Threat Intelligence - IB-Bank · “The set of data collected, assessed and applied regarding...

Post on 04-Aug-2020

1 views 0 download

Preview:

Click to see full reader
Report this document
SHARE

transcript

Threat Intelligence

Директор Центра экспертизы

Автоматизация работы с данными : что, зачем и как?

ВСЕСЛАВ СОЛЕНИК

vsolenik@rvision.pro

Что такое Threat Intelligence?

“The set of data collected, assessed and applied regarding security threats, threat actors, exploits, malware, vulnerabilities and compromise indicators.”

SANS Institute

“Cyber threat intelligence is knowledge about adversaries and their motivations, intentions, and methods that is collected, analysed, and disseminated in ways that help security and business staff at all levels protect the critical assets of the enterprise.”

Definitive Guide to Cyber Threat Intelligence

“Threat intelligence is evidence based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard.”

Gartner, McMillan (2013)from Tactics, Techniques and Procedures (TTPs) to Augment Cyber Threat Intelligence (CTI): A Comprehensive Study

Классика: академический подход

Что такое Threat Intelligence?

Индикаторы компрометации

Контекст(ы)

Взаимосвязи и обогащение

+

+

Что такое Threat Intelligence?

Знания

Актуальные Своевременные Непротиворечивые Достоверные

Которые можно проанализировать и применить человеком и машиной

Threat Intelligence: пирамида «мудрости»

Уровни Threat Intelligence

Технический• Индикаторы• Блокировка

Тактический• Анализ и понимание нарушителей и источников угроз• Поведенческое предвидение атак на«мою» организацию

Стратегический• Отчеты менеджменту• Предвидение новых задач и

новых нужд (люди, процессы, инструменты)

Связь с другими процессами

Внутренние источники Внешние технические источники Антропогенные источники

Threat Intelligence

Incident response

Security operations

Vulnerability management

Risk analysis

Fraudmanagement

IT Operations

Cyber Intelligence и формула SOC

Data/Log Management

Corellation

BI (Metrics)

Reporting

Концепции принятия решений

Качество TI прямо влияет на скорость и качество принятия решений по ИБ: чем лучше выше будет качество TI, тем ниже время реагирования и разрешения инцидента в общем случае

Киберразведка похожа на обычную разведку, как с точки зрения данных, так и с точки зрения процесса: это сбор большого количества источников, ранжирование и оценка релевантности – все ради принятия ключевого решения

\

Это осведомленность специалистов по ИБ, что позволяет пониматьландшафт угроз, планировать, внедрять и реализовывать адекватные защитные меры и меры по реагированию на инциденты

\

ИТАК…Threat Intelligence

\

TI должен обеспечивать другие процессы ИБЦенность и эффективность TI напрямую измеряется через эффективность использующих его процессов

\

Внутренний TI – признак зрелости SOCЕсли организация не производит индикаторы, значит выявление реагирование на инциденты не работают должным образом

\

Почему TI мало кто пользуется?

cложно оценивать пользу от применения TI

cложно применятьcложно интерпретироватьcложно получать

Сбор и обработка

Сбор и обработка

Сбор и обработка

{"md5": "8D2A50C4ABE53C48BB85F1D708C4052D","sha1": "28E853985367C7FA7B9163DAEE01E63BA47B7421","sha256": "B7F638B47D5C44E69C2E63A0AB9F89357784B0658BE929D8E1E0216C09FE01F4","link": "https://metadefender.opswat.com/results#!/file/bzE3MDIyMUgxWUZ6MXk5WWxIeTRna3ptVWtuNw/regular?utm_medium=json&utm_source=www&utm_campaign=threat_feeds","total_avs": 15,"total_detected_avs": 1,"threat_name": "Trojan/Heur!vwtunw","file_type_category": "E","file_type_extension": "exe","published": "2019-05-17"

}

Сбор и обработка

{"indicator": "5bdf483279a4a816ed4f8a235e799d5068d14f64","description": "","title": "","content": "","type": "FileHash-SHA1","id": 1055

}

Сбор и обработка

<cybox:Observable id="ibm:Observable-36987423ad99834bf10eb2abfe88ee82"><cybox:Title>XFE Observable for 1E3A57CFF7CBA8732364C26F4BBDCBE2</cybox:Title><cybox:Description>XFE Observable for 1E3A57CFF7CBA8732364C26F4BBDCBE2</cybox:Description><cybox:Object id="ibm:Object-54e4b1bf-9bea-6fba-7d96-0f45f4f53ff1"><cybox:Properties xsi:type="FileObj:FileObjectType"><FileObj:Hashes><cyboxCommon:Hash><cyboxCommon:Type xsi:type="cyboxVocabs:HashNameVocab-1.0">MD5</cyboxCommon:Type><cyboxCommon:Simple_Hash_Value condition="Equals">1E3A57CFF7CBA8732364C26F4BBDCBE2</cyboxCommon:Simple_Hash_Value></cyboxCommon:Hash></FileObj:Hashes></cybox:Properties></cybox:Object></cybox:Observable>

Облегчает выявление скрытых угроз, обеспечивая автоматический мониторинг релевантных индикаторов в SIEM, syslog и DNS-запросах

Ускоряет процессы ИБ,за счет быстрого поиска информации в доступных источниках и автоматизации ключевых сценариев

Позволяет вовремя блокировать угрозы и минимизировать возможный ущерб, благодаря автоматической выгрузке обработанных данных напрямую на СЗИ

\

Упрощает работу с данными TI,осуществляя непрерывный сбор, нормализацию и хранение данных из различных источников в единой базе

\

Платформа Threat IntelligenceА

вто

мат

иза

ци

я

Подход R-Vision

Сбориз разных источников

Обнаружениеиндикаторов компрометациивнутри инфраструктуры

Распространениена средства защиты для мониторинга и блокировки

Автоматизациясценариев использования индикаторов

Обработканормализация, агрегация

Обогащениеесли данных недостаточно

Сбор индикаторов и нормализация

IBM X-Force Exchange

Group-IB Threat Intelligence

Alien Vault OTX

Обогащение

Бывает, что контекста нет

Или его не хватает для анализа и принятия решения

VirusTotal Hybrid Analysis OPSWAT Metadefender Shodan

RiskIQ MaxMind Sypex

ipgeolocation.io ThreatMiner ThreatCrowd

TotalHash Whois

Обнаружение

Затронута ли моя инфраструктура сейчас?

Была ли затронута моя инфраструктура в прошлом?

Ретроспективный и проактивный поиск релевантных индикаторов в инфраструктуре

• В DNS-запросах • В потоке syslog-сообщений • В событиях SIEM: QRadar, ArcSight

Распространение

Отправка индикаторов компрометации на средства защитыдля мониторинга или блокировки

Общая схема

Поставщики данных Threat Intelligence

R-VisionThreat Intelligence Platform

СенсорSIEM

Внешние сервисы

Кросс-проверка

Обнаружение индикаторов

Обогащение

СенсорSyslog

DNS-сенсор

РаспространениеСЗИ

Определить, нужно ли это вам в принципе

Ответьте себе на вопрос: какие задачи вы

планируете решать с помощью TI?КАК НАЧАТЬ

РАБОТАТЬ С TI ?

Использовать платформу для сбора TI

Руками — сложно и неэффективно!

Регулярно оценивать качество источников TI

Фолсящие и бесполезные — выкидывать

Автоматизировать рутинные операции

Обогащение, мониторинг, блокирование

И даже если без платных фидов

180+ свободно-распространяемых фидов в подборке: https://github.com/like-a-freedom/Intelligent-harvester/blob/master/config/settings.yaml

ФинЦЕРТ — доступен всем

IBM X-Force Exchange

AT&T Cybersecurity (ex Alien Vault OTX)

https://github.com/like-a-freedom/Intelligent-harvester/blob/master/config/settings.yaml

Open source - тоже вариант

MISP — коммьюнити-решение от Люксембургского CERT

(при наличии разработчиков и компетенций в команде)

OpenCTI— молодой проект, подающий

надежды, заложены правильные идеи

https://www.misp-project.org/download/
https://www.opencti.io/en/

Точки развития

Унификация и стандартизацияНе изобретение и принятие новых стандартов и форматов, а повсеместное их принятие и использование, типовые решения под отрасли и классы задач

End-to-end автоматизация процессаЗакрытие полного цикла сценариев работы с threat intelligence

1

2Развитие культуры обмена подходами к TI и коммьюнити в целомЗрелых и выстроенных процессов на рынке очень мало – давайте создавать российское коммьюнити, обмениваться опытом и подходом3

4Появление большего количества локальных источников TIКаждая организация — это источник TI. Централизация знаний в отраслевых центрах обмена данными киберразведки: государственных и коммерческих

БЛАГОДАРЮЗА ВНИМАНИЕ!

Подписывайтесь на наш бесплатный дайджест ИБ: rvision.pro/blog

www.rvision.prosales@rvision.pro8 (800) 350 77 57

Top related

Indicators of Compromise per Cyber Threat Intelligence e ... of Compromise per la... · •Creazione di IoC •Arricchimento di informazioni di contesto ... Data Warehouse 41 1. Logs
Documents
Monthly Cyber Threat Briefing - HITRUST...Indicators of Compromise (IOCs) for an Advanced Cyber Threat • Collaborative effort between DHS/NCCIC/US-CERT and the FBI. • Based on
Documents
Redefining Security Clavis300 Quantum Cryptography Platform · A solution to this threat is Quantum Key Distribution (QKD), a technology that exploits a fundamental principle of quantum
Documents
Cortex XDR - nextgenfw.cz · picture of every threat and automatically revealing the root ... exploits, malware, ransomware, and fileless attacks. It in-cludes the broadest set of
Documents
SECURITY REIMAGINED FireEye Network Threat...The FireEye ® Network Threat Prevention Platform identifies and blocks zero-day Web exploits, droppers (binaries), and multi-protocol
Documents
BGP Security Techniques - APRICOT · both discuss BGP security techniques ... • Miscreants often patch exploitable code once they compromise ... Japan APRICOT 2005 8 Exploits Forwarding
Documents
iDefense Threat Indicators Service | Accenture...The iDefense Threat Indicators Service provides a list of vetted indicators of compromise, allowing customers to divert and block traffic
Documents
Office of Emergency Communications - CISA · NG9-1-1 Cybersecurity Risk Landscape Cybersecurity1 risks occur when a threat exploits a vulnerability, leading to an undesired event
Documents
Deep-dive: MikroTik exploits - a security analysis · secure against outside exploitation * ... •In effect, someone could compromise your PC when you connected to a router seeding
Documents
Threat Intelligence Report€¦ · Threat Intelligence Report IN THIS ISSUE • New supply chain threats • Ransomware exploits Oracle WebLogic • Hacktivism on the rise ... out
Documents
Course: Information Security Management in e- Governancegswan.gov.in/PDF/D1-2-Introduction-to-Information-Security-in-e-Governance-60min.pdf– Risk: A possibility that a threat exploits
Documents
FortiGate 100E Series Data Sheet - firewallshop.com · Secure SD-WAN Security § Protects against known exploits, malware and malicious websites using continuous threat intelligence
Documents
SECURITY OPERATING PLATFORM...• Threat Prevention – blocks known malware, exploits and command-and-control activity on the network. • URL Filtering – provides safe web access,
Documents
Title: Ransomware: How consumers and businesses value ...... · latest threat trends including vulnerabilities, exploits, active attacks, viruses and other malware, spam, phishing,
Documents
SolarWinds and Active Directory/M365 Compromise: Detecting … · 2021. 4. 15. · SolarWinds and Active Directory/M365 Compromise: Detecting Advanced Persistent Threat Activity from
Documents
Common Exploits
Documents
TCP Exploits
Documents
Using Honeyclients for Detection and Response Against New ... · Client-side exploits are a growing threat – Lots of client-side vulnerabilities Microsoft Internet Explorer has
Documents
Cyber Threat Preparednessmedia.govtech.net/.../6_1045_CyberThreatPreparedness_MALEY.pdf · Zero Day Exploits • May 19, 2006, Microsoft Word XP & 2003 buffer over-flow –discovered
Documents
Conducting Computer Security Assessments at …compromise (e.g. cyber-attack, manipulation or falsification) consistent with the threat assessment or design basis threat.” (Ref.
Documents

Copyright © 2018 DOCUMENTS