Badanie spektrum typów analizy zagrożeń TI

Firmy zajmujące się bezpieczeństwem rozumieją kluczową rolę, jaką analiza zagrożeń (TI) może odegrać we wzmacnianiu bezpieczeństwa dzięki zmniejszaniu zmęczenia alertami i przyspieszaniu reakcji na incydenty. Nie chodzi o to, czy dostawcy zabezpieczeń potrzebują TI, ale jakiego rodzaju TI potrzebują i skąd powinni je zdobyć.

Niestety, branża cyberbezpieczeństwa nie może dojść do porozumienia w sprawie zestawu standardów definiujących analizę zagrożeń i formatowania surowych danych o zagrożeniach. Sprawę dodatkowo komplikuje fakt, że TI to szybko rozwijająca się dziedzina. Przy CAGR na poziomie 17,9% i dużej liczbie nowych dostawców na rynku istnieje zamieszanie co do tego, czym jest analiza zagrożeń i jakiego rodzaju organizacje TI potrzebują.

Dlatego w tym artykule, omówimy najpopularniejsze typy analizy zagrożeń pod względem etykiet, typów IoC, formatów danych i przypadków użycia.

Rodzaje informacji o zagrożeniach

Istnieje wiele sposobów kategoryzowania informacji dotyczących zagrożeń, a dostawcy TI nie zawsze zgadzają się co do ich definicji. Na przykład dane kryjące się za „Operacyjnym TI” mogą oznaczać dwie bardzo różne rzeczy w zależności od dostawcy, od którego uzyskałeś licencję.

Dobrą zasadą przy ocenie potencjalnej wartości dodanej TI jest przyjrzenie się ilości wzbogacenia lub ręczna analiza przeprowadzona na surowych danych. Mając to na uwadze, poniżej przedstawiamy trzy podstawowe typy informacji o zagrożeniach wyróżnione przez zespół Bitdefender.

Reputacja TI

Analiza zagrożeń dla reputacji, zwana przez niektórych dostawców taktycznym TI, jest prosta. Zwykle odnosi się do IoC wyodrębnionych z działających systemów, bez kontekstu, po prostu dostarczających werdyktu na temat reputacji adresów IP, adresów URL, domen, skrótów plików, certyfikatów i innych artefaktów.

Reputacja TI jest szczególnie przydatna w scenariuszach MRTI, integrując dane TI, takie jak czarne listy IP z produktami EDR/EPP, backendami, NGFW i podobnymi przypadkami użycia. Główną zaletą Reputacji TI jest automatyczna ochrona w czasie rzeczywistym.

Operacyjna TI

Operacyjna analiza odnosi się do konkretnych zagrożeń, takich jak wzbogacone i skorelowane dane dotyczące grupy wskaźników, aktorów zagrożeń, rodzin złośliwego oprogramowania, CVE, wiktymologii, exploitów i wszelkich innych artefaktów współpracujących ze sobą w złośliwych celach. Są one szczególnie istotne dla analityków SOC i badaczy bezpieczeństwa.

Operacyjna TI to podstawa dochodzeń, reagowania na incydenty, kryminalistyki cyfrowej i podobnych przypadków użycia, które nie mogą opierać się wyłącznie na danych wewnętrznych hostów.

W porównaniu z TI w zakresie reputacji dostawcy muszą używać bardziej wyrafinowanych narzędzi do tworzenia i sprawdzania operacyjnych TI, przypisywania IoC aktorom zagrażającym lub dalszego przetwarzania artefaktów w laboratorium cyberbezpieczeństwa. Chociaż niektóre z tych zadań można zautomatyzować, zwłaszcza za pomocą modeli głębokiego uczenia się, głównym wyróżnikiem Operacyjnej TI jest interwencja człowieka na surowych danych, pośrednio lub bezpośrednio.

Spójrzmy na przykład operacyjnego TI. W portalu Bitdefender IntelliZone analitycy SOC mogą przeszukiwać zbiory danych TI pod kątem konkretnego badanego aktora zagrożenia. Znajdą tam liczne zagrożenia, które szczegółowo opisują TTP aktora, ostatnią aktywność, docelowe branże i wiele więcej. Rozpoczynając od listy zagrożeń takiej jak ta poniżej, analitycy SOC mogą podjąć decyzję o dokładniejszym zbadaniu zagrożeń lub skoncentrowaniu się na innej branży, kraju, ofierze lub nie tylko.

Strategiczne Ti

Strategiczna analiza zagrożeń oznacza dojrzałość na rynku analizy zagrożeń. Zwykle odnosi się do raportów o dużej wartości (plików PDF) z ręcznym lub półręcznym wprowadzaniem danych przez analityków danych.

Strategiczne raporty TI zazwyczaj zapewniają analizę wysokiego poziomu trendów w przestrzeni cyberbezpieczeństwa, ze szczególnym uwzględnieniem konkretnych branż, obszarów geograficznych lub wydarzeń.

Raporty te mają wiele zastosowań. Na przykład mogą pomóc kierownictwu w podejmowaniu decyzji dotyczących budżetu i alokacji celów. Są także przydatne dla organizacji, które muszą dostosować swoją strategię do krajobrazu zagrożeń, takich jak dostawcy usług MSSP, dostawcy usług bezpieczeństwa, kontrahenci z branży obronnej, stany lub wszelkie podmioty przetwarzające cenne dane osobowe.

Strategiczny TI można dalej podzielić na trzy typy raportów:

• Powtarzające się: analiza aktorów lub rodzin złośliwego oprogramowania na przestrzeni czasu. Zwykle skupiają się na określonych obszarach geograficznych lub branżach. Raporty cykliczne mogą podlegać jakiejś formie automatyzacji.
• Oparte na zdarzeniach: podobne do raportów cyklicznych, ale są wywoływane przez zdarzenia lub nowy rozwój na rynku. Przykładami czynników wyzwalających raporty są szeroko rozpowszechnione luki w zabezpieczeniach lub rozwój sytuacji geopolitycznej.
• Na zamówienie: raporty na żądanie, zwykle wymagane przez duże przedsiębiorstwa lub rządy. Wiążą się z najwyższymi kosztami i największą ilością pracy ręcznej.

Aby uzyskać wiarygodną analizę zagrożeń, dostawcy muszą najpierw stworzyć wiarygodny zbiór danych dotyczących reputacyjnego i operacyjnego TI, który zostanie wykorzystany do wygenerowania spostrzeżeń na temat strategicznego TI.

Skąd uzyskać informacje o zagrożeniach?

Informacje o zagrożeniach można dalej podzielić w zależności od tego, gdzie partnerzy mogą znaleźć potrzebne im informacje.

Bezpośrednio od renomowanych dostawców cyberbezpieczeństwa

Portal analizy zagrożeń jest zazwyczaj interfejsem do informacji o zagrożeniach udostępnianych przez jednego dostawcę. Rodzaj danych, które znajdziesz w portalu analizy zagrożeń, zależy od umowy licencyjnej z dostawcą i asortymentu jego produktów.

Użyjmy jako przykładu Bitdefendera, który obsługuje portal TI o nazwie IntelliZone. Jest to punkt kompleksowej obsługi analityków SOC, w którym można znaleźć przydatne informacje na temat zagrożeń, aktorów zagrażających lub TTP. Użytkownicy IntelliZone mogą na przykład przesłać skrót pliku, który badają i uzyskać szczegółowy opis zagrożenia, powiązanego aktora i inne istotne szczegóły.

Pozyskiwanie informacji technicznych bezpośrednio od dostawców cyberbezpieczeństwa ma kilka zalet. Otrzymujesz dostęp do największych i najbardziej szczegółowych zbiorów danych. Ponadto korzystając z narzędzi dostawcy, możesz być na bieżąco z zagrożeniami dzięki aktualizacjom w czasie rzeczywistym.

Platforma analizy zagrożeń (strona trzecia)

Platforma analizy zagrożeń zwykle ma dostęp do dużego rynku oferującego analizę zagrożeń od wielu dostawców. Dzięki temu analizy są pełne, szczegółowe i rzetelne.

Licencje na Platformę SOAR/SIEM

Firmy, które potrzebują analizy zagrożeń w celu optymalizacji swoich operacji związanych z bezpieczeństwem, mogą licencjonować kanały informacyjne i zapytania bezpośrednio z platformy SOAR (Security Orchestration, Automation and Response) lub SIEM (Security Infrastructure Event Management).

Większość SOAR może gromadzić i koordynować informacje o zagrożeniach ze źródeł wewnętrznych. Chociaż jest to cenna funkcja, nie wystarczy, aby w pełni wykorzystać możliwości TI w zapewnianiu bezpieczeństwa. Dlatego wielu dostawców SOAR i SIEM włącza do swojej oferty zewnętrzne źródła informacji TI.

Różne formaty analizy zagrożeń

Termin „Wywiad o zagrożeniach” obejmuje wiele różnych rzeczywistych danych, o różnych przypadkach użycia, a nawet różnych formatach dostarczania informacji.

Formaty danych i protokoły

Ponieważ TI to szybko rozwijająca się i stosunkowo nowa dziedzina, nie ma ustandaryzowanego sposobu przetwarzania informacji o zagrożeniach. Dostawcy stosują różne standardy w celu dostarczania kanałów i odpowiedzi API, ale najczęstsze z nich to STIX i MISP:

• STIX (Structured Threat Information Expression) to język i format serializacji używany do udostępniania informacji o zagrożeniach. Określa kilka standardów dotyczących strukturyzowania informacji o zagrożeniach, aktorach zagrażających lub TTP i jest przyjęty przez dużą część społeczności zajmującej się bezpieczeństwem cybernetycznym.
• MISP (Malware Information Sharing Platform) to projekt typu open source, który obsługuje platformę analizy zagrożeń i kilka standardów udostępniania TI. TheFormat MISP to prosta struktura JSON ułatwiająca udostępnianie CTI na platformie MISP lub gdziekolwiek indziej.

Pomimo niezaprzeczalnej przydatności tych formatów, mają one ograniczenia, a ich zastosowanie może różnić się w zależności od typu TI. Dlatego wielu dostawców zabezpieczeń opracowuje własny format danych w celu udostępniania informacji wywiadowczych.

Kanały TI a interfejsy API TI

Jak sama nazwa wskazuje, źródła danych TI odnoszą się do strumieni danych zawierających analizę zagrożeń, zwykle dostarczanych na potrzeby scenariuszy MRTI. Najczęściej kanały TI zawierają złośliwe adresy IP, serwery C&C, adresy URL lub domeny wykorzystywane przez osoby atakujące.

Kanały są bardzo przydatne do wzmacniania bezpieczeństwa. Można ich używać do rozszerzania NGFW, rozszerzania możliwości IPS lub innych zadań zwiększania bezpieczeństwa. Kanały TI charakteryzują się dużą przepustowością wiarygodnych danych.

Interfejsy API TI to usługi umożliwiające partnerom przeszukiwanie dużych zbiorów danych zawierających analizę zagrożeń w ramach dochodzenia, analizy incydentów lub innego rodzaju badań nad bezpieczeństwem. Chociaż mają aplikacje MRTI, interfejsy API TI są najczęściej używane przez ludzi, którzy chcą ręcznie analizować dane.

Wszystkie typy informacji o zagrożeniach (reputacyjne, operacyjne, strategiczne) mogą być dostarczane w formacie pliku danych lub interfejsu API.

Analiza zagrożeń TI – podsumowanie

Bitdefender to producent systemów antywirusowych, który zbiera informacje o zagrożeniach z milionów źródeł na całym świecie. Jeśli chcesz dowiedzieć się więcej o ofercie Bitdefender TI, to skontaktuj się z nami.

Natomiast, jeśli chcesz dowiedzieć się, w jaki sposób możesz podnieść poziom swojego cyberbezpieczeństwa za pomocą systemów antywirusowych z linii Bitdefender GravityZone, to odwiedź tę stronę.