Что такое аналитика угроз?

Аналитика угроз объединяет данные из различных внутренних и внешних источников в целях изучения существующих и зарождающихся киберрисков для бизнеса и укрепления защитных стратегий. Успешная программа аналитики угроз триангулирует информацию об угрозах, фильтрует и определяет приоритеты угроз на основе бизнес-рисков, а также передает данные во внутренние системы и средства контроля безопасности. Аналитика угроз – ключевой компонент отработанной программы кибербезопасности.

Аналитика угроз в сфере кибербезопасности позволяет выявлять текущие и зарождающиеся угрозы для организации. Понимая тактику, методы и процедуры злоумышленников, организации могут более эффективно противостоять угрозам до, во время и после чрезвычайных событий в сфере безопасности.

Программы аналитики угроз помогают организациям принимать более эффективные решения по устранению уязвимостей, реализовывать стратегии тестирования, разрабатывать планы реагирования на инциденты и обеспечивать непрерывность ведения бизнеса в случае возникновения чрезвычайных событий. Специалисты по аналитике угроз работают в сотрудничестве со специалистами по киберрискам и безопасности.

Система аналитики угроз – это центральный узел, который собирает, анализирует и генерирует информацию в ответ на полученные данные в сфере кибербезопасности. Такие системы помогают отслеживать чрезвычайные события безопасности и определять имеющиеся субъекты угроз, а также информируют специалистов по безопасности о том, как на них реагировать. Они часто используют аналитику киберугроз (CTI), которая представляет собой набор внутренних и внешних источников данных, помогающих предоставить системе контекст.

Система аналитики угроз работает как часть целостного программного решения для обеспечения безопасности. Такие решения, как AWS Security Hub, часто объединяют действия по аналитике угроз на протяжении всего жизненного цикла в целях централизованного управления.

Жизненный цикл аналитики угроз – это непрерывный процесс, требующий регулярных обновлений и проверок.

Ниже приведены основные этапы жизненного цикла аналитики угроз.

Масштаб среды

Перед развертыванием программы аналитики угроз организации должны определить масштаб своих систем, данных, сетей, сервисов, пользователей и других организационных активов. Организациям следует классифицировать организационные активы по операционной критичности и чувствительности данных. Понимая масштабы организационной среды, можно понять, какие угрозы будут актуальны для бизнеса, а также оценить, какие активы могут стать приоритетной целью.

Сбор данных об угрозах

Следующим шагом в жизненном цикле аналитики киберугроз после выбора масштаба станет сопоставление многочисленных источников данных в единый источник достоверной информации. Система аналитики угроз будет собирать данные о внутренней безопасности, системные отчеты и сведения из внешних источников, таких как открытые каналы оповещения об угрозах в реальном времени, каналы оповещения, предлагаемые поставщиками, и базы данных уязвимостей, а также выполнять мониторинг социальных сетей и даркнета.

Этот этап направлен на сбор как можно большего объема данных об угрозах для получения полного спектра информации. Получение данных на данном этапе является в высокой степени автоматизированным и непрерывным процессом, который не фильтруется в соответствии с масштабами бизнеса.

Обработка данных

После сортировки данных организация фильтрует, структурирует, стандартизирует, обогащает и преобразует их, чтобы сделать данные полезными. Неструктурированные данные преобразуются в машиночитаемый формат, а структурированные данные очищаются для улучшения качества данных и маркируются метаданными. Избыточные и не попадающие в масштаб данные удаляются. Обработка должна быть максимально автоматизирована.

Аналитика

Этап аналитики превращает данные аналитики угроз в полезную для бизнеса информацию. Автоматизированные системы начнут выявлять закономерности и взаимосвязи в любых обрабатываемых данных, а также обнаруживать аномалии, расхождения или результаты, которые специалисты по кибербезопасности будут изучать в дальнейшем.

На данном этапе для составления карт отдельно взятых индикаторов угроз аналитики данных могут использовать ряд передовых методов, таких как машинное обучение и прогнозное моделирование. Эти процессы выполняются как вручную, так и автоматически и предназначены для предоставления службам безопасности актуальной и полезной информации, лежащей в основе стратегий киберзащиты.

Отчетность

Отчетность предоставляет результаты аналитики угроз заинтересованным сторонам бизнеса и соответствующим командам. Отчеты адаптируются к аудитории и могут содержать ограниченное количество информационных панелей, текстовых файлов, презентаций или других форм коммуникации.

Этап отчетности часто автоматизирован: системы аналитики угроз генерируют отчеты и рассылают их всем целевым сотрудникам. При появлении более серьезных угроз безопасности может возникнуть необходимость в ручном составлении отчетов.

Команды специалистов также могут сообщать о новых и неизвестных угрозах более широкому сообществу, чтобы другие организации получили возможность интегрировать эту информацию в свои собственные системы.

Мониторинг и настройка

Системы аналитики угроз отслеживают потенциальные проблемы безопасности, IOC и помогают в поддержке специалистов по безопасности. Система аналитики угроз является ключевым программным обеспечением для круглосуточных штатных оперативных центров безопасности (SOC).

В ходе аналитики специалисты могут отслеживать индикаторы компрометации (IOC), связанные с потенциальными чрезвычайными событиями безопасности, для разработки планов и сценариев реагирования на инциденты, внедрения новых или измененных средств защиты, внесения изменений в архитектуру системы и обновления рисков для бизнеса. Такой информированный отчет гарантирует, что безопасность компании останется нескомпрометированной.

Специалисты должны учиться на непредвиденных событиях в сфере безопасности и получать новую информацию, чтобы затем повторять предыдущие результаты и повышать производительность. Специалисты по безопасности могут анализировать производительность инструментов безопасности, комментировать отчеты и выявлять несоответствия, чтобы постоянно улучшать программное обеспечение для аналитики угроз.

Функции программы для аналитики киберугроз зависят от сложности бизнес-среды, требований к конфиденциальным данным и обязательств по соблюдению нормативных требований. Ниже приведены некоторые из наиболее распространенных функций программ для аналитики угроз.

Каналы данных

Под каналами данных подразумеваются все источники информации, на которые платформы аналитики угроз полагаются для получения аналитической информации. Эти сервисы являются ключевым компонентом программы аналитики угроз.

Внешние источники данных включают разведку по открытым источникам в режиме реального времени (OSINT), публичные каналы оповещения об угрозах и информацию, предоставляемую государственными агентствами кибербезопасности. Внутренние источники данных включают журналы брандмауэра, поведение пользователей при доступе, предупреждения системы обнаружения вторжений (IDS), журналы адресов и телеметрию облачных сервисов.

Технологии

Аналитика угроз основана на нескольких технологиях, которые работают совместно для доставки данных, анализа информации и предоставления практически применимых рекомендаций специалистам по безопасности. Например, некоторые программы для аналитики угроз помогают собирать и систематизировать данные, а также обмениваться аналитическими данными непосредственно со специалистами по безопасности, когда им необходимо принять меры.

Технологии аналитики играют важную роль в получении данных о закономерностях и аномалиях, которые помогают выявлять потенциальные чрезвычайные события безопасности. Под аналитическими возможностями средств аналитики киберугроз подразумеваются любые технологии, используемые командами для повышения прозрачности, точности и полноты данных. К ним относятся анализ машинного обучения, алгоритмы прогнозирования и поведенческая аналитика.

Системы управления информацией и событиями безопасности (SIEM) сопоставляют данные внутренних журналов безопасности с информацией о событиях, чтобы в реальном времени получать сведения о том, как новые угрозы могут повлиять на бизнес. Некоторые компании также встраивают систему предупреждений в свои приложения, что позволяет разработчикам получить дополнительную информацию о потенциальных ошибках при работе над определенными аспектами.

Платформы

Платформы, включающие аналитику угроз, представляют собой стандартизированную структуру, которой могут придерживаться организации. Эти платформы высоко ценятся и регулярно обновляются для включения необязательных и обязательных рекомендаций для организаций. В число платформ кибербезопасности, которые ориентируются на аналитику угроз, входят платформы MITRE ATT&CK и Cyber Kill Chain. Обе платформы содержат способы обработки тактик, стандартных векторов и индикаторов компрометации (IOC).

Активности

Системы аналитики киберугроз участвуют в ряде активностей, связанных с получением информации и улучшением своих возможностей. Например, эти системы могут проводить оценку рисков в режиме реального времени, устранять известные уязвимости с помощью обновлений, реагировать на инциденты с помощью обратной связи и предлагать экспертам по кибербезопасности информацию о том, каким событиям им следует уделить приоритетное внимание.

Существует четыре основных типа аналитики киберугроз, которые обычно используют специалисты по безопасности.

Стратегическая аналитика угроз

Под стратегической аналитикой угроз подразумевается собираемая системами более широкая информация об угрозах, включая геополитические данные, экономические данные и другую не имеющую отношения к технологиям информацию, которая может быть полезна для составления контекстуального профиля потенциального чрезвычайного события в сфере безопасности. Этот тип не имеющей отношения к технологиям стратегической аналитики угроз позволяет получить ценную информацию, которая помогает обнаружить более широкие уязвимости безопасности и спрогнозировать их развитие.

Тактическая аналитика угроз

Под тактической аналитикой угроз подразумевается сбор информации, касающейся тактики, техник и процедур противника (TTP), включая TTP продвинутых постоянных угроз (APT). Данные отраслевой аналитики публикуются в публично доступных каналах безопасности. Такая информация позволяет специалистам по безопасности понять типичное поведение конкретных атак, используемые векторы и последовательность действий, которые происходят в каждом конкретном чрезвычайном событии безопасности.

Технологическая аналитика угроз

Под технологической аналитикой угроз подразумеваются любые признаки компрометации, идентифицированные машинным способом. Все IOC, такие как наличие вредоносных IP-адресов, неожиданные URL-адреса безопасности, ответы брандмауэра или внезапное изменение ожидаемых рабочих значений системы, будут помечены для дальнейшего изучения специалистами.

Операционная аналитика угроз

Операционная аналитика угроз – это комбинированная форма аналитики тактической и технологической информации. Операционная аналитика позволяет получить представление об общеотраслевых знаниях, например о том, насколько чаще та или иная форма программ-вымогателей или вредоносных программ встречается в определенных компаниях или регионах. Операционная аналитика угроз позволяет компаниям принимать меры для предотвращения потенциальных чрезвычайных событий в сфере безопасности до их возникновения.

AWS Cloud Security помогает защитить облачную среду с помощью специализированных интеграций, автоматизации и визуализации аналитики угроз. AWS Cloud Security помогает выявлять потенциальные риски, защищать инфраструктуру путем принятия мер по защите данных, отслеживать состояние безопасности на случай непредвиденных событий и даже напрямую реагировать на инциденты.

AWS Security Hub уделяет приоритетное внимание критически важным вопросам безопасности и помогает принимать масштабные меры по защите среды. Это решение предоставляет сведения об угрозах, а также выявляет критические проблемы, сопоставляя сигналы и превращая их в полезную информацию, что позволяет эффективно реагировать на них.

Начните работу с аналитикой угроз на AWS, создав бесплатный аккаунт уже сегодня.