Ландшафт киберугроз организации: как определить и как использовать для прогнозирования атак
Грамотно определенный и регулярно обновляемый ландшафт киберугроз позволяет ответить на два вопроса: кто и как будет атаковать организацию. Его можно рассматривать как профиль организации, который позволяет составить список злоумышленников, фактически или потенциально нацеленных на нее. Такой профиль помогает понять их мотивацию, методы и инструменты, применяемые в кибератаках. Затем эти знания используются, чтобы обеспечить безопасность IT‑инфраструктуры.
Описание ландшафта — первый шаг к внедрению угрозоцентричного подхода. Подробно об этом подходе к кибербезопасности мы писали в предыдущей статье цикла. В этом материале мы разберем, как знание об атакующих и способах атак позволяют организации правильно расставлять приоритеты и значительно поднять уровень защиты от реальных злоумышленников.
Ответ на вопрос «кто атакует?» не подразумевает попыток «вычислить злоумышленников по IP» — это работа правоохранительных органов. Задача специалистов по кибербезопасности — защитить IT‑инфраструктуру, следовательно, им важно понимать, кто и зачем может атаковать организацию. То есть речь идет не об абстрактном нарушителе, а о реальной мотивации злоумышленников и их конкретных целях. Киберразведданные помогают разобраться, чего хотят те, кто атаковал или прямо сейчас атакует похожие организации в конкретном регионе.
Группы и кластеры активности
Когда говорят об атакующих, вместо конкретных персоналий обычно оперируют терминами «группа» и «кластер активности». Под ними понимают совокупность технических характеристик. Например, особенностей используемой злоумышленниками инфраструктуры, а также методов и инструментов, которые позволяют специалистам по киберразведке отличить один кластер вредоносной активности от другого. То есть под сущностями «группа» и «кластер активности» подразумевается «коробка», в которую складываются связанные объекты: вредоносное программное обеспечение, инструменты, поведенческие маркеры, адреса командных серверов и другие индикаторы компрометации.
Чтобы различать такие сущности, потребовалась система именования, для чего стали разрабатывать специализированные таксономии. Например, на портале BI.ZONE Threat Intelligence кластеры именуются согласно их мотивации. Так, названия финансово мотивированных кластеров включают слово «wolf» (например, Red Wolf), вовлеченных в шпионаж — «werewolf» (например, Silent Werewolf), занимающихся хактивизмом — «hyena» (например, Gambling Hyena).
Тепловая карта кластеров активности
Знания об активности кластеров помогают обозначить угрозы для конкретной организации. В итоге она будет понимать, чего конкретно хотят достичь злоумышленники, а также какие методы и инструменты они будут применять для достижения цели. Таким образом можно сформировать тепловую карту, отражающую активность различных кластеров в контексте организации.
Рис. 1. Пример тепловой карты активности кластеров
Карта содержит ядро и несколько слоев:
- Кластеры активности, которые уже атаковали организацию. Например, она уже сталкивалась с инцидентом кибербезопасности или получала фишинговые письма, связанные с активностью той или иной группировки.
- Кластеры активности, которые уже атаковали отрасль. Даже если организация еще не фиксировала активность, связанную с действиями конкретных кластеров, ей стоит уделять внимание тем, о чьих атаках на отрасль уже известно. Источником могут быть как киберразведданные, так и сами злоумышленники, которые иногда публикуют информацию об успешных кибератаках на теневых ресурсах.
- Кластеры активности, которые атакуют смежные отрасли. Часть группировок, активных в регионе, может иметь более широкий фокус. Например, кластеры активности, вовлеченные в вымогательские атаки, чаще всего не ограничиваются конкретными отраслями, в отличие от тех, кто занимается шпионажем. То же можно сказать и про хактивистов, которые могут атаковать самые разные организации. Поэтому в определенных случаях стоит смещать фокус с отрасли на географию.
Сбор информации о том, какие кластеры сейчас активны и какие из них нацелены на организацию, может быть трудоемким. Однако существуют специализированные инструменты, которые помогают в этом. В частности, бесплатная версия портала BI.ZONE Threat Intelligence предоставляет базовую информацию о группировках, нацеленных на организации из разных отраслей и регионов.
Чтобы обеспечить защиту IT‑инфраструктуры, недостаточно информации о группах, нацеленных на организацию, и об их мотивации. Необходимо понять, какими методами и инструментами злоумышленники будут пользоваться, чтобы достичь цели.
Наиболее простой и понятный способ структурировать подобную информацию — фреймворк MITRE ATT&CK. Он позволяет описать тактики, техники и процедуры злоумышленников. Именно эта информация впоследствии помогает решать различные задачи кибербезопасности, которые мы детально разберем в следующих статьях цикла.
Организация может собирать такую информацию самостоятельно. Например, анализировать публичные исследования, обмениваться данными об инцидентах с коллегами по отрасли, исследовать упоминания методов и инструментов на теневых ресурсах и т. п.
Можно воспользоваться и коммерческими решениями, которые часто позволяют получить тепловую карту с наиболее актуальными для организации тактиками, техниками и процедурами злоумышленников в автоматическом режиме. Например, так выглядит карта на портале BI.ZONE Threat Intelligence:
Так как многие методы злоумышленников широко вариативны, важная часть фреймворка — описание процедур.
Описание ландшафта киберугроз организации включает два ключевых компонента: кто может атаковать (группировки и их мотивация) и как они будут это делать (тактики, техники и инструменты). Работая с тепловыми картами активности группировок и анализируя их тактики с помощью фреймворка MITRE ATT&CK, можно выстраивать защиту не вслепую, а целенаправленно.
Определение ландшафта — итеративный процесс. Злоумышленники регулярно меняют методы и инструменты, появляются новые кластеры активности, поэтому представление о ландшафте угроз нужно оперативно и своевременно обновлять. Такой подход превращает абстрактные риски в конкретные меры безопасности и позволяет предупреждать атаки, а не просто на них реагировать.
Тем не менее для прогнозирования атак стоит использовать не только информацию об уже известных методах, но и о тех, которые злоумышленники только обсуждают на теневых ресурсах. Об этом мы поговорим в следующей статье цикла.
