще актуален? • Я не знаю практически ни одного источника/сервиса TI, который бы поддерживал в актуальном состоянии данные об индикаторах компрометации Отсутствие ретроспективной аналитики Пусть хотя бы будет дата последней активности
  71. 71. Помните, что С в IoC означает прошлое время! Оперативно отслеживайте источники IoCов
  72. 72. Рынок услуг TI
  73. 73. Текущий рынок Threat Intelligence • Крупные производители средств защиты имеют собственные процессы/подразделения Threat Intelligence • Например, покупка ThreatGRID компанией Cisco или AlienVault компанией AT&T • Существуют самостоятельные компании, предоставляющие услуги Threat Intelligence всем желающим • IQRisk, ETPro, ThreatStream • Существуют открытые источники Threat Intelligence • Развиваются отраслевые/государственные центры обмена информацией Threat Intelligence • Например, ISAC в США
  74. 74. Российских игроков на этом рынке нет! Пока нет?
  75. 75. Российские поставщики TI • Group-IB • BI.ZONE • Лаборатория Касперского • ФинЦЕРТ • ГосСОПКА 🚑
  76. 76. А что ГосСОПКА? • Публикация на сайте ежемесячно • Ответ в течение 5 дней на запрос в НКЦКИ • Запрос в ФСБ
  77. 77. От фидов к TTP
  78. 78. TTP = Techniques, Tactics, Procedures TTP Цели Инструменты Инфраструктуры Kill Chain
  79. 79. Онтология элементов TTP Тактика Техника Процедура Шаг процедуры Нарушитель Команда (с аргументами) Индикатор Инструмент используется в используется в используется в используется в используется в использует использует использует использует использует реализует реализует реализует используется в
  80. 80. Adversarial Tactics, Techniques & Common Knowledge (ATT&CK) • Систематизированный набор данных о техниках, тактиках и процедурах, используемых злоумышленниками • 10 тактик = 200 техник с подробным описанием в формате Wiki • «Корпоративная» версия матрицы рассчитана на Windows, Linux и MacOS • Разработана «Мобильная» версия • Готовится версия для АСУ ТП
  81. 81. Матрица ATT&CK
  82. 82. Принципы ATT&CK • Обнаружение компрометации в реальном времени, а не пост-фактум • Фокус на поведении, а не статических правилах • Моделирование угроз • Динамичный дизайн • Реалистичное окружение
  83. 83. От ATT&CK к CAR • Какие известные нарушители (в базу CARET входит множество известных групп - Lazarus, Cobalt, APT28, APT3 и т.п.) могут быть детектированы или не детектированы? • Какие методы защиты могут детектировать конкретные техники злоумышленников или конкретные хакерские группы?CARET – Cyber Analytics Repository Exploration Tool
  84. 84. От ATT&CK к CAR Как бороться с Lazarus или Dragonfly? CARET даст ответ • Какие данные требуются для ваших методов защиты? • Какие инвестиции надо сделать для борьбы с определенными нарушителями или методами атак?
  85. 85. От TTP к кампаниям • Adversary Emulation Plan – набор документов описывающие последовательности TTP, используемые разными хакерскими группировками в рамках различных кампаний • Хороший инструмент для создания собственных Red Team
  86. 86. От TTP к кампаниям
  87. 87. Свежий пример анализа кампании
  88. 88. Атрибуция в стиле «Highly Likely»
  89. 89. Кампании Кампании Попытки вторжения TTP
  90. 90. Как от отдельных фидов и TTP перейти к кампаниям? • Группирование По Kill Chain По Diamond Model • Каждая фаза KC имеет 4 индикатора по DM
  91. 91. Resource development Maintain/expand Target access Deny AccessIntent ExploitationReconnaissance Staging Delivery Target ID Detection avoidance Establish/modify Network infrastructure C2 Extract Data Manipulate Reconnaissance Installation Actions on ObjectiveDelivery C2Weaponization Exploitation Intent Staging EffectEngagement ManeuverDevelopment Reconnaissance Configure C2 Reconnaissance Exploitation EffectIntent Development Delivery ManeuverStaging C2Configure Preparation Engagement Presence Effect/Consequence Prepare Propagate EffectAdminister Engage Compromise EffectsAdministration Targeting Propagation ErrorEnvironmental threat MisuseHacking SocialMalware Physical threat Situational awareness Foot printing Enumeration Privilege escalation Scanning Covering tracks Gain access (exploitation) Creating Backdoors Концепция kill chain не единственная STIXTM NSA 10 Step Lockheed Martin Kill Chain ® ALA CNE NSA VERIS Categories of Threat Actions JCAC Exploitation
  92. 92. Откуда мы получаем данные о кампаниях? https://apt.securelist.com/
  93. 93. От кампаний к атрибуции нарушителей
  94. 94. Хактивисты Инсайдеры Хакеры на службе государства Киберкриминал 4 основных типа злоумышленников ЦРУ – Vault 7 АНБ – Shadow Brokers / Equations Hacking Team PLA APT28 / *** Bears Lazarus BlackEnergy Anonymous WikiLeaks Меннинг Сноуден Cobalt Lurk Carberp Corkow Buhtrap
  95. 95. Что у нас с атрибуцией нарушителя?
  96. 96. Откуда мы получаем данные о группировках? https://www.fireeye.com/current-threats/apt-groups.html
  97. 97. Вас атакует «Срущий слон»! Fancy Bear Deep Panda Charing Kitten Crouching Yeti Epic Turla DarkHotel А также «Ливийские скорпионы», «Пыльная буря», «Хищная панда», «Тропический кавалерист», «Ночной дракон», «Цветочная леди», «Ледяной туман», «Панда со скрипкой», «Обрезанный котенок», «Шакал повстанцев», «Скрытый ястреб», «Летучий кедр»…
  98. 98. Откуда берутся имена группировок? • Где вы больше себя чувствуете героем – борясь с неизвестной группой лиц, группой APT28 или «Скрытой коброй»? • Имя должно быть забавным, эмоциональным, мифологическим, секретным • Никакой стандартизации
  99. 99. Откуда мы получаем данные о группировках? https://aptmap.netlify.com
  100. 100. Откуда мы получаем данные о группировках и кампаниях? http://apt.threattracking.com
  101. 101. Откуда мы получаем данные о хакерах в погонах? https://www.cfr.org/interactive/cyber-operations
  102. 102. США атакованы «Россией»! Кто в действительности стоит за атакой?
  103. 103. Методы атрибуции обычно применяются в совокупности • Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки • Трассировка атаки до ее источника • ВременнЫе параметры • Анализ программного кода, в котором могут быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке • Изучение «почерка» программистов
  104. 104. Методы атрибуции обычно применяются в совокупности • Стилометрия (изучение стилистики языка в комментариях и иных артефактах) • Обманные системы (honeypot) • Анализ активности на форумах и в соцсетях • Анализ постфактум (продажа украденной информации…) • Оперативная разработка
  105. 105. Одиночные «доказательства» русского следа • Хакеры действовали из часового пояса, в котором находится Москва • Хакеры действовали в то время, когда в Москве рабочие часы • Хакеры действовали с IP-адресов, зарегистрированных в России • Хакеры использовали сервисы, у которых был русскоязычный интерфейс
  106. 106. Геополитические Правовые Технические Почему точная атрибуция невозможна? © 2015 Cisco and/or its affiliates. All rights reserved. 107 Экономические Психологические
  107. 107. Где все это хранить?
  108. 108. В чем смысл TIP? Исследователь находит новое ВПО в файле Word в рамках целевого фишинга – известен хеш файла 7c47ff87c0frca93e135c9acffee48d3f – песочница показывает еще и C2 Запросу в TIP показывает, что тот же файл/C2 был использован ранее специфической хакерской группой X Группа X использует различные хакерские форумы, известные IRC-сервера, семплы ВПО, URL и C2 Проверка известных мест «тусовки» группы Х и обнаружение использования ими новых IoС, которые загружаются в TIP и находятся следы других заражений
  109. 109. Коммерческие решения vs open source позволяют собирать индикаторы компрометации из различных коммерческих и бесплатных, закрытых и открытых, государственных и частных источников, классифицировать их и производить с ними различные операции, включая и выгрузку в средства защиты и системы мониторинга (SIEM) TI-платформы MITRE CRiTs IT-ISAC на базе Anomali ThreatStream
  110. 110. Перечень open source TI-платформ Название Владелец Сайт Collaborative Research Into Threats (CRITs) MITRE https://crits.github.io/ https://github.com/crits Collective Intelligence Framework (CIF) CSIRT Gadgets Foundation http://csirtgadgets.org/ https://github.com/csirtgadgets GOSINT Cisco https://github.com/ciscocsirt/GOSINT https://gosint.readthedocs.io/en/latest/ MANTIS Cyber Threat Intelligence Management Framework SIEMENS https://django-mantis.readthedocs.io/en/latest/ https://github.com/siemens/django-mantis Malware Information Sharing Platform (MISP) CIRCL http://www.misp-project.org/ https://github.com/MISP https://www.misp-project.org/communities/ MineMeld PaloAlto Networks https://www.paloaltonetworks.com/product s/secure-the-network/subscriptions/minemeld https://github.com/PaloAltoNetworks/minemeld Yeti Yeti https://yeti-platform.github.io/ https://github.com/yeti-platform
  111. 111. Перечень TI-community Название Владелец Сайт Open Threat Exchange (OTX) AlienVault https://www.alienvault.com/open-threat- exchange ThreatExchange Facebook https://developers.facebook.com/products/t hreat- exchange X-Force Exchange IBM https://exchange.xforce.ibmcloud.com/ Платформа обмена данными Ассоциация банков «Россия» / BI.ZONE https://asros.gti.bi.zone/ ФинЦЕРТ* Банк России ГосСОПКА** ФСБ * - планируется автоматизировать обмен данными между участниками через создаваемую АСОИ ** - вообще ничего не понятно
  112. 112. Facebook тоже вышел на рынок Threat Intelligence 11 февраля 2015 года! http://threatexchange.fb.com/
  113. 113. Популярный Maltego • Maltego – open source решение для анализа данных, полученных из разных источников, и связей между ними • Canari Framework – инфраструктура, позволяющая более эффективно использовать Maltego • Malformity – Maltego-проект, базирующийся на Canari, для проведения исследования вредоносного кода и др.
  114. 114. Платформы Threat Intelligence https://www.threatgrid.com Возможности: • Премиум и open source фиды • Наличие API • Неструктурированые данные • Приватная маркировка • Облако или on-premise • Индикаторы компрометации • Интеграция с различными SIEM https://www.iocbucket.com Возможности: • Редактор IOC (индикаторов компрометации) • Поддержка YARA и OpenIOC • Обмен IOC • Бесплатная • Готовится сервис фидов (коммерческих и бесплатных) • Готовится поддержка TAXII
  115. 115. Платформы Threat Intelligence https://www.threatstream.com Возможности: • Премиум и open source фиды • Наличие API • Неструктурированные данные • Приватная маркировка • Интеграция с различными поставщиками фидов • Гибкость • Работа на мобильных платформах (Apple Watch) • Интеграция с различными SIEM http://csirtgadgets.org/collective-intelligence-framework/ Возможности: • Open source платформа • Собирает данные из различных источников, поддерживающих стандарт CIF • Позволяет идентифицировать инциденты • Может формировать правила для IDS • Есть фиды и API
  116. 116. Платформы Threat Intelligence https://www.threatconnect.com 6 уровней: • Индивидуальный • Базовый • Команда • Предприятие • MSSP • ISAC/ISAO Возможности: • Премиум и open source фиды • Наличие API • Неструктурированые данные • Приватная маркировка • Облако или on-premise • Тактический / стратегический https://crits.github.io Платформа open source от MITRE • Использует другие open source решения, объединяя их вместе • Анализ и обмен данных об угрозах • Изолированная или разделяемая архитектура
  117. 117. Особенности TIP на примере BI.ZONE • Хранение IoC • Поиск / фильтрация IoC • Атомарные IoC (без TTP) • Небольшое количество источников TI • Проведение анализа IoC - частично • Автоматизация передачи IoC в средства защиты - нет • Отслеживание актуальности IoC - нет
  118. 118. Применение CRiTs в Cisco
  119. 119. https://github.com/crits/crits_services Обогащение данных: CRITs Services
  120. 120. IoC транслируются из STIX в формат и язык каждого решения ИБ
  121. 121. Раньше процесс был полуавтоматический
  122. 122. LOOKUP TABLES CSIRT EA Playbook INTEL PLAYS COLLABORATIVE INTEL XYZ FIRST XYZ-ISAC DHS CRITs Server IT-ISAC TAXII FEEDS Soltra Server MISP Server M ISP FEEDS Filtering Formatting Confidence Impact Filtering Formatting Confidence Impact Context Enhancement Services Сейчас – автоматический ввод https://github.com/ciscocsirt/gosint
  123. 123. Обзор большинства TI-платформ
  124. 124. Как автоматизировать работу с TI?
  125. 125. У меня есть фиды (IoC) и что дальше? Фиды «Yara» SIEM СрЗИ Руки J
  126. 126. Средства для поиска угроз на базе IoC • Yara • PowerShell • AutoRuns – Utility • Loki • Wireshark – tshark • ...
  127. 127. Threat Intelligence API • Большое количество угроз и непредсказуемость времени их получения требует автоматизации процесса Threat Intelligence и его интеграции с существующими решениями класса SIEM или SOC • Автоматизация может быть достигнута за счет API / SDK, который сможет • Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat Intelligence, включая платформы TI • Поддержка различных языков программирования • Go и Ruby • Java и .NET • Perl и PHP • Powershell и Python • RESTful • WSDL и SOAP
  128. 128. API для автоматизации процесса VirusTotal https://www.virustotal.com/en/documentation/public-api/ • Загрузка и сканирование файлов • Загрузка и сканирование URL • Получение отчетов ThreatGRID Широкие возможности по загрузке и получении ответа • Артефакты (хэш, путь) • URL • Ключ реестра • Домен / имя узла • IP • IOC • Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)
  129. 129. API для автоматизации процесса OpenDNS Анализ DNS/IP-адресов на предмет их вредоносности BI.ZONE Широкие возможности по загрузке и получении ответа • Артефакты (хэш, путь) • URL • Домен / имя узла • IP • И др.
  130. 130. Стандартизация TI
  131. 131. Необходимость стандартизации Threat Intelligence • Угроза должна быть описана • Угрозы должны быть объединены в признаки компрометации • Информация об угроза должна быть передана
  132. 132. Стандарты Threat Intelligence • OpenIOC • CybOX • STIX • IODEF • TLP • СТО 1.5 • Еще?.. 🏁
  133. 133. • Описание различных проблем с ИБ • CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак • CCE (http://cce.mitre.org/) - описание конфигураций • CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными средствами защиты (аналог SDEE/RDEP) • CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры • CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей • CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей • CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО • MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME • MARF (http://datatracker.ietf.org/wg/marf/documents/) • OVAL (http://oval.mitre.org/) - язык описания уязвимостей • CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки защищенности Стандарты Threat Intelligence
  134. 134. • Признаки компрометации (Indicators of Compromise) и информация о нарушителях и хакерских кампаниях • OpenIOC (http://openioc.org) - преимущественно хостовые признаки • CybOX (http://cybox.mitre.org) • OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox) • STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей • IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется • RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга • IODEF-SCI – расширение IODEF для добавления дополнительных данных • VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon • x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях Стандарты Threat Intelligence
  135. 135. • Обмен информацией • TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX • VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA • SecDEF – европейский стандарт ENISA • CAIF (http://www.caif.info) - европейский стандарт • DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт • IODEF • RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики • MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX, IODEF, STIX и TAXII в единое целое • RFC 5941 – обмен информацией о мошенничестве (фроде) • MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного кода Стандарты Threat Intelligence
  136. 136. • Разное • TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг распространения информации • CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и нейтрализовать угрозы путем генерации правил для Snort, iptables и др. Стандарты Threat Intelligence
  137. 137. Популярные стандарты TI 0 5 10 15 20 25 30 35 40 45 STIX OpenIOC CIF MISP CybOX Другие IODEF VERIS СТО 1.5 % использования % использования
  138. 138. Как классифицируются индикаторы компрометации (TLP)? Цвет Значение Red Recipients may not share TLP: RED information with any parties outside of the specific exchange, meeting, or conversation in which it is originally disclosed. Amber Recipients may only share TLP: AMBER information with members of their own organisation who need to know, and only as widely as necessary to act on that information.. Green Recipients may share TLP: GREEN information with peers and partner organisations within their sector or community, but not via publicly accessible channels. White TLP: WHITE information may be distributed without restriction, subject to copyright controls.
  139. 139. Использование протокола TLP для обмена информацией об угрозах NSIE ONA DSIE US-CERT CISCP ANTI-S Crimeware Cisco SIO Mandiant Cisco CSIRT ISAC
  140. 140. Распространение данных TI
  141. 141. Обмен информацией об угрозах • Тема не нова Сигнатуры, черные списки, базы репутаций Обычно неструктуировано и ориентировано на работу с человеком • Нужно M2M-взаимодействие STIX / TAXII 📨
  142. 142. Обмен информацией Неформальные Формальные Телефонные звонки E-mail Телеконференции Профессиональные ассоциации Рабочие группы Профессиональные конференции Вебинары Technical Liaison Технические семинары или конференции Штабные киберучения Полномасштабные киберучения Автоматический обмен 🐢
  143. 143. Что рассылает ФинЦЕРТ?
  144. 144. Что рассылает ФинЦЕРТ?
  145. 145. Что рассылает ФинЦЕРТ?
  146. 146. Уведомления от ГосСОПКИ
  147. 147. Уведомления от ГосСОПКИ
  148. 148. Что и как рассылают иностранцы?
  149. 149. Что и как рассылают иностранцы?
  150. 150. Что и как рассылают иностранцы?
  151. 151. Уведомления от FS-ISAC
  152. 152. Полный набор всех IoC от US-CERT
  153. 153. Но не сильно рассчитывайте на регуляторов t12 мая 13 мая 15 мая 17 мая 19 мая WannaCry US-CERT DHS CERT-EU ICS-CERT FTC АНБ ABA ENISA 2 июня NCCIC ФБР NCSC SEC ЦБ
  154. 154. Оценка эффективности TI
  155. 155. Искать ли новые источники TI или оставить используемые сейчас? • Какое соотношение получаемых извне IoC с теми, которые применялись в компании за отчетный период? Ответ на этот вопрос помогает понять, насколько вообще внешние источники помогают вашей организации в обнаружении атак и инцидентов? • Какие источники TI наиболее релевантны для организации? Это предыдущий показатель применительно к каждому внешнему источнику • Число индикаторов, полученных от внешнего источника TI с учетом их полезности для организации (полезно при принятии финансовых решений о продлении контракта на TI) 🎯
  156. 156. Искать ли новые источники TI или оставить используемые сейчас? • Соотношение количества угроз, пришедших по каналам TI, и не обнаруженных за счет внутренних возможностей (фишинговые сайты, украденные логины/пароли, сайты- клоны и т.п.) • Какое количество получаемых извне IoC применялось в компании? Может оказаться вообще, что индикаторы компрометации вы получаете, но не используете, потому что руки не доходят или не знаете, как автоматизировать процесс интеграции внешних источников с вашими средствами защиты/анализа • Сколько IoC, сформированных службой TI, помогло отразить инциденты в организации (например, на МСЭ, IPS, рутерах и т.п.)? • Распределение полученных IoC по типам и соотношение их с типами угроз внутри организации 🎯
  157. 157. Искать ли новые источники TI или оставить используемые сейчас? • Сколько playbook было создано/обновлено и использовано группой по реагированию на инциденты на основе IoC, сформированных службой TI? • Динамика снижения числа ложных срабатываний средств защиты после обогащения сигналов тревоги данными от службы TI • Снижение времени (ускорение) на расследование инцидента и реагирование на него за счет обогащения данных об инцидентах данными от службы TI • Соотношение количества обнаруженных угроз средствами защиты организации с данными от службы TI и без них (например, голый IDS в сравнении с IDS + TI или IDS + TI + SIEM) 🎯
  158. 158. Искать ли новые источники TI или оставить используемые сейчас? • Количество самостоятельно обнаруженных и отреверсенных вредоносов по сравнению с традиционными антивирусными программами (если это функция TI) • Количество подготовленных бюллетеней по акторам/угрозам/кампаниям, которые имели отношение к предприятию; особенно тех бюллетеней, которые описывают угрозы, направленные именно на само предприятие, а не веерные угрозы • Количество подготовленных бюллетеней, направленных в ФинЦЕРТ/ГосСОПКУ/иным внешним лицам (если стоит задача awareness и обучения отрасли/индустрии) • Участие в стандартизации вопросов обмена информацией об угрозах (если такая тема актуальна для организации) 🎯
  159. 159. Пример дашборда по TI в Cisco Копировать чужие дашборды бессмысленно – вы должны ответить на вопрос: «Что нужно именно вам?»
  160. 160. Выводы
  161. 161. Инфраструктура под расследованием Меры защиты и восстановления Системы коммуникаций и взаимодействия РасследованиеМониторинг и реагирование Обогащение/TI Телеметрия и другие источники Решения провайдеров по ИБ Управление сервисами Security Analytics Suite AV Intel Providers Cloud Infra Service Provider Solutions Digital Forensics Tools Security Case Management Enrichment Providers Threat Intel Providers Платформы для разведки Threat Intelligence Malware Analysis Knowledge Base Log Management Native Logs Cyber Security Controls Wiki Comm & Collab Apps Internal Infra Ticketing Training Platforms Physical Security Controls Sensor Telemetry Other Data Sources
  162. 162. С чего начать? • Какие инциденты были самыми популярными у вас за прошедший год? Программы-вымогатели, фишинг, вредоносное ПО, DDoS? • Какие типы нарушителей были самыми популярными у вас за прошедший год? Киберпреступники, инсайдеры? • Начните строить TI с этих типов угроз и нарушителей • Используйте open source источники и платформы TI 🔬
  163. 163. А можно предсказывать угрозы? Оптимизация Информация Взгляд в прошлое Взгляд в будущее В поле зренияОписательная аналитика Что случилось? Диагностическая аналитика Почему это случилось? Предсказательная аналитика Что случится? Предписывающая аналитика Что я должен сделать? Сложность Ценность
  164. 164. Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
  165. 165. Не покупайте Threat Intelligence только потому, что так делают все/многие! Тоже самое относится к SOCам, UEBA, EDR, CASB, SOAR и другим новомодным аббревиатурам и технологиям
  166. 166. Выводы • Система Threat Intelligence как никогда важна в текущих условиях для каждой организации, отрасли, государства • Система Threat Intelligence должна стать неотъемлемой частью эффективного системы ИБ на предприятии • Сегодня есть все возможности, ресурсы и инструменты для создания такой системы • Стандартизация и автоматизация (включая обновления) – ключ к эффективной системе Threat Intelligence • Система Threat Intelligence не «висит в воздухе» – необходимо создание целой инфраструктуры для ее эффективного функционирования 👩🚒
  167. 167. В качестве послесловия
  168. 168. Дополнительная информация
  169. 169. Книги по Threat Intelligence
  170. 170. Спасибо! alukatsk@cisco.com

×