Анализ угроз: как развитие отчетов об угрозах влияет на кибербезопасность

С развитием отчетности по данным, получаемым от инструментов управления информацией и событиями безопасности (SIEM) и смежных решений, любой отдел безопасности сегодня может столкнуться с информационной перегрузкой и параличом. Чтобы внести ясность в этот туман, возникла и продолжает развиваться практика анализа угроз. С ее помощью специалисты по безопасности могут находить наиболее актуальные проблемы среди инцидентов в ежедневных отчетах и устранять их.

Фокус перевел статью Ицика Котлера о том, как развитие отчетов об угрозах влияет на кибербезопасность.

Слишком чувствительные инструменты управления уязвимостями могут генерировать слишком много задач, в то время как плохо настроенные системы анализа угроз могут не отфильтровать сигнал от шума и предоставить слишком много данных, заставив команду заниматься повторяющимися малозначимыми задачами. Десятки точечных решений по безопасности требуют специальных знаний и мастерства, на достижение и поддержание которых уходит время. Добавьте сюда переход от концепции защиты периметра к подходам, основанным на соблюдении требований и рисках. Становится понятно, почему специалистам становится все труднее сосредоточиться именно на угрозах, представляющих наибольшую опасность.

Анализ киберугроз: прошлое, настоящее и будущее

Частные компании и правительства всегда анализировали угрозы, чтобы найти и отсортировать потенциальные риски. Основные вопросы анализа угроз остаются неизменными:

• Воздействие –какой ущерб может быть нанесен?
• Мотивация – кто стоит за угрозой?
• Вероятность – какими возможностями обладает субъект угрозы для осуществления атаки?
• Навыки – насколько серьезна угроза и какова ее цель?

Чем больше атак и данных, тем сложнее быстро ответить на эти вопросы. Хотя система кибербезопасности SIEM дает определенные преимущества, она также может усугубить эту проблему.

Действующие лица киберпреступности

С развитием ИТ-сетей и Интернета угрозы для предприятий и других организаций переместились в киберпространство. За последние пять лет источники киберугроз быстро эволюционировали.

Помимо обычных атак киберпреступности, которые стали привычным явлением за прошедшее десятилетие, государственные структуры также осуществляют кибератаки. В последнее время число таких субъектов увеличилось с появлением передовых групп киберугроз (APT), которые функционируют как орудия правительственных атак и промышленного шпионажа.

Эти APT становятся все более изощренными и демонстрируют поведение, схожее с поведением цифровых преступников, что усложняет классификацию и атрибуцию атак.

Планка кибератак постоянно снижается

Помимо разнообразных угроз, исходящих от национальных государств и организованных преступных группировок, Интернет захлестнул нескончаемый поток оппортунистических, автоматизированных или сценарных кибератак.

Рост числа таких случаев обусловлен развитым и процветающим подпольным рынком специализированных эксплойтов и программ-вымогателей, наборов инструментов для атак, кражи платежных данных, похищенных учетных данных и услуг фишинговых кампаний. Злоумышленники могут арендовать бот-сети из взломанных компьютеров или "умных" устройств (IoT) таких, как принтеры и камеры, для проведения атак.

Кибератаки и все их компоненты сегодня являются товаром, часто работающим по модели "предоставления услуги" соответствующих технических навыков и сопутствующих товаров для тех, кто готов платить. Планка для проведения атак даже на самые защищенные цели снизилась как никогда.

Диверсификация уязвимостей

По мере роста глобального пространства атак растет и количество и типы уязвимостей. В 2019 году было зафиксировано примерно в 20 раз больше предупреждений об общих уязвимостях и эксплойтах (CVE), чем в 1999 году. В ответ на это современные организации развертывают десятки элементов управления, которые требуют постоянной тонкой настройки, чтобы охватить весь спектр потенциальных угроз. Неудивительно, что отделы безопасности уже не могут залатать все возможные бреши или настроить все элементы управления вручную.

Возвращение старых угроз

Что еще хуже, старые угрозы вновь возвращаются в новом обличьи. Примером может служить известная вредоносная программа Emotet. Впервые обнаруженная в 2014 году, Emotet адаптировалась по мере того, как злоумышленники настраивали ее, чтобы избежать обнаружения и удаления. В 2018 и 2019 годах она стала самой активной вредоносной угрозой, а затем ушла в спящий режим. Последнее возрождение произошло в июле 2020 года, когда ботнеты Emotet начали рассылать электронные письма с вредоносными URL-адресами или вложениями.

Атаки Emotet обычно сопровождаются дополнительными атаками, такими как программа-вымогатель Ryuk, использующая преимущества Emotet для собственного распространения. В настоящее время Emotet используется множеством организованных киберпреступных групп, часто работающих совместно.

Эта новая норма подчеркивает причины постоянного роста числа инцидентов безопасности, которые приходится разбирать и устранять командам, а также их растущую потребность в более качественном и быстром определении самых актуальных угроз.

Новый вызов в анализе угроз

Обеспечение надежного и эффективного анализа киберугроз в постоянно меняющемся ландшафте требует навыков, автоматизации, правильных инструментов и определения приоритетов угроз. По мере того как появляется все больше методов и тактик анализа, данные обновляются гораздо быстрее. Ключевой задачей является масштабирование охвата без увеличения ресурсов, при сохранении контекста и точности.

На этом фоне компании перешли от рассмотрения кибербезопасности как страхового полиса к взгляду на нее как на критически важную части бизнеса. У отделов безопасности нет времени анализировать все отчеты и вникать во все изменения, необходимые для блокирования атак. Они должны больше полагаться на автоматизированные инструменты фильтрации и определения приоритетов, такие как симуляция взлома и атаки (BAS), чтобы понять, какие угрозы должны вызывать реальное беспокойство, а какие покрываются существующими средствами контроля.

Преимущества программы BAS при составлении отчетов по анализу угроз

Команда анализа угроз, использующая платформу BAS, может быстро получить больше полезных данных для улучшения отчетности по угрозам. На основе этих данных аналитики могут обоснованно допустить, что конкретный агент или APT, скорее всего, нацелен на их отрасль (и их компанию). Используя модель анализа угроз BAS, они могут получить больше информации о технике, тактике и процедурах (TTP). Сужение круга потенциальных сценариев атак позволит аналитикам загрузить симуляцию атаки, чтобы проверить защиту, обеспечиваемую текущей системой безопасности. Кроме того, аналитики могут увидеть, как будет развиваться атака, наметить потенциальные точки входа и оценить вероятность распространения. Они могут заметить переход от менее важных к более ценным целям, когда злоумышленник получит доступ к системам высокого уровня.

Тесты также могут показать группы моделей поведения, которые указывают на большую вероятность атаки, даже если количество явных признаков компрометации (IOC) ограничено.

Такие сигналы, как попытка "грубого фишинга", замаскированный вредоносный макрос во вложении или другие "следы из хлебных крошек", можно объединить для создания более полной системы анализа угроз. Отдельные предупреждения об этих специфических видах поведения вызывают усталость от предупреждений. Когда они связаны между собой с помощью интеллектуальных отчетов об анализе угроз, они создают более полную картину развивающейся атаки.

Такой подход, основанный на действиях, переводит анализ угроз в более проактивное русло, позволяя прогнозировать, куда движутся злоумышленники. Это может сократить время реагирования с нескольких дней или недель до нескольких часов или даже минут. Увидеть эти закономерности можно с помощью систем машинного обучения, которые могут самостоятельно выявлять новые модели вредоносной активности на основе прошлых случаев из файлов журналов и других артефактов. Эти системы сочетают поиск закономерностей по большему количеству переменных и обучаются в сетях, выходящих далеко за пределы одного объекта.

Сохранять спокойствие и продолжать развиваться

Атаки, безусловно, развиваются, но специалисты по безопасности каждый день предпринимают шаги по их пресечению. Мы с надеждой смотрим в будущее анализа угроз. За последнее десятилетие он развивается очень быстро и постоянно совершенствуется.

Сейчас специалисты могут проводить непрерывное моделирование атак на основе десятков тысяч известных уязвимостей и сценариев атак. Отраслевые структуры и инструменты, такие как база знаний ATT&CK компании MITRE, позволяют быстро распространять информацию и обновлять последние ТТП.

Системы машинного обучения могут автоматизировать большую часть действий по сопоставлению шаблонов первого уровня, чтобы позволить аналитикам угроз сосредоточиться на анализе, имеющем более высокую ценность. Анализ угроз вышел за рамки простых сигнатур и стал понимать составные и сложные модели поведения, которые указывают на вероятность атаки. Это означает, что анализ угроз, при правильном планировании и проведении, может эффективнее послужить аналитикам, управляющим уязвимостями и реагированием на инциденты, а также снизить нагрузку на отделы безопасности, помогая им сосредоточиться именно на эксплойтах, APT и атаках, представляющих наибольший риск для их бизнеса.

Об авторе

Ицик Котлер – технический директор и соучредитель компании SafeBreach.

Важно Выбирая между свободой и безопасностью: либеральный киберпорядок США