Откуда и какие брать данные Threat Intelligence для SOC?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Threat Intelligence для SOC Что и откуда брать?

Алексей Лукацкий Бизнес-консультант по безопасности 11 November 2015


Что нам нужно для расследования инцидентов?

•  Активы/Сеть Сетевая топология Профиль актива Адрес/местоположение

Аппаратная платформа

Операционная система Открытые порты/Сервисы/Протоколы

Клиентское и серверное ПО и его версия Статус защищенности

Уязвимости

•  Пользователь Местоположение Профиль доступа Поведение

•  Файл/Данные/Процесс Движение Исполнение Метаданные Источник «Родитель» Репутация

•  Безопасность Точечные события Телеметрия Ретроспектива


èМСЭ / NGFW / NAC

èIDS / IPS

èNBAD èAV / BDS

SIEM / LM???

X X

X X

Откуда эти данные взять?

X èФильтрация контента

èА еще ОС, СУБД…


Но несмотря на это или зачем нужен Threat Intelligence?

Bitglass

205

Trustwave

188

Mandiant

229

2287 дней – одно из самых длинных незамеченных вторжений

Ponemon

206

HP

416 Symantec

305


Почему так важно сопоставлять внутренние данные с внешними источниками?!

•  Threat Intelligence – знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им

•  Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.


5 этапов процесса Threat Intelligence

План

Сбор

Обработки и анализ

Распространение информации

Разбор полетов

•  Зачем нам Threat Intelligence? •  Какие у нас требования? •  Кто (нарушитель) может атаковать нас (модель

нарушителя)? •  Нюансы (геополитика, отрасль…) •  Своя или внешняя система Threat Intelligence?

•  Что может провайдер TI (источники)? •  Возможности провайдера стыкуются

с вашими потребностями? •  Кто внутри вас будет общаться с

провайдером и как?

•  Как «сырые» данные превратятся в TI? •  Платформа для обработки и анализа? •  Кто проводит анализ?

•  Кому можно распространять информацию? На каких условиях?

•  Какие стандарты используются для распространения?

•  Когда распространять информацию?

•  Какие действия необходимо произвести на основании полученных данных?

•  Как взаимодействовать со средствами защиты?


Threat Intelligence

(фиды)

Обогащенные данные

Место Threat Intelligence в SOC

Дамп трафика

Метаданные протоколов

NetFlow

Журналы регистрации (логи)

Неструктурированная телеметрия

Другая потоковая телеметрия

Разбор +

Формат Обога-щение

Трево-га

Аналитика и обработка логов

Анализ больших данных,

моделирование прогнозов

Обработка сетевого трафика и

реконструкция PCAP

Приложения + аналитика


Место Threat Intelligence в процессах SOC

Захват данных

Подробная информация о событии, включая артефакты

Оценка области действия

Сканирование в поисках недавно обнаруженных связанных с первоначальными событиями артефактов

Проверка Вредоносным или нет является данное событие? Не ложное ли срабатывание?

Устранение / лечение

Удаление процессов, чистка файлов и удаление ключей реестра, связанных с атакой

Оценка воздействия Оценка воздействия на бизнес-, ИТ- или иные процессы, а также определение статуса защищаемой информации

Анализ данных

Анализ вредоносного кода и использование Threat Intelligence для поиска дополнительных артефактов и идей

Обнаружение Средство защиты передает данные о событиях безопасности

!

Threat Intelligence


Как это может выглядеть в SOC?


Что влияет на эффективность Threat Intelligence?

TI Фиды

Анализ ваших угроз

Платформа

API

Стандарты


Для государственного CERT требуется нечто иное

Тактическая / операционная Стратегическая

•  Пример Фиды об признаках угроз (сетевых или хостовых)

Анализ конкретной вредоносной программы (например, Stuxnet)

•  Пример Анализ хакерской кампании

Оценка угроз для конкретной отрасли (например, новый вид мошенничества для банков)


Карты угроз: пример стратегической Threat Intelligence


13 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.

Фиды и их источники


Фиды Threat Intelligence

•  Фиды (feeds) – способ представления данных об угрозах

•  Учесть защищенную передачу и регулярность получения фидов

•  Поддержка различных языков программирования и форматов данных JSON XML CyBOX STiX CSV И другие


Какие бывают фиды?

•  IP- и DNS-адреса вредоносных сайтов, спамеров, входных узлов Tor, анонимайзеров, открытых прокси…

•  Заголовки E-mail

•  URL и URI

•  Хеши и пути файлов

•  CVE-записи

•  Правила CIDR

•  Репутация файлов, узлов, сайтов

•  Ключи реестра

•  Индикаторы компрометации (IoC)


Источники фидов

http://atlas.arbor.net/

Инициатива Arbor ATLAS (Active Threat Level Analysis System) •  Глобальная сеть анализа угроз (обманные системы) •  Информация берется от обманных систем (honeypot), IDS, сканеров, данных C&C, данных о фишинге и т.д.

•  Публичная информация о Топ10 угрозах •  Для доступа к некоторым данным требуется регистрация

http://www.spamhaus.org

Проект для борьбы со спамом •  Поддерживает различные базы данных (DNSBL) с данными по угрозам (IP-адреса) – спамеры, фишеры, прокси, перехваченные узлы, домены из спама

•  Реестр ROKSO с самыми известными спамерами в мире •  Проверка и исключение своих узлов из «черных списков»



https://www.spamhaustech.com

SpamTEQ – коммерческий сервис Spamhaus •  Фиды по репутациям IP- и DNS-адресов •  Ценовая политика зависит от типа организации и типа запрашиваемых данных

•  Годовой абонемент

https://www.virustotal.com

Проект для борьбы со спамом •  Проверка файлов и URL на вредоносность •  Бесплатный сервис •  Система поиска



https://www.threatgrid.com

Фиды по сетевым коммуникациям •  IRC, DNS, IP •  Россия и Китай •  Сетевые аномалии •  RAT и банковские троянцы •  И др.

https://www.alienvault.com/open-threat-exchange

Открытое community по обмену информацией об угрозах •  IP- и DNS-адреса •  Имена узлов •  E-mail •  URL и URI •  Хеши и пути файлов •  CVE-записи и правила CIDR

Форматы: •  JSON •  CyBOX •  STiX •  CSV •  Snort •  Raw



https://www.cisco.com/security

IntelliShield Security Information Service •  Уязвимости •  Бюллетени Microsoft •  Сигнатуры атак Cisco •  Web- и обычные угрозы •  Уязвимые продукты (вендор-независимый)

http://www.malwaredomains.com

Проект DNS-BH (Black Holing) •  Обновляемый «черный» список доменов, участвующих в распространении вредоносного кода

•  Список доступен в формате AdBlock и ISA


Какие еще источники фидов есть?

IOC

•  Abuse.ch •  Blocklist.de •  CleanMX •  EmergingThreats •  ForensicArtifacts •  MalwareIOC •  Nothink •  Shadowserver

DNS

•  ISC DNSDB •  BFK edv-

consulting

Вредоносное ПО

•  VirusShare.com


Какие еще источники фидов есть?

•  CrowdStrike

•  FarSight Security

•  Flashpoint Partners

•  IOCmap

•  iSightPartners

•  Microsoft CTIP

•  Mirror-ma.com

•  ReversingLabs

•  SenderBase.org

•  Threat Recon

•  Team Cymru

•  Webroot

•  ZeusTracker

•  И другие


На что обратить внимание при выборе фидов?

•  Тип источника

•  Уровни представления информации

•  Широта охвата

•  Число записей

•  Языковая поддержка/покрытие

•  Доверие к источнику (популярность и отзывы)

•  Оперативность/частота предоставления фидов

•  Платность

•  Формализованность представления информации

•  Возможность автоматизации

•  Соответствие вашей инфраструктуре

•  Частота ложных срабатываний

•  Возможность отката назад или пересмотра статуса угрозы (например, для вылеченного сайта)



Анализ ваших угроз


А разве фидов недостаточно?

•  У вас могут быть свои подозрительные файлы

•  Вы можете не хотеть «делиться» вашими анализами с другими

•  Вас может не устраивать оперативность фидов

•  Ваш источник фидов может плохо охватывать Россию

•  У вас собственная служба расследования инцидентов и аналитики вредоносного кода

•  Вы пишете вредоносный код J

Данные об угрозах в RSA Security Analytics

Данные об угрозах в EnCase Endpoint Security


Возможность анализа собственных угроз


Загрузка собственных угроз •  С помощью API в облако •  С помощью API на локальное устройство on-premise

•  Вручную через портал

https://malwr.com

Сервис анализа вредоносного кода •  Базируется на VirusTotal и Cuckoo Sandbox •  Бесплатный



Платформы


От фидов к платформе

•  Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir, Paterva/Maltego CaseFile, SharePoint, ThreatConnect

•  В простых случаях можно обойтись решениями open source


Платформы Threat Intelligence

https://www.threatconnect.com

6 уровней: •  Индивидуальный •  Базовый •  Команда •  Предприятие •  MSSP •  ISAC/ISAO

Возможности: •  Премиум и open source фиды •  Наличие API •  Неструктурированые данные •  Приватная маркировка •  Облако или on-premise •  Тактический / стратегический

https://crits.github.io

Платформа open source от MITRE •  Использует другие open source решения, объединяя их вместе •  Анализ и обмен данных об угрозах •  Изолированная или разделяемая архитектура




Возможности: •  Премиум и open source фиды •  Наличие API •  Неструктурированые данные •  Приватная маркировка •  Облако или on-premise •  Индикаторы компрометации •  Интеграция с различными SIEM

https://www.iocbucket.com

Возможности: •  Редактор IOC (индикаторов компрометации) •  Поддержка YARA и OpenIOC •  Обмен IOC •  Бесплатная •  Готовится сервис фидов (коммерческих и бесплатных) •  Готовится поддержка TAXII



https://www.threatstream.com

Возможности: •  Премиум и open source фиды •  Наличие API •  Неструктурированные данные •  Приватная маркировка •  Интеграция с различными поставщиками фидов •  Гибкость •  Работа на мобильных платформах (Apple Watch) •  Интеграция с различными SIEM

http://csirtgadgets.org/collective-intelligence-framework/

Возможности: •  Open source платформа •  Собирает данные из различных источников, поддерживающих стандарт CIF

•  Позволяет идентифицировать инциденты •  Может формировать правила для IDS •  Есть фиды и API


Популярный Maltego

•  Maltego – open source решение для анализа данных, полученных из разных источников, и связей между ними

•  Canari Framework – инфраструктура, позволяющая более эффективно использовать Maltego

•  Malformity – Maltego-проект, базирующийся на Canari, для проведения исследования вредоносного кода и др.


Facebook тоже выходит на рынок Threat Intelligence

11 февраля 2015 года!

http://threatexchange.fb.com/


Платформы и источники для TI Коммерческая или бесплатная?

Коммерческая

• Масштаб • Удобство • Оперативность •  Гарантия • Поддержка • Функциональность

Бесплатная

• Цена • Энтузиазм



API


Threat Intelligence API

•  Большое количество угроз и непредсказуемость времени их получения требует автоматизации процесса Threat Intelligence и его интеграции с существующими решениями класса SIEM или SOC

•  Автоматизация может быть достигнута за счет API / SDK, который сможет Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat Intelligence, включая платформы TI

•  Поддержка различных языков программирования Go и Ruby Java и .NET Perl и PHP Powershell и Python RESTful WSDL и SOAP


API для автоматизации процесса

VirusTotal

https://www.virustotal.com/en/documentation/public-api/ •  Загрузка и сканирование файлов •  Загрузка и сканирование URL •  Получение отчетов

ThreatGRID

Широкие возможности по загрузке и получении ответа •  Артефакты (хэш, путь) •  URL •  Ключ реестра •  Домен / имя узла •  IP •  IOC •  Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)


API для автоматизации процесса

OpenDNS

Анализ DNS/IP-адресов на предмет их вредоносности



Стандарты


Взаимосвязь стандартов Threat Intelligence

•  Угроза должна быть описана

•  Угрозы должны быть объединены в признаки компрометации

•  Информация об угроза должна быть передана


Стандарты Threat Intelligence

•  Описание различных проблем с ИБ CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак CCE (http://cce.mitre.org/) - описание конфигураций CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными средствами защиты (аналог SDEE/RDEP) CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME MARF (http://datatracker.ietf.org/wg/marf/documents/) OVAL (http://oval.mitre.org/) - язык описания уязвимостей CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки защищенности



•  Признаки компрометации (Indicators of Compromise) и информация о нарушителях и хакерских кампаниях

OpenIOC (http://openioc.org) - преимущественно хостовые признаки CybOX (http://cybox.mitre.org) OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox) STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга IODEF-SCI – расширение IODEF для добавления дополнительных данных VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях



•  Обмен информацией TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA SecDEF – европейский стандарт ENISA CAIF (http://www.caif.info) - европейский стандарт DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт IODEF RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX, IODEF, STIX и TAXII в единое целое RFC 5941 – обмен информацией о мошенничестве (фроде) MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного кода



•  Разное TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг распространения информации CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и нейтрализовать угрозы путем генерации правил для Snort, iptables и др.



В заключение


Текущий рынок Threat Intelligence

•  Крупные производители средств защиты имеют собственные процессы/подразделения Threat Intelligence Например, покупка ThreatGRID компанией Cisco

•  Существуют самостоятельные компании, предоставляющие услуги Threat Intelligence всем желающим

IQRisk, ETPro, ThreatStream

•  Существуют открытые источники Threat Intelligence

•  Развиваются отраслевые/государственные центры обмена информацией Threat Intelligence Например, ISAC в США


Российских игроков на этом рынке нет! Пока нет?

•  Только в отчете Gartner фигурирует Group-IB Однако аналогичные работы ведут «Лаборатория Касперского», Positive Technologies, «Перспективный мониторинг» и другие


Выводы

•  Система Threat Intelligence как никогда важна в текущих условиях для каждой организации, отрасли, государства

•  Система Threat Intelligence должна стать неотъемлемой частью эффективного SOC

•  Сегодня есть все возможности, ресурсы и инструменты для создания такой системы

•  Стандартизация и автоматизация (включая обновления) – ключ к эффективной системе Threat Intelligence

•  Система Threat Intelligence не «висит в воздухе» – необходимо создание целой инфраструктуры для ее эффективного функционирования


Дополнительная информация


Благодарю за внимание

Откуда и какие брать данные Threat Intelligence для SOC?

Technology

Transcript of Откуда и какие брать данные Threat Intelligence для SOC?