Процесс анализа киберугроз — это процесс преобразования необработанных данных в готовую программу для принятия решений и действий. В своей работе вы увидите много различных версий процесса анализа киберугроз, но цель у них одна и та же — помочь команде кибербезопасности разработать и реализовать эффективную программу анализа киберугроз.
Анализ киберугроз представляет собой сложную задачу, поскольку киберугрозы постоянно развиваются, что требует от компаний быстрой адаптации и принятия решительных мер. Процесс анализа киберугроз обеспечивает основу, позволяющую командам оптимизировать свои ресурсы и эффективно реагировать на современные киберугрозы. Этот процесс состоит из шести шагов, образующих цикл с обратной связью необходимой для постоянного улучшения:
1. Требования
Этап требований имеет решающее значение для процесса анализа киберугроз, поскольку он устанавливает план для конкретной операции процесса анализа киберугроз. На этом этапе планирования команда согласовывает цели и методологию своей программы анализа на основе потребностей вовлеченных заинтересованных сторон. Команда уделяет особое внимание:
- изучению нападавших и их мотивов
- определению поверхности атаки
- разработке конкретных действий, которые следует предпринять, чтобы укрепить свою защиту от будущей атаки
2. Коллекция
Как только требования определены, команда приступает к сбору информации, необходимой для достижения этих целей. В зависимости от целей команда обычно ищет журналы трафика, общедоступные источники данных, соответствующие форумы, социальные сети и экспертов отрасли или предметной области.
3. Обработка
После сбора необработанных данных их необходимо преобразовать в формат, пригодный для анализа. В большинстве случаев это влечет за собой организацию данных в электронные таблицы, расшифровку файлов, перевод информации из иностранных источников и оценку данных на предмет актуальности и надежности.
4. Анализ
После обработки набора данных команда должна провести тщательный анализ, чтобы найти ответы на вопросы, поставленные на этапе требований. На этапе анализа команда также работает над преобразованием набора данных в элементы действий и ценные рекомендации для заинтересованных сторон.
5. Распространение
Этап распространения требует, чтобы группа анализа киберугроз преобразовала свой анализ в удобоваримую форму и представила результаты заинтересованным сторонам. То, как будет представлен анализ, зависит от аудитории. В большинстве случаев рекомендации должны быть представлены кратко, без запутанного технического жаргона, либо в виде одностраничного отчета, либо в виде короткого набора слайдов.
6. Обратная связь
Заключительный этап процесса анализа киберугроз включает в себя получение отзывов о предоставленном отчете, чтобы определить, нужно ли вносить коррективы в будущие операции анализа киберугроз. У заинтересованных сторон могут быть изменения в своих приоритетах, частоте, с которой они хотят получать отчеты, или в том, как данные должны распространяться или представляться.
Преимущества использования процесса анализа киберугроз
Ниже приведен список преимуществ от использования:
- Интеграция каналов процесса анализа киберугроз с другими продуктами безопасности
- Блокировка "плохих" IP-адресов, URL-адресов, доменов, файлов и т. д.
- Использование процесса анализа киберугроз для увеличения оповещений
- Связывание оповещения с инцидентом
- Настройка недавно развернутых средств контроля безопасности
- Поиск информации о том, почему, когда и как произошел инцидент, а также что это за инцидент и кто производил атаку
- Выявление первопричины, чтобы определить масштаб инцидента
- Возможность поиска доказательств вторжений шире и глубже
- Просмотр отчетов о субъектах угроз, чтобы лучше обнаруживать их
- Оценка общего уровня угроз для организации
- Разработка дорожной карты безопасности
3 типа процесса анализа киберугроз
В предыдущем разделе мы обсуждали, как анализ киберугроз может предоставить нам данные о существующих или потенциальных угрозах. Информация может быть простой, например имя вредоносного домена, или сложной, например подробный профиль известного злоумышленника.
Имейте в виду, что существует кривая зрелости, когда речь идет о типах процесса анализа, представленных тремя уровнями, перечисленными ниже. С каждым уровнем контекст и анализ становятся более глубокими и сложными, обслуживают разные аудитории и могут стать более дорогостоящими:
- Тактическая разведка
- Оперативная разведка
- Стратегическая разведка
Тактическая разведка угроз
Проблема: организации часто сосредотачиваются только на единичных угрозах.
Цель: получить более широкое представление об угрозах для борьбы с различными кибератаками.
Тактическая разведка ориентирована на ближайшее будущее, носит технический характер и выявляет простые индикаторы компрометации (IOC) . IOC — это такие вещи, как "плохие" IP-адреса, URL-адреса, хэши файлов и известные вредоносные доменные имена. Он может быть машиночитаемым, что означает, что продукты безопасности могут получать его через каналы или интеграцию API.
Тактическая разведка — это самый простой тип разведки, который почти всегда автоматизирован. В результате его можно найти с помощью открытого исходного кода и бесплатных каналов данных, но обычно он имеет очень короткий срок службы, поскольку IOC, такие как вредоносные IP-адреса или доменные имена, могут устареть за несколько дней или даже часов.
Важно отметить, что простая подписка на информационные потоки может привести к большому количеству данных, но предлагает мало средств для текущего и стратегического анализа актуальных для вас угроз. Кроме того, ложные срабатывания могут возникать, когда источник не является своевременным или не имеет высокой точности.
Вопросы, которые стоят перед организацией:
- У нас есть канал IOC?
- Являются ли IOC своевременными и актуальными?
- Автоматизирован ли анализ вредоносных программ?
Оперативная разведка угроз
Проблема: субъекты угроз предпочитают методы, которые являются эффективными, гибкими и с низким уровнем риска.
Цель: участвовать в отслеживании кампании и профилировании участников, чтобы лучше понять противников, стоящих за атаками.
Точно так же, как игроки в покер изучают поведение друг друга, чтобы предсказать следующий ход своих противников, специалисты по кибербезопасности изучают своих противников.
За каждой атакой стоят вопросы «кто», «почему» и «как». «Кто» называется атрибуцией. «Почему» называется мотивацией или намерением. «Как» состоит из тактик, методов и процедур (TTP), которые использует злоумышленник. Тактика, методы и процедуры (TTP) — это ключевое понятие в области кибербезопасности и анализа киберугроз. Цель состоит в том, чтобы определить модели поведения, которые можно использовать для защиты от определенных стратегий и векторов угроз, используемых злоумышленниками.
Вместе эти факторы обеспечивают контекст, а контекст дает представление о том, как противники планируют, проводят и поддерживают кампании и крупные операции. Это понимание является оперативной разведкой.
Сами по себе машины не могут создать оперативную информацию об угрозах. Человеческий анализ необходим для преобразования данных в формат, удобный для клиентов. Хотя оперативная разведка требует больше ресурсов, чем тактическая разведка, она имеет более длительный срок службы, поскольку злоумышленники не могут изменить свои TTP так же легко, как они могут изменить свои инструменты, такие как определенный тип вредоносного ПО или инфраструктура.
Оперативная аналитика наиболее полезна для тех специалистов по кибербезопасности, которые работают в SOC (центре управления безопасностью) и отвечают за выполнение повседневных операций. Области кибербезопасности, такие как управление уязвимостями, реагирование на инциденты и мониторинг угроз, являются крупнейшими потребителями оперативной аналитики, поскольку это помогает сделать их более опытными и более эффективными в выполнении возложенных на них функций.
Стратегическая разведка угроз
Проблема: плохие деловые и организационные решения принимаются, когда противник неправильно понят.
Цель: аналитика угроз должна информировать о бизнес-решениях и лежащих в их основе процессах.
Злоумышленники не действуют в вакууме — на самом деле почти всегда существуют факторы более высокого уровня, окружающие выполнение кибератак. Например, атаки национальных государств обычно связаны с геополитическими условиями, а геополитические условия связаны с риском. Кроме того, с принятием финансово мотивированной охоты на крупную дичь группы киберпреступников постоянно совершенствуют свои методы, и их нельзя игнорировать.
Стратегическая разведка показывает, как глобальные события, внешняя политика и другие долгосрочные местные и международные движения могут потенциально повлиять на кибербезопасность организации.
Стратегическая аналитика помогает лицам, принимающим решения, понять риски, связанные с киберугрозами для их организаций. При таком понимании они могут делать инвестиции в кибербезопасность, которые эффективно защищают их организации и соответствуют ее стратегическим приоритетам.
Стратегическая разведка, как правило, самая сложная форма анализа. Стратегическая разведка требует сбора и анализа человеческих данных, что требует глубокого понимания как кибербезопасности, так и нюансов геополитической и экономической ситуации в мире. Стратегическая разведка обычно представлена в виде отчетов.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.