Спецпроекты

ПО Безопасность Бизнес Цифровизация

Threat Intelligence: что это такое и как применить на практике

Александр Мазикин

руководитель группы по развитию продаж сервисов «Лаборатории Касперского»

Тема Threat Intelligence (TI) — далеко не новая для рынка информационной безопасности, но и не самая понятная. В этом материале — попытка рассмотреть рынок именно с точки зрения концепции использования Threat Intelligence, а также рассказать, что именно рынок готов предложить в 2022 г. Эта статья ― для тех, кто хочет погрузиться в тему TI с начальных этапов. Как показывает практика, на рынке таких заказчиков — большинство, и наша задача ― помочь разобраться в многообразии продуктов и сервисов. Автор статьи — Александр Мазикин, руководитель группы по развитию продаж сервисов «Лаборатории Касперского».

Что такое Threat Intelligence?

Если задать этот вопрос группе специалистов в области информационной безопасности, мы получим принципиально разные ответы. Несмотря на все старания вендоров и аналитических агентств, на различных рынках сложилось разное понимание и отношение к Threat Intelligence.

Зачастую многие специалисты ставят знак равенства между термином «киберразведка» (а именно такой перевод TI предлагают многие участники рынка) и понятием «фиды» (машиночитаемые потоки данных, англ. Machine Readable Threat Intelligence, MRTI). На самом же деле MRTI — это лишь верхушка айсберга и отличный первый этап для компании, начинающей свой путь в мир TI.


Согласно аналитическому агентству Gartner, Threat Intelligence — это основанные на фактах знания, включая контекст, механизмы, индикаторы, последствия и практические рекомендации о существующих или возникающих угрозах для активов, которые могут быть использованы для принятия решений, касающихся реагирования субъекта на эту угрозу или опасность.


Весьма сложное определение, но в итоге все упирается в знания, которые используются для принятия решений и позволяют опередить злоумышленника в вечной игре в догонялки. На данном этапе на рынке сформировалась весьма стройная картина того, какие данные могут поставляться в виде подписок на TI-сервисы.

К чему пришел рынок за эти годы?

Точкой отсчета для TI-рынка можно называть разные события, но я бы хотел выделить два основных:

  • атака Stuxnet, 2010 г.;
  • написание отчета APT1 компанией Mandiant, 2013 г.

О Stuxnet за годы было сказано и написано немало статей и даже были сняты фильмы, но именно это кибероружие и последующие события заложили фундамент для дальнейшего развития рынка Threat Intelligence. И уже через несколько лет Mandiant выпустила свой отчет об APT1, став основоположником описаний таргетированных атак.

С тех пор мы пришли к четкому пониманию того, какие типы данных должны поставляться вендорами. Аналитические агентства начали оценивать предложения компаний по различным критериям и выделили более десятка крупных игроков. Они же сформировали видение типов Threat Intelligence, доступных для использования:

  • Strategic — рассчитан в основном на менеджмент организации, позволяет оценить риски и сформировать стратегию информационной безопасности;
  • Tactical — используется в Threat Hunting и при построении систем безопасности, сфокусирован на информации о Tactics, Technics & Procedures злоумышленников;
  • Operational — то, что может использоваться в рамках защиты инфраструктуры, расследования инцидентов или исследования угроз на ежедневной основе;
  • Technical — по большей части рассчитан на службу мониторинга и улучшение покрытия путем поставки больших объемов сырой машиночитаемой информации.

Threat Intelligence не является панацеей, но позволяет эффективно двигаться в сторону современной многоуровневой системы защиты

Примерно такой структуры придерживаются все крупные игроки, поэтому заказчики всегда понимают и знают, что именно они приобретают, несмотря на различия между основными поставщиками.

Отдельно стоит выделить такой класс решений, как Threat IntelligencePlatform (TIP) — решения для использования, хранения и распространения данных об угрозах, позволяющие получать данные из нескольких источников в десятках разных форматов. TIP позволяет упростить и автоматизировать процесс работы с данными, выстроить процессы и распределить поток между различными решениями и командами.

Как все это использовать?

Количество сценариев не ограничено ― мы же говорим о знаниях. Но в то же время есть и понятные, базовые пути использования Threat Intelligence.

  • Детектирование угроз. С помощью интеграции машиночитаемых данных в различные системы безопасности мы можем усилить механизмы детектирования свежими данными из различных источников. Платформы SIEM или Threat Intelligence смогут использовать эти данные на потоке для выявления подозрительной или зловредной активности.
  • Реагирование. Валидация событий и их приоритезация — серьезная проблема для служб информационной безопасности. По статистике, около половины событий просто не расследуются. TI может помочь выявить и не упустить серьезные угрозы в рамках процесса мониторинга инфраструктуры.
  • Расследование инцидентов. Данные могут позволить изучить угрозы, с которыми вы столкнулись, более тщательно и глубоко. Крайне важно понимать, что именно произошло в рамках конкретного инцидента, а не просто заблокировать угрозу. Операционные и тактические данные очень пригодятся на этом этапе.
  • Поиск угроз (Threat Hunting). Процессы поиска целевых атак, новых угроз, присутствия злоумышленников в сети не могут существовать без подпитки свежими данными извне. Техники и тактики, используемые злоумышленниками, свежие индикаторы компрометации, описания методологии атак — минимальный необходимый набор данных для выстроенного процесса Threat Hunting.
  • Устранение. Последние несколько лет активизировалась дискуссия о сервисах по мониторингу и защите бренда: социальные сети, darkweb, неправомерное использование товарных знаков, фишинг и так далее. Есть различные мнения, относить ли Brand Protection к рынку Threat Intelligence или нет, но сценарий по мониторингу и устранению (takedown) угроз мы не можем не рассмотреть.

Есть ли какие-то устоявшиеся практики?

С 2013 г. MITRE Corporation разрабатывает и обновляет свое руководство по классификации и описанию кибератак, известное, как MITRE ATT&CK Framework (Adversarial Tactics, Techniques, and Common Knowledge). Матрица представляет собой набор описанных техник, тактик и процедур (Technics, Tactics and Procedures, TTP's), использующихся злоумышленниками. Этими стандартными описаниями команды исследователей по всему миру пользуются при написании отчетов о различных атаках. Аналогичный каталог ведет и ФСТЭК России.

Де-факто ATT&CK Framework становится индустриальным стандартом для описания TTP's злоумышленников. Такой же процесс мы уже видели при возникновении форматов OpenIOC или STIX и TAXII, используемых для передачи информации об угрозах.

С чего же начать?

Самый простой путь — машиночитаемая информация для интеграции в системы мониторинга — такие, как SIEM. Даже один специалист, ответственный за Threat Intelligence, способен выстроить начальный фреймворк, который позволит в будущем перейти на следующий уровень — использование Threat Intelligence во всех процессах информационной безопасности: от базового мониторинга до Threat Hunting в рамках третьей линии Security Operations Center. Да, наличие Threat Data Feeds — это еще не фреймворк, но хотя бы его начало.

Практически любой вендор Threat Intelligence предложит вам стандартные механизмы и сценарии использования. При выборе поставщика мы рекомендуем обратить внимание как минимум на следующие критерии:

  • данные из глобальных источников, обеспечивающие самое широкое покрытие атак, и в то же время присутствие в вашем регионе;
  • опыт раннего обнаружения новых угроз;
  • контекст вокруг угроз, позволяющий реагировать моментально;
  • форматы и механизмы, позволяющие легко интегрироваться в существующие средства безопасности.

Всем этим критериям отвечает решение от «Лаборатории Касперского», включающее в себя все доступные и требуемые типы данных, а также консультационную и интеграционную поддержку. Решение признано лидером в области сервисов оперативного информирования о киберугрозах, что подтверждается как крупнейшими аналитическими агентствами, так и опрошенными клиентами.

Что будет дальше?

Мы видим следующие основные тренды.

Унификация и автоматизация. Организациям становится все сложнее справляться с потоком информации, получаемой извне; автоматизация процессов обработки и унификация данных должны помочь справиться с этой задачей.

Целевая информация. Получение данных о конкретной компании или целой стране. Фокус на информации, релевантной для конкретного заказчика.

Обмен данными. Рынок Threat Intelligence образовался в первую очередь за счет обмена данными между компаниями. Пример таких взаимоотношений ― финансовые и государственные Computer Emergency Response Team (CERT), оперативно оповещающие компании о текущих атаках, а также открытые системы обмена информацией между специалистами информационной безопасности.

Digital Risk Protection. Threat Intelligence становится частью процессов, связанных с рисками для бренда в целом. Информация об утечках, фотографии рабочих мест в социальных сетях, обсуждения и прочие данные, полезные для выстраивания процесса управления рисками.

Упрощение. Информация должна быть доступной и простой для понимания. Открытым остается вопрос, считать ли защиту бренда частью Threat Intelligence или выделять в отдельную нишу, например, Digital Risk Protection. Разные поставщики по-разному позиционируют такого рода решения.

Как итог, защита современной организации или даже целой страны требует новых подходов к организации этого процесса. Threat Intelligence не является панацеей, но позволяет эффективно двигаться в сторону современной многоуровневой системы защиты. Противостояние угрозам требует глубокого понимания тактик и инструментов, используемых злоумышленниками, и Threat Intelligence — уже не просто модное название, а необходимость.

Хотите узнать больше? Запросите демо-доступ к решению Kaspersky Threat Intelligence.

Короткая ссылка