Как угрозоцентричный подход позволяет избежать ущерба от кибератак
Если взглянуть на ленту новостей, связанную с ландшафтом киберугроз, создается впечатление, что организацию могут атаковать бесконечным количеством способов. Ежегодно появляются тысячи новых уязвимостей и исследований киберугроз, а также миллионы связанных с ними индикаторов компрометации. Уделить внимание каждой угрозе, информация о которой появляется в публичном пространстве, невозможно. А значит, перед организациями встает необходимость приоритизировать их. Здесь на помощь специалистам по кибербезопасности приходит угрозоцентричный подход.
Угрозоцентричный подход предполагает использование киберразведданных, чтобы получить информацию о реальных злоумышленниках, активных в регионе, в котором находится организация, а также об их методах и инструментах. Эту информацию применяют для предсказания, предотвращения, обнаружения киберугроз и реагирования на них. В итоге все это позволяет организации предотвратить возможный ущерб.
Концепция угрозоцентричного подхода
Невозможно защититься от того, чего не знаешь или не понимаешь. Именно киберразведка предоставляет специалистам знания о том, как действуют злоумышленники прямо сейчас. Это позволяет организации правильно приоритизировать ресурсы и противостоять именно актуальным угрозам.
Чтобы концепция угрозоцентричного подхода стала понятнее, рассмотрим пример за пределами сферы кибербезопасности.
Допустим, вы хотите защитить свое жилище и ставите массивную железную дверь. Вы даже не забываете о том, что злоумышленник может проникнуть через окна, и ставите решетки. В то же время, взломщик, который активен в вашем районе, использует отмычки. Это позволяет ему проникнуть в ваш дом и получить доступ к материальным ценностям.
При этом к вашему соседу он попасть не смог: тот знал, что уже нескольких жителей района обокрали с помощью отмычек. Благодаря этому знанию сосед заранее поставил надежный кодовый замок.
Прежде чем организации использовать киберразведданные, важно разобраться, какие типы данных бывают и для чего они нужны.
- Данные стратегического уровня. Высокоуровневые данные о ландшафте угроз, предназначенные для руководителей. Позволяют получить информацию о трендах, понять мотивы злоумышленников и определить связанные с этим риски.
- Данные операционного уровня. Детальная информация о состоянии ландшафта киберугроз, предназначенная для специалистов по кибербезопасности. Позволяет понять, что планируют злоумышленники и как они действуют прямо сейчас.
- Данные тактического уровня. Детальная информация о тактиках, техниках и процедурах, а также инструментах, которые используют злоумышленники.
- Данные технического уровня. Информация, предназначенная для интеграции со средствами защиты информации (СЗИ). Например, потоки индикаторов компрометации.
В последующих статьях мы детально и на примерах рассмотрим элементы концепции угрозоцентричного подхода. Ниже ограничимся их кратким обзором.
Предсказание
Качественные киберразведданные позволяют предсказывать киберугрозы. Например, используя полученные с теневых ресурсов данные, можно понять, чем сейчас интересуются злоумышленники, какое вредоносное ПО планируют использовать или какие уязвимости собираются эксплуатировать в атаках.
Киберразведданные помогают и грамотно описать ландшафт угроз для организации. Он позволит понять, кто, как и почему будет ее атаковать, а также создать перечень кластеров активности, которые с наибольшей вероятностью атакуют организацию. Также он поможет выявить тактики, техники и, самое главное, варианты процедур, которые могут при этом использоваться. Следовательно, специалисты по кибербезопасности будут готовы к кибератаке.
Предотвращение
Киберразведданные могут помочь и предотвратить атаку. Например, если организация получит информацию об инфраструктуре злоумышленников, то сможет ограничить коммуникацию между своей сетью и атакующей стороной.
То же самое касается и данных об инструментах атакующих, особенно легитимных. Например, ограничение использования средств удаленного доступа и туннелирования, инструментов для восстановления паролей значительно сократит возможности злоумышленников. Это помешает им успешно решить задачи в рамках жизненного цикла кибератаки и достичь цели.
Также и с методами: понимание актуальных процедур злоумышленников позволяет настроить конфигурацию системы таким образом, чтобы применить процедуры было максимально затруднительно.
Наконец, организации могут устранять в приоритетном порядке те уязвимости, которые эксплуатируются в реальных кибератаках.
Обнаружение
Киберразведданные открывают широкие возможности в обнаружении киберугроз. Так, индикаторы компрометации, связанные с наиболее актуальными угрозами, можно использовать для обнаружения тех угроз, которые миновали СЗИ организации.
Информация о тактиках, техниках и процедурах злоумышленников позволяет не только развивать детектирующий контент, но и является основой для формирования гипотез, необходимых для проактивного поиска киберугроз.
Актуальные киберразведданные позволяют проверить, насколько эффективно работают СЗИ, в нескольких случаях. Например, когда организация не разработала собственный детектирующий контент и еще не успела внедрить практику проактивного поиска киберугроз. Или если она пользуется услугами мониторинга и реагирования от стороннего поставщика. Для такой проверки можно использовать как конкретные реализации процедур злоумышленников или их инструменты, так и целые профили — с целью эмуляции реальных кибератак и проведения киберучений.
Реагирование
Часто именно киберразведданные помогают корректно идентифицировать выявленные угрозы. Это позволяет эффективно работать со срабатываниями СЗИ, а также определять масштаб инцидента.
Потоки индикаторов могут интегрироваться со средствами защиты, что позволит автоматически получать дополнительный контекст, необходимый для идентификации угрозы. С этим также может помочь информация о тактиках, техниках и процедурах, доступная в большинстве порталов threat intelligence.
Угрозоцентричный подход к кибербезопасности позволяет компаниям фокусироваться на тех угрозах, которые представляют реальную опасность. Используя киберразведданные, организации могут выявить наиболее вероятных злоумышленников, их методы и инструменты, а также уязвимости, которые они эксплуатируют. Это позволяет выстраивать проактивную защиту и предотвращать атаки до того, как они нанесут ущерб.
В следующих статьях мы детально разберем реализацию угрозоцентричного подхода на практике.