Bayangkan Anda datang untuk bekerja, nyalakan komputer dan lihat bahwa situs web perusahaan Anda tidak berfungsi, barang-barang macet di pabean dan tidak dapat mencapai gudang. Dan bahkan pada screen saver komputer, seseorang yang tidak dikenal mengirimkan gambar yang lucu. Seorang akuntan mendatangi Anda dan memberi tahu Anda bahwa semua dana telah ditarik dari akun, dan data pribadi Anda menyenangkan seluruh Internet dengan kehadirannya. Anda mengambil secangkir kopi dan pergi ke jendela, dan di seberang jalan sebuah perusahaan tetangga sudah merilis produk unik Anda. Jadi istrimu yang cantik terbang dengan pesaing yang lebih sukses. Pada titik ini, pemahaman muncul - Anda telah diretas.
Tapi Anda diperingatkan - perlu untuk menempatkan TI. Tapi pertama-tama, mari kita lihat cara kerjanya dan melindungi.
Threat Intelligence - intelijen cyber yang bertugas untuk mendapatkan dan menganalisis data tentang ancaman saat ini untuk memprediksi kemungkinan serangan dan mencegahnya.
Intelijen ancaman terdiri dari tahap-tahap berikut: pengumpulan dan akumulasi data tentang ancaman dari berbagai sumber dalam satu sistem, pengayaannya, analisis, dan penerapan pengetahuan yang diperoleh.
Pengumpulan dan akumulasi data
Data ancaman dikumpulkan menggunakan sistem berikut:
Cari robot - sistem untuk mengumpulkan informasi tentang situs yang ada di Internet;
Sandbox - lingkungan terisolasi untuk eksekusi kode mencurigakan yang aman untuk mendeteksi dan menganalisis malware;
Memantau jaringan botnet - jaringan komputer di bawah kendali server pengelola penyerang;
Honeypot - segmen jaringan yang dialokasikan untuk penyerang sebagai umpan, terpisah dari jaringan aman utama organisasi;
Sensor adalah program agen yang mengumpulkan informasi berguna dari berbagai perangkat.
Juga, database diperbarui dengan database kebocoran - informasi sensitif yang masuk ke sumber terbuka secara ilegal. Ini dapat berupa kredensial dari sistem dan layanan, alamat email, informasi kartu kredit, kata sandi.
Dari sumber terbuka OSINT, umpan (data yang dianalisis terstruktur) datang - data tentang alamat IP dan domain tempat file berbahaya didistribusikan, sampel dan hashnya; daftar situs phishing dan alamat pos pengirim email phishing; aktivitas server C&C (Command & Control); alamat dari mana jaringan dipindai untuk tujuan inventarisasi dan deteksi versi sistem, spanduk layanan dan kerentanan; Alamat IP dari mana serangan bruteforce dilakukan; Tanda tangan Yara untuk deteksi malware.
Informasi yang berguna dapat ditemukan di situs pusat analitik, CERT dan blog peneliti independen: kerentanan ditemukan, aturan untuk pendeteksian mereka, deskripsi investigasi.
Analis dalam proses penyelidikan serangan yang ditargetkan menerima sampel file berbahaya, hash mereka, daftar alamat IP, domain, URL yang berisi konten tidak sah.
Sistem juga menerima data tentang kerentanan yang terdeteksi dalam perangkat lunak dan serangan dari mitra, vendor, dan pelanggan.
Informasi dikumpulkan dari SZI: antivirus, IDS / IPS, Firewall, Firewall Aplikasi Web, alat analisis lalu lintas, alat pencatatan peristiwa, sistem perlindungan akses yang tidak sah, dll.
Semua data yang terkumpul diakumulasikan dalam satu platform tunggal, yang memungkinkan untuk memperkaya, menganalisis, dan menyebarluaskan informasi tentang ancaman.
Pengayaan Data
Informasi yang dikumpulkan tentang ancaman spesifik dilengkapi dengan informasi kontekstual - nama ancaman, waktu deteksi, geolokasi, sumber ancaman, keadaan, tujuan, dan motif penyerang.
Juga pada tahap ini, Pengayaan terjadi - pengayaan data - memperoleh atribut tambahan yang bersifat teknis untuk serangan yang sudah diketahui:
- URL
- Alamat IP
- Domain
- Data whois
- Dns pasif
- GeoIP - Informasi Geografis Tentang Alamat IP
- Sampel file berbahaya dan hash-nya
- Informasi statistik dan perilaku - teknik, taktik, dan prosedur serangan
Analisis
Pada tahap analisis, peristiwa dan atribut yang terkait dengan satu serangan digabungkan berdasarkan kriteria berikut: lokasi teritorial, periode waktu, sektor ekonomi, kelompok kriminal, dll.
Koneksi antara berbagai peristiwa ditentukan - korelasi.
Saat bekerja dengan umpan, sumber umpan dipilih tergantung pada spesifik industri; jenis serangan yang relevan dengan perusahaan tertentu; keberadaan atribut dan IOC yang mencakup risiko yang tidak tercakup oleh aturan sistem keamanan. Kemudian nilai umpan ditentukan dan diprioritaskan berdasarkan parameter berikut:
- Sumber data umpan - ada kemungkinan bahwa sumber ini adalah agregator data dari sumber OSINT dan tidak menyediakan analitik kepemilikan apa pun.
- Relevansi - ketepatan waktu dan "kesegaran" dari data yang disediakan. Dua parameter harus diperhitungkan: waktu dari saat serangan terdeteksi hingga distribusi umpan dengan data ancaman harus minimal; Sumber harus mengirimkan umpan pada frekuensi yang memastikan bahwa informasi ancaman terbaru.
- Keunikan - jumlah data yang tidak ditemukan di umpan lain. Jumlah analitik yang disediakan umpan.
- Terjadinya di sumber lain. Pada pandangan pertama, mungkin terlihat bahwa jika suatu atribut atau IOC (Indicator of Compromise) ditemukan dalam umpan dari beberapa sumber, Anda dapat meningkatkan tingkat kepercayaannya. Bahkan, beberapa sumber umpan dapat mengambil data dari sumber yang sama, di mana informasi dapat diverifikasi.
- Kelengkapan konteks yang disediakan. Seberapa baik informasi diurutkan, apakah tujuan serangan, sektor ekonomi, kelompok kriminal, alat yang digunakan, durasi serangan, dll.
- Kualitas (bagian positif palsu) dari aturan untuk SIS berdasarkan data dari umpan.
- Utilitas Data - Penerapan data umpan dalam investigasi insiden.
- Format untuk menyediakan data. Kenyamanan memproses dan mengotomatiskan pemuatan mereka ke platform diperhitungkan. Apakah platform yang dipilih untuk Intelijen Ancaman mendukung format yang diperlukan? Apakah bagian dari data hilang.
Alat-alat berikut digunakan untuk mengklasifikasikan data dari umpan:
- Tag
- Taksonomi adalah seperangkat perpustakaan yang diklasifikasikan berdasarkan serangan, ancaman penyebaran, pertukaran data, dll. Misalnya, ENISA, CSSA, VERIS, Model Berlian, Rantai Pembunuh, CIRCL, MISP memiliki taksonomi mereka sendiri.
- Clustering adalah seperangkat perpustakaan yang diklasifikasikan oleh tanda-tanda statis ancaman dan serangan. Misalnya, sektor ekonomi; alat dan eksploitasi bekas; TTP (Tacticks, Techniques & Procedures), tahapan dan metode penetrasi, operasi dan konsolidasi dalam sistem, berdasarkan ATT & CK Matrix.
Analis mengidentifikasi taktik, teknik dan prosedur penyerang, memaksakan data dan peristiwa pada model intrusi ke dalam sistem dan membangun rantai serangan. Penting untuk merumuskan pandangan umum tentang serangan, dengan mempertimbangkan arsitektur kompleks dari sistem yang dilindungi dan hubungan antar komponen. Kemungkinan serangan multi-tahap diperhitungkan, yang akan memengaruhi beberapa host dan kerentanan.
Aplikasi
Berdasarkan pekerjaan yang dilakukan, peramalan dilakukan - kemungkinan arah serangan diidentifikasi, sistematis dengan mempertimbangkan spesifik industri, geolokasi, kerangka waktu, alat yang mungkin dan tingkat konsekuensi yang merusak. Ancaman yang teridentifikasi diprioritaskan tergantung pada potensi kerusakan selama penerapannya.
Informasi Intelijen Ancaman memungkinkan Anda untuk mendeteksi kebocoran data organisasi sensitif yang telah jatuh di Internet dan mengendalikan risiko merek - diskusi rencana serangan di forum darknet, penggunaan merek secara tidak sah di perusahaan phishing, pengungkapan rahasia dagang dan penggunaannya oleh pesaing.
Basis pengetahuan yang dikumpulkan digunakan untuk menulis aturan deteksi serangan untuk SIS, untuk merespon dengan cepat terhadap ancaman dalam SOC dan untuk menyelidiki insiden.
Spesialis memperbarui model ancaman dan menilai kembali risiko sehubungan dengan kondisi yang berubah.
Kesimpulan
Pendekatan terpadu semacam itu memungkinkan Anda untuk mencegah serangan pada tahap upaya menembus sistem informasi.
Suatu platform untuk mengumpulkan dan menganalisis informasi tentang ancaman keamanan dimasukkan dalam persyaratan FSTEC (paragraf 24) ketika menyediakan layanan SOC. Selain itu, Intelijen Ancaman dapat membantu dalam pertukaran informasi ancaman dalam SOPCA Negara.
Menggunakan pengalaman profesional intelijen cyber dalam pengumpulan, analisis, dan penerapan data ancaman memungkinkan unit-unit IS membawa perlindungan informasi perusahaan mereka ke tingkat modern yang sesuai.