Geekly articles weekly

Inteligência contra ameaças - uma abordagem moderna para segurança da informação

Imagine que você veio trabalhar, ligue o computador e veja se o site da sua empresa não está funcionando, as mercadorias estão presas na alfândega e não podem chegar ao armazém. E mesmo no protetor de tela do computador, alguém desconhecido familiarizou uma imagem engraçada. Um contador chega até você e informa que todos os fundos foram retirados das contas, e seus dados pessoais encantam toda a Internet com sua presença. Você pega uma xícara de café e vai até a janela e, do outro lado da rua, uma empresa vizinha já está lançando seus produtos únicos. Portanto, sua linda esposa voou com um concorrente mais bem-sucedido. Neste ponto, a compreensão chega - você foi hackeado.


Mas você foi avisado - era necessário colocar a TI. Mas primeiro, vamos ver como funciona e protege.


Inteligência contra ameaças - inteligência cibernética cuja tarefa é obter e analisar dados sobre ameaças atuais, a fim de prever ataques prováveis ​​e evitá-los.


A inteligência das ameaças consiste nas seguintes etapas: coleta e acúmulo de dados sobre ameaças de várias fontes em um único sistema, enriquecimento, análise e aplicação do conhecimento adquirido.


Coleta e acumulação de dados


Os dados de ameaças são coletados usando os seguintes sistemas:


Robôs de busca - sistemas para coletar informações sobre sites existentes na Internet;


Sandbox - um ambiente isolado para a execução segura de código suspeito, a fim de detectar e analisar malware;


Monitorando redes botnet - redes de computadores sob o controle do servidor de gerenciamento de um invasor;


Honeypot - um segmento de rede alocado para um invasor como isca, separado da principal rede segura da organização;


Sensores são programas de agentes que coletam informações úteis de vários dispositivos.


Além disso, o banco de dados é atualizado com bancos de dados com informações sigilosas de vazamentos que chegam ilegalmente a fontes abertas. Isso pode ser credenciais de sistemas e serviços, endereços de email, informações de cartão de crédito e senhas.


Nas fontes abertas do OSINT, os feeds (dados estruturados analisados) vêm - dados sobre endereços IP e domínios dos quais os arquivos maliciosos são distribuídos, suas amostras e hashes; listas de sites de phishing e endereços postais de remetentes de e-mails de phishing; atividade de servidores C&C (Command & Control); endereços dos quais as redes são varridas para fins de inventário e detecção de versões do sistema, faixas de serviço e vulnerabilidades; Endereços IP dos quais ataques de força bruta são realizados; Assinaturas Yara para detecção de malware.


Informações úteis podem ser encontradas nos sites de centros analíticos, CERT e blogs de pesquisadores independentes: vulnerabilidades descobertas, regras para sua detecção, descrição de investigações.


Os analistas no processo de investigação de ataques direcionados recebem amostras de arquivos maliciosos, seus hashes, listas de endereços IP, domínios e URLs que contêm conteúdo ilegítimo.


O sistema também recebe dados sobre vulnerabilidades detectadas em software e ataques de parceiros, fornecedores e clientes.


As informações são coletadas do SZI: antivírus, IDS / IPS, firewall, firewall de aplicativos da Web, ferramentas de análise de tráfego, ferramentas de registro de eventos, sistemas de proteção de acesso não autorizados, etc.


Todos os dados coletados são acumulados em uma única plataforma, o que permite enriquecer, analisar e disseminar informações sobre ameaças.


Enriquecimento de dados


As informações coletadas sobre ameaças específicas são complementadas por informações contextuais - o nome da ameaça, o tempo de detecção, a localização geográfica, a fonte da ameaça, as circunstâncias, as metas e os motivos do atacante.


Também nesta fase, ocorre o enriquecimento - enriquecimento de dados -, obtendo atributos adicionais de natureza técnica a ataques já conhecidos:


  • URL
  • Endereços IP
  • Domínios
  • Dados Whois
  • DNS passivo
  • GeoIP - Informações geográficas sobre endereço IP
  • Amostras de arquivos maliciosos e seus hashes
  • Informações estatísticas e comportamentais - técnicas, táticas e procedimentos de ataque

Análise


Na fase de análise, os eventos e atributos relacionados a um ataque são combinados de acordo com os seguintes critérios: localização territorial, período, setor econômico, grupo criminoso, etc.


A conexão entre os vários eventos é determinada - correlação.


Ao trabalhar com feeds, a fonte dos feeds é selecionada dependendo das especificações do setor; tipos de ataques relevantes para uma empresa em particular; a presença de atributos e COI que cobrem riscos que não são cobertos pelas regras dos sistemas de segurança. Em seguida, o valor do feed é determinado e eles são priorizados com base nos seguintes parâmetros:


  • Fontes de dados de feed - é possível que essa fonte seja um agregador de dados de fontes OSINT e não forneça nenhuma análise proprietária.
  • Relevância - pontualidade e "atualização" dos dados fornecidos. Dois parâmetros devem ser levados em consideração: o tempo desde o momento em que um ataque é detectado até a distribuição de um feed com dados de ameaças deve ser mínimo; A fonte deve fornecer feeds com uma frequência que garanta que as informações sobre ameaças estejam atualizadas.
  • Exclusividade - a quantidade de dados não encontrados em outros feeds. A quantidade de análises que o feed fornece.
  • Ocorrência em outras fontes. À primeira vista, pode parecer que se um atributo ou COI (Indicador de Compromisso) for encontrado em feeds de várias fontes, você poderá aumentar seu nível de confiança. De fato, algumas fontes de feeds podem extrair dados da mesma fonte, na qual as informações podem ser não verificadas.
  • A integridade do contexto fornecido. Quão bem as informações foram classificadas, se os objetivos do ataque, o setor da economia, o grupo criminoso, as ferramentas utilizadas, a duração do ataque, etc.
  • Qualidade (compartilhamento de falsos positivos) das regras do SIS com base nos dados do feed.
  • Utilitário de dados - A aplicabilidade dos dados de feed nas investigações de incidentes.
  • O formato para fornecer dados. A conveniência de processar e automatizar seu carregamento na plataforma é levada em consideração. A plataforma selecionada para o Threat Intelligence suporta os formatos necessários? Parte dos dados é perdida.

As seguintes ferramentas são usadas para classificar dados de feeds:


  • Tags
  • Taxonomias - um conjunto de bibliotecas classificadas pelos processos de ataque, disseminação de ameaças, troca de dados etc. Por exemplo, ENISA, CSSA, VERIS, Modelo Diamante, Cadeia de Matança, CIRCL, MISP possuem taxonomias próprias.
  • O clustering é um conjunto de bibliotecas classificadas por sinais estáticos de ameaças e ataques. Por exemplo, setores da economia; ferramentas e explorações usadas; TTP (Táticas, Técnicas e Procedimentos), estágios e métodos de penetração, operação e consolidação no sistema, com base na Matriz ATT & CK.

Os analistas identificam as táticas, técnicas e procedimentos dos atacantes, impõem dados e eventos no modelo de intrusão no sistema e constroem a cadeia de ataque. É importante formular uma visão geral do ataque, levando em consideração a arquitetura complexa do sistema protegido e os relacionamentos entre os componentes. A possibilidade de um ataque de vários estágios é levada em consideração, o que afetará vários hosts e vulnerabilidades.


Aplicação


Com base no trabalho realizado, a previsão é realizada - as direções prováveis ​​dos ataques são identificadas e sistematizadas, levando em consideração as especificidades do setor, geolocalização, prazos, possíveis ferramentas e o grau de consequências destrutivas. As ameaças identificadas são priorizadas dependendo do dano potencial durante sua implementação.


As informações da Inteligência de ameaças permitem detectar vazamentos de dados confidenciais da organização que caíram na Internet e controlar os riscos da marca - discussão de planos de ataque em fóruns da darknet, uso ilegítimo da marca em empresas de phishing, divulgação de segredos comerciais e seu uso pelos concorrentes.


A base de conhecimento coletada é usada para escrever regras de detecção de ataques para o SIS, responder rapidamente a ameaças no SOC e investigar incidentes.


Os especialistas atualizam o modelo de ameaça e reavaliam os riscos em conexão com as condições alteradas.


Conclusão


Essa abordagem integrada permite evitar ataques no estágio de tentativas de penetração no sistema de informações.


Uma plataforma para coletar e analisar informações sobre ameaças à segurança está incluída nos requisitos do FSTEC (parágrafo 24) ao fornecer serviços SOC. Além disso, a Inteligência de Ameaças pode ajudar na troca de informações sobre ameaças na SOPCA do Estado.


O uso da experiência de profissionais de inteligência cibernética na coleta, análise e aplicação de dados de ameaças permite às unidades de SI levar a proteção das informações de suas empresas ao nível moderno apropriado.

Source: https://habr.com/ru/post/pt427129/

More articles:


All Articles