В чем проблема Threat Intelligence и как ее решать?


Существующие базы индикаторов компрометации (IoC), реально повышают безопасность корпоративных сетей. Вам не нужно покупать сложные устройства, достаточно просто
1. постоянно получать у какого-то сообщества "по какому адресу сидит хакер", например из рассылки FinCert;
2. не пускать к себе никого с этих адресов
3.не пускать никого из сотрудников на эти адреса.
Под адресами сейчас понимают IP, URL, DNS имена. Отмечу, что также IoC может быть имя файла, ключ реестра, ключевые слова из кода программы и другие.

А как удаляются из этих баз адреса, которые уже стали хорошими? Ведь вчера это мог быть зараженный сайт, где хакеры размещали свой вредоносный код, а сегодня админы могли уже его "вылечить" и он уже хороший. Кто это отслеживает? Чаще всего никто.

А когда вообще адрес стал плохим? Мои сотрудники могли ходить на этот сайт всю жизнь и только с какого-то момента он стал их атаковать. Этой информации в списке IP или URL найти нельзя.

Что же делать?

К каждой базе Threat Intelligence в вашей компании прикладывается специалист, который не просто включает правило "блокировать все плохие соединения из базы", а постоянно расследует инциденты.

Если вы инциденты не расследуете, то дальше читать не нужно.

В момент расследования инцидента, у вас возникают те же самые вопросы что я задал выше. И здесь уже поставщик базы Threat Intelligence должен предоставлять полную базу почему адрес плохой, когда он стал плохой, в каких хакерских утилитах или вирусах он использовался, на кого нападали с этих адресов. По сути, при разборе инцидента важно получить все что есть о том адресе, который вдруг стал "плохим".

Такие базы правильные производители предоставляют, в них содержится подробная статистика по каждой записи базы и всегда можно посмотреть нужную информацию.

Поскольку IoC это не только адреса, а еще и другие параметры, то в таких базах поиск обычно идет по всем возможным параметрам, которые могли бы характеризовать атакующий вас вредоносный код, включая данные страны из которой идет атака, связи с другими атаками и известные аналитические отчеты и исследования по данной атаке.

Это большая информация и она реально помогает разбирать инциденты, понимать стали ли вы жертвой массовой рассылки, или же это была направленная атака на вашу организацию или даже на конкретного человека.

Пример такой базы: https://autofocus.paloaltonetworks.com/

Комментарии

  1. Позволю себе добавить, что в части удаления адресов из базы Threat Intelligence все же не все так плохо, если мы говорим о платной подписке, тем более вшиваемой в межсетевые экраны (как это реализовано у PaloAlto, Cisco, Checkpoint) то процесс удаления из базы узлов ложится полностью на вендора.

    ОтветитьУдалить

Отправить комментарий