Если вы занимаетесь кибербезопасностью последние 5–10 лет, вы, вероятно, слышали термин «защита с учетом угроз» (threat-informed defense). Проще говоря, защита с учетом угроз фокусирует команды безопасности, технологии и бюджеты на тех угрозах, которые с наибольшей вероятностью могут повлиять на конкретную организацию, отрасль, географию и т. д.
Концепция в основном соответствует известной (и часто цитируемой) цитате Сунь Цзы: «Если вы знаете врага и знаете себя, вам не нужно бояться результата сотни сражений. Если вы знаете себя, но не знаете врага, за каждую одержанную победу вы также потерпите поражение. Если вы не знаете ни врага, ни себя, вы будете побеждены в каждом сражении».
Говоря языком кибербезопасности, группам безопасности необходимо отслеживать тактику, методы и процедуры ( tactics, techniques, and procedures (TTP)) своих противников, понимать, как эти TTP могут быть предотвращены или обнаружены их средствами безопасности, а затем вносить необходимые коррективы для устранения пробелов в своей защите.
Концепция защиты с учетом угроз часто ассоциируется с фреймворком MITRE ATT&CK, общедоступной, постоянно обновляемой базой знаний для моделирования, обнаружения, предотвращения и борьбы с киберугрозами на основе известных враждебных действий киберпреступников. Используя навигатор MITRE ATT&CK (или аналогичные инструменты), группы безопасности получают визуальное представление о TTP противника, которые они затем могут сопоставить со своими средствами контроля безопасности и оборонительными стратегиями.
Эти несколько абзацев дают базовое понимание защиты с учетом информации об угрозах — что это такое, как она работает и почему она может быть полезной. Большинство специалистов по безопасности понимают это сразу, но хотя концепция может быть простой для понимания, практическое применение защиты с учетом информации об угрозах остается труднодостижимой целью для некоторых организаций. Увы, многие программы разведки киберугроз остаются бессистемными и тактическими, не давая организациям продвигаться вперед с дополнительными уровнями защиты с учетом информации об угрозах.
Что можно сделать? Недавно я общался с несколькими организациями о том, как они подходят к защите, основанной на информации об угрозах. Да, было много обходных путей и извлеченных уроков на этом пути, но я обнаружил, что успешные команды безопасности делали следующее:
Оглавление
Создание и постоянное совершенствование жизненного цикла информации об угрозах
Жизненный цикл анализа угроз обычно описывается шестью этапами:
- Руководство и планирование.
- Сбор данных.
- Обработка.
- Анализ и производство.
- Распространение разведывательной информации.
- Обратная связь.
Чтобы сделать это правильно, вам необходимо определить угрозы и субъекты угроз, которых вы хотите отслеживать, собирать, обрабатывать и анализировать соответствующие разведданные, создавать и распространять отчеты среди соответствующих заинтересованных сторон, а затем собирать их отзывы, чтобы убедиться, что они получают то, что им нужно.
Незрелые организации испытывают трудности на одном или нескольких этапах — они не получают информации от бизнеса, оказываются заваленными большим объемом разведданных об угрозах, выпускают чрезмерно технические отчеты и т. д. Это сложно, но для создания эффективной защиты с учетом угроз критически важно заставить этот базовый жизненный цикл работать.
Использование информации об угрозах для управления рисками
Всем известно выражение: «унция профилактики стоит фунта лечения». Защита, основанная на информации об угрозах, поддерживает этот афоризм, объединяя разведку угроз и управление воздействием. Если предположить, что организации проводят сканирование уязвимостей в системах, приложениях, поверхностях атак, облачной инфраструктуре и т. д., они составят списки из десятков тысяч уязвимостей.
Даже крупные, хорошо обеспеченные ресурсами предприятия не могут своевременно устранить такой объем уязвимостей, поэтому ведущие компании полагаются на данные разведки об угрозах, которые помогают им устранять уязвимости, наиболее вероятно эксплуатируемые в настоящее время или в ближайшем будущем.
Некоторые инструменты управления уязвимостями от таких поставщиков, как Cisco (Kenna), Nucleus Security и ServiceNow, предоставляют такую функциональность, но проактивные организации идут дальше и наращивают экспертные знания для сравнения уязвимостей с развивающимися угрозами во всей ИТ-инфраструктуре.
Совершенствование техники обнаружения
Как уже упоминалось, защита с учетом угроз включает в себя понимание TTP противника, сравнение этих TTP с существующими защитными мерами, выявление пробелов и последующее внедрение компенсирующих контролей. Эти последние шаги эквивалентны обзору существующих правил обнаружения, написанию новых и последующему тестированию их всех, чтобы убедиться, что они обнаруживают то, что должны.
Вместо того чтобы полагаться на поставщиков средств безопасности при разработке корректных правил обнаружения, ведущие организации инвестируют в разработку средств обнаружения с использованием различных наборов инструментов, таких как XDR, средства безопасности электронной почты/веб-сайтов, SIEM, средства безопасности облака и т. д.
CISO, с которыми я общался, признают, что это может быть сложно и дорого реализовать. Открытые стандарты, такие как Sigma и YARA, могут помочь, но многим фирмам нужна дополнительная помощь от поставщиков услуг или специальные инструменты от таких поставщиков, как Anvilogic, CardinalOps, Detecteam или SOC Prime.
Продвижение охоты за угрозами
Как только жизненный цикл разведки угроз заработает, он предоставит интеллект, который может быть использован в качестве основы для автоматизированного и ручного поиска угроз. Некоторые компании используют здесь скрипты, в то время как другие создают рабочие книги для инструментов SOAR, но основная концепция заключается в автоматизации обнаружения индикаторов компрометации (IoC), которые были замечены в сети (инструментами SIEM, EDR/XDR/NDR, брандмауэрами, облачными журналами и т. д.).
Этот процесс, вероятно, запустит более продвинутый поиск угроз с использованием других методологий, таких как модель «ромба» , «пирамида боли» и т. д., где аналитики L3 SOC ищут вредоносные и часто сложные шаблоны и модели поведения.
Проведение непрерывного тестирования
Как гласит еще одна поговорка, «тестирование ведет к неудачам, а неудачи ведут к пониманию». Для защиты с учетом угроз ведущие организации прибегают к постоянному сотрудничеству и тестированию на проникновение с привлечением внутренних экспертов, контрактам с поставщиками услуг, автоматизированным инструментам или даже созданию киберполигона с такими фирмами, как Cyberbit.
Цель? Найти места, где они считают, что защищены, но на самом деле это не так. Непрерывное тестирование устраняет разрыв Сунь-Цзы между знанием противника и знанием себя. Поскольку непрерывное тестирование получает признание и импульс, многие фирмы используют этот процесс для создания фиолетовых команд для дальнейшего сопоставления угроз с защитными мерами.
Создание защиты с учетом угроз — непростая задача, и многие из фирм, с которыми я общался, спотыкались на этом пути, но каждая из них твердо заявляла, что это того стоило. Специалисты по безопасности отмечали повышение эффективности мер безопасности и операций, в то время как руководители служб информационной безопасности говорили, что защита с учетом угроз имеет смысл для руководителей бизнеса и советов директоров корпораций, поскольку обеспечивает гораздо более сфокусированное представление об области покрытия кибербезопасности и необходимых инвестициях. Это само по себе делало их стратегии защиты с учетом угроз полезными.
Джон Олтсик
Концептуальная статья. Жалко многие организации и службы ИБ еще не скоро на практике достигнут таких высот, как threat-informed defense.
Вот таких статей из разряда best practice надо побольше. Они формируют определенное стратегическое видение кибербезопасности, при этом опираясь на актуальные отраслевые стандарты и продукты.