Geekly articles weekly

Threat Intelligence - ein moderner Ansatz zur Informationssicherheit

Stellen Sie sich vor, Sie sind zur Arbeit gekommen, schalten den Computer ein und stellen fest, dass die Website Ihres Unternehmens nicht funktioniert, die Waren beim Zoll hängen bleiben und das Lager nicht erreichen können. Und selbst auf dem Bildschirmschoner lieferte ein Unbekannter ein lustiges Bild. Ein Buchhalter kommt zu Ihnen und informiert Sie, dass alle Gelder von den Konten abgezogen wurden und Ihre persönlichen Daten das gesamte Internet mit seiner Präsenz erfreuen. Sie nehmen eine Tasse Kaffee und gehen zum Fenster, und auf der anderen Straßenseite bringt eine benachbarte Firma bereits Ihre einst einzigartigen Produkte auf den Markt. Also flog Ihre schöne Frau mit einem erfolgreicheren Konkurrenten davon. An diesem Punkt kommt das Verständnis - Sie wurden gehackt.


Aber Sie wurden gewarnt - es war notwendig, TI zu setzen. Aber zuerst wollen wir sehen, wie es funktioniert und schützt.


Threat Intelligence - Cyber ​​Intelligence, dessen Aufgabe es ist, Daten zu aktuellen Bedrohungen abzurufen und zu analysieren, um wahrscheinliche Angriffe vorherzusagen und zu verhindern.


Die Intelligenz von Bedrohungen besteht aus den folgenden Phasen: Erfassung und Akkumulation von Daten zu Bedrohungen aus verschiedenen Quellen in einem einzigen System, deren Anreicherung, Analyse und Anwendung des erworbenen Wissens.


Datenerfassung und -akkumulation


Bedrohungsdaten werden mit den folgenden Systemen erfasst:


Suchroboter - Systeme zum Sammeln von Informationen über vorhandene Websites im Internet;


Sandbox - eine isolierte Umgebung für die sichere Ausführung von verdächtigem Code zur Erkennung und Analyse von Malware;


Überwachung von Botnetznetzen - Computernetzwerke unter der Kontrolle des verwaltenden Servers eines Angreifers;


Honeypot - ein Netzwerksegment, das einem Angreifer als Köder zugewiesen ist und vom wichtigsten sicheren Netzwerk des Unternehmens getrennt ist.


Sensoren sind Agentenprogramme, die nützliche Informationen von verschiedenen Geräten sammeln.


Außerdem wird die Datenbank mit Datenbanken mit Lecks aktualisiert - vertrauliche Informationen, die illegal in Open Source gelangt sind. Dies können Anmeldeinformationen von Systemen und Diensten, E-Mail-Adressen, Kreditkarteninformationen und Kennwörter sein.


Aus Open Source von OSINT stammen Feeds (strukturierte analysierte Daten) - Daten zu IP-Adressen und Domänen, von denen schädliche Dateien verteilt werden, deren Beispiele und Hashes; Listen von Phishing-Sites und Postanschriften von Absendern von Phishing-E-Mails; Aktivität von C & C-Servern (Command & Control); Adressen, von denen Netzwerke gescannt werden, um Systemversionen, Service-Banner und Schwachstellen zu inventarisieren und zu erkennen; IP-Adressen, von denen aus Bruteforce-Angriffe ausgeführt werden; Yara-Signaturen zur Erkennung von Malware.


Nützliche Informationen finden Sie auf den Websites von Analysezentren, CERT und Blogs unabhängiger Forscher: entdeckte Schwachstellen, Regeln für deren Erkennung, Beschreibung von Untersuchungen.


Analysten, die gezielte Angriffe untersuchen, erhalten Beispiele für schädliche Dateien, deren Hashes, Listen mit IP-Adressen, Domänen und URLs, die unzulässigen Inhalt enthalten.


Das System empfängt auch Daten zu erkannten Schwachstellen in Software und Angriffen von Partnern, Anbietern und Kunden.


Informationen werden von SZI gesammelt: Virenschutzprogramme, IDS / IPS, Firewall, Webanwendungs-Firewall, Tools zur Verkehrsanalyse, Tools zur Ereignisprotokollierung, nicht autorisierte Zugriffsschutzsysteme usw.


Alle gesammelten Daten werden auf einer einzigen Plattform gesammelt, die es ermöglicht, Informationen über Bedrohungen anzureichern, zu analysieren und zu verbreiten.


Datenanreicherung


Die zu bestimmten Bedrohungen gesammelten Informationen werden durch Kontextinformationen ergänzt - Name der Bedrohung, Zeitpunkt der Erkennung, Geolokalisierung, Quelle der Bedrohung, Umstände, Ziele und Motive des Angreifers.


Ebenfalls in dieser Phase findet die Anreicherung statt - Datenanreicherung - und erhält zusätzliche Attribute technischer Natur zu bereits bekannten Angriffen:


  • URL
  • IP-Adressen
  • Domänen
  • Whois Daten
  • Passive DNS
  • GeoIP - Geografische Informationen zur IP-Adresse
  • Beispiele für schädliche Dateien und deren Hashes
  • Statistische und Verhaltensinformationen - Techniken, Taktiken und Angriffsverfahren

Analyse


In der Analysephase werden Ereignisse und Attribute, die sich auf einen Angriff beziehen, nach folgenden Kriterien kombiniert: Gebietsstandort, Zeitraum, Wirtschaftssektor, kriminelle Gruppe usw.


Der Zusammenhang zwischen den verschiedenen Ereignissen wird bestimmt - Korrelation.


Bei der Arbeit mit Feeds wird die Quelle der Feeds abhängig von den Branchenspezifikationen ausgewählt. Arten von Angriffen, die für ein bestimmtes Unternehmen relevant sind; das Vorhandensein von Attributen und IOCs, die Risiken abdecken, die nicht durch die Regeln von Sicherheitssystemen abgedeckt sind. Anschließend wird der Vorschubwert ermittelt und anhand der folgenden Parameter priorisiert:


  • Feed-Datenquellen - Es ist möglich, dass diese Quelle ein Aggregator von Daten aus OSINT-Quellen ist und keine proprietären Analysen bereitstellt.
  • Relevanz - Aktualität und "Frische" der bereitgestellten Daten. Zwei Parameter müssen berücksichtigt werden: Die Zeit vom Erkennen eines Angriffs bis zur Verteilung eines Feeds mit Bedrohungsdaten sollte minimal sein. Die Quelle muss Feeds mit einer Häufigkeit bereitstellen, die sicherstellt, dass die Bedrohungsinformationen auf dem neuesten Stand sind.
  • Eindeutigkeit - Die Datenmenge, die in anderen Feeds nicht gefunden wurde. Die Menge an Analysen, die der Feed bereitstellt.
  • Vorkommen in anderen Quellen. Auf den ersten Blick scheint es, dass Sie das Vertrauensniveau erhöhen können, wenn ein Attribut oder ein IOC (Indicator of Compromise) in Feeds aus mehreren Quellen gefunden wird. Tatsächlich können einige Feed-Quellen Daten aus derselben Quelle beziehen, in denen Informationen nicht überprüft werden können.
  • Die Vollständigkeit des bereitgestellten Kontextes. Wie gut die Informationen sortiert waren, ob die Ziele des Angriffs, der Wirtschaftssektor, die kriminelle Gruppe, die verwendeten Instrumente, die Dauer des Angriffs usw.
  • Qualität (Anteil falsch positiver Ergebnisse) der Regeln für SIS basierend auf Daten aus dem Feed.
  • Datendienstprogramm - Die Anwendbarkeit von Feed-Daten bei Vorfalluntersuchungen.
  • Das Format für die Bereitstellung von Daten. Der Komfort der Verarbeitung und Automatisierung des Ladens in die Plattform wird berücksichtigt. Unterstützt die ausgewählte Plattform für Threat Intelligence die erforderlichen Formate? Geht ein Teil der Daten verloren?

Die folgenden Tools werden zum Klassifizieren von Daten aus Feeds verwendet:


  • Tags
  • Taxonomien - Eine Reihe von Bibliotheken, die nach Angriffsprozessen, Ausbreitung von Bedrohungen, Datenaustausch usw. klassifiziert sind. Beispielsweise verfügen ENISA, CSSA, VERIS, Diamantmodell, Kill Chain, CIRCL und MISP über eigene Taxonomien.
  • Clustering ist eine Reihe von Bibliotheken, die nach statischen Anzeichen von Bedrohungen und Angriffen klassifiziert sind. Zum Beispiel Wirtschaftssektoren; gebrauchte Werkzeuge und Exploits; TTP (Tacticks, Techniques & Procedures), Stufen und Methoden der Penetration, des Betriebs und der Konsolidierung in einem auf ATT & CK Matrix basierenden System.

Analysten identifizieren die Taktiken, Techniken und Verfahren der Angreifer, legen dem Modell des Eindringens in das System Daten und Ereignisse auf und bilden Angriffsketten. Es ist wichtig, eine allgemeine Ansicht des Angriffs zu formulieren, wobei die komplexe Architektur des geschützten Systems und die Beziehungen zwischen Komponenten berücksichtigt werden. Die Möglichkeit eines mehrstufigen Angriffs wird berücksichtigt, der mehrere Hosts und Schwachstellen betrifft.


Anwendung


Basierend auf den durchgeführten Arbeiten werden Prognosen durchgeführt - die wahrscheinlichen Angriffsrichtungen werden identifiziert, systematisch unter Berücksichtigung von Branchenspezifikationen, Geolokalisierung, Zeitrahmen, möglichen Tools und dem Grad der zerstörerischen Folgen. Identifizierte Bedrohungen werden abhängig vom potenziellen Schaden während ihrer Implementierung priorisiert.


Mithilfe von Threat Intelligence-Informationen können Sie Lecks sensibler Organisationsdaten im Internet erkennen und Markenrisiken kontrollieren - Erörterung von Angriffsplänen in Darknet-Foren, unzulässige Verwendung der Marke in Phishing-Unternehmen, Offenlegung von Geschäftsgeheimnissen und deren Verwendung durch Wettbewerber.


Die gesammelte Wissensdatenbank wird verwendet, um Angriffserkennungsregeln für SIS zu schreiben, schnell auf Bedrohungen innerhalb des SOC zu reagieren und Vorfälle zu untersuchen.


Spezialisten aktualisieren das Bedrohungsmodell und bewerten die Risiken im Zusammenhang mit den geänderten Bedingungen neu.


Fazit


Mit einem solchen integrierten Ansatz können Sie Angriffe verhindern, wenn versucht wird, in das Informationssystem einzudringen.


Eine Plattform zum Sammeln und Analysieren von Informationen über Sicherheitsbedrohungen ist in den Anforderungen des FSTEC (Absatz 24) für die Bereitstellung von SOC-Diensten enthalten. Darüber hinaus kann Threat Intelligence den Austausch von Bedrohungsinformationen innerhalb der staatlichen SOPCA unterstützen.


Durch die Erfahrung von Cyber-Intelligence-Experten bei der Erfassung, Analyse und Anwendung von Bedrohungsdaten können IS-Einheiten den Schutz ihrer Unternehmensinformationen auf ein angemessenes modernes Niveau bringen.

Source: https://habr.com/ru/post/de427129/

More articles:


All Articles