Какое главное слово в словосочетании «Threat Intelligence»?

Именно это — ключевая ошибка большинства проектов по TI, которые реализуются многими компаниями. Cisco достаточно давно занимается аудитом SOCов и одним из популярных слабых мест в них является именно процесс Threat Intelligence, который воспринимается как сбор фидов различных типов и интеграция их в имеющиеся платформы Threat Hunting, SIEM, Incident Response и др. Поэтому частый вопрос во время аудита, который ты слышишь: «А какие источники фидов вы можете посоветовать для нашего TI?» Задаешь встречный вопрос: «А какие решения вы принимаете на основе желаемого TI?», а в ответ тишина и непонимание. Иногда на тебя смотрят как на ребенка, которому надо объяснять вроде бы очевидные вещи. 

Кстати, по поводу фидов и их источников. На Уральском форуме в презентации Владимира Бенгина из Positive Technologies были интересные цифры (я переделал его слайд), в котором он сравнивал C&C-фиды двух российских поставщиков за один и тот же интервал времени. Интересный результат — пересечение на уровне долей процента и это для одного региона и одного типа фидов. Как тут можно что-то советовать, не зная, исходной задачи, а самое главное, предназначения TI?

Но вернемся к исходному вопросу. Смена акцента с принятия решения на работу с индикаторами или угрозами почти постоянно выливается в то, что мы видим во время аудита — непонимание того, как демонстрировать работу TI. Точнее демонстрация есть, но она однобока, так как касается только самого нижнего, технического уровня TI. На этом уровне мы можем понять, какие источники хороши, а какие нет, какие источники TI наиболее релевантны для организации, каково соотношение получаемых извне IoC с теми, которые применялись в компании за отчетный период, каково распределение полученных IoC по типам и соотношение их с типами угроз внутри организации и т.п. Но этого мало и это не все, что может дать TI внедрившей его компании.

Например, именно TI помогает формировать планы по приобретению / обновлению технологического стека. Например, число индикаторов, полученных от внешнего источника TI с учетом их полезности для организации показывает нужно ли дальше платить за текущие источники фидов или нет. А соотношение количества угроз, пришедших по каналам TI, и не обнаруженных за счет внутренних возможностей (фишинговые сайты, украденные логины/пароли, сайты- клоны и т.п.) показывает не пора ли обновить имеющиеся средства обнаружения той или иной вредоносной активности, раз они не справляются с поставленной задачей?

А такой показатель, как количество получаемых извне IoC применявшихся в компании? Может оказаться вообще, что индикаторы компрометации вы получаете, но не используете, потому что руки не доходят или не знаете, как автоматизировать процесс интеграции внешних источников с вашими средствами защиты/анализа. Первое говорит о том, что команда TI не очень эффективна, а второе — что возможно имеющиеся средства просто не могут работать с внешними IoCами — такое тоже бывает. О качестве текущих средств защиты и, как следствие, необходимости их обновления или замещения говорит нам и динамика снижения числа ложных срабатываний средств защиты после обогащения сигналов тревоги данными от службы TI, а также соотношение количества обнаруженных угроз средствами защиты организации с данными от службы TI и без них (например, голый IDS в сравнении с IDS + TI или IDS + TI + SIEM). Вот такое применение TI мы в рамках аудита SOCов видим очень и очень редко.

На уровень руководства компании TI тоже готовит свою отчетность, которая помогает руководству принимать соответствующие решения. Например, в одной компании, в которой мы проводили аудит одной из ключевых метрик, по которой топ-менеджмент оценивал эффективность всей ИБ, являлась стоимость учетной записи клиента компании в Darknet (компания была финансовая). Если вдуматься, то это действительно очень интересный показатель, так как его снижение показывает, что злоумышленникам становится проще получать доступ к святая святых финансовой организации. Если он растет, то усилия ИБ заставляют хакеров тратить на получение клиентских данных больше — времени, усилий, денег. И самое интересное, что именно служба TI дает данную метрику, так как именно она следит за Darknet и собирает оттуда структурированную или не очень информацию (ну или привлекает для этого внешние сервисы).