4 простых шага к модернизированному подходу к анализу угроз


Аналитика угроз является важной частью стратегии кибербезопасности организации, но, учитывая, как быстро меняется состояние кибербезопасности, актуальна ли еще традиционная модель?

Независимо от того, являетесь ли вы экспертом по кибербезопасности или тем, кто хочет создать программу анализа угроз с нуля, эта простая структура преобразует традиционную модель, чтобы ее можно было применить к текущей ситуации. Он основан на доступных сегодня технологиях и может быть реализован в четыре простых шага.

Краткий обзор системы анализа угроз
Структура, на которую мы будем ссылаться, называется циклом интеллекта и делится на четыре фазы:

The-Intelligence-Cycle-01.png
Источник: Рапид7

Это традиционная структура, но давайте подробнее рассмотрим каждый шаг, обновим их для современных дней и наметим, как им следовать в 2022 году.

Для этого в качестве примера мы будем использовать вариант использования утечки учетных данных. Утечка учетных данных — это область, с которой должны быть знакомы организации любого размера, что делает ее оптимальным выбором для иллюстрации того, как создать эффективную программу анализа угроз.

1. Задайте направление.
Первый шаг в этом процессе — определить направление вашей программы, обозначив, что вы ищете, и какие вопросы вы хотите задать и ответить. Чтобы помочь в этом, вы можете создать приоритетные требования к разведданным или PIR и желаемый результат.

Вы должны стремиться быть как можно более откровенным. В случае утечки учетных данных давайте настроим наш PIR для идентификации учетных данных для входа, которые были раскрыты неавторизованному объекту.

Описав этот очень конкретный PIR, мы теперь можем определить желаемый результат, который в данном случае будет принудительным сбросом пароля. Это очень важно, и позже мы увидим, как желаемый результат повлияет на то, как мы создадим эту программу анализа угроз.

2. Наметьте, какие данные собирать.
После того, как вы установили свои PIR и желаемый результат, вам нужно наметить источники информации, которые будут служить указанию.

Для этого варианта использования давайте определим, как злоумышленники получают учетные данные. Некоторые из наиболее распространенных источников включают следующее: конечные точки (обычно собираемые ботнетами), сторонние взломы, репозитории кода, сообщения на форуме/pastebin и черные рынки Darkish Internet, где покупаются и продаются учетные данные.

Составление карты этих источников позволяет вам наметить области, на которых вам нужно сосредоточиться для анализа.

3. Выберите свой подход к анализу.
Вы можете использовать автоматизированный или ручной подход к анализу. Автоматизированный анализ включает в себя использование искусственного интеллекта или сложных алгоритмов, которые будут классифицировать соответствующие данные в предупреждения об утечке учетных данных, где электронные письма и пароли могут быть извлечены и извлечены. Альтернативный подход состоит в том, чтобы вручную проанализировать информацию, собрав все данные и попросив аналитиков из вашей группы просмотреть данные и решить, что имеет отношение к вашей организации.

Самым большим преимуществом ручного анализа является гибкость. Вы можете задействовать больше человеческих ресурсов, интеллекта и понимания процесса, чтобы выявить только то, что имеет значение. Но есть и минусы — этот процесс намного медленнее автоматизированного анализа.

Поскольку скорость имеет решающее значение, автоматический анализ является лучшим подходом. Аналитикам не требуется сортировать данные, а если угрозы классифицируются автоматически, они, скорее всего, могут быть автоматически устранены.

Давайте посмотрим на это на практике: допустим, ваш алгоритм находит адрес электронной почты и пароль, упомянутые на форуме. ИИ может классифицировать инцидент и извлекать соответствующую информацию (например, адрес электронной почты/имя пользователя и пароль) в машиночитаемом формате. Затем автоматически может быть применен ответ, например принудительный сброс пароля для идентифицированного пользователя.

Автоматический анализ может быть не лучшим вариантом для каждого сценария, но в этом случае он максимально приближает нас к желаемому результату.

4. Распространите анализ, чтобы принять меры.
Традиционно, когда речь идет о цикле разведки и распространении информации об угрозах, мы говорим об отправке предупреждений и отчетов соответствующим заинтересованным сторонам для рассмотрения и принятия соответствующих мер.

Но, как показывает наш пример в предыдущем разделе, будущее (и текущее состояние) этого процесса — полностью автоматизированное исправление. Имея это в виду, мы не должны просто обсуждать, как мы распространяем оповещения и информацию в организации — мы должны также думать о том, как мы можем взять разведданные и распространить их на устройства безопасности, чтобы автоматически предотвратить предстоящую атаку.

Для утечек учетных данных это может означать отправку интеллектуальных данных в активный каталог для автоматического принудительного сброса пароля без вмешательства человека. Это отличный пример того, как переход на автоматизированное решение может значительно сократить время восстановления.

Еще раз давайте вернемся к нашему PIR и желаемому результату; мы хотим принудительно сбросить пароль до того, как субъект угрозы использует пароль. Скорость имеет ключевое значение, поэтому мы обязательно должны автоматизировать исправление. Нам нужно решение, которое берет разведданные из указанных нами источников, автоматически выдает оповещение с извлеченной информацией и автоматически устраняет угрозу для максимально быстрого снижения риска.

Так должны выглядеть обнаружение и реагирование в 2022 году.

об авторе

алон-арвац_(1).png

Алон Арвац присоединился к Rapid7 в июле 2021 года после приобретения компании IntSights Cyber ​​Intelligence, соучредителем которой он являлся и руководил ею в качестве директора по продуктам. В настоящее время Алон является ключевым участником дорожной карты продуктов для анализа угроз Rapid7, включая разработку продуктов, исследование угроз и операции по сбору информации.

До основания IntSights Алон был соучредителем и генеральным директором Cyber-Faculty, образовательной программы, предлагающей курсы по кибербезопасности для подростков. Алон — ветеран элитного разведывательного подразделения по кибербезопасности в Армии обороны Израиля (ЦАХАЛ), где он руководил и координировал глобальные кампании киберразведки.

https://cyberxhack.org/