Документ представляет собой руководство по разработке целостной программы threat intelligence с акцентом на улучшение методов обнаружения угроз в кибербезопасности. В нем обсуждаются современные подходы к анализу угроз, методы обнаружения, а также важные аспекты принятия решений на основе информации о нарушителях. Также рассматриваются различные источники threat intelligence и критерии их выбора для эффективной работы служб безопасности.

1. Бизнес-консультант по безопасности
Алексей Лукацкий
От разрозненных фидов к
к целостной программе
Threat Intelligence:
пошаговая инструкция

2. Среднее время необнаружения
Bitglass
205
Trustwave
188
Mandiant
229
Ponemon
206
HP
416
Symantec
305
Cisco
200

3. Почему?
• 98% всех технологий ИБ реактивны
• 97% всех технологий ИБ базируется
на сигнатурном подходе
• Современные угрозы полиморфны💊

4. Жизненный цикл обнаружения угроз
4
Новые методы
обнаружения
(сигнатуры,
правила, ИИ)
Получение
сигналов
тревоги
Приоритезация
сигналов
Реагирование
Большинство
вендоров
фокусируется только
тут и увеличивает
число сигнатур атак

5. Как улучшить ситуацию с обнаружением
угроз?
5
Повысить качество
обнаружения
• Снижение ложных
срабатываний
• Сдвиг от обнаружения
эксплойтов
• Использование
разных поставщиков
методов обнаружения
• Новые методы
обнаружения
• Новые источники
данных
• Ретроспектива
• Один источник –
несколько
инструментов анализа
(IDS, SIEM, IOC)
Быстрее обнаруживать
• Собственная
лаборатория
• Обмен информацией
об угрозах
• Ловушки
• Анализ
инфраструктуры
злоумышленников
• Разные места
установки
• Улучшение методов
уведомления об
угрозах
Быстрее создавать
методы обнаружения
• Автоматизация
создания сигнатур на
стороне потребителя
• Автоматизация
создания сигнатур на
стороне вендора
Быстрее доставлять
методы обнаружения
• Распределенные
центры обновлений
(облака)
• Изменение частоты
обновления

6. Threat Intelligence

7. Как обычно воспринимается TI?
• Threat Intelligence – знание (включая процесс его
получения) об угрозах и нарушителях, обеспечивающее
понимание методов, используемых злоумышленниками
для нанесения ущерба
• Оперирует не только и не столько статической
информацией об отдельных уязвимостях и угрозах, сколько
более динамичной и имеющей практическое значение
информацией об источниках угроз, признаках
компрометации (объединяющих разрозненные сведения в
единое целое), вредоносных доменах и IP-адресах,
взаимосвязях и т.п.

8. Одного понимания мало – нужно
принятие решений
• Intelligence – это информация,
используемая для принятия решений
• Threat Intelligence – это информация о
нарушителях, которая используется для
принятия решений☝

9. Что такое Threat Intelligence
• TI – это не про доступ к фидам с индикаторами.
Это про понимание возможностей атакующих вас
• TI – это дисциплина, позволяющая иметь
основанные на доказательствах знания, в том
числе, контекст, механизмы, индикаторы, а также
практические рекомендации, о существующей или
потенциальной угрозе для активов, которые могут
быть использованы для принятия решения
относительно реакции на угрозу или опасность
Gartner
🔍

10. Что делает intelligence плохой или
хорошей?
• Осуществимость: Мы можем принять решения на
ее основе?
• Уверенность: Насколько вероятно, что это
произошло?
• Своевременность: Мы можем нивелировать
ущерб?
🔍

11. Что делает intelligence плохой или
хорошей?
• Осуществимость: Можем заблокировать
порт 1434!
• Уверенность: Многие с этим столкнулись!
• Своевременность: Мы можем
предотвратить ущерб
• Осуществимость: Что это за адрес?
• Уверенность: Что это за адрес?
• Своевременность: Что это за адрес?

12. От сырых данных к intelligence
U.S. Department of Defense’s Joint Publication 2-0: Joint Intelligence

13. IP без (или с неверным) контекста…
8.8.8.8

14. IP с контекстом…лучше
Хеши MD5 вложения:
b4fe7224da594703e78d62d9cb85c5f4c3a00
c36ea51040c3a10c557154bc7b15b9acbcd6
5555398a7e3fd0f0a389cf9582b75b4f8855d
be555bff080c57808aBe699ba4855340adf5c
9d7092e9df08b
Внешние URL из текста письма:
hxxp://internetz1[.]com/03/39.exe
hxxp://gggrp[.]com/03/59.exe
hxxp://fefg[.]com/03/39.exe
hxxp://woofe[.]com/03/39.exe
hxxp://contestswin[.]net/03/39.exe
Хеши MD5 содержимого:
5e91af2e44c17de55134ff935c0f30f1
C2:
130.0.133[.]35
ВПО: Dridex
Имя файла-вложения: RZZA3440.doc

15. От сырых данных к анализу

16. Зачем и кому нужна TI?
Реагирование на инциденты
Поиск угроз (Threat Hunting)
Мониторинг безопасности
Анализ вредоносного кода
Обнаружение вторжений

17. Threat Intelligence в Threat
Hunting

18. Если обнаружение не помогло. Threat Hunting
18
Формулируем
гипотезу
Ищем в
инфраструктуре
Найдено?
Расширяем
поиски
Реагирование
Новые методы
обнаружения
(сигнатуры,
правила, ИИ)
Не найдено?
Начинаем с
начала

19. Как это может выглядеть?
Вы пока еще ничего не знаете, но формулируете гипотезу!
Для подтверждения или опровержения гипотезы вы загружаете IoC в систему Threat Hunting

20. Как это может выглядеть?

21. Как это может выглядеть?

22. Как это может выглядеть?
Гипотеза подтвердилась!
У вас одна жертва внутри сети!

23. Как это может выглядеть?

24. Как это может выглядеть?

25. Threat Intelligence в
расследовании инцидентов

26. 300065-INV-WSA-INTEL: 15 Day Historical Search for URL Indicators
Objective:
This report leverages actionable intelligence (specifically URL indicators) gathered from various
sources to detect social engineering attacks, cyber crime, DDoS attacks, advanced/multi-stage
attacks, and many other types of threats.
Working:
index=wsa earliest=-15d latest=-24h [inputlookup crits_amber_last_24hours.csv | where NOT
like(confidence, "benign") | eval cs_url=indicator+"*" | fields cs_url] | `Intel-WSA-Output-
Format(intel-url-amber)`
Analysis: Analyse the meta data available for this log source: is there a high event count for a single
host? Are the source/target ports suspicious or typically vulnerable? What is the locality of the target
and source? Etc.
Each indicator comes from a particular source and a specific reference. At times it will be useful to
have this information to understand what kind of attack the indicator was involved in and how the
indicator was actually used in the attack.
Reference: wiki/9ADYAg, bugzilla: 9755

27. Визуализация скрытых связей
• Облачный сервис
Threatcrowd.org позволяет
организовать поиск
взаимосвязей между IoC:
• IP-адреса
• Доменные имена
• Хеши файлов
• Имена файлов
• Аналогичную задачу можно
реализовать с помощью
OpenDNS, Maltego, VirusTotal
Graph, а также OpenGraphitti

28. Визуализация скрытых связей
Библиотека OpenGraphitti (open source)

29. Применение IoC при анализе внешнего и
внутреннего окружения
https://www.virustotal.com/#/graph-overview Cisco Visibility
• Анализ без привязки к внутренней
инфраструктуре и
скомпрометированным узлам
• Анализ с привязкой к внутренней инфраструктуре и
скомпрометированным узлам за счет доступа к
данным от средств защиты

30. Threat Intelligence в
обнаружении атак

31. Атомарные индикаторы для IPS/NGFW

32. Атомарные индикаторы для IPS/NGFW

33. Threat Intelligence в
мониторинге

34. Как это может выглядеть в SOC?

35. Как выстроить программу
TI?

36. 5 этапов процесса Threat Intelligence
Планирование
Сбор
Обработка и
анализ
Распространение
информации
Разбор полетов
• Зачем нам Threat Intelligence?
• Какие у нас требования?
• Кто (нарушитель) может атаковать нас (модель
нарушителя)?
• Нюансы (геополитика, отрасль…)
• Своя или внешняя система Threat Intelligence?
• Что может провайдер TI (источники)?
• Возможности провайдера стыкуются
с вашими потребностями?
• Кто внутри вас будет общаться с
провайдером и как?
• Как «сырые» данные превратятся в TI?
• Платформа для обработки и анализа?
• Кто проводит анализ?
• Кому можно распространять
информацию? На каких условиях?
• Какие стандарты используются для
распространения?
• Когда распространять информацию?
• Какие действия необходимо
произвести на основании
полученных данных?
• Как взаимодействовать со
средствами защиты?

37. 4 уровня Threat Intelligence

38. Категории/уровни Threat Intelligence
• Инструменты
• Артефакты
• Индикаторы
• Кампании
• Тактика
• Техника
• Процедуры
• Атрибуция
• Цели
• Стратегия
Стратегический Тактический
ТехническийОперационный
Долгосрочные
Краткосрочные
Менее детальные Более детальные

39. Карты атак бесполезны? Не всегда
https://lukatsky.blogspot.com/2014/07/blog-post.html

40. Уровни Threat Intelligence
Стратегический
Операционный
Тактический
Технический
Улучшают возможности SOC/NOC и других
специалистов по ИБ реагировать,
обнаруживать или предотвращать кибератаки
Улучшают возможности CIO/CISO/CTO в
использовании ИТ/ИБ в защите и реагировании
Улучшают принятие решения относительно
киберрисков на уровне CRO, CEO, Правления и
др.
Описывают индикаторы для вредоносной
активности

41. Дополнительные
преимущества
Затраты
Зрелость TI или как все реализуют TI
Уровень Наличие плана /
программы
Ответственный
персонал
Тип Threat Intelligence
1 Нет плана ИТ-специалисты Технический
2 Зачатки плана ИБ-специалисты Технический
3 Хороший план ИБ-специалист с фокусом
на TI
+ Тактический
4 Отличный план Специалист по TI + Операционный
5 Идеальный план Группа по TI + Стратегический

42. Источники Threat Intelligence

43. Откуда можно брать данные TI?
• Открытые источники фидов
• Частные (закрытые) источники фидов
• Социальные сети
• Twitter
• Сайты и блоги исследователей
• Youtube
• Deep Web / Darknet
🔍

44. Откуда мы получаем данные об
угрозах?

45. Вы доверяете своему вендору?
16 апреля 2015 года
http://www.zdnet.com/article/pal
o-alto-networks-mcafee-
websense-gateway-systems-
allow-malicious-traffic-to-slip-
through-the-net/
Дело СОВСЕМ не в названиях
компаний, проблема в
методологии

46. Риски получения данных об угрозах из
одного источника
• Получение информации с ошибками
• Отсутствие или исчезновение информации на конкретные
угрозы
• Отсутствие учета вертикальной или страновой специфики
• Смена политики лицензирования
• Смена собственника
• Поглощение компании-разработчика
• Сотрудничество со спецслужбами
• Санкции…

47. Может увеличить число источников?

48. Cisco
Systems
Free / Open
Source
Государство
ISAC
Коммерчес-
кие
Частные
Внутренние
Откуда служба ИБ Cisco берет данные
Threat Intelligence?

49. Сколько источников нужно?

50. 3rd party тоже не панацея. Оцените
риски!

51. TI – это не только структурированная
информация
Кто будет читать
неструктурированную
информацию?

52. Анализ злоумышленников без анализа
Darknet / Deep Web?

53. Не все разработчики СЗИ знают о новых
угрозах4% всего контента
96% всего контента
Tor
I2P
Freenet
Gigatribes
RetroShare
Tribler
GNUNet
OneSwarm
ZeroNet
Syndie

54. Биржи скупки инсайда

55. Критерии выбора TI-источников
1. Автоматизация
2. Интеграция и интероперабельность
3. Частота обновлений
4. Обогащение метаданными
5. Рейтинг сложности
6. Покрытие
7. Видимость Darknet
8. Аккуратность в геолокации
9. Число и спектр источников
10.Качество
✅

56. Что дают источники? Фиды!

57. TTP
Инструменты
Сетевые / хостовые
артефакты
Доменные имена
IP-адреса
Хеши Тривиально
Элементарно
Просто
Раздражающе
Сложно
Тяжело
Пирамида боли Дэвида Бьянко

58. Адреса IPv4 Домены / FQDN
Хэши (MD5,
SHA1)
URL
Транзакционные
(MTA, User-
Agent)
Имя файла / путь
Mutex
Значение
реестра
Имена
пользователей
Адреса e-mail
Распространенные типы IoC

59. Фиды Threat Intelligence
• Фиды (feeds) – способ представления данных об угрозах
• Поддержка различных языков программирования
и форматов данных
• JSON
• XML
• CyBOX
• STiX
• CSV
• И другие

60. Этапы зрелости использования фидов
Эпизодическое применение фидов
Регулярное использование отдельных
ресурсов с фидами
Использование платформы TI
Использование API для
автоматизации
Обмен фидами

61. Вы помните сколько
источников IoC у службы ИБ
Cisco?

62. Источники фидов
http://atlas.arbor.net/
Инициатива Arbor ATLAS (Active Threat Level Analysis
System)
• Глобальная сеть анализа угроз (обманные системы)
• Информация берется от обманных систем (honeypot),
IDS, сканеров, данных C&C, данных о фишинге и т.д.
• Публичная информация о Топ10 угрозах
• Для доступа к некоторым данным требуется регистрация
http://www.spamhaus.org
Проект для борьбы со спамом
• Поддерживает различные базы данных (DNSBL) с
данными
по угрозам (IP-адреса) – спамеры, фишеры, прокси,
перехваченные узлы, домены из спама
• Реестр ROKSO с самыми известными спамерами в мире
• Проверка и исключение своих узлов из «черных списков»

63. Источники фидов
https://www.spamhaustech.com
SpamTEQ – коммерческий сервис Spamhaus
• Фиды по репутациям IP- и DNS-адресов
• Ценовая политика зависит от типа организации и
типа запрашиваемых данных
• Годовой абонемент
https://www.virustotal.com
Проект для борьбы со спамом
• Проверка файлов и URL на вредоносность
• Бесплатный сервис
• Система поиска

64. Источники фидов
https://www.threatgrid.com
Фиды по сетевым
коммуникациям
• IRC, DNS, IP
• Россия и Китай
• Сетевые аномалии
• RAT и банковские троянцы
• И др.
https://www.alienvault.com/open-threat-exchange
Открытое community по обмену информацией об угрозах
• IP- и DNS-адреса
• Имена узлов
• E-mail
• URL и URI
• Хеши и пути файлов
• CVE-записи и правила CIDR
Форматы:
• JSON
• CyBOX
• STiX
• CSV
• Snort
• Raw

65. Источники фидов
https://www.cisco.com/security
IntelliShield Security Information Service
• Уязвимости
• Бюллетени Microsoft
• Сигнатуры атак Cisco
• Web- и обычные угрозы
• Уязвимые продукты (вендор-независимый)
http://www.malwaredomains.com
Проект DNS-BH (Black Holing)
• Обновляемый «черный» список доменов, участвующих в
распространении вредоносного кода
• Список доступен в формате AdBlock и ISA

66. Какие еще источники фидов есть?
IOC
• Abuse.ch
• Blocklist.de
• CleanMX
• EmergingThreats
• ForensicArtifacts
• MalwareIOC
• Nothink
• Shadowserver
DNS
• ISC DNSDB
• BFK edv-
consulting
Вредоносное ПО
• VirusShare.com

67. Перечень публичных источников фидов
• www.dragonresearchgroup.org
• isc.sans.edu
• www.malc0de.com
• www.malwaredomains.com
• www.nothink.org
• www.openbl.org
• www.projecthoneypot.org
• www.shadowserver.org
• www.trustedsec.com
• reputation.alienvault.com
• security-research.dyndns.org
• siteinspector.comodo.com
• www.abuse.ch
• support.clean-mx.de
• urlblacklist.com
• virbl.org
• www.mirc.com
• www.nothink.org
• www.openbl.org
• vxvault.siri-urz.net
• www.alexa.com
• www.autoshun.org
• www.blocklist.de
• www.ciarmy.com
• www.dnsbl.manitu.net
• www.malwareblacklist.com
• www.malwaredomainlist.com
• www.spamhaus.org
• www.threatexpert.com
https://github.com/hslatman/awesome-threat-intelligence

68. А еще?
• CrowdStrike
• Dshield
• Emerging Threat
• FarSight Security
• Flashpoint Partners
• IOCmap
• iSightPartners
• Microsoft CTIP
• Mirror-ma.com
• ReversingLabs
• SenderBase.org
• ShadowServer
• Threat Recon
• Team Cymru
• Webroot
• ZeusTracker
• И другие

69. На что обратить внимание при выборе
фидов?
• Тип источника
• Уровни представления информации
• Широта охвата
• Число записей
• Языковая поддержка/покрытие
• Доверие к источнику (популярность и
отзывы)
• Оперативность/частота предоставления
фидов
• Платность
• Формализованность представления
информации
• Возможность автоматизации
• Соответствие вашей инфраструктуре
• Частота ложных срабатываний
• Возможность отката назад или
пересмотра статуса угрозы (например,
для вылеченного сайта)

70. Кто смотрит на ретроспективу?
• Как определить, что индикатор
компрометации все еще актуален?
• Я не знаю практически ни одного
источника/сервиса TI, который бы
поддерживал в актуальном состоянии
данные об индикаторах
компрометации
Отсутствие ретроспективной аналитики
Пусть хотя бы будет дата последней
активности

71. Помните, что С в IoC означает
прошлое время! Оперативно
отслеживайте источники IoCов

72. Рынок услуг TI

73. Текущий рынок Threat Intelligence
• Крупные производители средств защиты имеют
собственные процессы/подразделения Threat
Intelligence
• Например, покупка ThreatGRID компанией Cisco или
AlienVault компанией AT&T
• Существуют самостоятельные компании,
предоставляющие услуги Threat Intelligence всем
желающим
• IQRisk, ETPro, ThreatStream
• Существуют открытые источники Threat
Intelligence
• Развиваются отраслевые/государственные
центры обмена информацией Threat Intelligence
• Например, ISAC в США

74. Российских игроков на этом рынке нет!
Пока нет?

75. Российские поставщики TI
• Group-IB
• BI.ZONE
• Лаборатория Касперского
• ФинЦЕРТ
• ГосСОПКА
🚑

76. А что ГосСОПКА?
• Публикация на сайте
ежемесячно
• Ответ в течение 5 дней
на запрос в НКЦКИ
• Запрос в ФСБ

77. От фидов к TTP

78. TTP = Techniques, Tactics, Procedures
TTP
Цели Инструменты Инфраструктуры Kill Chain

79. Онтология элементов TTP
Тактика
Техника
Процедура
Шаг
процедуры
Нарушитель
Команда (с
аргументами)
Индикатор
Инструмент
используется в
используется в
используется в
используется в
используется в
использует
использует
использует
использует
использует
реализует
реализует
реализует
используется в

80. Adversarial Tactics, Techniques & Common
Knowledge (ATT&CK)
• Систематизированный набор данных о техниках,
тактиках и процедурах, используемых
злоумышленниками
• 10 тактик = 200 техник с подробным описанием в
формате Wiki
• «Корпоративная» версия матрицы рассчитана на
Windows, Linux и MacOS
• Разработана «Мобильная» версия
• Готовится версия для АСУ ТП

81. Матрица ATT&CK

82. Принципы ATT&CK
• Обнаружение компрометации в реальном
времени, а не пост-фактум
• Фокус на поведении, а не статических
правилах
• Моделирование угроз
• Динамичный дизайн
• Реалистичное окружение

83. От ATT&CK к CAR
• Какие известные
нарушители (в базу CARET
входит множество
известных групп - Lazarus,
Cobalt, APT28, APT3 и т.п.)
могут быть детектированы
или не детектированы?
• Какие методы защиты могут
детектировать конкретные
техники злоумышленников
или конкретные хакерские
группы?CARET – Cyber Analytics Repository Exploration Tool

84. От ATT&CK к CAR
Как бороться с Lazarus или Dragonfly? CARET даст ответ
• Какие данные
требуются для ваших
методов защиты?
• Какие инвестиции надо
сделать для борьбы с
определенными
нарушителями или
методами атак?

85. От TTP к кампаниям
• Adversary Emulation
Plan – набор
документов
описывающие
последовательности
TTP, используемые
разными хакерскими
группировками в
рамках различных
кампаний
• Хороший инструмент
для создания
собственных Red
Team

86. От TTP к кампаниям

87. Свежий пример анализа кампании

88. Атрибуция в стиле «Highly Likely»

89. Кампании
Кампании
Попытки
вторжения
TTP

90. Как от отдельных фидов и TTP перейти к
кампаниям?
• Группирование
По Kill Chain
По Diamond Model
• Каждая фаза KC имеет 4 индикатора
по DM

91. Resource
development
Maintain/expand
Target access
Deny AccessIntent ExploitationReconnaissance
Staging Delivery
Target ID Detection
avoidance
Establish/modify
Network infrastructure
C2
Extract Data
Manipulate
Reconnaissance Installation Actions on ObjectiveDelivery C2Weaponization Exploitation
Intent Staging EffectEngagement ManeuverDevelopment Reconnaissance Configure C2
Reconnaissance Exploitation EffectIntent Development Delivery ManeuverStaging C2Configure
Preparation Engagement Presence Effect/Consequence
Prepare Propagate EffectAdminister Engage
Compromise EffectsAdministration Targeting Propagation
ErrorEnvironmental threat MisuseHacking SocialMalware Physical threat
Situational
awareness
Foot printing Enumeration Privilege
escalation
Scanning Covering
tracks
Gain access
(exploitation)
Creating
Backdoors
Концепция kill chain не единственная
STIXTM
NSA 10 Step
Lockheed Martin
Kill Chain ®
ALA
CNE
NSA
VERIS Categories of Threat Actions
JCAC Exploitation

92. Откуда мы получаем данные о кампаниях?
https://apt.securelist.com/

93. От кампаний к атрибуции
нарушителей

94. Хактивисты
Инсайдеры
Хакеры на
службе
государства
Киберкриминал
4 основных типа злоумышленников
ЦРУ – Vault 7
АНБ – Shadow Brokers / Equations
Hacking Team
PLA
APT28 / *** Bears
Lazarus
BlackEnergy
Anonymous
WikiLeaks
Меннинг
Сноуден
Cobalt
Lurk
Carberp
Corkow
Buhtrap

95. Что у нас с атрибуцией нарушителя?

96. Откуда мы получаем данные о группировках?
https://www.fireeye.com/current-threats/apt-groups.html

97. Вас атакует «Срущий слон»!
Fancy Bear Deep Panda Charing Kitten Crouching Yeti Epic Turla DarkHotel
А также «Ливийские скорпионы», «Пыльная буря», «Хищная панда», «Тропический
кавалерист», «Ночной дракон», «Цветочная леди», «Ледяной туман», «Панда со
скрипкой», «Обрезанный котенок», «Шакал повстанцев», «Скрытый ястреб», «Летучий
кедр»…

98. Откуда берутся имена группировок?
• Где вы больше себя чувствуете
героем – борясь с неизвестной
группой лиц, группой APT28 или
«Скрытой коброй»?
• Имя должно быть забавным,
эмоциональным, мифологическим,
секретным
• Никакой стандартизации

99. Откуда мы получаем данные о группировках?
https://aptmap.netlify.com

100. Откуда мы получаем данные о группировках и
кампаниях?
http://apt.threattracking.com

101. Откуда мы получаем данные о хакерах в погонах?
https://www.cfr.org/interactive/cyber-operations

102. США атакованы «Россией»! Кто в
действительности стоит за атакой?

103. Методы атрибуции обычно применяются
в совокупности
• Место регистрации IP-адресов и доменов, участвующих в
атаке, или предоставляющих инфраструктуру для реализации
атаки
• Трассировка атаки до ее источника
• ВременнЫе параметры
• Анализ программного кода, в котором могут быть найдены
комментарии, ссылки на сайты, домены, IP-адреса, которые
участвуют в атаке
• Изучение «почерка» программистов

104. Методы атрибуции обычно применяются
в совокупности
• Стилометрия (изучение стилистики языка в комментариях и
иных артефактах)
• Обманные системы (honeypot)
• Анализ активности на форумах и в соцсетях
• Анализ постфактум (продажа украденной информации…)
• Оперативная разработка

105. Одиночные «доказательства» русского
следа
• Хакеры действовали из часового пояса, в котором находится
Москва
• Хакеры действовали в то время, когда в Москве рабочие часы
• Хакеры действовали с IP-адресов, зарегистрированных в
России
• Хакеры использовали сервисы, у которых был русскоязычный
интерфейс

106. Геополитические
Правовые
Технические
Почему точная атрибуция невозможна?
© 2015 Cisco and/or its affiliates. All rights reserved. 107
Экономические
Психологические

107. Где все это хранить?

108. В чем смысл TIP?
Исследователь находит новое ВПО в
файле Word в рамках целевого фишинга
– известен хеш файла
7c47ff87c0frca93e135c9acffee48d3f
– песочница показывает еще и C2
Запросу в TIP показывает, что тот же
файл/C2 был использован ранее
специфической хакерской группой X
Группа X использует различные хакерские форумы, известные IRC-сервера,
семплы ВПО, URL и C2
Проверка известных мест «тусовки» группы Х и обнаружение использования ими
новых IoС, которые загружаются в TIP и находятся следы других заражений

109. Коммерческие решения vs open source
позволяют собирать индикаторы
компрометации из различных
коммерческих и бесплатных, закрытых
и открытых, государственных и
частных источников,
классифицировать их и производить с
ними различные операции, включая и
выгрузку в средства защиты и системы
мониторинга (SIEM)
TI-платформы
MITRE CRiTs
IT-ISAC на базе Anomali ThreatStream

110. Перечень open source TI-платформ
Название Владелец Сайт
Collaborative Research Into
Threats (CRITs)
MITRE https://crits.github.io/ https://github.com/crits
Collective Intelligence
Framework (CIF)
CSIRT Gadgets Foundation http://csirtgadgets.org/
https://github.com/csirtgadgets
GOSINT Cisco https://github.com/ciscocsirt/GOSINT
https://gosint.readthedocs.io/en/latest/
MANTIS Cyber Threat
Intelligence Management
Framework
SIEMENS https://django-mantis.readthedocs.io/en/latest/
https://github.com/siemens/django-mantis
Malware Information Sharing
Platform (MISP)
CIRCL http://www.misp-project.org/
https://github.com/MISP
https://www.misp-project.org/communities/
MineMeld PaloAlto Networks https://www.paloaltonetworks.com/product
s/secure-the-network/subscriptions/minemeld
https://github.com/PaloAltoNetworks/minemeld
Yeti Yeti https://yeti-platform.github.io/
https://github.com/yeti-platform

111. Перечень TI-community
Название Владелец Сайт
Open Threat Exchange
(OTX)
AlienVault https://www.alienvault.com/open-threat- exchange
ThreatExchange Facebook https://developers.facebook.com/products/t hreat-
exchange
X-Force Exchange IBM https://exchange.xforce.ibmcloud.com/
Платформа обмена
данными
Ассоциация банков
«Россия» / BI.ZONE
https://asros.gti.bi.zone/
ФинЦЕРТ* Банк России
ГосСОПКА** ФСБ
* - планируется автоматизировать обмен данными между участниками через создаваемую АСОИ
** - вообще ничего не понятно

112. Facebook тоже вышел на рынок Threat
Intelligence
11 февраля 2015 года!
http://threatexchange.fb.com/

113. Популярный Maltego
• Maltego – open source решение для
анализа данных, полученных из
разных источников, и связей между
ними
• Canari Framework –
инфраструктура, позволяющая
более эффективно использовать
Maltego
• Malformity – Maltego-проект,
базирующийся на Canari, для
проведения исследования
вредоносного кода и др.

114. Платформы Threat Intelligence
https://www.threatgrid.com
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированые данные
• Приватная маркировка
• Облако или on-premise
• Индикаторы компрометации
• Интеграция с различными SIEM
https://www.iocbucket.com
Возможности:
• Редактор IOC (индикаторов компрометации)
• Поддержка YARA и OpenIOC
• Обмен IOC
• Бесплатная
• Готовится сервис фидов (коммерческих и
бесплатных)
• Готовится поддержка TAXII

115. Платформы Threat Intelligence
https://www.threatstream.com
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированные данные
• Приватная маркировка
• Интеграция с различными поставщиками фидов
• Гибкость
• Работа на мобильных платформах (Apple Watch)
• Интеграция с различными SIEM
http://csirtgadgets.org/collective-intelligence-framework/
Возможности:
• Open source платформа
• Собирает данные из различных источников,
поддерживающих стандарт CIF
• Позволяет идентифицировать инциденты
• Может формировать правила для IDS
• Есть фиды и API

116. Платформы Threat Intelligence
https://www.threatconnect.com
6 уровней:
• Индивидуальный
• Базовый
• Команда
• Предприятие
• MSSP
• ISAC/ISAO
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированые данные
• Приватная маркировка
• Облако или on-premise
• Тактический / стратегический
https://crits.github.io
Платформа open source от MITRE
• Использует другие open source решения, объединяя их вместе
• Анализ и обмен данных об угрозах
• Изолированная или разделяемая архитектура

117. Особенности TIP на примере BI.ZONE
• Хранение IoC
• Поиск / фильтрация IoC
• Атомарные IoC (без TTP)
• Небольшое количество источников TI
• Проведение анализа IoC - частично
• Автоматизация передачи IoC в
средства защиты - нет
• Отслеживание актуальности IoC - нет

118. Применение CRiTs в Cisco

119. https://github.com/crits/crits_services
Обогащение данных: CRITs Services

120. IoC транслируются из STIX в формат и
язык каждого решения ИБ

121. Раньше процесс был
полуавтоматический

122. LOOKUP TABLES CSIRT EA
Playbook
INTEL PLAYS
COLLABORATIVE INTEL
XYZ
FIRST
XYZ-ISAC
DHS
CRITs Server
IT-ISAC
TAXII FEEDS
Soltra Server
MISP Server
M
ISP
FEEDS
Filtering
Formatting
Confidence
Impact
Filtering
Formatting
Confidence
Impact
Context
Enhancement
Services
Сейчас – автоматический ввод
https://github.com/ciscocsirt/gosint

123. Обзор большинства TI-платформ

124. Как автоматизировать
работу с TI?

125. У меня есть фиды (IoC) и что дальше?
Фиды
«Yara»
SIEM
СрЗИ
Руки
J

126. Средства для поиска угроз на базе IoC
• Yara
• PowerShell
• AutoRuns – Utility
• Loki
• Wireshark – tshark
• ...

127. Threat Intelligence API
• Большое количество угроз и непредсказуемость времени их получения
требует автоматизации процесса Threat Intelligence и его интеграции с
существующими решениями класса SIEM или SOC
• Автоматизация может быть достигнута за счет API / SDK, который сможет
• Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat
Intelligence, включая платформы TI
• Поддержка различных языков программирования
• Go и Ruby
• Java и .NET
• Perl и PHP
• Powershell и Python
• RESTful
• WSDL и SOAP

128. API для автоматизации процесса
VirusTotal
https://www.virustotal.com/en/documentation/public-api/
• Загрузка и сканирование файлов
• Загрузка и сканирование URL
• Получение отчетов
ThreatGRID
Широкие возможности по загрузке и получении ответа
• Артефакты (хэш, путь)
• URL
• Ключ реестра
• Домен / имя узла
• IP
• IOC
• Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)

129. API для автоматизации процесса
OpenDNS
Анализ DNS/IP-адресов на предмет их вредоносности
BI.ZONE
Широкие возможности по загрузке и получении ответа
• Артефакты (хэш, путь)
• URL
• Домен / имя узла
• IP
• И др.

130. Стандартизация TI

131. Необходимость стандартизации Threat
Intelligence
• Угроза должна
быть описана
• Угрозы должны
быть объединены
в признаки
компрометации
• Информация об
угроза должна
быть передана

132. Стандарты Threat Intelligence
• OpenIOC
• CybOX
• STIX
• IODEF
• TLP
• СТО 1.5
• Еще?..
🏁

133. • Описание различных проблем с ИБ
• CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак
• CCE (http://cce.mitre.org/) - описание конфигураций
• CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными
средствами защиты (аналог SDEE/RDEP)
• CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры
• CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей
• CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей
• CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО
• MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME
• MARF (http://datatracker.ietf.org/wg/marf/documents/)
• OVAL (http://oval.mitre.org/) - язык описания уязвимостей
• CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки
защищенности
Стандарты Threat Intelligence

134. • Признаки компрометации (Indicators of Compromise) и информация о
нарушителях и хакерских кампаниях
• OpenIOC (http://openioc.org) - преимущественно хостовые признаки
• CybOX (http://cybox.mitre.org)
• OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox)
• STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей
• IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется
• RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга
• IODEF-SCI – расширение IODEF для добавления дополнительных данных
• VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon
• x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях
Стандарты Threat Intelligence

135. • Обмен информацией
• TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX
• VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA
• SecDEF – европейский стандарт ENISA
• CAIF (http://www.caif.info) - европейский стандарт
• DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт
• IODEF
• RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики
• MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX,
IODEF, STIX и TAXII в единое целое
• RFC 5941 – обмен информацией о мошенничестве (фроде)
• MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного
кода
Стандарты Threat Intelligence

136. • Разное
• TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг
распространения информации
• CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и
нейтрализовать угрозы путем генерации правил для Snort, iptables и др.
Стандарты Threat Intelligence

137. Популярные стандарты TI
0
5
10
15
20
25
30
35
40
45
STIX OpenIOC CIF MISP CybOX Другие IODEF VERIS СТО 1.5
% использования
% использования

138. Как классифицируются индикаторы
компрометации (TLP)?
Цвет Значение
Red Recipients may not share TLP: RED information with any parties
outside of the specific exchange, meeting, or conversation in
which it is originally disclosed.
Amber Recipients may only share TLP: AMBER information with
members of their own organisation who need to know, and only
as widely as necessary to act on that information..
Green Recipients may share TLP: GREEN information with peers and
partner organisations within their sector or community, but not via
publicly accessible channels.
White TLP: WHITE information may be distributed without restriction,
subject to copyright controls.

139. Использование протокола TLP для
обмена информацией об угрозах
NSIE
ONA
DSIE
US-CERT
CISCP
ANTI-S Crimeware
Cisco
SIO
Mandiant
Cisco
CSIRT
ISAC

140. Распространение данных TI

141. Обмен информацией об угрозах
• Тема не нова
Сигнатуры, черные списки, базы репутаций
Обычно неструктуировано и ориентировано на работу с
человеком
• Нужно M2M-взаимодействие
STIX / TAXII
📨

142. Обмен информацией
Неформальные
Формальные
Телефонные звонки
E-mail
Телеконференции
Профессиональные ассоциации
Рабочие группы
Профессиональные конференции
Вебинары
Technical Liaison
Технические семинары или конференции
Штабные киберучения
Полномасштабные киберучения
Автоматический обмен
🐢

143. Что рассылает ФинЦЕРТ?

144. Что рассылает ФинЦЕРТ?

145. Что рассылает ФинЦЕРТ?

146. Уведомления от ГосСОПКИ

147. Уведомления от ГосСОПКИ

148. Что и как рассылают иностранцы?

149. Что и как рассылают иностранцы?

150. Что и как рассылают иностранцы?

151. Уведомления от FS-ISAC

152. Полный набор всех IoC от US-CERT

153. Но не сильно рассчитывайте на
регуляторов
t12 мая 13 мая 15 мая 17 мая 19 мая
WannaCry
US-CERT
DHS
CERT-EU
ICS-CERT
FTC
АНБ
ABA
ENISA
2 июня
NCCIC
ФБР
NCSC
SEC
ЦБ

154. Оценка эффективности TI

155. Искать ли новые источники TI или
оставить используемые сейчас?
• Какое соотношение получаемых извне IoC с теми, которые
применялись в компании за отчетный период?
Ответ на этот вопрос помогает понять, насколько вообще внешние источники
помогают вашей организации в обнаружении атак и инцидентов?
• Какие источники TI наиболее релевантны для организации?
Это предыдущий показатель применительно к каждому внешнему источнику
• Число индикаторов, полученных от внешнего источника TI с
учетом их полезности для организации (полезно при
принятии финансовых решений о продлении контракта на TI)
🎯

156. Искать ли новые источники TI или
оставить используемые сейчас?
• Соотношение количества угроз, пришедших по каналам TI, и
не обнаруженных за счет внутренних возможностей
(фишинговые сайты, украденные логины/пароли, сайты-
клоны и т.п.)
• Какое количество получаемых извне IoC применялось в
компании?
Может оказаться вообще, что индикаторы компрометации вы получаете, но не
используете, потому что руки не доходят или не знаете, как автоматизировать
процесс интеграции внешних источников с вашими средствами защиты/анализа
• Сколько IoC, сформированных службой TI, помогло отразить
инциденты в организации (например, на МСЭ, IPS, рутерах и
т.п.)?
• Распределение полученных IoC по типам и соотношение их с
типами угроз внутри организации
🎯

157. Искать ли новые источники TI или
оставить используемые сейчас?
• Сколько playbook было создано/обновлено и использовано
группой по реагированию на инциденты на основе IoC,
сформированных службой TI?
• Динамика снижения числа ложных срабатываний средств
защиты после обогащения сигналов тревоги данными от
службы TI
• Снижение времени (ускорение) на расследование инцидента
и реагирование на него за счет обогащения данных об
инцидентах данными от службы TI
• Соотношение количества обнаруженных угроз средствами
защиты организации с данными от службы TI и без них
(например, голый IDS в сравнении с IDS + TI или IDS + TI +
SIEM)
🎯

158. Искать ли новые источники TI или
оставить используемые сейчас?
• Количество самостоятельно обнаруженных и отреверсенных
вредоносов по сравнению с традиционными антивирусными
программами (если это функция TI)
• Количество подготовленных бюллетеней по
акторам/угрозам/кампаниям, которые имели отношение к
предприятию; особенно тех бюллетеней, которые описывают
угрозы, направленные именно на само предприятие, а не
веерные угрозы
• Количество подготовленных бюллетеней, направленных в
ФинЦЕРТ/ГосСОПКУ/иным внешним лицам (если стоит
задача awareness и обучения отрасли/индустрии)
• Участие в стандартизации вопросов обмена информацией об
угрозах (если такая тема актуальна для организации)
🎯

159. Пример дашборда по TI в Cisco
Копировать чужие дашборды бессмысленно – вы должны ответить на вопрос:
«Что нужно именно вам?»

160. Выводы

161. Инфраструктура под
расследованием
Меры защиты и
восстановления
Системы коммуникаций и
взаимодействия
РасследованиеМониторинг и
реагирование
Обогащение/TI
Телеметрия и
другие
источники
Решения провайдеров
по ИБ
Управление
сервисами
Security Analytics
Suite
AV Intel
Providers
Cloud
Infra
Service
Provider
Solutions
Digital
Forensics
Tools
Security Case
Management
Enrichment
Providers
Threat Intel
Providers
Платформы для разведки
Threat
Intelligence
Malware
Analysis
Knowledge
Base
Log
Management
Native Logs
Cyber Security
Controls
Wiki
Comm &
Collab Apps
Internal Infra
Ticketing
Training
Platforms
Physical Security
Controls
Sensor
Telemetry
Other Data
Sources

162. С чего начать?
• Какие инциденты были самыми популярными у вас
за прошедший год?
Программы-вымогатели, фишинг, вредоносное ПО, DDoS?
• Какие типы нарушителей были самыми
популярными у вас за прошедший год?
Киберпреступники, инсайдеры?
• Начните строить TI с этих типов угроз и
нарушителей
• Используйте open source источники и платформы
TI
🔬

163. А можно предсказывать угрозы?
Оптимизация
Информация
Взгляд в прошлое
Взгляд в будущее
В поле зренияОписательная
аналитика
Что
случилось?
Диагностическая
аналитика
Почему это
случилось?
Предсказательная
аналитика
Что
случится?
Предписывающая
аналитика
Что я должен
сделать?
Сложность
Ценность

164. Опыт Cisco: комбинируйте методы
обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования

165. Не покупайте Threat
Intelligence только потому,
что так делают все/многие!
Тоже самое относится к SOCам, UEBA, EDR, CASB, SOAR и другим
новомодным аббревиатурам и технологиям

166. Выводы
• Система Threat Intelligence как никогда важна в текущих
условиях для каждой организации, отрасли, государства
• Система Threat Intelligence должна стать неотъемлемой
частью эффективного системы ИБ на предприятии
• Сегодня есть все возможности, ресурсы и инструменты
для создания такой системы
• Стандартизация и автоматизация (включая обновления)
– ключ к эффективной системе Threat Intelligence
• Система Threat Intelligence не «висит в воздухе» –
необходимо создание целой инфраструктуры для ее
эффективного функционирования
👩🚒

167. В качестве послесловия

168. Дополнительная информация

169. Книги по Threat Intelligence

170. Спасибо!
alukatsk@cisco.com