Разведка киберугроз

Данные, полезные для обнаружения или прогнозирования кибератак

Разведка киберугроз ( CTI ) — это подраздел кибербезопасности , который фокусируется на структурированном сборе, анализе и распространении данных о потенциальных или существующих киберугрозах . ^{[1] [2]} Он предоставляет организациям информацию, необходимую для прогнозирования, предотвращения и реагирования на кибератаки, путем понимания поведения субъектов угроз, их тактики и уязвимостей , которые они используют. ^{[3] [4] [5]} Источники разведки киберугроз включают разведку с открытым исходным кодом , разведку социальных сетей , человеческую разведку , техническую разведку, файлы журналов устройств, данные, полученные криминалистическим путем, или разведку из интернет-трафика, а также данные, полученные для глубокой и темной паутины.

В последние годы анализ угроз стал важнейшей частью стратегии кибербезопасности компаний, поскольку он позволяет компаниям быть более активными в своем подходе и определять, какие угрозы представляют наибольший риск для бизнеса. Это ставит компании на более активный фронт, активно пытаясь найти свои уязвимости и предотвращая взломы до того, как они произойдут. ^[6] Этот метод приобретает все большее значение в последние годы, поскольку, по оценкам IBM , наиболее распространенным методом взлома компаний является эксплуатация угроз (47% всех атак). ^[7]

Уязвимости угроз возросли в последние годы также из-за пандемии COVID-19 и большего количества людей , работающих из дома , что делает данные компаний более уязвимыми. Из-за растущих угроз, с одной стороны, и растущей сложности, необходимой для разведки угроз, многие компании в последние годы решили передать свою деятельность по разведке угроз на аутсорсинг поставщику управляемой безопасности (MSSP) . ^[8]

Процесс - цикл разведки

Процесс разработки разведывательной информации о киберугрозах представляет собой круговой и непрерывный процесс, известный как цикл разведки, который состоит из пяти фаз, ^{[9] [10] [11] [12]} выполняемых разведывательными группами для предоставления руководству актуальной и удобной разведывательной информации для снижения опасности и неопределенности. ^[11]

Пять фаз: 1) планирование и направление; 2) сбор; 3) обработка; 4) анализ; 5) распространение. ^{[9] [10] [11] [12]}

При планировании и руководстве заказчик разведывательного продукта запрашивает разведданные по определенной теме или цели. Затем, после направления от клиента, начинается вторая фаза — сбор, которая включает в себя доступ к необработанной информации, которая потребуется для создания готового разведывательного продукта. Поскольку информация не является разведданными, ее необходимо преобразовать и, следовательно, пройти фазы обработки и анализа: на этапе обработки (или преаналитической фазе) необработанная информация фильтруется и подготавливается к анализу с помощью ряда методов (расшифровка, перевод на другой язык, сокращение данных и т. д.); на этапе анализа организованная информация преобразуется в разведданные. Наконец, фаза распространения, на которой вновь отобранные разведданные об угрозах отправляются различным пользователям для их использования. ^{[10] [12]}

Типы

Существует три всеобъемлющих, но не категориальных класса разведданных о киберугрозах: ^[4] 1) тактические; 2) оперативные; 3) стратегические. ^{[4] [9] [12] [13] [14]} Эти классы имеют основополагающее значение для построения комплексной оценки угроз. ^[9]

• Тактический: Обычно используется для выявления субъектов угроз. Индикаторы компрометации (такие как IP-адреса , интернет-домены или хэши ) используются, и анализ тактик, методов и процедур (TTP), используемых киберпреступниками, начинает углубляться. Информация, полученная на тактическом уровне, поможет группам безопасности предсказывать предстоящие атаки и выявлять их на самых ранних стадиях. ^{[4] [9] [11] [12] [14]}
• Оперативный: Это самый технический уровень разведки угроз. Он делится четкими и конкретными подробностями об атаках, мотивации, возможностях субъектов угроз и отдельных кампаниях. Информация, предоставляемая экспертами по разведке угроз на этом уровне, включает характер, намерение и время возникновения новых угроз. Этот тип информации сложнее получить, и чаще всего ее собирают через глубокие, малоизвестные веб-форумы, к которым внутренние команды не имеют доступа. Группы безопасности и реагирования на атаки — это те, кто использует этот тип оперативной разведки. ^{[4] [9] [12] [14]}
• Стратегический: Обычно предназначен для нетехнической аудитории, разведданные об общих рисках, связанных с киберугрозами. Цель состоит в том, чтобы предоставить в форме официальных документов и отчетов подробный анализ текущих и прогнозируемых будущих рисков для бизнеса, а также потенциальных последствий угроз, чтобы помочь лидерам расставить приоритеты в своих ответах. ^{[4] [9] [12] [14]}

Преимущества разведки киберугроз

Разведка киберугроз дает ряд преимуществ, в том числе:

• Предоставляет организациям, агентствам или другим субъектам возможность разрабатывать проактивную и надежную позицию в области кибербезопасности и укреплять общее управление рисками, а также политику и меры реагирования в области кибербезопасности. ^[15]
• Дает импульс к проактивной позиции кибербезопасности, которая является прогнозирующей, а не просто реактивной после кибератаки. ^[6]
• Он предоставляет контекст и информацию об активных атаках и потенциальных угрозах для помощи в принятии решений. ^[9]
• Это предотвращает утечку конфиденциальной информации в результате утечки данных, тем самым предотвращая потерю данных. ^[14]
• Сокращение расходов. Поскольку утечки данных — это расходы, снижение риска утечки данных помогает сэкономить деньги. ^[14]
• Он помогает и предоставляет инструкции учреждениям о том, как реализовать меры безопасности для защиты от будущих атак. ^[14]
• Позволяет обмениваться знаниями, навыками и опытом между сообществом практиков кибербезопасности и заинтересованными сторонами систем. ^[14]
• Это помогает легче и лучше определять риски и угрозы, а также механизмы доставки, индикаторы компрометации инфраструктуры и потенциальных конкретных участников и мотиваторов. ^[16]
• Помогает обнаружить атаки во время и до этих стадий. ^[16]
• Предоставляет индикаторы действий, предпринятых на каждом этапе атаки. ^[16]
• Сообщает о поверхностях угроз, векторах атак и вредоносных действиях, направленных как на информационные технологии, так и на платформы операционных технологий.
• Служить хранилищем фактов, свидетельствующих как об успешных, так и об неудачных кибератаках.
• Предоставить индикаторы для групп реагирования на компьютерные чрезвычайные ситуации и групп реагирования на инциденты .

Ключевые элементы

Чтобы информация или данные считались разведданными об угрозах, необходимо наличие трех ключевых элементов: ^[12]

• Основанный на доказательствах: для того, чтобы любой разведывательный продукт был полезным, он должен быть сначала получен с помощью надлежащих методов сбора доказательств. ^[17] С помощью других процессов, таких как анализ вредоносного ПО , может быть получена разведывательная информация об угрозах.
• Полезность: Чтобы разведданные об угрозах оказали положительное влияние на исход события безопасности, они должны иметь некоторую полезность. Разведданные должны обеспечивать ясность в плане контекста и данных о конкретных видах поведения и методах. ^[18]
• Actionable: Действие является ключевым элементом, который отделяет информацию или данные от разведки угроз. Разведка должна побуждать к действию. ^[19]

Атрибуция

Киберугрозы включают использование компьютеров, устройств хранения данных, программных сетей и облачных репозиториев. До, во время или после кибератаки может собираться, храниться и анализироваться техническая информация об информации и операционных технологиях, устройствах, сети и компьютерах между злоумышленником(ами) и жертвой(ами). Однако идентификация лица(лиц), стоящих за атакой, их мотивов или конечного спонсора атаки, называемая атрибуцией, иногда бывает сложной ^[20] , поскольку злоумышленники могут использовать обманные приемы, чтобы избежать обнаружения или ввести аналитиков в заблуждение и сделать неверные выводы. ^[21] Многочисленные усилия ^{[22] [23] [24] в области разведки угроз подчеркивают понимание} TTP противника для решения этих проблем. ^[25]

Несколько недавних ^{[ когда? ]} аналитических отчетов по киберугрозам были опубликованы организациями государственного и частного секторов, которые приписывают кибератаки. Это включает отчеты Mandiant APT1 и APT28, ^{[26] [27]} отчет US CERT APT29, ^[28] и отчеты Symantec Dragonfly, Waterbug Group и Seedworm. ^{[29] [30] [31]}

Обмен CTI

В 2015 году законодательство правительства США в форме Закона о кибербезопасности и обмене информацией поощряло обмен показателями CTI между государственными и частными организациями. Этот закон требовал от федерального правительства США содействовать и продвигать четыре цели CTI: ^[32]

1. Предоставление «секретных и рассекреченных индикаторов киберугроз, имеющихся в распоряжении федерального правительства, частным организациям, нефедеральным правительственным агентствам или государственным, племенным или местным органам власти»;
2. Предоставление «несекретных показателей общественности»;
3. Обмен «информацией с субъектами, подвергающимися угрозам кибербезопасности, для предотвращения или смягчения неблагоприятных последствий»;
4. Обмен передовым опытом в области кибербезопасности с уделением особого внимания проблемам, с которыми сталкивается малый бизнес.

В 2016 году американское правительственное агентство Национальный институт стандартов и технологий (NIST) выпустило публикацию (NIST SP 800-150), в которой дополнительно изложена необходимость обмена информацией о киберугрозах, а также структура для его внедрения. ^[33]

Смотрите также

• Закон об обмене и защите киберразведывательной информацией
• Атака типа «отказ в обслуживании»
• Индикатор компрометации
• Вредоносное ПО
• Анализ вредоносного ПО
• Программы-вымогатели
• Нулевой день (вычислительная техника)

Ссылки

1. Шлетте, Даниэль; Бём, Фабиан; Казелли, Марко; Пернул, Гюнтер (2020). «Измерение и визуализация качества разведки киберугроз». Международный журнал информационной безопасности . 20 (1): 21–38. doi :10.1007/s10207-020-00490-y. ISSN  1615-5262.
2. Кант, Нилима (2024). «Cyber ​​Threat Intelligence (CTI): Анализ использования искусственного интеллекта и машинного обучения для выявления киберугроз». Кибербезопасность и цифровая криминалистика . Конспект лекций по сетям и системам. Том 36. С. 449–462. doi :10.1007/978-981-99-9811-1_36. ISBN 978-981-99-9810-4.
3. Далзил, Генри (2014). Как определить и построить эффективный потенциал киберразведки. Syngress. ISBN 9780128027301.
4. Банк Англии (2016). Тестирование на основе разведданных CBEST: понимание операций по борьбе с киберугрозами (PDF) (Отчет). Банк Англии.
5. Саид, Сакиб (2023). «Систематический обзор литературы по киберугрозам разведки для организационной устойчивости кибербезопасности». Датчики . 23 (16): 7273. Bibcode : 2023Senso..23.7273S. doi : 10.3390/s23167273 . PMC 10459806. PMID  37631808 . 
6. CyberProof Inc. (nd). Управляемая разведка угроз . CyberProof. Получено 03 апреля 2023 г. с сайта https://www.cyberproof.com/cyber-101/managed-threat-intelligence/
7. IBM (2022-02-23). ​​"IBM Security X-Force Threat Intelligence Index". www.ibm.com . Получено 2022-05-29 .
8. "MSSP - Что такое поставщик услуг управляемой безопасности?". Check Point Software . Получено 29.05.2022 .
9. «Для чего используется информация о киберугрозах и как она используется?». blog.softtek.com . Получено 12 апреля 2023 г.
10. Phythian, Mark (2013). Понимание цикла интеллекта (PDF) (1-е изд.). Routledge. С. 17–23.
11. Киме, Брайан (29 марта 2016 г.). «Разведка угроз: планирование и направление». Институт SANS .
12. Джерард, Йохансен (2020). Цифровая криминалистика и реагирование на инциденты: методы и процедуры реагирования на инциденты для реагирования на современные киберугрозы (2-е изд.). Packt Publishing Ltd.
13. Трифонов, Румен; Наков, Огнян; Младенов, Валерий (2018). «Искусственный интеллект в разведке киберугроз». Международная конференция по интеллектуальным и инновационным вычислительным приложениям 2018 года (ICONIC) . IEEE. стр. 1–4. doi :10.1109/ICONIC.2018.8601235. ISBN 978-1-5386-6477-3. S2CID  57755206.
14. Касперский. (nd). Что такое разведка угроз? Определение и пояснение . Получено 03 апреля 2023 г. с сайта https://www.kaspersky.com/resource-center/definitions/threat-intelligence
15. Берндт, Анзель; Офофф, Жак (2020). «Изучение ценности функции разведки киберугроз в организации». В Древин, Линетт; Фон Солмс, Суне; Теохариду, Марианти (ред.). Образование в области информационной безопасности. Информационная безопасность в действии . Достижения IFIP в области информационных и коммуникационных технологий. Том 579. Cham: Springer International Publishing. стр. 96–109. doi : 10.1007/978-3-030-59291-2_7. ISBN 978-3-030-59291-2. S2CID  221766741.
16. Shackleford, D. (2015). Кто и как использует данные о киберугрозах? Институт SANS. https://cdn-cybersecurity.att.com/docs/SANS-Cyber-Threat-Intelligence-Survey-2015.pdf
17. Нгуен, Куок Фонг; Лим, Кар Вай; Дивакаран, Динил Мон; Лоу, Киан Сян; Чан, Мун Чун (июнь 2019 г.). "GEE: объяснимый вариационный автокодировщик на основе градиента для обнаружения сетевых аномалий". Конференция IEEE по коммуникациям и сетевой безопасности (CNS) 2019 г. IEEE. стр. 91–99. arXiv : 1903.06661 . doi :10.1109/cns.2019.8802833. ISBN 978-1-5386-7117-7.
18. Марино, Дэниел Л.; Викрамасингхе, Чатурика С.; Маник, Милос (октябрь 2018 г.). «Состязательный подход к объяснимому ИИ в системах обнаружения вторжений». IECON 2018 — 44-я ежегодная конференция Общества промышленной электроники IEEE . IEEE: 3237–3243. arXiv : 1811.11705 . doi : 10.1109/iecon.2018.8591457. ISBN 978-1-5090-6684-1.
19. Лейте, Кристоффер; ден Хартог, Джерри; Рикардо дос Сантос, Даниэль; Костанте, Элиза (2022), Райзер, Ханс П.; Киас, Марсель (ред.), «Действующая разведка киберугроз для автоматизированного реагирования на инциденты», Secure IT Systems , т. 13700, Cham: Springer International Publishing, стр. 368–385, doi : 10.1007/978-3-031-22295-5_20, ISBN 978-3-031-22294-8, получено 2024-11-11
20. Лейте, Кристоффер; Ден Хартог, Джерри; дос Сантос, Даниэль Рикардо (2024-07-30). «Использование шаблонов DNS для автоматизированной атрибуции киберугроз». Труды 19-й Международной конференции по доступности, надежности и безопасности . ACM. стр. 1–11. doi :10.1145/3664476.3670870. ISBN 979-8-4007-1718-5.
21. Скопик, Флориан; Пахи, Тимеа (2020-03-20). «Под ложным флагом: использование технических артефактов для атрибуции кибератак». Кибербезопасность . 3 (1): 8. doi : 10.1186/s42400-020-00048-4 . ISSN  2523-3246.
22. Лейте, Кристоффер; Ден Хартог, Джерри; Дос Сантос, Дэниел Р.; Костанте, Элиза (15.12.2023). «Автоматизированное формирование информации об угрозах кибербезопасности при инцидентах в многохостовых сетях». Международная конференция IEEE по большим данным (BigData) 2023 года . IEEE. стр. 2999–3008. doi :10.1109/BigData59044.2023.10386324. ISBN 979-8-3503-2445-7.
23. Наварро, Хулио; Легран, Вероника; Лаграа, Софиан; Франсуа, Жером; Лахмади, Абделькадер; Де Сантис, Джулия; Фестор, Оливье; Ламмари, Надира; Хамди, Файсал (2018), Имин, Абдессамад; Фернандес, Хосе М.; Марион, Жан-Ив; Логриппо, Луиджи (ред.), «HuMa: многоуровневая структура для анализа угроз в гетерогенной среде журналирования», «Основы и практика безопасности» , том. 10723, Чам: Springer International Publishing, стр. 144–159, номер документа : 10.1007/978-3-319-75650-9_10, ISBN. 978-3-319-75649-3, получено 2024-11-11
24. Ландауэр, Макс; Вурценбергер, Маркус; Скопик, Флориан; Сеттанни, Джузеппе; Фильцмозер, Питер (01 ноября 2018 г.). «Динамический анализ файла журнала: подход к неконтролируемой эволюции кластера для обнаружения аномалий». Компьютеры и безопасность . 79 : 94–116. дои : 10.1016/j.cose.2018.08.009. ISSN  0167-4048.
25. Леви Гундерт, Как идентифицировать TTP субъекта угрозы
26. «APT1: Разоблачение одного из китайских подразделений кибершпионажа | Mandiant» (PDF) .
27. "APT28: Окно в российские операции по кибершпионажу" (PDF) . FireEye, Inc. 2014 . Получено 3 декабря 2023 .
28. "Grizzly Steppe - Российская вредоносная киберактивность" (PDF) . NCCIC . 29 декабря 2016 г. . Получено 3 декабря 2023 г. .
29. «Стрекоза: Западный энергетический сектор подвергся атаке со стороны сложной группы».
30. «Waterbug: Шпионская группа внедряет совершенно новый набор инструментов для атак против правительств».
31. «Seedworm: Группа атакует правительственные учреждения, нефтегазовую отрасль, НПО, телекоммуникационные и ИТ-компании».
32. Берр, Ричард (28.10.2015). «S.754 - 114-й Конгресс (2015-2016): Для улучшения кибербезопасности в Соединенных Штатах посредством расширенного обмена информацией об угрозах кибербезопасности и для других целей». www.congress.gov . Получено 09.06.2021 .
33. Джонсон, CS; Бэджер, ML; Уолтермайр, DA; Снайдер, J.; Скорупка, C. (4 октября 2016 г.). «Руководство по обмену информацией о киберугрозах». Национальный институт стандартов и технологий . doi : 10.6028/nist.sp.800-150 . Получено 3 декабря 2023 г. .

Дальнейшее чтение

• Борис Джаннетто - Пьерлуиджи Паганини (2020). Освоение коммуникации в киберразведывательной деятельности: краткое руководство пользователя . Журнал Cyber ​​Defense.
• Анка Динику, Академия Сухопутных войск им. Николае Бэлческу, Сибиу, Румыния, Киберугрозы национальной безопасности. Особенности и участвующие стороны – Бюллетень Ştiinţific No 2(38)/2014
• Zero Day: Nuclear Cyber ​​Sabotage, BBC Four - документальный триллер о войне в мире без правил - мире кибервойны. В нем рассказывается история Stuxnet, самовоспроизводящейся вредоносной программы, известной как «червь» за ее способность проникать в компьютер
• Что такое разведка угроз? - Запись в блоге, предоставляющая контекст и дополняющая обсуждение определения разведки угроз.
• Объяснение охоты за угрозами — краткая статья, объясняющая разведку киберугроз.
• Разведка киберугроз - Что такое разведка киберугроз? - Подробное руководство для начинающих.