Úniky dat se dostávají téměř každý týden mezi hlavní zprávy a threat intelligence začíná získávat podobu významné pomoci při zabezpečení informací. To ale samozřejmě znamená, že je v první řadě potřeba odfiltrovat humbuk a nejasnosti.
Přísliby téměř zázračných řešení jsou v oblasti zabezpečení informací časté. Kupte si zařízení pro udržení zločinců mimo vaši síť. Nasaďte tuto platformu a navždy se rozloučíte s útoky nultého dne. Investujte do této další služby a jediný informační panel vám řekne vše, co se děje ve vaší síti.
A nyní se k tomu přidává threat intelligence: přihlaste si odběr a zjistíte narušení dříve, než se stane něco zlého! Myšlenka, že threat intelligence může pomoci zlepšit zabezpečení podniku, je samozřejmě zdravá, ale jen velmi málo pozornosti se věnuje tomu, co je nutné pro úspěch těchto systémů udělat.
Všichni chtějí získat část tohoto rozžhaveného trhu, ale příliš mnoho dodavatelů přikrášluje své nabídky nějakou tu formou threat intelligence a podniky si nejsou moc jisté, co vlastně dostanou.
V tomto příspěvku tedy rozebereme zmatek a nesmysly obklopující současný trh a nabízíme konkrétní rady, jak si funkčnost threat intelligence opravdu zajistit.
Základ threat intelligence
Na definicích záleží, takže se podívejme na první: Threat intelligence pomáhá personálu zabezpečení a IT dělat správná bezpečnostní rozhodnutí. Rozhodnutí může být jak jednoduché, třeba že prodejce chce ochránit své terminály před malwarem, který napadl pokladny jiných prodejců, tak i těžké jako například najít způsob ochrany před phishingovými útoky vůči nejvyššímu vedení firmy, jež by mohly vyústit v krádež duševního vlastnictví.
Pokud něco vypadá jako SIEM (information and event management, správa informací a událostí zabezpečení), je to stále SIEM. Není to threat intelligence. SIEM však může být součástí platformy threat intelligence.
Funkční systém threat intelligence funguje jako tým amerického fotbalu, kde quarterback získává veškeré informace – od rozhodčích, z výsledkové tabule, od trenérů, od spoluhráčů a z obranné linie soupeře – a rozhoduje, jak se bude hrát.
Platforma threat intelligence v sobě integruje různé typy datových zdrojů včetně třetích stran jako například VirusTotal, externí zdroje zpráv threat intelligence, data o událostech z koncových bodů i aplikací a konečně i ze systémů SIEM v síti – to vše v centralizované podobě.
Bezpečnostní pracovník pak využívá analytické nástroje poskytované softwarem, aby udělal doslova zázrak: Dovnitř proudí všechny druhy informací a výstupem je threat intelligence. Pochopení fungování tohoto zázraku je však obtížné.
Taktika vs. strategie
„Všechno se nyní pokouší o funkci threat intelligence. Pokud vám to ale nepomůže v rozhodování o zabezpečení, není to threat intelligence,“ tvrdí Adam Vincent, výkonný ředitel společnosti ThreatConnect, která je dodavatelem řešení threat intelligence.
Threat intelligence lze využít takticky a strategicky. Nejběžnějším případem je taktické využití threat intelligence, kdy bezpečnostní analytik použije poznatky shromážděné z dostupných informací k vytvoření pravidel, která lze použít pro firewally, systémy SIEM a další bezpečnostní produkty.
Bezpečnostní analytik například přes portál threat intelligence zjistí, že se konkrétní rodina malwaru pro pokladny vždy připojuje ke stejnému řídicímu serveru. Tento člověk tedy může získat IP adresu z portálu a iniciativně nakonfigurovat bránu firewall, aby blokovala všechna připojení k takové IP adrese.
Analytik může vytvořit pravidla pro Snort, která detekují nebezpečný soubor, a nasadit je, aby došlo k odhalení infekce v případě jejího výskytu. Může navíc také pátrat v dostupných protokolech a datech ze sítě, aby zjistil, zda již došlo k nakažení platebního terminálu daným souborem nebo jestli komunikoval s IP adresou.
Strategické využití threat intelligence je těžší a současná řešení nejsou v této oblasti tak dobrá, jako jsou ve sféře taktiky.
Strategické využití například umožňuje bezpečnostnímu analytikovi posoudit bezpečnostní profil organizace a rozhodnout o vhodném způsobu zmírnění rizik.
Je to podobné jako podnikové využití business intelligence. V obou případech se analyzují různé soubory dat a jejich uvedení do vzájemného kontextu pomáhá podniku při rozhodování.
Organizace se také může dozvědět ze zpráv (poskytované v rámci tzv. threat intelligence leeds) nebo získané z platformy threat intelligence, že se skupina útočníků zaměřila na podobně velké organizace ve stejném oboru.
Tato skupina útočníků se vždy soustřeďuje na určitou aplikaci, přenese data na FTP server a vytvoří uživatelský účet na zkompromitovaném serveru se stejným názvem.
Když dojde k útoku na jednu z firemních aplikací, může tým zabezpečení zesílit kontroly a vypnout protokol FTP uzavřením portu 21, nasadit nové ochranné prvky pro aplikaci, a ztížit tak útočníkům cestu k úspěchu.
Ve většině případů, kdy organizace začínají využívat threat intelligence, myslí u toho takticky. „V oblasti strategického využití threat intelligence je určitě ještě prostor pro značné zlepšení,“ tvrdí Rick Holland, viceprezident strategie ve společnosti Digital Shadows a také bývalý analytik agentury Forrester Research.
Více než jen informace
Existuje tendence považovat threat intelligence za pouhé informace, ale je zde významný rozdíl. Informace jsou jen data a může jich být velmi mnoho. Přestože mohou být určité údaje samy o sobě užitečné, většina jen přispívá k přetížení. Obránci mají příliš mnoho dat a žádnou představu, co s tím dělat.
Threat intelligence pracuje s kontextem, který pomáhá obráncům zjistit, jak lze tato data využít k řešení problému či odpovědi na nějakou otázku.
Kontext přitom může mít mnoho podob včetně podstaty útočné aktivity, aktuálnosti informací, z jakých oborových vertikál data pocházejí a jaké typy a velikosti firem byly těmito útoky zasažené. Kontext mění informace na inteligentní využití.
Informace ze zpráv threat intelligence mohou obsahovat ukazatele, jako jsou názvy domén, IP adresy, klíče registru, názvy souborů a hashe souborů. Samy o sobě ale tyto údaje neznamenají nic.
Pokud však nějaká zpráva označí soubory s určitým hashem za škodlivé a schopné komunikovat se vzdálenou IP adresou, potřebuje to bezpečnostní analytik vědět.
„To, co všichni opravdu potřebujeme, není více dat, ale jejich inteligentnější zpracování,“ vysvětluje Vincent.
1. Vědět, co koupit
Jen samotný počet dodavatelů threat intelligence a dostupných zdrojů dat může být zdrcující pro ty, kteří se snaží rozhodnout, co koupit. Existují zpravodajské kanály pocházející od soukromých poskytovatelů threat intelligence, z partnerství mezi veřejnými a soukromými subjekty, od oborových skupin a dokonce i od světa open source.
Existují také agregátoři, tj. poskytovatelé, kteří kombinují různé kanály z více zdrojů, odstraňují duplicity a přidávají další porozumění, a vytvářejí tak svou vlastní variantu threat intelligence.
Není vždy od začátku jasné, jaký druh threat intelligence se vlastně poskytuje, ani zda mezi zpravodajskými kanály neexistuje nějaké překrytí.
„Je to jako problém geneticky modifikovaných organismů – složky nejsou jasně označené,“ tvrdí Chase Cunningham, šéf threat intelligence ve společnosti Armor, která je dodavatelem zabezpečení pro cloud computing.
Dalším úkolem je zjistit, co si vlastně koupit. Někteří poskytovatelé prodávají zpravodajské kanály threat intelligence, což znamená informace posbírané a analyzované vlastními analytiky poskytovatele, s přidanou odpovídající úrovní kontextu.
Nejsou to zdroje dat obsahující nebezpečné IP adresy nebo černé listiny doménových jmen, ale spíše seznamy obsahující inteligentně zpracovaná data využitelná pro vykonání nějaké akce.
Digital Shadows je příkladem firmy, která prodává zprávy threat intelligence. Další dodavatelé prodávají oboje – jak samotné zprávy, tak i analytický software pro bezpečnostní analytiky, kteří tak mohou propojit všechny zdroje dat a odhalit vztahy a vzory nacházející se v datech.
Pokud si podnik předplatí zpravodajský kanál threat intelligence, musí mít něco, k čemu tato data připojí. To může být již firmou používaný systém SIEM nebo to může být i platforma threat intelligence od jiného dodavatele.
2. Posouzení zpravodajského kanálu
To je případ, kdy více nutně neznamená lépe. Koupení – resp. předplacení – příliš mnoha zpravodajských kanálů threat intelligence přispívá jen k zahlcení informacemi. Pokud bezpečnostní analytik nedokáže pracovat s poskytovanými ukazateli, stanou se součástí šumu.
Analytik musí trávit spoustu času tím, že se snaží najít souvislosti mezi různými částmi informací pomocí ukazatelů. Pokud zpravodajský kanál neposkytuje potřebnou úroveň detailů a relevantních poznatků, jde v podstatě o plýtvání časem a energií.
Při rozhodování, jaké zpravodajské kanály si předplatit, je potřeba zohlednit kontext, jako jsou...
Tento příspěvek vyšel v Security Worldu 2/2016. Oproti této variantě je obsáhlejší a obsahuje řadu dalších rad, které můžete využít u sebe ve firmě.
Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.