понедельник, 16 мая 2016 г.

Киберразведка своими руками или альтернативный взгляд на управление рисками

Источник: http://www.pcweek.ru/security/article/detail.php?ID=185508

Введение
Защита организации в современном динамичном окружении напоминает виндсерфинг, когда серфер должен находиться в нужной ему части волны. Слишком рано или слишком поздно - и мы снизим эффективность инвестиций в систему ИБ или нас накроет кибератакой, последствия которой могут стоить акционерам бизнеса, а менеджменту и директору по информационной безопасности работы, а то и карьеры.
Наука серфинга считает первоочередной задачей понимание ситуации вокруг, что в цифровом мире называется киберразведкой. Естественно, без понимания кто и как угрожает организации, какие его возможности и мотивы, да и что делают в области информационной безопасности другие организации сложно держаться той самой нужной части волны, и достигать единственно возможного состояния реальной безопасности - большей защищенности от актуальных угроз чем компании того же размера и профиля (т.н. peers). В таком состоянии злоумышленникам будет выгодно следовать шаблону из известного анекдота, о том что охотнику нужно бежать быстрее своего коллеги, а отнюдь не быстрее медведя - выгодно атаковать другие организации..
Не выдумывая велосипед построим нашу систему киберразведки на практиках одного из лидеров цифрового мира - компании Intel - благо они были описаны и представлены широкой публике еще в 2012. Дополним методиками “ухода от медведя” - бенчмаркинга информационной безопасности, и практиками ежедневного мониторинга защищенности корпоративных ИТ-ландшафтов крупнейших российских нефтегазовых и высокотехнологичных компаний.
В итоге система киберразведки сможет ответить на вопрос - Когда и какой угрозой мы должны заниматься, на основе реальных данных:
      Какие угрозы, уязвимости и тактики используются в мире.
      Какие инциденты и маркеры атак есть в нашей сети.
      С какими угрозами борются наши коллеги по отрасли.
Очевидно, что если определенная угроза активна в внешнем мире, мы видим атаки на нашу сеть, и коллеги по отрасли уже боются с ней - и нам необходимо провести анализ возможности влияния угрозы на бизнес. С другой стороны даже 1 000 статей в прессе, например, о “супер-дупер-вирусах”, “гига-мега-уязвимостях” и “злобно-сурово-регуляторах” не должны нас волновать, если имея развитую систему киберразведки мы не видим реальной активности угрозы во внешнем мире, активности в нашей сети и проектов по снижению связанных рисков у конкурентов.
Таким образом освоив серфинг на одной волне (в цифровом мире - угрозе), возможно научиться видеть разные волны и переходить с одной на другую, не только предупредив девятый вал критической по последствиям атаки, но и облегчив обсуждение с бизнесом вопросов финансирования и поддержки инициатив службы информационной безопасности.
Большинство организаций уже занимаются киберразведкой в той или иной мере, и далее мы расскажем как такой казалось бы экзотический и сложный предмет возможно реализовать небольшими ресурсами одновременно сохранив потенциал для масштабирования, повышения охвата и точности процесса.
Так как тематика довольно обширная, и заслуживает целой книги - в данной статье ограничимся основными элементами программы киберразведки:
      Цикл управления угрозами.
      Источники внешних признаков.
      Источники внутренних признаков.
      Источники признаков у конкурентов.
      Юридическая защита киберразведки.
Цикл управления угрозами
            Тематика управления угрозами (threat manаgement) обсуждается годами, в том числе сам термин - как возможно управлять вроде бы внешними по отношению к организациям силами? Однако человечество десятилетиями управляет чрезвычайными ситуациями, основываясь в первую очередь на мониторинге их появления и использовании проактивных мер для предотвращения их где возможно (например, укрепления берегов горных рек для предотвращения наводнений).
            В 2012 году в книге “Управление риском и информационной безопасностью: Защитить что бы сделать возможным” вице-президента - руководителя информационной безопасности Intel Малкольма Харкинса была описана оригинальная модель жизненного цикла угроз (созданная по аналогии с моделью жизненного цикла продуктов в Intel). Модель соединяет в единое целое информацию о развитии угроз, структурированный подход к оценке своевременности разворачивания мер безопасности и ориентацию на мониторинг внешних источников. Вероятно, на развитие модели повлиял карьерный путь Малкольма, что помимо прочего включал должность руководителя подразделения конкурентной разведки и ИТ-бенчмаркинга Глобальной службы ИТ Intel, и финансового менеджера Глобальной службы ИТ Intel.
            Модель Харкинса включает 5 фаз развития угрозы - Теоретические исследования, Экспериментальные исследования,  Доказательство концепции (PoC), Эксплуатация уязвимости, Коммодитизация уязвимости. От первой до пятой фазы угроза превращается из высказанной на исследовательской конференции идеи в дешевый общедоступный инструмент атаки на корпоративные инфраструктуры.
            Мы адаптировали модель Харкинса, создав более универсальную, полную и понятную большему количеству отраслей модель ИМТ (интегрированного мониторинга угроз). Естественно, модель в большей мере рассчитана на выявление развития ландшафта угроз массовых атак, тактик и инструментов киберпреступности. Модель основана на оценке наших гипотез о актуальности того или иного типа угроз по совокупности косвенных признаков.
Этап развития угрозы «Эмбрион»
Гипотеза - существует возможность реализации новой угрозы или нового типа атаки реализация которой очень сложна по любым меркам.
Возможный нарушитель:
спецслужбы или кибервойска иностранных государств.
Внешние признаки:
угроза обсуждается на конференции, но пока нет практической реализации.
Внутренние признаки:
организация имеет потенциально уязвимые информационные активы (системы, подрядчиков и т.п.).
Признаки у конкурентов:
конкуренты обсуждают угрозу.
Этап развития угрозы «Младенец»
Гипотеза - существует возможность реализации новой угрозы - нового типа атаки или эксплуатации, реализация которой сложна по любым меркам.
Возможный нарушитель:
дополнительно кибернаемники (целевые атаки).
Внешние признаки:
продемонстрировано подтверждение, но всех деталей и инструментов для атаки нет в общем доступе.
Внутренние признаки:
организация имеет потенциально уязвимые информационные активы доступные на периметре (сетевой периметр, рабочие станции, подключения подрядчиков, BYOD) либо бизнес-критичные (содержащие интеллектуальную собственность, обрабатывающие и хранящие клиентские данные либо внешнюю финансовую отчетность и т.п.).
Признаки у конкурентов:
конкуренты начали оценивать влияние на бизнес возможной атаки.
Этап развития угрозы «Ребенок»
Гипотеза - существует возможность реализации новой угрозы - нового типа атаки или эксплуатации, реализация которой средней сложности.
Возможный нарушитель:
дополнительно организованная киберпреступность.
Внешние признаки:
PoC (proof-of-concept) в общем доступе.
Сообщения о реализации угрозы.
Внутренние признаки:
Организация имеет потенциально уязвимые информационные активы.
Отсутствие исправлений от производителя либо невозможность их установки.
Срабатывание IoС характерных для угрозы – взаимодействие с внешними ресурсами, yara rules созданных на основании PoC.
Срабатывание antiAPT решений на поздних стадиях атаки.
Признаки у конкурентов:
конкуренты начали прорабатывать проектные идеи по противодействию угрозе.
Этап развития угрозы «Подросток»
Гипотеза - существует возможность реализации новой угрозы - нового типа атаки или эксплуатации, реализация которой низкой сложности.
Возможный нарушитель:
дополнительно массовая киберпреступность.
Внешние признаки:
В общем доступе обнаружены эксплойты.
Сообщения о реализации угрозы.
Внутренние признаки:
Организация имеет уязвимые информационные активы.
Отсутствие исправлений от производителя либо невозможность их установки.
Срабатывание IoС характерных для угрозы, антивирусы, IDS.
Срабатывание antiAPT решений на поздних стадиях атаки.
Признаки у конкурентов:
конкуренты начали реализовывать проекты по противодействию угрозе.
Этап развития угрозы «Взрослый»
Гипотеза - ландшафт киберугроз пополнился еще одной угрозой, тактики и уязвимости активно используются в атаках на организации.
Возможный нарушитель:
Дополнительно хактивисты и хулиганы.
Внешние признаки:
Эксплойты и методы атаки широкодоступны и дешевы, сообщения в прессе, жалобы клиентов.
Внутренние признаки:
Организация имеет уязвимые информационные активы.
Срабатывание IoС характерных для угрозы, антивирусы, IDS.
Срабатывание antiAPT решений на поздних стадиях атаки.
Признаки у конкурентов:
конкуренты завершили реализовывать проекты по противодействию угрозе.
Внедрение модели
            Коммерческим компаниям, работающим на конкурентных рынках и стремящимся ограничить корпоративную ответственность, обеспечить непрерывность бизнес-процессов и защитить интеллектуальную собственность разумно начинать прорабатывать планы защиты от угрозы уже на стадии Ребенок. Таким образом компании смогут предвосхитить полноценную атаку на свои сети вместе с этим не неся бремя затрат начиная на этапе Младенец или Эмбрион.
            Вместе с этим детальная 5-и стадийная модель может нуждаться в существенном упрощении для компаний разного размера, ведь ее основы заложила глобальная компания Intel. С другой стороны – меньше 3-ех стадий (классический светофор) использовать нерационально, так как не будет времени для банального своевременного планирования и бюджетирования проектов.
            Начать возможно проанализировав политику ИБ (подход top-down  - “сверху-вниз”) - вычленив угрозы, которые организация уже считает актуальными (для простоты подразумеваем что политика содержит модель угроз\архитектуру ИБ организации, прямо или опосредованно, через перечисление ключевых мер снижения рисков ИБ).
            Параллельно стоит развернуть IDS и посмотреть что мы видим в сети (даже на правилах детектирования по умолчанию). - применим подход bottom-up (“снизу-вверх”).
            Комбинация подходов “сверху-вниз” и “снизу-вверх” создает подход down-up “вверх и вниз”. Такой подход не только обеспечивает больший обзор угроз, но и повышает авторитет службы ИБ в бизнесе, который обычно использует именно down-up для бизнес-планирования, управления продуктами и бюджетирования. Вообще применяя используемые бизнесом управленческие практики служба ИБ позиционирует себя как прагматичное бизнес-подразделение, а не как “еще одни гики - ИТшники” или “витающие в облаках консультанты”.
            Сформировав перечень угроз возможно перейти к определению этапа развития, на котором находится угроза. К примеру, “мобильные” угрозы (mobile threats) за последние несколько лет выросли до этапа Взрослый. Об этом свидетельствуют как статистика вирусов, и нашумевшие уязвимости в Android, так и статистика аналитических агенств по намерениям организаций инвестировать в защиту мобильных технологий (IT Security Budget Spending Priorities).
            Для крупных и глобальных организаций возможно выделить десятки и даже сотни угроз, для малого бизнеса стоит ограничиться 3-5, возможно до десятка. Слишком большое количество управляемых угроз превратит киберразведку из процесса поддержки принятия решений в очередную “работу в стол”. Организация должна быть способна предпринимать действия по итогам мониторинга.
Источники внешних признаков
Внешние признаки возможно собрать из 3-ех категорий источников:
      Открытая информация (Open Sources, OSINT Sources).
      Бесплатные сервисы ИБ-компаний.
      Платные сервисы ИБ-компаний.
            Открытая информация может быть собрана как в он-лайн так и в офф-лайн источниках:
      Специализированные порталы.
      Тематические конференции.
      Онлайн-СМИ и печатные издания.
      Новостные ленты киберкоманд быстрого реагирования.
      Базы уязвимостей.
      Аналитические отчеты ИБ-компаний.
      Хакерские форумы.
            Очевидно, что организовать полноценный мониторинг внешних источников возможно только в очень большой организации, например ТОП-20 по выручке в стране. Однако кроме очевидной приоритезации (читаем только один отчет - лидер по сетевой безопасности, только один по безопасности конечных точек и т.п.) существует как минимум 3 стратегии организации мониторинга:
      Самостоятельный мониторинг внешних источников.
      Потребление внешнего мониторинга.
      Смешанная стратегия.
            На российском рынке присутствует целый ряд компаний - лидеров мирового рынка киберразведки - Dell (SecureWorks), CheckPoint, FireEye (iSIGHT Partners), IBM (X-Force Lab), RSA, Symantec. Существуют и локальные игроки, в частности о своем выходе в этот сегмент заявили Лаборатория Касперского и Group-IB (отмеченная в Market Guide агенства Gartner наравне с глобальными игроками, но заточенная под банковскую отрасль и угрозы, исходящие из банковского рынка).
            Продукты киберразведывательных компаний делятся на 3 уровня - стратегический, тактический и операционный.
Стратегический уровень состоит из 4-ех основных продуктов:
      Отчеты о региональных ландшафтах киберугроз.
      Отчеты об угрозах конкретным индустриям (например, gaming).
      Годовые отчеты об угрозах и форкасты на следующий год.
      Отчеты по специфичным угрозам для конкретного заказчика (обычно Fortune 500 компании с значительной зависимостью бизнеса от ИТ).
Тактический уровень состоит из 2-ух основных продуктов:
      Отчеты Situational Awareness о текущей ситуации, например, во время массовых атак на российские банки и сайты государственных организаций.
      Отчеты о значимых группировках киберпреступников, уязвимостях и вредоносном коде, в том числе рекомендации по выявлению угроз и закрытию уязвимостей.
Операционный уровень состоит из подписок (feeds), обычно в машиночитаемом виде, содержащих потенциальные индикаторы атак. Такие как IP-адреса атакующих, хэш-суммы вредоносного ПО, выходные ноды TOR, DNS-имена управляющих центров ботнетов и др. В теории подписки позволяют повысить детектирующие возможности уже установленных средств защиты, повысив тем самым отдачу от вложенных в них средств, что особенно актуально в текущих экономических условиях. На практике автор использовал подписки от производителей SIEM в SIEM-проектах, и они действительно помогали находить ранее неизвестные клиентам проблемы в корпоративных сетях банков ТОП-50.
            Обычно существует некий портал, где клиенты могут ознакомиться с доступными им материалами, оставить запрос на новые или посмотреть технические параметры подключения к машиночитаемым подпискам.
            В России существует ряд поставщиков, имеющих достаточно информации об угрозах, что бы быть де факто ведущими игроками на рыке киберразведки. Это Лаборатория Касперского, Group-IB, Positive Technologies, Solar Security (в алфавитном порядке). Всем вышеуказанным было разослано предложение рассказать о бесплатных сервисах в области киберразведки.
            Уточняющие вопросы и последующее отсутствие комментариев Positive Technologies и Solar Security показали что компании и пока не очень понимают что такое киберразведка (threat intelligence), что логично учитывая что сервисов киберразведки на рынок эти компании не выводили.
            Лаборатория Касперского не предоставила комментариев, породив ощущение дежавю – в 2015 году Лаборатория указала на своем глобальном сайте целый ряд новых продуктов и услуг – противодействие целевым атакам, сервисы киберразведки и т.д., не отразив это никак на российском сайте. В экспертной среде бытует мнение что настоящая штаб-квартира службы маркетинга Лаборатории находится в Лондоне, чем может объясняться более пассивное поведение компании на домашнем рынке.
            Group-IB предоставила ответ опираясь на определение Gartner, и описала свои бесплатные сервисы. Модель продаж сервисов компании напомнила мне модель крупнейших новостных агентств, продающих актуальные уникальные новости лицам принимающим решения задолго до того, как эти новости попадут в свободный доступ.
            Компания публикует в открытом доступе аналитические отчеты о целевых атаках, например, об атаках Anunak, Corkow и Buhtrap, но клиенты киберразведывательных сервисов получают эти отчеты заранее.
             Коммерческий сервис Group-IBBot-Trek Intelligence” клиенты могут использовать как вручную, работая с порталом («Википедия угроз»), так и импортируя данные, выгружая через предоставляемый API потоки данных в форматах JSON и STIX. Помимо "традиционных" IoCов на портале можно найти информацию о скомпрометированных учетных записях, банковских картах, попавших в распоряжение злоумышленников, счета, карты и мобильные телефоны, задействованные в операциях "черного обнала", IMEI мобильных устройств, ставших частью ботсетей, фишинговых ресурсах и DDoS-атаках, направленных на клиентов компании.
Источники внутренних признаков
            У многих организаций доступен целый ряд внутренних источников:
      Журналы доступа пользователей в Интернет.
      Журналы событий сетевого оборудования.
      Журналы сетевого трафика (внутреннего и проходящего через периметр).
      Журналы событий LDAP-каталога.
      Журналы работы сервисов.
      Журналы средств защиты - IDS, AV и т.п.
      Собственные правила корелляции (handmade IoC).
      User behaviour analytics.
      Программы bug bounty (в т.ч. bounty for fame).
      Сообщения пользователей.
            Умелое их использование позволит выявить угрозы, что уже проникли в периметр сети организации.
Источники признаков у конкурентов
            Информация о проектах и мерах ИБ у конкурентов по умолчанию закрыта, но и ее возможно почерпнуть в целом ряде источников:
      Отчеты аналитических агенств (IT Budget Stats, State of Security и т.п.).
      Отчеты консалтинговых фирм, в первую очередь Big4 (Global Security Reports etc).
      Тематические конференции.
      Тематические СМИ.
      Уведомления о закупках.
      Личное общение с коллегами.
      Собеседования со специалистами.
      Услуги по бенчмаркингу службы ИБ от аналитических агенств или консалтинговых фирм.

Юридическая защита

Ведение разведывательной деятельности исторически являлось прерогативой государства. В связи с этим киберразведка без соблюдения определенных правил можем иметь негативные для сотрудника и\или организации последствия.

Для безопасного ведения киберразведывательной деятельности рекомендуется сформировать список запрещенной к сбору информации, отслеживать изменения в законодательстве и обновлять список запрещенной к сбору информации соответственно.
            В список могут войти:
      Информация о военных возможностях в киберпространстве страны резидентом которой является организация.
      Персональные данные.
      Информация с грифом «Коммерческая тайна», «Государственная тайна» и любая другая защищаемая законодательством  киберспространстве страны резидентом которой является организация.
            Ктстати, специализированные ИБ-компании могут вести киберразведку более свободно, так как обычно имеют тесные связи с правоохранительными органами и специальными службами (помогают им ловить киберпреступников либо выступают экспертами в суде).

Заключение
Добавляя к собранной киберразведкой информации об угрозах знания о важности бизнес-процессов, бизнес-систем и активов возможно проактивно управлять рисками, делать атаки на конкретную организацию экономическими менее выгодными.
Постоянный мониторинг позволит автоматически насыщать базу знаний и презентации для руководства релеватной и понятной информацией, помогающей выбрать правильный момент и способ развития системы информационной безопасности.
Резюмируя - киберразведка помогает управлять рисками ИБ, а для компаний - скептиков в управлении рисками – может де факто заменить управление рисками ИБ в части внешних угроз.


Приложение 1. Пример списка источников
Информация от ИТ-вендоров:
  • ·      Adobe Security Notification Service.
  • ·      Oracle Security Alerts.
  • ·      Технический центр безопасности Microsoft.
  • ·      Обновления безопасности RedHat.
  • ·      Центр безопасности Cisco.
  • ·      Центр киберразведки Juniper.

Информация от вендоров ИБ и киберкоманд быстрого реагирования
  • ·      Исследовательский центр Digital Security.
  • ·      Публичная лента уязвимостей iDefense.
  • ·      Исследовательский центр Positive Technologies.
  • ·      Центр предотвращения угроз CheckPoint.
  • ·      Центр безопасности Symantec.
  • ·      Центр угроз HP Enterprise.
  • ·      Центр угроз IBM X-Force.
  • ·      Лаборатория безопасности McAfee.
  • ·      Исследования Интернет-угроз от TrendMicro.
  • ·      Аналитика угроз Лаборатории Касперского.
  • ·      Анализ вирусной активности от DrWeb.
  • ·      Статистика cервиса анализа угроз ThreatExpert.
  • ·      ККБР США (US-CERT).
  • ·      ККБР АСУ ТП США (ICS CERT US-CERT).
  • ·      Старейшая ККБР (CERT) Университета Карнеги-Меллон (США).  
  • ·      FireEye M-Trends.
  • ·      Блог по безопасности Verizon.
  • ·      Hacker Intelligence Initiative от Imperva.

Информация от провайдеров anti-DDoS сервисов
  • ·      Библиотека знаний Arbor.
  • ·      Портал безопасности от Radware.
  • ·      Центр знаний Akamai.

Базы данных угроз
  • ·      Реестр взломов сайтов Zone-H.
  • ·      Рассылки по безопасности Seclists.
  • ·      Рассылка по уязвимостям FullDisclosure.
  • ·      Мониторинг деструктивных вирусов Ransomware от Abuse.ch.
  • ·      База данных вредоносного ПО и ссылок Malc0de.
  • ·      База данных вредоносного ПО и ссылок MalwareDomainList.


Комментариев нет:

Отправить комментарий