Cyber Threat Intelligence: Praktyczny przewodnik dla zespołów bezpieczeństwa

Praktyczny przewodnik dla zespołów bezpieczeństwa

Wymiana informacji w ramach Cyber Threat Intelligence (CTI) umożliwia identyfikację zagrożeń, wykrywanie aktywnych ataków oraz lepsze zrozumienie metod stosowanych przez cyberprzestępców.

CTI pozwala organizacjom na proaktywne wykrywanie wczesnych oznak naruszeń. Przykładowo, jeśli kilka instytucji edukacyjnych padnie ofiarą kampanii ransomware, mogą dzielić się informacjami o sposobach dostarczenia złośliwego oprogramowania, metodach szyfrowania oraz kanałach komunikacji z serwerami.

CTI wspiera organizacje w dynamicznym i stale ewoluującym krajobrazie zagrożeń, pomagając im skutecznie przeciwdziałać coraz bardziej zaawansowanym atakom. Jednak niewłaściwe wdrożenie CTI może prowadzić do zalewu nieistotnych informacji, które nie przyczyniają się do realnej poprawy poziomu bezpieczeństwa.

W tym artykule przedstawimy praktyczne wskazówki dotyczące skutecznego wykorzystania CTI w zarządzaniu zagrożeniami.

Czym jest Cyber Threat Intelligence?

Cyber Threat Intelligence (CTI) to oparta na dowodach wiedza dotycząca cyberprzestępców, ich taktyk, technik i wskaźników ataków. Proces CTI obejmuje gromadzenie, przetwarzanie oraz analizę danych, co pozwala przekształcić surowe informacje w praktyczne wnioski, wspierające podejmowanie decyzji w obszarze cyberbezpieczeństwa.

CTI nie ogranicza się jedynie do takich elementów jak identyfikatory użytkowników, nagłówki e-maili czy znaczniki czasu aktywności. Obejmuje także skorelowane zestawy danych, które pozwalają określić, kto stoi za atakiem oraz jakie techniki zostały wykorzystane.

Stopnie klasyfikacji Cyber Threat Intelligence

Inteligencja strategiczna

Inteligencja strategiczna dostarcza ogólnego obrazu zagrożeń, trendów oraz ich wpływu na organizację. Ma kluczowe znaczenie dla kształtowania polityki bezpieczeństwa oraz decyzji inwestycyjnych.

Kluczowe cechy:

• Koncentruje się na analizie ryzyk biznesowych i trendów zagrożeń.
• Przeznaczona dla kierownictwa wyższego szczebla.
• Prezentowana w formie raportów i podsumowań strategicznych.

Inteligencja operacyjna

Inteligencja operacyjna analizuje motywacje i zdolności cyberprzestępców, pozwalając zespołom ds. bezpieczeństwa na skuteczniejsze zabezpieczenie kluczowych zasobów.

Kluczowe cechy:

• Skupia się na aktywnych kampaniach i zagrożeniach.
• Kierowana do menedżerów ds. bezpieczeństwa.
• Prezentowana w formie analiz kampanii i profilów przeciwników.

Inteligencja taktyczna

Najbardziej techniczna forma CTI, obejmująca wskaźniki kompromitacji (IOC) oraz taktyki, techniki i procedury (TTP) przeciwników.

Kluczowe cechy:

• Kierowana do analityków SOC i zespołów reagowania na incydenty.
• Skupia się na wskaźnikach ataków i metodach wykrywania.
• Przedstawiana w formie list IOC oraz reguł detekcji.

Wykorzystanie CTI w SIEM

Cyber Threat Intelligence może być zintegrowane z systemami SIEM, co umożliwia proaktywną analizę ruchu sieciowego i nietypowych zdarzeń.

W przypadku otrzymania alertu SIEM, np. dotyczącego podejrzanego pliku lub nietypowego połączenia sieciowego, analityk bada szczegóły zdarzenia. Analiza obejmuje identyfikację artefaktów, takich jak adresy IP, adresy URL, domeny czy hashe plików.

W zależności od możliwości narzędzia SIEM oraz dostępnych integracji, analityk może uzyskać dodatkowe informacje bezpośrednio w systemie lub skorzystać z baz reputacyjnych. Takie bazy pozwalają na weryfikację, czy dany artefakt był w przeszłości powiązany z zagrożeniami, np. malware, phishingiem czy skanowaniem sieci.

Wykorzystanie CTI w pracy analitycznej

Przykładowo, analityk otrzymuje alert dotyczący wielu połączeń z jednego publicznego adresu IP do różnych adresów docelowych w organizacji. Analiza logów wskazuje, że atakujący skanuje sieć.

Sprawdzając adres w bazach reputacyjnych, analityk odkrywa, że był on wcześniej wykorzystywany do skanowania sieci. Dzięki CTI, dodatkowo może zweryfikować czy dany adres jest powiązany z potencjalną, większą kampanią.

Mając potwierdzenie hipotezy, może zgodnie z procedurami SOC zablokować ruch z tego adresu i udokumentować incydent.

Najlepsze praktyki CTI

• Wykorzystuj informacje z poprzednich incydentów do modelowania TTP przeciwników w SIEM, aby skutecznie wykrywać, w jaki sposób uzyskali dostęp do naszych systemów i jak je wykorzystali.
• Dobieraj odpowiednie źródła danych, dostosowane do sektora, technologii i lokalizacji organizacji, w tym ogólnodostępne bazy IoC (sektorowe i open-source) oraz komercyjne platformy. Przy wyborze uwzględnij branżę, obecność rynkową, infrastrukturę, profil ryzyka organizacji oraz strony trzecie współpracujące z Twoją firmą.
• Regularnie aktualizuj dane z CTI, dbając o ich świeżość i trafność – usuwaj wszelkie informacje, które stały się nieaktualne.
• Standaryzuj proces zbierania informacji w związku z różnorodnością formatów danych w CTI (np. wpisy blogowe, techniki MITRE ATT&CK, raporty) oraz różnicami w nazewnictwie.
• Mierz efektywność zarządzania zagrożeniami dzięki CTI – śledź wskaźniki MTTD (mean time to detect – średni czas wykrycia zagrożenia), analizuj oszczędność czasu wynikającą z wykorzystania CTI oraz monitoruj, jak skutecznie wykorzystywane są dostarczane informacje.
• Działaj proaktywnie, blokując potwierdzone zagrożenia takie jak domeny, adresy IP czy hashe plików.

Trecom SOC

Dzięki zaawansowanej znajomości technologii SIEM, EDR, UEBA, stosowaniu CTI w zarządzaniu incydentami oraz dodatkowym usługom, takim jak threat hunting, Trecom SOC zapewnia wyjątkową jakość w zarządzaniu zagrożeniami.

Szukasz więcej informacji? Umów się na spotkanie z menedżerem Trecom SOC.