Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Threat Intelligence вам поможет, если его правильно приготовить…

274 views

Published on

О стратегической и технической разведке угроз, потребителях threat intelligence, и источниках данных.

Published in: Technology
  • Login to see the comments

  • Be the first to like this

Threat Intelligence вам поможет, если его правильно приготовить…

  1. 1. Threat Intelligence вам поможет, если его правильно приготовить… Михаил Богатырёв Mikhail.Bogatyrev@AMonitoring.ru @am_rnd amonitoring.ru
  2. 2. ©2016, ОАО «ИнфоТеКС». Возникновение Threat Intelligence Конец прошлого века: • базы антивирусных сигнатур • правила для IDS • списки для спам-фильтров 2014–2015 гг.: поставщики уже используют термин «threat intelligence» и проводятся первые исследования рынка TI
  3. 3. ©2016, ОАО «ИнфоТеКС». Кто как понимает Threat Intelligence Военный термин: система по сбору и обработке разведывательных данных о силах и средствах противника Threat Intelligence (TI) — это совокупность процессов сбора, анализа и обмена подкреплённой доказательствами информацией об угрозах
  4. 4. ©2016, ОАО «ИнфоТеКС». Кто как понимает Threat Intelligence Признак Стратегическая TI Техническая TI Форма Отчёты, публикации, документы Правила, параметры настройки Создаётся Людьми Машинами или людьми совместно с машинами Потребляют Люди Машины и люди Сроки доставки до потребителя Дни — месяцы Секунды — часы Период полезности Долгий (год и более) Короткий (до появления нового эксплойта или уязвимости) Использование Планирование, принятие решений Обнаружение, приоритизация, реагирование
  5. 5. ©2016, ОАО «ИнфоТеКС». Потребители Threat Intelligence INSA Cyber Intelligence Task Force White Paper Уровень управления Операционный уровень Вдолгосрочной перспективе СТРАТЕГИ - Высшее руководство Высокоуровневая информация: • Финансовые аспекты, бюджетирование. • Тренды угроз и атак. • Киберриски. ТЕХНИКИ - Архитекторы и сисадмины Тактики, техники, процедуры (TTP): • Инструменты атакующих. • Цели атак. • Эксплойты и методы защиты. • Критичные обновления. Вкраткосрочнойисреднесрочной перспективе ТАКТИКИ - Руководители служб ИБ Детали конкретных готовящихся и проводимых атак: • Кто? • Зачем? • Где? • Когда? • Ресурсы и возможности атакующих. • Как общаются между собой? • Как маскируются? • Что произошло или может произойти? • Способы выявления. • Способы противодействия. ОПЕРАТОРЫ - персонал SOC, ГР, forensics Индикаторы атак и компрометации: • Образцы или хэш-суммы вредоносного кода. • YARA-rules. • Изменения ключей реестра. • Появление файлов, вредоносного кода. • Фиды вредоносных IP-адресов. • IP-адреса и домены Command & Control. • Почтовые индикаторы (темы, адреса, домены). • Векторы атак. • Изменения количества атакующих ресурсов. • Стадии развития атак. • Способы совершения преступлений.
  6. 6. ©2016, ОАО «ИнфоТеКС». Типы поставщиков Threat Intelligence Комплексная TI TI для пользователей стратегического уровня Фиды угроз Приоритизация Техническая аналитика Контекст Статистика Индикаторы угроз Сигнатуры Правила
  7. 7. ©2016, ОАО «ИнфоТеКС». Где применяются результаты TI Тип СЗИ Интеграция TI Межсетевые экраны / UTM 39.2% IPS/IDS 41.1% Управление уязвимостями 30.4% SIEM 31.6% Хостовые средства безопасности 34.8% Средства безопасности приложений 27.2% IAM / IDM 25.9% Расследование инцидентов 17.7% Аналитические платформы, отличные от SIEM (например, BI) 21.5% Big data 13.9% 2015 г. опрос SANS Institute
  8. 8. ©2016, ОАО «ИнфоТеКС». Источники данных для Threat Intelligence • Технологические собственные (структурированные, необработанные) • Открытые (человекочитаемые, реже машиночитаемые) • Фиды (машиночитаемые) • Закрытые • Социальные медиа (человекочитаемые) • Личные контакты • «Глубокий» и «Тёмный» веб (разные)
  9. 9. ©2016, ОАО «ИнфоТеКС». Технологические собственные Сетевые устройства Маршрутизаторы Свичи Прокси WiFi VPN СЗИ IPSIDS Хостовые IPSIDS DLP Межсетевые экраны Антивирусы IAM Сканеры уязвимостей Серверы Приложений БД Почта Веб «Песочницы» (Sandbox) Honeypots Логи СКУД Операционные системы Приложения Технологические собственные
  10. 10. ©2016, ОАО «ИнфоТеКС». Открытые White papers Статьи и публикации Новостные потоки Выставки и конференции Государственные и индустриальные сообщества обмена результатами TI Отчёты об исследованиях Сообщества обмена информацией для машин Вендоры ИТ и ИБ Фирмы, предоставляющие услуги TI Открытые
  11. 11. ©2016, ОАО «ИнфоТеКС». Фиды IP и DNS адреса вредоносных сайтов спам-серверов серверов С&C Узлы анонимных сетей p2p сетей SSL-сертификаты вредоносных сайтов Заголовки и метаданные писем (спам и фишинг) Образцы и хэши вредоносного кода Ключи реестра и файловые артефакты ОС Фиды уязвимостей (CVE, CWE и т.д) Базы эксплойтов Фиды
  12. 12. ©2016, ОАО «ИнфоТеКС». Форматы и языки описания • Open Threat Exchange (OTX) — 51% • Structured Threat Information Expression (STIX) — 46% • Collective Intelligence Framework (CIF) — 39% • Open Indicators of Compromise (OpenIOC) framework — 33% • Trusted Automated eXchange of Indicator Information (TAXII) — 33% • Traffic Light Protocol (TLP) — 28% • Cyber Observable eXpression (CybOX) — 26% • Incident Object Description and Exchange Format (IODEF) — 23% • Vocabulary for Event Recording and Incident Sharing (VERIS) — 20% SANS Institute
  13. 13. ©2016, ОАО «ИнфоТеКС». Закрытые Доверенная третья сторона B2B обмен Закрытые
  14. 14. ©2016, ОАО «ИнфоТеКС». Социальные медиа Соцсети Форумы Блоги Чаты IRC Paste сайты Репозитории кода Социальные медиа
  15. 15. ©2016, ОАО «ИнфоТеКС». Источники данных для Threat Intelligence • Личные контакты • «Глубокий» и «Тёмный» веб Искусство возможного …
  16. 16. ©2016, ОАО «ИнфоТеКС». Threat Intelligence от ПМ (ГК InfoTecs) Правила Продукты Услуги Фиды IDS VipNet IDS + TIAS Мониторинг IP и домены HIDS VipNet HIDS Реагирование ВПО FW/UTM VipNet HW Расследование IOC SIEM SIEM Создание ЦМ Уязвимости
  17. 17. ©2016, ОАО «ИнфоТеКС». Чем помогло TI 2015 г. IDC 329 компаний 1% 2% 5% 5% 6% 10% 13% 30% 30% 40% 42% 43% 55%Создание профиля нормального поведения Выявление внешних угроз использования ВПО Создание правил для антифрод систем Выявление нарушения политик ИБ Выявление скомпрометированных учётных записей Уменьшение количества ложных срабатываний Ускорение обнаружения и реагирования на атаки Видимость сетевой и АРМ активности Мониторинг и менеджмент соответствия стандартам Обнаружение инсайдеров Улучшение видимости угроз и атак Обнаружение новых или неизвестных угроз Понимание угроз и атак
  18. 18. Спасибо! Михаил Богатырёв Mikhail.Bogatyrev@AMonitoring.ru @am_rnd amonitoring.ru

×