Три соображения, которые помогут выбрать решения в области аналитики киберугроз

Блог Джо Маленфанта (Joe Malenfant), менеджера компании Cisco по продвижению продуктов на платформе Threat Grid

Современный ландшафт угроз постоянно эволюционирует, и для того, чтобы соответствовать этой эволюции, индустрия информационной безопасности вынуждена дополнять возможности традиционных средств безопасности, просто реагирующих на уже произошедшие события, более современными, упреждающими средствами безопасности, действующими на основе аналитических данных. Аналитическая информация о киберугрозах — важная составная часть этого процесса.

Термин "аналитическая информация о киберугрозах" зачастую трактуется не вполне корректно. Исследовательская компания Garnter определяет его так: «основанная на фактических данных информация о действующих и потенциальных угрозах и опасностях в сфере ИБ, включающая сведения об активности, контексте, структуре, проявлениях, мерах противодействия, и помогающая принимать эффективные решения в отношении этих угроз и опасностей». Стоит отметить, что данное определение не включает в себя такое понятие, как «намерение». Это важно, поскольку «намерение» подразумевает, что угроза специально ориентирована на свою жертву, что, как известно, не всегда соответствует действительности. Очень часто случается так, что в реальной ситуации вредоносные программы атакуют случайные цели. В качестве примера можно назвать червь Stuxnet, который был спроектирован для того, чтобы атаковать иранские заводы по обогащению урана. Со временем, однако, он распространился по всему миру: его присутствие было зафиксировано, по меньшей мере, в 10 странах.

Говоря практическим языком, аналитическая информация о киберугрозах должна быть:

• тактической,

• контекстуальной,

• автоматизированной.

Тактика

С тем, что аналитическая информация о киберугрозах должна иметь непосредственное отношение к тем опасностям, которые наиболее актуальны для пользователя такой информации, наверняка согласится каждый. Но стоит задаться вопросом: что планируется делать с этой информацией после того, как она будет получена? Как правило, её объём настолько велик, что превосходит возможности как отдельно взятого человека, так и целой команды специалистов. В связи с этим эта информация должна поступать в таком виде, который позволил бы сразу, в автоматическом режиме применять ее в тех программно-аппаратных средствах защиты, что уже функционируют в организации. Защита должна обеспечиваться не людьми, а устройствами: межсетевыми экранами, почтовыми и интернет-шлюзами, системами предотвращения вторжений, — но это актуально только тогда, когда есть возможность постоянно совершенствовать работу устройств в плане предвидения новых атак и противодействия им. В противном же случае не может быть и речи о настоящей интеллектуализации средств защиты.

Контекст

В настоящее время понятие контекста переросло простые функции идентификации и получения дополнительной информации. Теперь в него включается ещё и понятие релевантности, то есть того, насколько информация соответствует конкретным потребностям заказчика. Очевидно, что если организация работает в сфере финансовых услуг, то для нее будет малоактуальна информация о киберугрозах, специфичных, например, для предприятий горной промышленности Южной Африки. Некоторые стандарты, например, STIX и CybOX, активно работают над учетом контекста, помогая структурировать данные различных технологий ИБ таким образом, что появляется реальная возможность отбирать наиболее значимую информацию для той или иной отрасли.

Автоматизация

Это кажется очевидным, но лучше повторить еще раз: аналитическая информация о киберугрозах должна поступать в действующие системы ИБ непрерывно и в автоматическом режиме. Причем «автоматический режим» не обязательно подразумевает разработку и интеграцию такой системы с нуля, а «непрерывность» не обязательно означает, что информация должна поступать ежесекундно. Для этих целей может быть вполне достаточно какой-нибудь не особо сложной технологии (например, API-интерфейса), обеспечивающей обмен данными с устройством.

Важным дополнением к глобальной аналитической информации о киберугрозах служит аналитическая информация локального характера, предоставляющая дополнительные уровни контекста и информированности. Такая информация базируется на анализе локальных сетевых данных организации и выявлении особенностей, характерных для конкретной инфраструктуры. Благодаря этому достигается еще большая степень интеллектуализации защитных устройств, а защитные меры могут быть адаптированы к специфике существующей вычислительной среды.

Не так давно лаборатория ESG опубликовала статью о проектировании систем ИБ, работа которых основана на активном использовании аналитической информации. В статье обсуждаются разнообразные компоненты таких систем, которые зачастую не принимаются в расчет до начала кибератаки (например, средства компьютерных экспертиз). Особого внимания заслуживает также информация, публикуемая на интернет-странице, посвященной технологии AMP Threat Grid. Там можно получить новейшую информацию и аналитические материалы об угрозах в сфере ИБ, а также ознакомиться с опытом внедрения технологий, использующих аналитическую информацию о киберугрозах.