Geekly articles weekly

Threat Intelligence - une approche moderne de la sécurité de l'information

Imaginez que vous êtes venu travailler, allumez l'ordinateur et voyez que le site Web de votre entreprise ne fonctionne pas, les marchandises sont bloquées aux douanes et ne peuvent pas atteindre l'entrepôt. Et même sur l'écran de veille de l'ordinateur, une personne inconnue a livré une image amusante. Un comptable vient à vous et vous informe que tous les fonds ont été retirés des comptes, et vos données personnelles enchantent l'ensemble d'Internet de sa présence. Vous prenez une tasse de café et allez à la fenêtre, et de l'autre côté de la rue, une entreprise voisine lance déjà vos produits autrefois uniques. Votre belle femme s'est donc envolée avec un concurrent plus performant. À ce stade, la compréhension vient - vous avez été piraté.


Mais on vous a prévenu - il fallait mettre TI. Mais d'abord, voyons comment cela fonctionne et protège.


Threat Intelligence - cyber-intelligence dont la tâche est d'obtenir et d'analyser des données sur les menaces actuelles afin de prévoir les attaques probables et de les prévenir.


L'intelligence des menaces comprend les étapes suivantes: collecte et accumulation de données sur les menaces provenant de diverses sources dans un seul système, leur enrichissement, l'analyse et l'application des connaissances acquises.


Collecte et accumulation de données


Les données sur les menaces sont collectées à l'aide des systèmes suivants:


Robots de recherche - systèmes de collecte d'informations sur des sites existants sur Internet;


Sandbox - un environnement isolé pour l'exécution en toute sécurité de code suspect afin de détecter et d'analyser les logiciels malveillants;


Surveillance des réseaux de botnet - réseaux informatiques sous le contrôle du serveur de gestion d'un attaquant;


Honeypot - un segment de réseau attribué à un attaquant comme appât, séparé du réseau sécurisé principal de l'organisation;


Les capteurs sont des programmes d'agent qui collectent des informations utiles à partir de divers appareils.


De plus, la base de données est mise à jour avec des bases de données de fuites - des informations sensibles qui sont entrées illégalement dans des sources ouvertes. Il peut s'agir d'informations d'identification de systèmes et de services, d'adresses e-mail, d'informations de carte de crédit, de mots de passe.


À partir des sources ouvertes OSINT, les flux (données analysées structurées) proviennent - des données sur les adresses IP et les domaines à partir desquels les fichiers malveillants sont distribués, leurs échantillons et leurs hachages; listes de sites de phishing et adresses postales des expéditeurs d'e-mails de phishing; activité des serveurs C&C (Command & Control); adresses à partir desquelles les réseaux sont analysés à des fins d'inventaire et de détection des versions du système, des bannières de service et des vulnérabilités; Adresses IP à partir desquelles des attaques par bruteforce sont menées; Signatures Yara pour la détection des logiciels malveillants.


Des informations utiles peuvent être trouvées sur les sites des think tanks, du CERT et des blogs de chercheurs indépendants: vulnérabilités découvertes, règles de détection, description des investigations.


Les analystes en train d'enquêter sur les attaques ciblées reçoivent des échantillons de fichiers malveillants, leurs hachages, des listes d'adresses IP, des domaines, des URL contenant du contenu illégitime.


Le système reçoit également des données sur les vulnérabilités détectées dans les logiciels et les attaques des partenaires, des fournisseurs et des clients.


Les informations sont collectées auprès de SZI: antivirus, IDS / IPS, pare-feu, pare-feu d'application Web, outils d'analyse du trafic, outils de journalisation des événements, systèmes de protection d'accès non autorisés, etc.


Toutes les données collectées sont accumulées au sein d'une seule plateforme, ce qui permet d'enrichir, d'analyser et de diffuser des informations sur les menaces.


Enrichissement des données


Les informations collectées sur des menaces spécifiques sont complétées par des informations contextuelles - le nom de la menace, l'heure de détection, la géolocalisation, la source de la menace, les circonstances, les objectifs et les motifs de l'attaquant.


À ce stade également, l'enrichissement a lieu - enrichissement des données - obtention d'attributs techniques supplémentaires aux attaques déjà connues:


  • URL
  • Adresses IP
  • Domaines
  • Données Whois
  • DNS passif
  • GeoIP - Informations géographiques sur l'adresse IP
  • Exemples de fichiers malveillants et leurs hachages
  • Informations statistiques et comportementales - techniques, tactiques et procédures d'attaque

Analyse


Au stade de l'analyse, les événements et les attributs liés à une attaque sont combinés selon les critères suivants: localisation territoriale, période, secteur économique, groupe criminel, etc.


La connexion entre les différents événements est déterminée - corrélation.


Lorsque vous travaillez avec des flux, la source des flux est sélectionnée en fonction des spécificités de l'industrie; types d'attaques pertinentes pour une entreprise particulière; la présence d'attributs et de COI couvrant des risques non couverts par les règles des systèmes de sécurité. Ensuite, la valeur d'alimentation est déterminée et elles sont hiérarchisées en fonction des paramètres suivants:


  • Sources de données de flux - il est possible que cette source soit un agrégateur de données provenant de sources OSINT et ne fournisse aucune analyse propriétaire.
  • Pertinence - actualité et «fraîcheur» des données fournies. Deux paramètres doivent être pris en compte: le temps entre le moment où une attaque est détectée et la distribution d'un flux contenant des données de menace doit être minimal; La source doit fournir des flux à une fréquence qui garantit que les informations sur les menaces sont à jour.
  • Unicité - la quantité de données introuvables dans les autres flux. Quantité d'analyses fournies par le flux.
  • Présence dans d'autres sources. À première vue, il peut sembler que si un attribut ou IOC (indicateur de compromis) se trouve dans les flux de plusieurs sources, vous pouvez augmenter son niveau de confiance. En fait, certaines sources de flux peuvent tirer des données de la même source, dans laquelle les informations peuvent être non vérifiées.
  • L'intégralité du contexte fourni. La qualité du tri des informations, qu'il s'agisse des objectifs de l'attaque, du secteur économique, du groupe criminel, des outils utilisés, de la durée de l'attaque, etc.
  • Qualité (part de faux positifs) des règles pour SIS basée sur les données du flux.
  • Utilitaire de données - L'applicabilité des données de flux dans les enquêtes sur les incidents.
  • Format de fourniture des données. La commodité de traiter et d'automatiser leur chargement dans la plateforme est prise en compte. La plate-forme sélectionnée pour Threat Intelligence prend-elle en charge les formats requis? Une partie des données est-elle perdue.

Les outils suivants sont utilisés pour classer les données des flux:


  • Balises
  • Taxonomies - un ensemble de bibliothèques classées selon les processus d'attaque, de propagation des menaces, d'échange de données, etc. Par exemple, ENISA, CSSA, VERIS, Diamond Model, Kill Chain, CIRCL, MISP ont leurs propres taxonomies.
  • Le clustering est un ensemble de bibliothèques classées par des signes statiques de menaces et d'attaques. Par exemple, les secteurs de l'économie; outils et exploits utilisés; TTP (Tacticks, Techniques & Procedures), étapes et méthodes de pénétration, opération et consolidation dans un système basé sur ATT & CK Matrix.

Les analystes identifient les tactiques, techniques et procédures des attaquants, imposent des données et des événements au modèle d'intrusion dans le système et construisent la chaîne d'attaque. Il est important de formuler une vue générale de l'attaque, en tenant compte de l'architecture complexe du système protégé et des relations entre les composants. La possibilité d'une attaque en plusieurs étapes est prise en compte, ce qui affectera plusieurs hôtes et vulnérabilités.


Candidature


Sur la base des travaux effectués, des prévisions sont effectuées - les directions probables des attaques sont identifiées, systématisées en tenant compte des spécificités de l'industrie, de la géolocalisation, des délais, des outils possibles et du degré de conséquences destructrices. Les menaces identifiées sont hiérarchisées en fonction des dommages potentiels lors de leur mise en œuvre.


Les informations de Threat Intelligence vous permettent de détecter les fuites de données organisationnelles sensibles tombées sur Internet et de contrôler les risques de la marque - discussion des plans d'attaque sur les forums darknet, utilisation illégitime de la marque dans les sociétés de phishing, divulgation de secrets commerciaux et son utilisation par les concurrents.


La base de connaissances collectée est utilisée pour rédiger des règles de détection d'attaques pour SIS, pour répondre rapidement aux menaces au sein du SOC et pour enquêter sur les incidents.


Les spécialistes mettent à jour le modèle de menace et réévaluent les risques en relation avec les conditions modifiées.


Conclusion


Une telle approche intégrée vous permet de prévenir les attaques au stade des tentatives de pénétration du système d'information.


Une plate-forme de collecte et d'analyse des informations sur les menaces de sécurité est incluse dans les exigences du FSTEC (paragraphe 24) lors de la fourniture de services SOC. De plus, Threat Intelligence peut aider à l'échange d'informations sur les menaces au sein de la SOPCA d'État.


L'utilisation de l'expérience des professionnels de la cyberintelligence dans la collecte, l'analyse et l'application des données sur les menaces permet aux unités SI de porter la protection des informations de leur entreprise au niveau moderne approprié.

Source: https://habr.com/ru/post/fr427129/

More articles:


All Articles