Откуда и какие брать данные Threat Intelligence для SOC?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Threat Intelligence для SOC
Что и откуда брать?
Алексей Лукацкий
Бизнес-консультант по безопасности
11 November 2015

Что нам нужно для расследования инцидентов?
•  Активы/Сеть
Сетевая топология
Профиль актива
Адрес/местоположение
Аппаратная платформа
Операционная система
Открытые порты/Сервисы/Протоколы
Клиентское и серверное ПО и его версия
Статус защищенности
Уязвимости
•  Пользователь
Местоположение
Профиль доступа
Поведение
•  Файл/Данные/Процесс
Движение
Исполнение
Метаданные
Источник
«Родитель»
Репутация
•  Безопасность
Точечные события
Телеметрия
Ретроспектива

èМСЭ / NGFW / NAC
èIDS / IPS
èNBAD
èAV / BDS
SIEM / LM???
X
X
X
X
Откуда эти данные взять?
X
èФильтрация контента
èА еще ОС, СУБД…

Но несмотря на это или зачем нужен Threat Intelligence?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных
вторжений
Ponemon
206
HP
416
Symantec
305

Почему так важно сопоставлять внутренние данные с
внешними источниками?!
•  Threat Intelligence – знание (включая процесс его получения) об угрозах и
нарушителях, обеспечивающее понимание методов, используемых
злоумышленниками для нанесения ущерба, и способов противодействия им
•  Оперирует не только и не столько статической информацией об отдельных
уязвимостях и угрозах, сколько более динамичной и имеющей практическое
значение информацией об источниках угроз, признаках компрометации
(объединяющих разрозненные сведения в единое целое), вредоносных доменах и
IP-адресах, взаимосвязях и т.п.

5 этапов процесса Threat Intelligence
План
Сбор
Обработки и
анализ
Распространение
информации
Разбор полетов
•  Зачем нам Threat Intelligence?
•  Какие у нас требования?
•  Кто (нарушитель) может атаковать нас (модель
нарушителя)?
•  Нюансы (геополитика, отрасль…)
•  Своя или внешняя система Threat Intelligence?
•  Что может провайдер TI (источники)?
•  Возможности провайдера стыкуются
с вашими потребностями?
•  Кто внутри вас будет общаться с
провайдером и как?
•  Как «сырые» данные превратятся в TI?
•  Платформа для обработки и анализа?
•  Кто проводит анализ?
•  Кому можно распространять
информацию? На каких условиях?
•  Какие стандарты используются для
распространения?
•  Когда распространять информацию?
•  Какие действия необходимо
произвести на основании
полученных данных?
•  Как взаимодействовать со
средствами защиты?

Threat
Intelligence
(фиды)
Обогащенные
данные
Место Threat Intelligence в SOC
Дамп трафика
Метаданные протоколов
NetFlow
Журналы регистрации (логи)
Неструктурированная
телеметрия
Другая потоковая
телеметрия
Разбор
+
Формат
Обога-
щение
Трево
-га
Аналитика и
обработка
логов
Анализ
больших
данных,
моделирование
прогнозов
Обработка
сетевого
трафика и
реконструкция
PCAP
Приложения + аналитика

Место Threat Intelligence в процессах SOC
Захват
данных
Подробная
информация о
событии,
включая
артефакты
Оценка
области
действия
Сканирование в
поисках
недавно
обнаруженных
связанных с
первоначальны
ми событиями
артефактов
Проверка
Вредоносным
или нет является
данное событие?
Не ложное ли
срабатывание?
Устранение /
лечение
Удаление
процессов,
чистка файлов и
удаление ключей
реестра,
связанных с
атакой
Оценка
воздействия
Оценка
воздействия на
бизнес-, ИТ- или
иные процессы, а
также
определение
статуса
защищаемой
Анализ
данных
Анализ
вредоносного кода
и использование
Threat Intelligence
для поиска
дополнительных
артефактов и идей
Обнаружение
Средство защиты
передает данные
о событиях
безопасности
!
Threat
Intelligence

Как это может выглядеть в SOC?

Что влияет на эффективность Threat Intelligence?
TIФиды
Анализ
ваших
угроз
Платформа
API
Стандарты

Для государственного CERT требуется нечто иное
Тактическая /
операционная
Стратегическая
•  Пример
Фиды об признаках
угроз (сетевых или
хостовых)
Анализ конкретной
вредоносной
программы
(например, Stuxnet)
•  Пример
Анализ хакерской
кампании
Оценка угроз для
конкретной отрасли
(например, новый вид
мошенничества для
банков)

Карты угроз: пример стратегической Threat Intelligence

13© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Фиды и их источники

Фиды Threat Intelligence
•  Фиды (feeds) – способ представления данных об угрозах
•  Учесть защищенную передачу и регулярность получения фидов
•  Поддержка различных языков программирования и форматов данных
JSON
XML
CyBOX
STiX
CSV
И другие

Какие бывают фиды?
•  IP- и DNS-адреса вредоносных сайтов, спамеров,
входных узлов Tor, анонимайзеров, открытых
прокси…
•  Заголовки E-mail
•  URL и URI
•  Хеши и пути файлов
•  CVE-записи
•  Правила CIDR
•  Репутация файлов, узлов, сайтов
•  Ключи реестра
•  Индикаторы компрометации (IoC)

Источники фидов
http://atlas.arbor.net/
Инициатива Arbor ATLAS (Active Threat Level Analysis System)
•  Глобальная сеть анализа угроз (обманные системы)
•  Информация берется от обманных систем (honeypot), IDS,
сканеров, данных C&C, данных о фишинге и т.д.
•  Публичная информация о Топ10 угрозах
•  Для доступа к некоторым данным требуется регистрация
http://www.spamhaus.org
Проект для борьбы со спамом
•  Поддерживает различные базы данных (DNSBL) с данными
по угрозам (IP-адреса) – спамеры, фишеры, прокси,
перехваченные узлы, домены из спама
•  Реестр ROKSO с самыми известными спамерами в мире
•  Проверка и исключение своих узлов из «черных списков»

https://www.spamhaustech.com
SpamTEQ – коммерческий сервис Spamhaus
•  Фиды по репутациям IP- и DNS-адресов
•  Ценовая политика зависит от типа организации и типа
запрашиваемых данных
•  Годовой абонемент
https://www.virustotal.com
Проект для борьбы со спамом
•  Проверка файлов и URL на вредоносность
•  Бесплатный сервис
•  Система поиска

https://www.threatgrid.com
Фиды по сетевым коммуникациям
•  IRC, DNS, IP
•  Россия и Китай
•  Сетевые аномалии
•  RAT и банковские троянцы
•  И др.
https://www.alienvault.com/open-threat-exchange
Открытое community по обмену информацией об угрозах
•  IP- и DNS-адреса
•  Имена узлов
•  E-mail
•  URL и URI
•  Хеши и пути файлов
•  CVE-записи и правила CIDR
Форматы:
•  JSON
•  CyBOX
•  STiX
•  CSV
•  Snort
•  Raw

https://www.cisco.com/security
IntelliShield Security Information Service
•  Уязвимости
•  Бюллетени Microsoft
•  Сигнатуры атак Cisco
•  Web- и обычные угрозы
•  Уязвимые продукты (вендор-независимый)
http://www.malwaredomains.com
Проект DNS-BH (Black Holing)
•  Обновляемый «черный» список доменов, участвующих в
распространении вредоносного кода
•  Список доступен в формате AdBlock и ISA

Какие еще источники фидов есть?
IOC
•  Abuse.ch
•  Blocklist.de
•  CleanMX
•  EmergingThreats
•  ForensicArtifacts
•  MalwareIOC
•  Nothink
•  Shadowserver
DNS
•  ISC DNSDB
•  BFK edv-
consulting
Вредоносное ПО
•  VirusShare.com

Какие еще источники фидов есть?
•  CrowdStrike
•  FarSight Security
•  Flashpoint Partners
•  IOCmap
•  iSightPartners
•  Microsoft CTIP
•  Mirror-ma.com
•  ReversingLabs
•  SenderBase.org
•  Threat Recon
•  Team Cymru
•  Webroot
•  ZeusTracker
•  И другие

На что обратить внимание при выборе фидов?
•  Тип источника
•  Уровни представления информации
•  Широта охвата
•  Число записей
•  Языковая поддержка/покрытие
•  Доверие к источнику (популярность и
отзывы)
•  Оперативность/частота предоставления
фидов
•  Платность
•  Формализованность представления
•  Возможность автоматизации
•  Соответствие вашей инфраструктуре
•  Частота ложных срабатываний
•  Возможность отката назад или
пересмотра статуса угрозы (например,
для вылеченного сайта)

Анализ ваших угроз

А разве фидов недостаточно?
•  У вас могут быть свои подозрительные
файлы
•  Вы можете не хотеть «делиться» вашими
анализами с другими
•  Вас может не устраивать оперативность
фидов
•  Ваш источник фидов может плохо
охватывать Россию
•  У вас собственная служба расследования
инцидентов и аналитики вредоносного
кода
•  Вы пишете вредоносный код J
Данные об угрозах в RSA Security Analytics
Данные об угрозах в EnCase Endpoint Security

Возможность анализа собственных угроз
Загрузка собственных угроз
•  С помощью API в облако
•  С помощью API на локальное
устройство on-premise
•  Вручную через портал
https://malwr.com
Сервис анализа вредоносного кода
•  Базируется на VirusTotal и Cuckoo Sandbox
•  Бесплатный

Платформы

От фидов к платформе
•  Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа
Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir,
Paterva/Maltego CaseFile, SharePoint, ThreatConnect
•  В простых случаях можно обойтись решениями open source

Платформы Threat Intelligence
https://www.threatconnect.com
6 уровней:
•  Индивидуальный
•  Базовый
•  Команда
•  Предприятие
•  MSSP
•  ISAC/ISAO
Возможности:
•  Премиум и open source фиды
•  Наличие API
•  Неструктурированые данные
•  Приватная маркировка
•  Облако или on-premise
•  Тактический / стратегический
https://crits.github.io
Платформа open source от MITRE
•  Использует другие open source решения, объединяя их вместе
•  Анализ и обмен данных об угрозах
•  Изолированная или разделяемая архитектура

•  Неструктурированые данные
•  Облако или on-premise
•  Индикаторы компрометации
•  Интеграция с различными SIEM
https://www.iocbucket.com
•  Редактор IOC (индикаторов компрометации)
•  Поддержка YARA и OpenIOC
•  Обмен IOC
•  Бесплатная
•  Готовится сервис фидов (коммерческих и бесплатных)
•  Готовится поддержка TAXII

https://www.threatstream.com
•  Неструктурированные данные
•  Интеграция с различными поставщиками фидов
•  Гибкость
•  Работа на мобильных платформах (Apple Watch)
•  Интеграция с различными SIEM
http://csirtgadgets.org/collective-intelligence-framework/
•  Open source платформа
•  Собирает данные из различных источников,
поддерживающих стандарт CIF
•  Позволяет идентифицировать инциденты
•  Может формировать правила для IDS
•  Есть фиды и API

Популярный Maltego
•  Maltego – open source решение для
анализа данных, полученных из
разных источников, и связей между
ними
•  Canari Framework – инфраструктура,
позволяющая более эффективно
использовать Maltego
•  Malformity – Maltego-проект,
базирующийся на Canari, для
проведения исследования
вредоносного кода и др.

Facebook тоже выходит на рынок Threat Intelligence
11 февраля 2015 года!
http://threatexchange.fb.com/

Платформы и источники для TI
Коммерческая или бесплатная?
Коммерческая
•  Масштаб
•  Удобство
•  Оперативность
•  Гарантия
•  Поддержка
•  Функциональность
Бесплатная
•  Цена
•  Энтузиазм

API

Threat IntelligenceAPI
•  Большое количество угроз и непредсказуемость времени их получения требует
автоматизации процесса Threat Intelligence и его интеграции с существующими
решениями класса SIEM или SOC
•  Автоматизация может быть достигнута за счет API / SDK, который сможет
Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat Intelligence, включая
платформы TI
•  Поддержка различных языков программирования
Go и Ruby
Java и .NET
Perl и PHP
Powershell и Python
RESTful
WSDL и SOAP

API для автоматизации процесса
VirusTotal
https://www.virustotal.com/en/documentation/public-api/
•  Загрузка и сканирование файлов
•  Загрузка и сканирование URL
•  Получение отчетов
ThreatGRID
Широкие возможности по загрузке и получении ответа
•  Артефакты (хэш, путь)
•  URL
•  Ключ реестра
•  Домен / имя узла
•  IP
•  IOC
•  Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)

API для автоматизации процесса
OpenDNS
Анализ DNS/IP-адресов на предмет их вредоносности

Стандарты

Взаимосвязь стандартов Threat Intelligence
•  Угроза должна
быть описана
•  Угрозы должны
быть объединены
в признаки
компрометации
•  Информация об
угроза должна
быть передана

Стандарты Threat Intelligence
•  Описание различных проблем с ИБ
CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак
CCE (http://cce.mitre.org/) - описание конфигураций
CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными
средствами защиты (аналог SDEE/RDEP)
CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры
CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей
CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей
CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО
MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME
MARF (http://datatracker.ietf.org/wg/marf/documents/)
OVAL (http://oval.mitre.org/) - язык описания уязвимостей
CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки
защищенности

•  Признаки компрометации (Indicators of Compromise) и информация о нарушителях
и хакерских кампаниях
OpenIOC (http://openioc.org) - преимущественно хостовые признаки
CybOX (http://cybox.mitre.org)
OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox)
STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей
IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется
RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга
IODEF-SCI – расширение IODEF для добавления дополнительных данных
VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon
x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях

•  Обмен информацией
TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX
VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA
SecDEF – европейский стандарт ENISA
CAIF (http://www.caif.info) - европейский стандарт
DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт
IODEF
RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики
MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX,
IODEF, STIX и TAXII в единое целое
RFC 5941 – обмен информацией о мошенничестве (фроде)
MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного
кода

•  Разное
TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг
распространения информации
CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и
нейтрализовать угрозы путем генерации правил для Snort, iptables и др.

В заключение

Текущий рынок Threat Intelligence
•  Крупные производители средств защиты имеют
собственные процессы/подразделения Threat
Intelligence
Например, покупка ThreatGRID компанией Cisco
•  Существуют самостоятельные компании,
предоставляющие услуги Threat Intelligence всем
желающим
IQRisk, ETPro, ThreatStream
•  Существуют открытые источники Threat Intelligence
•  Развиваются отраслевые/государственные центры
обмена информацией Threat Intelligence
Например, ISAC в США

Российских игроков на этом рынке нет! Пока нет?
•  Только в отчете Gartner фигурирует Group-IB
Однако аналогичные работы ведут «Лаборатория Касперского», Positive Technologies,
«Перспективный мониторинг» и другие

Выводы
•  Система Threat Intelligence как никогда важна в текущих условиях для каждой
организации, отрасли, государства
•  Система Threat Intelligence должна стать неотъемлемой частью эффективного SOC
•  Сегодня есть все возможности, ресурсы и инструменты для создания такой системы
•  Стандартизация и автоматизация (включая обновления) – ключ к эффективной
системе Threat Intelligence
•  Система Threat Intelligence не «висит в воздухе» – необходимо создание целой
инфраструктуры для ее эффективного функционирования

Дополнительная информация

Благодарю
за внимание

Откуда и какие брать данные Threat Intelligence для SOC?

More Related Content

What's hot

Viewers also liked

Similar to Откуда и какие брать данные Threat Intelligence для SOC?

More from Aleksey Lukatskiy

Откуда и какие брать данные Threat Intelligence для SOC?