К 2014–2015 годам поставщики всего, что можно считать TI, решили, что надо продвигать свои продукты, используя модный термин «threat intelligence». Это очень чёткий тренд, его можно отследить по тематике выступлений на RSA Conference.
Провайдеры TI старательно «подогревали» интерес к своим продуктам, и у потенциальных потребителей сформировался спрос на исследования в этой области: кто лидер, что предлагают, какие услуги и решения существуют. Поэтому первые исследования рынка TI появились только в 2014–2015 годах.
В Таблице Потребители TI перечислены основные группы потребителей результатов TI, признаки интересующей их информации, конкретные данные, которые потребители хотели бы получать от TI.
Данная модель подразумевает обмен информацией между целевыми группами, который показан стрелками. Один и тот же набор результатов TI может быть интересен различным целевым группам.
Поставщики индикаторов угроз
Большое количество СЗИ-вендоров и мейнтейнеров open-source проектов поставляют на регулярной основе индикаторы, сигнатуры и правила обнаружения атак для межсетевых экранов, антивирусов, IPS/IDS, UTM. В некоторых случаях это сырые данные, в других — дополненные оценкой риска или репутации. Индикаторы угроз критичны для технического уровня TI, но часто не предоставляют контекста для реагирования на инцидент.
Поставщики фидов угроз
Технологические вендоры и ИБ-компании предоставляют свои фиды угроз. Они включают в себя проверенные и приоритизированные индикаторы угроз и технический анализ образцов вредоносного кода, информацию о ботнетах, DDoS атаках и других инструментах и видах вредоносной активности. Часто такие фиды дополняются статистикой и прогнозами: например, «ТОП-10 троянов» или «Список крупнейших ботнетов» и т.п.
К основным недостаткам таких фидов относят отсутствие отраслевой или региональной специфики и малую ценность для пользователей TI стратегического уровня.
Поставщики комплексной Threat Intelligence
Небольшое число компании предоставляют по-настоящему комплексную TI: проверенные, актуальные для потребителя индикаторы угроз, фиды угроз и TI стратегического уровня. Сюда обычно входят:
Проверенные и размеченные (тэгированные) индикаторы угроз.
Детальная техническая аналитика инструментов атак.
Глубокие исследования противника, дополненные информацией на «подпольных» сайтах и из частных источников.
Оценка ландшафта угроз для отрасли и отдельного предприятия.
Помощь в выработке требований к TI.
TI, специально подготовленная для пользователей разных уровней внутри одной организации.
SANS Institute попросил сотрудников ИБ-служб назвать системы, к которым они применяют результаты TI. Как видно из таблицы, область применения не ограничивается одними IDS
В эту группу вошли технологические источники, контролируемые самой компанией, которая заинтересована в получении результатов TI. Данные от этих источников могут передаваться в аналитическую систему либо напрямую в виде логов, либо через специализированные ПАК сбора данных.
В эту группу вошли источники TI, которые доступны всем. Их может использовать любая организация. Эти источники могут платными и бесплатными. Платность источника не означает, что он не является открытым, ведь доступ к ним не ограничивается как-то искусственно.
В этой группе источников — формализованные стандартизированные потоки машиночитаемых данных, правил и сигнатур.
Для описания угроз, атак и уязвимостей в понятном машинам виде существует множество форматов, синтаксисов и стандартов. Среди тех потребителей и поставщиков TI, кто использует стандартные форматы, наиболее популярны (согласно исследованию SANS Institute):
Основное отличие этой группы источников — к ним подключиться могут не все. Участников объединяет либо одна отрасль, либо принадлежность к одному холдингу, либо некая «тусовка» руководителей служб ИБ, в которой они обмениваются информацией.
При B2B обмене результатами TI, стороны действуют напрямую, известен источник и получатель информации. Если в обмене участвует доверенная третья сторона, то она, как правило, анонимизирует источник данных, проверяет и рассылает информацию всем участникам объединения.
Paste сайты — это площадки для быстрого размещения текста (например, Pastebin). Обычно для мониторинга таких сайтов используют их API вкупе с какими-либо анализаторами исходного кода, которые позволяют находить потенциально вредоносный код, который размещается на таких площадках.
Данные источники непостоянны, с ними связаны некоторые риски.