Cyber threat intelligence

Szczegóły
Nadrzędna kategoria: Bezpieczeństwo publiczne
Kategoria: Bezpieczeństwo państwa

Cyber threat intelligence – ze względu na wielorakie znaczenia słowa intelligence, które można tłumaczyć jako rozpoznanie, wywiad, czy nawet analizę zagrożeń. Najbardziej chyba odzwierciedlające ideę pojęcia tłumaczenia to rozpoznanie zagrożeń cybernetycznych (informatycznych). Jedna z najkrótszych definicji (przez analogię do business intelligence) to proces przekształcania danych o zagrożeniach cybernetycznych w informację (dane w określonym kontekście) a informacji w wiedzę.

6Dane to np. fakty, adresy, ciągi znakowe, informacja w tym sensie są to dane w określonym kontekście czy też relacji, wiedza zaś to interpretacja lub wykorzystanie posiadanych informacji do rozwiania problemu lub podjęcia decyzji. Rozpoznanie było by wiec interpretacją opartą na dowodach, zebranych aby zidentyfikować cele, motywacje techniki taktyki lub procedury sprawców zagrożenia. Rozpoznanie pomaga zrozumieć, złagodzić lub wyeliminować zagrożenia. Definicję powyższą dobrze przedstawia schemat na rysunku 1 zaproponowany przez Bank of England (Bank of England, 2016c, p. 13).

Stosowanie tradycyjnych mechanizmów zabezpieczeń jest wystarczające na wewnętrzne potrzeby organizacji, ale w prawie nie zauważa ryzyk, które powodują zagrożenia pochodzące z zewnątrz. Hacktywizm, cyberkonflikty między państwami czy szpiegostwo przemysłowe to stałe elementy listy zagrożeń. Wskazane zatem jest, aby mechanizmy obrony przed nimi miały charakter wyprzedzający i powinny funkcjonować niczym sprawny wywiad, gdyż właściwe jest założenie, że skuteczny może zostać przeprowadzony z prawdopodobieństwem graniczącym z pewnością. O ile tradycyjne cyberbezpieczeństwo obejmuje rekrutację i zatrudnienie ekspertów zajmujących się bezpieczeństwem informatycznym, ustalenie formalnych regulacji i polityk bezpieczeństwa oraz rozmieszczenie urządzeń i aplikacji zabezpieczających infrastrukturę techniczną tak rozpoznanie zagrożeń cybernetycznych (Cyber Threat Intelligence) opiera się na gromadzeniu wiedzy o zagrożeniach stosując: biały wywiad (OSINT–Open Source INTelligence), informacje z mediów społecznościowych (SOCMINT – SOCial Media INTelligence) oraz informacje ze źródeł osobowych (HUMINT – HUMan INTelligence) a także wiedzę z deep– i dark–web. Kluczowym zadaniem cybernetycznego rozpoznania jest badanie, analiza trendów oraz zmian w takich obszarach jak cyberprzestępczość, cyberaktywizm (np. Anonymous) oraz cyberszpiegostwo (np. ataki APT). Oczywiście wiedza ta musi być wzbogacona informacjami z własnej infrastruktury, gromadząc i korelując dane o zdarzeniach bezpieczeństwa. Należy zmienić optykę – nie zastanawiać się czy organizacja jest bezpieczna, lecz jakie czynności zostaną podjęte, gdy zostaniemy zaatakowani. Konieczna jest proaktywna postawa z gotowością na cyberatak.

7Według brytyjskiego Ośrodka Ochrony Infrastruktury Narodowej (CPNI), istnieją cztery rodzaje rozpoznania zagrożeń przedstawione na rysunku 2. (National Cyber Security Centre, 2015, p. 4), podobnie definiuje je brytyjska firma MWR Infosecurity współpracująca z CERT w Wielkiej Brytanii (MWR Infosecurity, 2015).

  • Techniczne: Techniczne rozpoznanie cyberzagrozeń zawiera szczegółowe informacje o zasobach napastnika, takich jak narzędzia, kanały dowodzenia i kontroli oraz infrastruktura. Różni się od rozpoznania taktycznego tym, że koncentruje się na konkretnych wskaźnikach, szybkiej dystrybucji i reakcji, a zatem ma krótszy użyteczny okres eksploatacji. Fakt, że atakujący używa konkretnego złośliwego oprogramowania, to rozpoznanie taktyczne, a wskaźniki przeciwko konkretnemu skompilowanemu przykładowi to rozpoznanie techniczne. Typowe przykłady wywiadu dotyczącego zagrożeń technicznych obejmują sumy szkodliwego oprogramowania lub phishingowych przynęt-dokumentów MD5, nagłówki wiadomości e-mail typu phishing, adresy IP dla urządzeń końcowych C2 lub nazw domen używanych przez C2. Idealne wskaźniki powinny pochodzić z aktywnych kampanii, które są obecnie doświadczane przez inne organizacje. Dzięki szybkiemu włączeniu tych wskaźników do infrastruktury defensywnej, takich jak firewalle, urządzenia filtrujące poczta i rozwiązania zabezpieczające przed wyciekiem danych, organizacje mogą starać się wykrywać napastników – zarówno wtedy, gdy najpierw atakują, czy we wczesnych stadiach ataku. Przeszukując listę wcześniej zapisanych połączeń lub plików binarnych, można również wykryć ataki historyczne. Wyzwaniem często zgłoszonym przez organizacje próbujące wywiadu technicznego jest to, że sama ilość danych może szybko stać się przytłaczająca. W tym przypadku należy dokładnie rozważyć alokację zasobów, a organizacja może być bardziej selektywna w gromadzonych danych lub decydując się na budowę lub zakup dużych platform analitycznych, aby poradzić sobie z ilością danych. Ważne jest jednak, aby alokacja zasobów irozwój zdolności były stale zbalansowane przed oceną korzyści płynących z wywiadu dotyczącego zagrożenia technicznego. Można by stwierdzić, że większe korzyści będą pochodzić z inwestowania w inne formy inteligencji. Istnieje wiele komentarzy w społeczności zabezpieczeń co do użyteczności technicznego rozpoznania zagrożeń, a niektóre twierdzą, że jest to bardzo skuteczny sposób zapobiegania i wykrywania kompromitacji, inni wątpią w jego użyteczność. Ta ostatnia grupa porównuje ją do sygnatur antywirusowych, ponieważ napastnicy mogą w niewielkim stopniu przystosować się, aby zapewnić, że ich narzędzia nie są rozpoznawane. Istnieje obawa, że duże ilości danych nie zawierają informacji kontekstowych, a zatem nie mogą dostarczyć większej analizy i oceny źródeł.
  • 8Taktyczne: Rozpoznanie taktyczne może być jedną z najbardziej użytecznych form rozpoznania w zakresie ochrony organizacji. Jest to informacja dotycząca taktyki wykorzystywanej przez grupy napastników – w tym ich narzędzi i metodologii – i jest często określana jako Taktyki, Techniki i Procedury (TTP – Tactics, Techniques and Procedures). Celem taktycznego rozpoznania zagrożeń jest zrozumienie, w jaki sposób aktorzy (actors – sprawcy) mogą atakować organizację, a także mapować tę wiedzę na sposoby, jak te ataki można złagodzić lub wykryć. Taktyczne rozpoznanie zagrożeń cybernetycznych jest wykorzystywane przez obrońców, takich jak architekci, administratorzy i personel ochrony. Źródłami informacji taktycznych są raporty o incydentach, atakach i kampaniach publikowane w Internecie, statyczna i dynamiczna analiza malware.
  • Operacyjne: szczegółowa analiza poszczególnych ataków oraz określenie możliwości obrony na podobne zagrożenia w przyszłości. Operacyjne rozpoznanie zagrożeń to trafne informacje o konkretnych atakach przychodzących. Informuje o naturze ataku, tożsamości i zdolności atakującego – i wskazuje, kiedy może nastąpić atak. Służy do złagodzenia ataku: na przykład poprzez usunięcie ścieżek ataku lub utwardzenie systemu zabezpieczeń. Źródłem rozpoznania mogą być wszelakie socialmedia, fora dyskusyjne, źródła osobowe, grupy dyskusyjne,
  • Strategiczne: wiedza o zmieniającym się ryzyku (strategicznych przesunięciach) konieczny jest ośrodek dowodzący do określenia krytycznej oceny zagrożeń. Strategiczne rozpoznanie zagrożenia jest przeznaczone dla kierownictwa wysokiego szczebla w organizacji, zazwyczaj zarząd lub osoby reprezentujące zarząd. Ma ona na celu pomóc strategom zrozumieć obecne zagrożenia oraz zidentyfikować dalsze zagrożenia, o których jeszcze nie są świadomi. Zajmuje się takimi pojęciami jak ryzyko i prawdopodobieństwo, a nie aspektami technicznymi, jest używany przez zarząd do prowadzenia strategicznych decyzji biznesowych i zrozumienia wpływu podejmowanych decyzji. Materialnie jest często w formie prozy, na przykład raportów lub briefingów – zarówno podczas konferencji, jak i spotkań indywidualnych z kadrą kierowniczą i członkami zarządu. Posiada silny biznesowy nacisk, który jest używany do prowadzenia strategii. Źródłami rozpoznania mogą być oceny sytuacji geopolitycznej (trendy, ambicje, strategie) analizy i raporty finansowe i giełdowe, polityczne kontakty międzyludzkie, artykuły publikowane w prasie autorstwa wysoko postawionych osób. Większość tych danych można odnaleźć stosując źródła o otwartym dostępie (OSINT).

Gartner – przedsiębiorstwo analityczno–doradcze specjalizujące się w zagadnieniach strategicznego wykorzystania technologii oraz zarządzania technologiami definiuje rozpoznanie zagrożeń jako wiedzy bazującej na dowodach, przy wykorzystaniu kontekstu, mechanizmów wskaźników, implikacji, zgłoszeń o powstających lub istniejących zagrożeniach. Kluczowymi wyzwaniami są: trudność w określeniu wskaźników ryzyka, kiedy nie znamy przeciwników i ich intencji, przygotowanie bezpieczeństwa powinno odbywać się na około trzy lata do przodu a nie tylko na istniejące zagrożenia (Gartner, 2014).

Bank of England twierdzi wręcz, iż testy penetracyjne tak często używane w celu podniesienia bezpieczeństwa, nie są już adekwatne do ochrony bezpieczeństwa sektora bankowego i zaleca ochronę instytucji finansowych w oparciu o rozpoznanie zagrożeń cybernetycznych (Bank of England, 2016a, pp. 21–22) (Bank of England, 2016b).

9Efektywny program rozpoznania posiada kilka obszarów, na których można się skoncentrować. Podział rozpoznania zagrożeń na konkretne funkcje pozwala lepiej go skalować, gdyż poszczególni członkowie zespołu mogą być bardziej wykwalifikowani w określonych aspektach rozpoznania. Mogą skupić się i rozwijać na poszczególnych częściach cyklu, łatwiej też będzie śledzić konkretne słabości lub braki w poszczególnych etapach (MWR Infosecurity, 2015). Poszczególne etapy cyklu rozpoznania przedstawia rysunek 3:

  • Wymagania: krok, który jest często pomijany, a może być kluczem do udanego programu. Kierownictwo musi określić, co chce wiedzieć konkretnie i co powinien im powiedzieć program rozpoznania zagrożeń. Na przykład wymóg może brzmieć następująco: „Informuj nas o wszystkich powszechnie znanych, powszechnie wykorzystywanych lukach w ciągu jednego dnia od ich poznania”. Wymagania mogą być bardziej restrykcyjne dla zespołów rozpoznania zagrożeń, np. „Uzyskiwanie szczegółowych informacji i próbek większości narzędzi do zdalnego dostępu do zestawów przestępczych dla naszych zespołów ds. forensyki”. Zespoły muszą współpracować z decydentami, aby uzgodnić wymogi, które są nie tylko możliwe do osiągnięcia, ale przede wszystkim dostarczą produktów, na których organizacja będzie mogła działać.
  • Zbieranie: krok, który może dominować w znacznej części budżetu zespołu do rozpoznania zagrożeń cybernetycznych, polega na gromadzeniu informacji lub danych, które należy przeanalizować. Informacje mogą pochodzić z wielu różnych źródeł, takich jak kanały informacyjne, płatne usługi lub kanały, fora a nawet źródła ludzkie. Prawie wszystkie informacje o zagrożeniach wymagają jakiejś analizy. Zrozumienie, które źródła mogą generować pożądane informacje, które są wiarygodne i dostarczają wartościowych informacji i w jakim czasie je wykorzystać nie jest banalnym procesem.
  • Analiza: przekształcanie danych w informacje, które mogą być później wykorzystane często wymaga analizy. W niektórych przypadkach analiza będzie stosunkowo prosta, np. przeanalizowanie pliku danych do zestawu reguł „deny” i alertów zapory. W innych przypadkach będzie wymagało wyodrębnienia odpowiednich informacji z większego zbioru, na przykład z raportu i zrozumienia, które elementy mają zastosowanie do aktywów organizacji. Ważną rolę dla analityka ma poszukiwanie możliwości tworzenia nowych typów inteligencji poprzez syntezę z bieżącej wersji. Na przykład analityk może poświęcić czas na czytanie dokumentów, aby wyodrębnić wskaźniki kompromisu, a także określić operacyjne informacje, które mogą być przekazane obrońcom sieci. Ewentualnie po przeczytaniu takich dokumentów i innych źródeł analityk może identyfikować trendy, które można zebrać razem w produkt strategiczny wywiadu dla wyższego zarządzania. Czasem okazuje się, że zebrane dane nie zawierają ważnych danych analitycznych i należy powrócić do etapu zbierania.
  • Produkcja/rozpowszechnianie: na tym etapie tworzona jest i rozpowszechniana informacja o rozpoznaniu (wywiadowcza) dla klientów (kierownictwo, administratorzy sieci, obrońcy itp.). Informacja będzie się różnić w zależności od podtypu rozpoznania i klienta. Na przykład może wymagać od raportu, informacji dla obrońców lub po prostu zatwierdzonej reguły dodanej do sprzętu chroniącego sieć.
  • Ocena: innym często zaniedbywanym etapem rozpoznania w sytuacjach zagrożenia jest ocena informacji w celu zapewnienia jej zgodności z pierwotnymi wymaganiami. Jeśli wymagania zostały zrealizowane, informacja może dodatkowo spełniać wymogi, aby pomóc opracować nowe, głębsze wymagania, które opierają się na rozpoznaniu – a cykl wywiadowczy może się powtórzyć. Jeśli analiza zagrożeń nie spełnia wymagań, sugeruje w pewnym momencie awarię, to model cyklu można wykorzystać do ustalenia, gdzie wystąpiła awaria. Czy wymagania były nierealne? Czy proces zbierania używał złych źródeł? Czy dane zawarte w źródłach zostały pobrane, ale nie zostały wyciągnięte podczas analizy?

Korzyści ze stosowania rozpoznania zagrożeń cybernetycznych
INSA (Intelligence and National Security Alliance) stowarzyszenie środowisk wywiadowczych z siedzibą w Arlington zrzeszające byłych i obecnych pracowników NSA, CIA, Rady Bezpieczeństwa Narodowego, Narodowej Rady Wywiadu w swym raporcie wymienia główne zalety z taktycznego rozpoznania cybernetycznego (INSA, 2015, p. 3):

  • Zapewnia kontekst i przydatność ogromnej ilości danych. Wiele organizacji posiada dostęp do terabajtów danych bez możliwości jej zrozumienia i filtrowania tak by uczynić je użytecznymi. Na poziomie taktycznym, kluczowe jest odfiltrowanie szumu. Taktyczne cyber–rozpoznanie wprowadza procesy metodyczne, które pomagają zarządzać przychodzącymi danymi, zamieniając je w cenną i praktyczną wiedzę o zagrożeniach.
  • Pozwala organizacjom rozwijać proaktywną postawę i wzmocnić cyberbezpieczeństwo oraz ogólne zasady zarządzania ryzykiem. Rozpoznanie na poziomie taktycznym musi być wystarczająco precyzyjne, tak aby wspierać zdolność organizacji do zminimalizowania ryzyka. Poprzez identyfikację organizacyjnych i sieciowych podatności a także wzorów postępowania przeciwnika rozpoznanie cybernetyczne może zapewnić prawdopodobną drogę ataku, odsłaniając obszary najwyższego ryzyka określając słabości tak techniczne jak i organizacyjne.
  • Pomaga podejmować lepsze decyzje w trakcie i po wykryciu cyberzagrożenia. Zgromadzona w systemie informacja o zagrożeniach i dzienniki zdarzeń (logi), może zapewnić pełniejszy obraz tego, jak przeciwnik zyskał lub próbuje zdobyć dostęp do organizacji. Wskaźniki kompromitacji (IOCs) obejmujące sygnatury wirusów oraz pliki malware, adresy IP i inne wskazówki nieprawidłowej aktywności sieciowej, które mogą pomóc ujawnić TTP (Taktyki, Techniki i Procedury) przeciwnika, a także, jakie dane mogły zostać przejęte. Wskaźniki kompromitacji mogą ujawnić kim jest przeciwnik, jakie może mieć intencje i motywacje.
  • Ukierunkowuje cyberbezpieczeństwo na tor proaktywny, z możliwością przewidywania następnych ataków, a nie tylko reaktywny, reagujący po zaistniałym fakcie. Większa ilość zgromadzonych analiz i danych pozwoli organizacji na zapewnienie lepszej obrony i doskonalenie technik rozpoznania cybernetycznego.

Wobec wyrafinowanych i bezwzględnych „cyberprzeciwników”, organizacje muszą ciągle doskonalić swoje zdolności obronne. Mogą zatrudnić zespoły zdolnych obrońców sieci komputerowej, ale nawet najbardziej elitarni eksperci mogą nie być w stanie zabezpieczyć „cybergranic” bez użycia równie sprawnych narzędzi.

To czego potrzebują to platforma do przechowywania bardzo szczegółowych informacji na temat każdego indywidualnego zagrożenia. Potrzebują także instrumentów do wykonywania zaawansowanych analiz tych danych do tworzenia swoistych informacji wywiadowczych. I muszą być w stanie udostępniać te informacje na bieżąco wśród członków zespołu obrony, tak aby zapobiec następnym atakom cybernetycznym, zanim one nastąpią, a nie już po stwierdzonym fakcie.

Źródła rozpoznania zagrożeń cybernetycznych

  • Wewnętrze – źródła wewnętrzne to wszystkie informacje zbierane wewnątrz organizacji. Najczęściej to informacje gromadzone przez firewalle, systemy zapobiegania włamaniom (IPS), systemy zabezpieczeń, antywirusy, dzienniki zdarzeń systemów, czyli większość informacji wewnętrznej bierzemy z sieci organizacji. Cenną informacją są analizy powłamaniowe komputerów i odnalezione w nich cyfrowe dowody. Pełna dogłębna analiza pozwala zidentyfikować narzędzia bądź taktykę, technikę i procedury (TTP) atakujących, które nie zmieniają się tak często jak adresy czy domeny.
  • Społecznościowe – ta kategoria obejmuje każdą społeczność dzieląca się informacjami o rozpoznaniu zagrożeń, która posiada relacje zaufania i wspólne interesy. Może być to także nieformalna grupa np. przedsiębiorców reprezentujących tę sama gałąź przemysłu lub zrzeszenie wyższych uczelni.
  • Zewnętrzne – kategoria ta zawiera wszystkie informacje zdobywane spoza własnej organizacji lub od zaufanych partnerów. Istnieją dwa typy źródeł zewnętrznych. Pierwszym z nich są źródła publiczne. Źródła te są dostępne dla każdego i zwykle są bezpłatne. Brak kosztów ponoszonych za dostęp do tych źródeł może wiązać się z brakiem gwarancji dostępu to tychże usług. Istnieje wiele takich baz w sieci udostępniających adresy IP, domeny, skróty niebezpiecznych plików, w różnych formatach, często po uprzedniej rejestracji (SANS Institute, 2013, pp. 9–10), (Liska, 2015).

Bibliografia
1. ActiveResponse.org, 2016. The Diamond Model. [Online] Available at: http://www.activeresponse.org/the-diamond-model/ [Data uzyskania dostępu: 13 marzec 2017].
2. Bank of England, 2016a. An Introduction to Cyber Threat Modelling v2.0, Londyn: BANK of England.
3. Bank of England, 2016b. CBEST Implementation Guide, Londyn: Bank of England.
4. Bank of England, 2016c. CBEST Intelligence-Led Testing, Londyn: Bank of England.
5. Caltagirone, S., Pendergast, A. i Betz, C., 2013. The Diamond Model of Intrusion Analysis, Hanover, MD: Center for Cyber Threat Intelligence and Threat Research.
6. ENISA, 2014. ENISA Threat Landscape 2014, Heraklion, Grecja: European Union Agency for Network and Information Security.
7. Gartner, 2014. Threat intelligence what is it, and How Can it Protect You from Today’s Advanced Cyber-Attack, Broomfield: Webroot.
8. Hutchins, E. M., Cloppert, M. i Amin, R., 2011. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, brak miejsca: Lockheed Martin.
9. INSA, 2015. TACTICAL CYBER INTELLIGENCE, Arlington: INTELLIGENCE AND NATIONAL SECURITY ALLIANCE.
10. Liska, A., 2015. Building an Intelligence-led Security Program. Waltham: Syngress.
11. MWR Infosecurity, 2015. Threat Intelligence: Collecting, Analysing, Evaluating, Londyn: MWR InfoSecurity.
12. National Cyber Security Centre, 2015. An introduction to threat intelligence, Londyn: CERT-UK Publication.
13. SANS Institute, 2013. Tools and Standards for Cyber Threat Intelligence, brak miejsca: SANS Institute.
14. SecureWorks, 2016. Breaking the Kill Chain, brak miejsca: SecureWorks.

mjr Grzegorz Data
specjalista ds. informatyki i łączności
OISW w Rzeszowie

fShare
Pin It

Wyszukiwarka

pfr 350px

Facebook

Polecamy

 

prenumerata polowa 

Biuletyn Informacyjny 350x165
 

Najnowsze wydanie

Wydanie 02-2024 16-04-2024

Wydanie specjalne

Wydanie specjalne - securitech c4 20230924

Najczęściej czytane

Prenumerata

Patronaty

NODEX logo rozwiniecie

Forum Więziennictwa winieta

baner polsecure pl

 

polsecure 470x120

SECUREX grafika przewodnia 1920x1080 px

                                                                           SECURITECH konf szkol

 

pi