Розділи
Матеріали

Аналіз загроз: як розвиток звітів про загрози впливає на кібербезпеку

Ольга Шевченко
Забезпечення ефективного аналізу кіберзагроз у постійно змінюваному ландшафті потребує навичок та автоматизації

З кожним роком вартість кібератаки знижується, а їх можливості розширюються шляхом численних експлойтів та програм-вимагачів. Однак разом з ними покращується і захист, надалі можна залучати машинне навчання для швидшої реакції на погрози.

З розвитком звітності за даними, що отримуються від інструментів управління інформацією та подіями безпеки (SIEM) та суміжних рішень, будь-який відділ безпеки сьогодні може зіткнутися з інформаційним навантаженням та паралічем. Щоб внести ясність у цей туман, виникла та продовжує розвиватися практика аналізу загроз. З її допомогою фахівці з безпеки можуть знаходити найактуальніші проблеми серед інцидентів у щоденних звітах та усувати їх.

Фокус переклав статтю Іцика Котлера про те, як розвиток звітів про загрози впливає на кібербезпеку.

Занадто чутливі інструменти управління вразливістю можуть генерувати занадто багато завдань, у той час, як погано налаштовані системи аналізу загроз можуть не відфільтрувати сигнал від шуму і надати занадто багато даних, змусивши команду займатися малозначущими завданнями, що повторюються. Десятки точкових рішень з безпеки вимагають спеціальних знань та майстерності, на досягнення та підтримку яких витрачається час. Додайте сюди перехід від концепції захисту периметра до підходів, що ґрунтуються на дотриманні вимог та ризиків. Стає зрозуміло, чому фахівцям стає все важче зосередитися саме на загрозах, які становлять найбільшу небезпеку.

Аналіз кіберзагроз: минуле, сьогодення та майбутнє

Приватні компанії та уряди завжди аналізували погрози, щоб знайти та відсортувати потенційні ризики. Основні питання аналізу загроз залишаються незмінними:

  • Вплив – які збитки можуть бути завдані?
  • Мотивація хто стоїть за загрозою?
  • Ймовірність – які можливості має суб'єкт загрози для здійснення атаки?
  • Навички – наскільки серйозна загроза та яка її мета?

Чим більше атак та даних, тим складніше швидко відповісти на ці запитання. Хоча система кібербезпеки SIEM дає певні переваги, вона також може погіршити цю проблему.

Чинні особи кіберзлочинності

З розвитком ІТ-мереж та Інтернету загрози для підприємств та інших організацій перемістилися в кіберпростір. Останні п'ять років джерела кіберзагроз швидко еволюціонували.

Крім звичайних атак кіберзлочинності, які стали звичним явищем за десятиліття, державні структури також здійснюють кібератаки. Останнім часом кількість таких суб'єктів збільшилася з появою передових груп кіберзагроз (APT), які функціонують як знаряддя урядових атак та промислового шпигунства.

Ці APT стають все більш витонченими і демонструють поведінку, схожу на поведінку цифрових злочинців, що ускладнює класифікацію та атрибуцію атак.

Планка кібератак постійно знижується

Крім різноманітних загроз, що походять від національних держав та організованих злочинних угруповань, Інтернет захлеснув нескінченний потік опортуністичних, автоматизованих або сценарних кібератак.

Планка для проведення атак навіть на найзахищеніші цілі знизилася як ніколи

Зростання числа таких випадків зумовлене розвиненим та квітучим підпільним ринком спеціалізованих експлойтів та програм-вимагачів, наборів інструментів для атак, крадіжки платіжних даних, викрадених облікових даних та послуг фішингових кампаній. Зловмисники можуть орендувати бот-мережі зі зламаних комп'ютерів або "розумних" пристроїв (IoT), таких як принтери та камери, для проведення атак.

Кібератаки та всі їх компоненти сьогодні є товаром, що часто працює за моделлю "надання послуги" відповідних технічних навичок та супутніх товарів для тих, хто готовий платити. Планка для проведення атак навіть на найзахищеніші цілі знизилася як ніколи.

Диверсифікація вразливостей

У міру зростання глобального простору атак зростає і кількість та типи вразливостей. У 2019 році було зафіксовано приблизно у 20 разів більше попереджень про загальні вразливості та експлойти (CVE), ніж у 1999 році. У відповідь сучасні організації розгортають десятки елементів управління, які вимагають постійної тонкої настройки, щоб охопити весь спектр потенційних загроз. Не дивно, що відділи безпеки вже не можуть залатати всі можливі проломи або налаштувати всі елементи керування вручну.

Повернення старих погроз

Що ще гірше, старі погрози знову повертаються у новому вигляді. Прикладом може бути відома шкідлива програма Emotet. Вперше виявлена у 2014 році, Emotet адаптувалася у міру того, як зловмисники налаштовували її, щоб уникнути виявлення та видалення. У 2018 та 2019 роках вона стала найактивнішою шкідливою загрозою, а потім пішла у сплячий режим. Останнє відродження відбулося в липні 2020 року, коли ботнети Emotet почали надсилати електронні листи зі шкідливими URL-адресами або вкладеннями.

Останнє відродження відбулося в липні 2020 року, коли ботнети Emotet почали надсилати електронні листи зі шкідливими URL-адресами або вкладеннями

Атаки Emotet зазвичай супроводжуються додатковими атаками, такими як програма-вимагач Ryuk, що використовує переваги Emotet для власного поширення. Нині Emotet використовується безліччю організованих кіберзлочинних груп, які часто працюють спільно.

Ця нова норма підкреслює причини постійного зростання кількості інцидентів безпеки, які доводиться розбирати та усувати командам, а також їхню наростаючу потребу у якіснішому та найшвидшому визначенні найактуальніших загроз.

Новий виклик в аналізі загроз

Забезпечення надійного та ефективного аналізу кіберзагроз у постійно змінюваному ландшафті потребує навичок, автоматизації, правильних інструментів та визначення пріоритетів загроз. У міру того, як з'являється все більше методів і тактик аналізу, дані оновлюються набагато швидше. Ключовим завданням є масштабування охоплення без збільшення ресурсів, збереження контексту і точності.

На цьому тлі компанії перейшли від розгляду кібербезпеки як страхового поліса до погляду на неї як на критично важливу частину бізнесу. У відділів безпеки немає часу аналізувати всі звіти та заглиблюватися у всі зміни, необхідні для блокування атак. Вони повинні більше покладатися на автоматизовані інструменти фільтрації та визначення пріоритетів, такі як симуляція злому та атаки (BAS), щоб зрозуміти, які загрози мають викликати реальне занепокоєння, а які покриваються наявними засобами контролю.

Переваги програми BAS при складанні звітів щодо аналізу загроз

Команда аналізу загроз, що використовує платформу BAS, може швидко отримати більше корисних даних для покращення звітності щодо загроз. На основі цих даних аналітики можуть обґрунтовано припустити, що конкретний агент або APT, швидше за все, націлений на їхню галузь (та їхню компанію). Використовуючи модель аналізу загроз BAS, вони можуть отримати більше інформації про техніку, тактику та процедури (TTP). Звуження кола потенційних сценаріїв атак дозволить аналітикам завантажити симуляцію атаки, щоб перевірити захист, який забезпечує поточна система безпеки. Крім того, аналітики можуть побачити, як розвиватиметься атака, намітити потенційні точки входу та оцінити ймовірність поширення. Вони можуть помітити перехід від менш важливих до цінніших цілей, коли зловмисник отримає доступ до систем високого рівня.

Тести також можуть показати групи моделей поведінки, які вказують на більшу ймовірність атаки, навіть якщо кількість явних ознак компрометації (IOC) обмежена.

Команда аналізу загроз, що використовує платформу BAS, може швидко отримати більше корисних даних для покращення звітності щодо загроз

Такі сигнали, як спроба "грубого фішингу", замаскований шкідливий макрос у вкладенні або інші "сліди з хлібних крихт" можна об'єднати для створення повнішої системи аналізу загроз. Окремі попередження про ці специфічні види поведінки викликають втому від попереджень. Коли вони пов'язані між собою за допомогою інтелектуальних звітів про аналіз загроз, вони створюють повнішу картину атаки, що розвивається.

Такий підхід, заснований на діях, переводить аналіз загроз у проактивніше русло, дозволяючи прогнозувати, куди рухаються зловмисники. Це може скоротити час реагування з кількох днів чи тижнів до кількох годин, чи навіть хвилин. Побачити ці закономірності можна за допомогою систем машинного навчання, які можуть самостійно виявляти нові моделі шкідливої активності на основі попередніх випадків із файлів журналів та інших артефактів. Ці системи поєднують пошук закономірностей за більшою кількістю змінних і навчаються у мережах, що виходять далеко за межі одного об'єкта.

Зберігати спокій та продовжувати розвиватися

Атаки, безумовно, розвиваються, але фахівці з безпеки щодня роблять кроки щодо їх припинення. Ми з надією дивимось у майбутнє аналізу загроз. За останнє десятиліття він розвивається дуже швидко та постійно вдосконалюється.

Наразі фахівці можуть проводити безперервне моделювання атак на основі десятків тисяч відомих уразливостей та сценаріїв атак. Галузеві структури та інструменти, такі як база знань ATT&CK компанії MITRE, дозволяють швидко розповсюджувати інформацію та оновлювати останні ТТП.

Системи машинного навчання можуть автоматизувати більшу частину дій зі зіставлення шаблонів першого рівня, щоб дозволити аналітикам загроз зосередитися на аналізі, що має вищу цінність. Аналіз загроз вийшов за межі простих сигнатур і став розуміти складові та складні моделі поведінки, які вказують на ймовірність атаки. Це означає, що аналіз загроз, при правильному плануванні та проведенні, може ефективніше послужити аналітикам, керівником уразливістю та реагуванням на інциденти, а також знизити навантаження на відділи безпеки, допомагаючи їм зосередитися саме на експлойтах, APT та атаках, що становлять найбільший ризик для їхнього бізнесу. .

Про автора

Іцик Котлер – технічний директор та співзасновник компанії SafeBreach.