Разведка киберугроз

Информация о киберугрозах ( CTI ) — это знания, навыки и основанная на опыте информация, касающаяся возникновения и оценки как кибер-, так и физических угроз и субъектов угроз, которая призвана помочь смягчить потенциальные атаки и вредные события, происходящие в киберпространстве. ^[1] Источники разведывательной информации о киберугрозах включают в себя разведку из открытых источников , разведку в социальных сетях , человеческий интеллект , техническую разведку, файлы журналов устройств, данные, полученные судебно-медицинской экспертизой или данные из интернет-трафика, а также данные, полученные для глубокой и темной сети.

В последние годы анализ угроз стал важной частью стратегии кибербезопасности компаний, поскольку он позволяет компаниям проявлять более активный подход и определять, какие угрозы представляют наибольший риск для бизнеса. Это заставляет компании действовать более активно, активно пытаясь найти свои уязвимости и предотвращая взломы до того, как они произойдут. ^[2] Этот метод приобретает все большее значение в последние годы, поскольку, по оценкам IBM , наиболее распространенным методом взлома компаний является использование угроз (47% всех атак). ^[3]

В последние годы число уязвимостей угроз возросло также из-за пандемии COVID-19 и увеличения числа людей , работающих из дома , что делает данные компаний более уязвимыми. Из-за растущих угроз, с одной стороны, и растущей сложности, необходимой для анализа угроз, многие компании в последние годы решили передать свою деятельность по анализу угроз поставщику управляемой безопасности (MSSP) . ^[4]

Процессно-аналитический цикл

Процесс разработки информации о киберугрозах представляет собой циклический и непрерывный процесс, известный как цикл разведки, который состоит из пяти этапов: ^[5]^[6]^[7]^[8] осуществляется разведывательными группами с целью предоставления руководству актуальных и удобных разведывательных данных для уменьшения опасности и неопределенности. ^[7]

Пять этапов: 1) планирование и руководство; 2) сбор; 3) обработка; 4) анализ; 5) распространение. ^[5]^[6]^[7]^[8]

При планировании и управлении заказчик разведывательного продукта запрашивает информацию по конкретной теме или цели. Затем, по указанию клиента, начинается второй этап — сбор, который включает в себя доступ к исходной информации, которая потребуется для создания готового разведывательного продукта. Поскольку информация не является разведкой, она должна быть преобразована и, следовательно, должна пройти этапы обработки и анализа: на этапе обработки (или преаналитическом этапе) необработанная информация фильтруется и подготавливается для анализа с помощью ряда методов (расшифровка, языковой перевод). , сокращение данных и т. д.); На этапе анализа организованная информация преобразуется в разведданные. Наконец, этап распространения, на котором вновь выбранная информация об угрозах отправляется различным пользователям для использования. ^[6]^[8]

Типы

Существует три всеобъемлющих, но не категоричных класса разведки киберугроз: ^[1] 1) тактический; 2) эксплуатационный; 3) стратегический. ^[1]^[5]^[8]^[9]^[10] Эти занятия имеют основополагающее значение для построения комплексной оценки угроз. ^[5]

Тактический: обычно используется для выявления субъектов угрозы. Используются индикаторы компрометации (такие как IP-адреса , интернет-домены или хэши ), а анализ тактик, методов и процедур (TTP), используемых киберпреступниками, начинает углубляться. Информация, полученная на тактическом уровне, поможет службам безопасности прогнозировать предстоящие атаки и идентифицировать их на самых ранних стадиях. ^[1]^[5]^[7]^[8]^[10]
Оперативный: это наиболее технический уровень анализа угроз. В нем приводятся подробные и конкретные подробности об атаках, мотивации, возможностях субъектов угроз и отдельных кампаниях. Информация, предоставляемая экспертами по анализу угроз на этом уровне, включает характер, намерения и время возникновения новых угроз. Информацию такого типа получить труднее, и чаще всего она собирается через глубокие, малоизвестные веб-форумы, к которым внутренние команды не имеют доступа. Группы безопасности и реагирования на атаки используют этот тип оперативной разведки. ^[1]^[5]^[8]^[10]
Стратегический: обычно ориентирован на нетехническую аудиторию, содержит информацию об общих рисках, связанных с киберугрозами. Цель состоит в том, чтобы предоставить в форме официальных документов и отчетов подробный анализ текущих и прогнозируемых будущих рисков для бизнеса, а также потенциальных последствий угроз, чтобы помочь лидерам расставить приоритеты в своих ответных действиях. ^[1]^[5]^[8]^[10]

Преимущества анализа киберугроз

Анализ киберугроз дает ряд преимуществ, в том числе:

Дает организациям, агентствам или другим организациям возможность развивать упреждающую и надежную позицию в области кибербезопасности, а также укреплять общее управление рисками, а также политики и меры реагирования в области кибербезопасности. ^[11]
Придает импульс проактивной политике кибербезопасности, которая является прогнозирующей, а не просто реагирующей на кибератаки. ^[2]
Он предоставляет контекст и информацию об активных атаках и потенциальных угрозах, помогая принимать решения. ^[5]
Это предотвращает утечку данных и раскрытие конфиденциальной информации, тем самым предотвращая потерю данных. ^[10]
Сократите затраты. Поскольку утечка данных требует затрат, снижение риска утечки данных помогает сэкономить деньги. ^[10]
Он помогает и предоставляет учреждениям инструкции о том, как реализовать меры безопасности для защиты от будущих атак. ^[10]
Позволяет обмениваться знаниями, навыками и опытом среди специалистов по кибербезопасности и заинтересованных сторон в системах. ^[10]
Это помогает легче и лучше выявлять риски и угрозы, а также механизмы доставки, индикаторы компрометации всей инфраструктуры, а также потенциальных конкретных участников и мотиваторов. ^[12]
Помогает в обнаружении атак во время и до этих этапов. ^[12]
Предоставляет индикаторы действий, предпринятых на каждом этапе атаки. ^[12]
Сообщает о поверхностях угроз, векторах атак и вредоносных действиях, направленных как на информационные технологии, так и на платформы операционных технологий.
Служить основанным на фактах хранилищем доказательств как успешных, так и неудачных кибератак.
Предоставьте индикаторы для групп реагирования на компьютерные чрезвычайные ситуации и реагирования на инциденты . групп

Ключевые элементы

Существует три ключевых элемента, которые должны присутствовать, чтобы информация или данные считались разведывательными данными об угрозах: ^[8]

На основе фактических данных: чтобы любой разведывательный продукт был полезным, его сначала необходимо получить с помощью надлежащих методов сбора доказательств. С помощью других процессов, таких как анализ вредоносного ПО , можно получить информацию об угрозах.
Полезность: чтобы информация об угрозах оказала положительное влияние на исход события безопасности, она должна иметь некоторую полезность. Разведка должна обеспечивать ясность с точки зрения контекста и данных о конкретных действиях и методах.
Действенное: действие — это ключевой элемент, который отделяет информацию или данные от информации об угрозах. Разум должен стимулировать действия.

Атрибуция

Киберугрозы включают использование компьютеров, устройств хранения данных, программных сетей и облачных хранилищ. До, во время или после кибератаки техническая информация об информационных и операционных технологиях, устройствах, сети и компьютерах между злоумышленником(ами) и жертвой(ами) может быть собрана, сохранена и проанализирована. Однако идентифицировать человека(ов), стоящего за нападением, их мотивы или конечного спонсора нападения, называемое атрибуцией, иногда бывает сложно. Недавний ^{[ когда? ]} усилия по разведке угроз подчеркивают понимание ДТС противника . ^[13]

Ряд недавних ^{[ когда? ]} Аналитические отчеты по разведке киберугроз были опубликованы организациями государственного и частного сектора, которые приписывают кибератаки. Сюда входят отчеты Mandiant APT1 и APT28, ^[14]^[15] Отчет APT29 CERT США, ^[16] и отчеты Symantec Dragonfly, Waterbug Group и Seedworm. ^[17]^[18]^[19]

совместное использование CTI

В 2015 году законодательство США в виде Закона об обмене информацией о кибербезопасности поощряло обмен показателями CTI между правительством и частными организациями. Этот закон требовал от федерального правительства США содействия и продвижения четырех целей CTI: ^[20]

Передача «секретных и рассекреченных индикаторов киберугроз, находящихся в распоряжении федерального правительства, частным организациям, нефедеральным правительственным учреждениям или органам власти штата, племени или местным органам власти»;
Обмен «несекретными показателями с общественностью»;
Обмен «информацией с организациями, подвергающимися угрозам кибербезопасности, для предотвращения или смягчения неблагоприятных последствий»;
Обмен передовым опытом в области кибербезопасности с вниманием к проблемам, с которыми сталкивается малый бизнес.

В 2016 году правительственное агентство США Национальный институт стандартов и технологий (NIST) выпустило публикацию (NIST SP 800-150), в которой дополнительно изложена необходимость обмена информацией о киберугрозах, а также рамки для реализации. ^[21]

См. также

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и ^ж Банк Англии. (2016). Аналитическое тестирование CBEST: понимание операций по анализу киберугроз . https://www.bankofengland.co.uk/-/media/boe/files/financial-stability/financial-sector-continuity/understanding-cyber-threat-intelligence-operations.pdf
^ Jump up to: ^а ^б CyberProof Inc. (nd). Управляемая аналитика угроз . КиберДоказательство. Получено 3 апреля 2023 г. с https://www.cyberproof.com/cyber-101/managed-threat-intelligence/.
^ IBM (23 февраля 2022 г.). «Индекс аналитики угроз IBM Security X-Force» . www.ibm.com . Проверено 29 мая 2022 г.
^ «MSSP — что такое поставщик управляемых услуг безопасности?» . Программное обеспечение Check Point . Проверено 29 мая 2022 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час «Для чего и как используется информация о киберугрозах?» . blog.softtek.com . Проверено 12 апреля 2023 г.
^ Jump up to: ^а ^б ^с Фитиан, Марк (2013). Понимание интеллектуального цикла (PDF) (1-е изд.). Рутледж. стр. 17–23.
^ Jump up to: ^а ^б ^с ^д Кайм, Брайан (29 марта 2016 г.). «Аналитика угроз: планирование и управление» . Институт САНС .
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Жерар, Йохансен (2020). Цифровая криминалистика и реагирование на инциденты: методы и процедуры реагирования на инциденты для реагирования на современные киберугрозы (2-е изд.). ООО «Пакт Паблишинг»
^ Трифонов, Румен; Наков, Огнян; Младенов, Валерий (2018). «Искусственный интеллект в разведке киберугроз» . Международная конференция по интеллектуальным и инновационным вычислительным приложениям (ICONIC) 2018 г. IEEE. стр. 1–4. дои : 10.1109/ICONIC.2018.8601235 . ISBN 978-1-5386-6477-3 . S2CID 57755206 .
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Касперский. (без даты). Что такое разведка угроз? Определение и объяснение . Получено 3 апреля 2023 г. с https://www.kaspersky.com/resource-center/definitions/threat-intelligence .
^ Берндт, Анзель; Офофф, Жак (2020). «Изучение ценности функции анализа киберугроз в организации» . В Древине, Линетт; фон Зольмс, Суне; Теохариду, Марианти (ред.). Образование в области информационной безопасности. Информационная безопасность в действии . ИФИП: Достижения в области информационных и коммуникационных технологий. Том. 579. Чам: Springer International Publishing. стр. 96–109. дои : 10.1007/978-3-030-59291-2_7 . ISBN 978-3-030-59291-2 . S2CID 221766741 .
^ Jump up to: ^а ^б ^с Шеклфорд, Д. (2015). Кто и как использует информацию о киберугрозах? . Институт САНС. https://cdn-cybersecurity.att.com/docs/SANS-Cyber-Threat-Intelligence-Survey-2015.pdf
^ Леви Гундерт, Как идентифицировать ТТП субъектов угроз
^ «APT1: Разоблачение одного из китайских подразделений кибершпионажа | Mandiant» (PDF) .
^ «APT28: Окно в российские операции кибершпионажа» (PDF) . FireEye, Inc., 2014 г. Проверено 3 декабря 2023 г.
^ «Степь гризли — вредоносная кибердеятельность России» (PDF) . НКЦИК . 29 декабря 2016 года . Проверено 3 декабря 2023 г.
^ «Стрекоза: западный энергетический сектор подвергся атаке сложной атакующей группы» .
^ «Waterbug: Шпионская группа внедряет совершенно новый набор инструментов для атак на правительства» .
^ «Семенной червь: группа компрометирует правительственные агентства, нефтегазовую отрасль, неправительственные организации, телекоммуникационные компании и ИТ-компании» .
^ Берр, Ричард (28 октября 2015 г.). «S.754 — 114-й Конгресс (2015–2016 гг.): Для улучшения кибербезопасности в Соединенных Штатах за счет расширения обмена информацией об угрозах кибербезопасности и для других целей» . www.congress.gov . Проверено 9 июня 2021 г.
^ Джонсон, CS; Бэджер, ML; Уолтермайр, Д.А.; Снайдер, Дж.; Скорупка, К. (4 октября 2016 г.). «Руководство по обмену информацией о киберугрозах» . Национальный институт стандартов и технологий . дои : 10.6028/nist.sp.800-150 . Проверено 3 декабря 2023 г.

Дальнейшее чтение

Борис Джаннетто - Пьерлуиджи Паганини (2020). Освоение коммуникации в киберразведывательной деятельности: краткое руководство пользователя . Журнал киберзащиты.
Анка Динику, Академия Сухопутных войск имени Николае Бэлческу, Сибиу, Румыния, Киберугрозы национальной безопасности. Особенности и действующие лица - Научный бюллетень № 2(38)/2014
Zero Day: Nuclear Cyber Sabotage, BBC Four — Документальный триллер о войне в мире без правил — мире кибервойны. В нем рассказывается история Stuxnet, самовоспроизводящегося компьютерного вредоносного ПО, известного как «червь» из-за его способности проникать в компьютер.
Что такое разведка угроз? - Сообщение в блоге, предоставляющее контекст и дополняющее обсуждение определения аналитических данных об угрозах.
Объяснение охоты за угрозами — короткая статья, объясняющая разведку киберугроз.
Разведка киберугроз . Что такое разведка киберугроз? - Полное руководство для начинающих.

[Bank_of_England_Cyber_Threat_Intelligence_Operations-1] Jump up to: ^а ^б ^с ^д ^и ^ж Банк Англии. (2016). Аналитическое тестирование CBEST: понимание операций по анализу киберугроз . https://www.bankofengland.co.uk/-/media/boe/files/financial-stability/financial-sector-continuity/understanding-cyber-threat-intelligence-operations.pdf

[:4-2] Jump up to: ^а ^б CyberProof Inc. (nd). Управляемая аналитика угроз . КиберДоказательство. Получено 3 апреля 2023 г. с https://www.cyberproof.com/cyber-101/managed-threat-intelligence/.

[3] IBM (23 февраля 2022 г.). «Индекс аналитики угроз IBM Security X-Force» . www.ibm.com . Проверено 29 мая 2022 г.

[4] «MSSP — что такое поставщик управляемых услуг безопасности?» . Программное обеспечение Check Point . Проверено 29 мая 2022 г.

[:0-5] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час «Для чего и как используется информация о киберугрозах?» . blog.softtek.com . Проверено 12 апреля 2023 г.

[:1-6] Jump up to: ^а ^б ^с Фитиан, Марк (2013). Понимание интеллектуального цикла (PDF) (1-е изд.). Рутледж. стр. 17–23.

[:2-7] Jump up to: ^а ^б ^с ^д Кайм, Брайан (29 марта 2016 г.). «Аналитика угроз: планирование и управление» . Институт САНС .

[:3-8] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Жерар, Йохансен (2020). Цифровая криминалистика и реагирование на инциденты: методы и процедуры реагирования на инциденты для реагирования на современные киберугрозы (2-е изд.). ООО «Пакт Паблишинг»

[9] Трифонов, Румен; Наков, Огнян; Младенов, Валерий (2018). «Искусственный интеллект в разведке киберугроз» . Международная конференция по интеллектуальным и инновационным вычислительным приложениям (ICONIC) 2018 г. IEEE. стр. 1–4. дои : 10.1109/ICONIC.2018.8601235 . ISBN 978-1-5386-6477-3 . S2CID 57755206 .

[:5-10] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Касперский. (без даты). Что такое разведка угроз? Определение и объяснение . Получено 3 апреля 2023 г. с https://www.kaspersky.com/resource-center/definitions/threat-intelligence .

[11] Берндт, Анзель; Офофф, Жак (2020). «Изучение ценности функции анализа киберугроз в организации» . В Древине, Линетт; фон Зольмс, Суне; Теохариду, Марианти (ред.). Образование в области информационной безопасности. Информационная безопасность в действии . ИФИП: Достижения в области информационных и коммуникационных технологий. Том. 579. Чам: Springer International Publishing. стр. 96–109. дои : 10.1007/978-3-030-59291-2_7 . ISBN 978-3-030-59291-2 . S2CID 221766741 .

[:6-12] Jump up to: ^а ^б ^с Шеклфорд, Д. (2015). Кто и как использует информацию о киберугрозах? . Институт САНС. https://cdn-cybersecurity.att.com/docs/SANS-Cyber-Threat-Intelligence-Survey-2015.pdf

[13] Леви Гундерт, Как идентифицировать ТТП субъектов угроз

[14] «APT1: Разоблачение одного из китайских подразделений кибершпионажа | Mandiant» (PDF) .

[FE_1-15] «APT28: Окно в российские операции кибершпионажа» (PDF) . FireEye, Inc., 2014 г. Проверено 3 декабря 2023 г.

[GS_1-16] «Степь гризли — вредоносная кибердеятельность России» (PDF) . НКЦИК . 29 декабря 2016 года . Проверено 3 декабря 2023 г.

[17] «Стрекоза: западный энергетический сектор подвергся атаке сложной атакующей группы» .

[18] «Waterbug: Шпионская группа внедряет совершенно новый набор инструментов для атак на правительства» .

[19] «Семенной червь: группа компрометирует правительственные агентства, нефтегазовую отрасль, неправительственные организации, телекоммуникационные компании и ИТ-компании» .

[20] Берр, Ричард (28 октября 2015 г.). «S.754 — 114-й Конгресс (2015–2016 гг.): Для улучшения кибербезопасности в Соединенных Штатах за счет расширения обмена информацией об угрозах кибербезопасности и для других целей» . www.congress.gov . Проверено 9 июня 2021 г.

[GCT_1-21] Джонсон, CS; Бэджер, ML; Уолтермайр, Д.А.; Снайдер, Дж.; Скорупка, К. (4 октября 2016 г.). «Руководство по обмену информацией о киберугрозах» . Национальный институт стандартов и технологий . дои : 10.6028/nist.sp.800-150 . Проверено 3 декабря 2023 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]