Сравнение уровня зрелости платформ Threat Intelligence на российском рынке

Разработчики решений класса Threat Intelligence Platform сталкиваются с определенными проблемами. По тому, насколько успешно они с ними справляются, можно оценивать уровень зрелости решений, т. е. их способность соответствовать эталонному подходу к работе с информацией об угрозах. Рассмотрены четыре актуальных, по мнению авторов, решения класса TIP: MISP, R-Vision TIP, Anomali ThreatStream и OpenCTI. Оценка выполнена по методике агентства Европейского союза по сетевой и информационной безопасности (ENISA).

Введение

Киберразведка, или Threat Intelligence, как отдельное направление информационной безопасности (ИБ) стала применяться более 15 лет назад. Бурное развитие отрасли произошло в 2015–2016 годы, и с тех пор Threat Intelligence считается мировым трендом. В России этот инструмент пока остаётся новым для большинства компаний. Разберёмся, что он собой представляет и как можно использовать опыт военной разведки для выявления инцидентов в сфере ИБ. Заметим, что Threat Intelligence — сложный для дословного перевода термин. С одной стороны, в контексте информационной безопасности его можно перевести как «киберразведка», и тогда он может применяться для характеристики направления деятельности ИБ, связанной со сбором и обработкой данных. С другой стороны, слово «intelligence» можно перевести как «информация» — итоговая стадия обработки данных, т. е. словосочетание «threat intelligence» будет обозначать информацию об угрозах. В настоящей статье этот термин, так же как и в профессиональном сленге, будет применяться в обоих значениях, однако в неочевидных случаях мы всегда будем приводить пояснение текущего смысла.

Виды разведданных и цикл их обработки

В информационной безопасности одна из главных задач — узнать противника и подготовиться к его обнаружению и нейтрализации. В этом компании могут помочь следующие данные:

• информация о злоумышленниках (Threat Actors) — об их возможностях, мотивации, целях, о проводимых ими кампаниях (Campaigns);
• техническая информация — используемые тактики, техники и процедуры (Tactics, Techniques and Procedures, TTPs), задействованные инструменты и индикаторы компрометации (Indicators of Compromise, IoC), по которым можно вычислить действия киберпреступников в защищаемой сети и вовремя принять необходимые меры;
• информация по уже произошедшим инцидентам (Incidents).

Интересно, что методы работы с такими данными и подход в целом пришли в информационную безопасность из военной разведки, где подобные исследования оттачивались и формализовывались в чёткие процессы десятилетиями. Одним из таких процессов является цикл обработки разведданных (см. рис. 1).

Этапы процесса обработки разведданных

1. Стратегическое планирование, менеджмент и контроль всего процесса получения и использования разведданных

На этом этапе определяются необходимый персонал, технологии и бюджет, а также:

• необходимость получения определённых типов разведданных (цели) и варианты их использования;
• типы разведывательной информации, которую необходимо получить, и требования к ним, а также их важность (приоритизация);
• стратегия и методы получения данных.

Заметим, что здесь и далее следует различать понятия «данные» («разведданные») и «информация» («разведывательная информация»). Информация — это результат преобразования (обработки) и анализа данных.

2. Сбор «сырых» данных из источников в соответствии с целями, определёнными на первом этапе

Сбор может осуществляться как собственными силами с использованием внутренней экспертизы, так и с привлечением третьей стороны. В роли последней могут выступать, например, провайдеры разведданных с собственной экспертной лабораторией, отраслевые регуляторы, сторонние организации (при наличии соглашения об обмене разведданными), открытые и общедоступные источники (OSINT). Напомним, что OSINT (Open Source INTelligence) — это поиск, сбор и анализ информации, полученной из общедоступных источников, таких как новостные каналы, форумы и т. п.

Оговоримся, что хотя в профессиональном сленге устоялся термин «провайдер Threat Intelligence», в настоящем анализе мы будем использовать выражение «провайдер разведданных», чтобы подчеркнуть различие между разведданными, разведывательной информацией и конечной стадией их преобразования в информацию об угрозах (Threat Intelligence).

3. Обработка собранных данных для возможности их практического использования

На этом этапе получается разведывательная информация. Имеют место такие процессы, как нормализация (данные приводят к единому формату), обогащение (их дополняют справочной информацией, упрощающей проведение анализа и принятие правильных решений) и определение уровня доступа к разведывательной информации.

4. Анализ собранных данных и получение из них готовой для применения информации об угрозах, актуальных для конкретного потребителя / организации (Threat Intelligence)

Превратить разведданные в актуальную для конкретной организации информацию об угрозах возможно лишь при учёте контекста самой компании, её сферы деятельности, публичности, используемых технологий, состояния ИБ, доступных средств защиты и инструментов выявления угроз. Очень важно понимать, что актуальная для одной организации информация об угрозах будет всего лишь разведданными для другой, а использование этих данных без предварительной обработки может перегрузить специалистов по ИБ ложноположительными срабатываниями либо, наоборот, оказаться бесполезным при выявлении угроз. На рисунке 2 приведено схематическое пояснение трансформации разведданных в информацию об угрозах.

5. Распространение информации для конечных потребителей

Информацию могут получать как сторонние организации, так и внутренние заинтересованные лица. Также осуществляется автоматизированная передача IoC в технические средства обнаружения вредоносной активности (IPS / IDS, SIEM и т. д.).

Трудности при разработке решений класса Threat Intelligence Platform

Для автоматизации процесса обработки разведданных в информационной безопасности сформировался определённый класс решений — платформы управления информацией об угрозах (Threat Intelligence Platform, TIP). Поскольку направление является новым, существующие на рынке решения проходят стадию формирования, а значит, им присущи многие «детские болезни» и трудности, связанные с регулированием.

Среди основных проблем, стоящих перед разработчиками TIP в настоящее время, можно выделить:

• Отсутствие стандартизированного процесса обработки Threat Intelligence. Нет единой модели данных — описания структуры хранения, например, информации о злоумышленниках, кампаниях, TTPs, IoC, инцидентах и др. На рынке одновременно существует множество конкурирующих форматов, развиваемых производителями TIP либо экспертными сообществами. Самыми известными форматами являются STIX, OpenIOC, MISP JSON.
• Отсутствие общепринятого формата обмена TI. Используются как бюллетени с текстовым описанием в свободной форме (которые, как правило, распространяются регулирующими органами) и простейшие файлы с разделителями в открытых источниках, так и узкоспециализированные форматы с проприетарными протоколами обмена данными.

• Огромные объёмы информации. В зависимости от количества подключённых источников разведданных число получаемых записей в день может достигать десятков тысяч. Решение должно корректно объединять сведения из разных источников и выделять ценную для получателя информацию. Для автоматизации этого процесса необходима возможность интеграции со сторонними системами анализа данных, такими как Maltego, IBM i2 Analyst Notebook, Palantir, Tableau, Microsoft Excel.
• Фокусирование на обработке IoC без контекста этих индикаторов — информации о злоумышленниках (Threat Actors), связанных кампаниях (Campaigns), используемых тактиках, техниках и процедурах (TTPs). К сожалению, даже при использовании специализированных стандартов с согласованной моделью данных, предназначенных для полноценного обмена TI, всё обычно сводится к обмену только индикаторами компрометации. Эта проблема говорит о недостаточной зрелости рынка и большинства пользователей TIP.
• Неправильное использование TIP. Большинство современных платформ являются хранилищами информации. В основном их применяют для сбора материала, несмотря на то, что по значимости в цикле работы с разведданными этот этап является вспомогательным и предшествует стадии анализа и подготовки, где и выделяется ценная для конечного пользователя информация об угрозах. Мало обладать «сырыми» данными, важно уметь правильно ими распорядиться. Часто встречаются ситуации, когда для проверки всех собранных IoC не хватает вычислительных ресурсов используемых систем защиты информации — а если и хватает, то возникает другая проблема: нужно качественно оценить огромное количество выявленных подозрений на предмет того, являются ли они инцидентами, и выделить среди них действительно важные для дальнейшей обработки.
• Доверие к получаемым данным. Часто отсутствует механизм учёта степени такого доверия и последующего определения возможности распространять информацию в зависимости от адресата. Решение у этой проблемы существует. Например, можно использовать протокол Traffic Light (TLP) — набор обозначений для маркировки конфиденциальной информации с целью указать аудиторию её дальнейшего распространения.
• Возможность интеграции со сторонними системами. По своей природе платформа должна агрегировать данные из множества источников (провайдеры разведданных, открытые источники и др.), предоставлять функции для анализа в сторонних системах (BI) и выгружать обработанный материал в другие системы обеспечения информационной безопасности (SIEM, IPS, IRP / SOAR) либо распространять его далее для заинтересованных лиц.

TIP — это инструмент, позволяющий автоматизировать одно из направлений защиты информации, главными в котором являются люди, их знания и выстроенные процессы обработки сведений об угрозах. При грамотном использовании решение способно вывести на новый уровень всё направление информационной безопасности в компании. На рисунке 3 приведена схема использования «идеального» TIP, с учётом отмеченных выше проблем и недостатков существующих платформ. 

Типы решений класса Threat Intelligence Platform

Платформы управления информацией об угрозах можно разбить на три класса решений, причём это справедливо как для международного рынка, так и для российского. К ним относятся опенсорсные и коммерческие решения, а также предложения от провайдеров разведданных.

Решения Threat Intelligence Platform с открытым исходным кодом

Платформы, разрабатываемые энтузиастами на открытой основе. На нашем рынке существует большое количество проектов с разным объёмом реализованной функциональности. Все они являются бесплатными.

Благодаря решениям с открытым исходным кодом организация может начать работать с TI с минимальными финансовыми вложениями и самостоятельно определить вектор дальнейшего развития — переход на платные решения, где за поддержку и развитие отвечает вендор, или формирование собственной команды для внедрения, поддержки и развития необходимых функций открытой платформы. Из этого вытекает второе преимущество Open Source — имея команду разработчиков, организация самостоятельно может определять и реализовывать необходимые новые функции платформы, полностью адаптируя её под себя.

Из систем, основанных на открытом исходном коде, безоговорочным лидером является MISP (www.misp-project.org). Платформа активно развивается, имеет большую армию пользователей и более 6000 инсталляций по всему миру. Кроме этого, стоит обратить внимание на OpenCTI (www.opencti.io) — весьма молодое решение, ещё не получившее широкого распространения, однако предлагающее современную перспективную архитектуру. Будем считать, что оно входит в обзор авансом. В то же время мы не включили в сравнение платформу Yeti (yeti-platform.github.io), т. к. считаем, что она не имеет больших перспектив и не развивается активно уже продолжительное время.

Коммерческие решения Threat Intelligence Platform

Это — системы, разрабатываемые как моновендорами, так и крупными игроками, предлагающими определённый набор решений для целой экосистемы обеспечения информационной безопасности.

Такой продукт полностью готов к использованию в рамках реализованной функциональности, поддержка и решение возникших проблем реализуются вендором. Однако дальнейшее развитие платформы или добавление новых функций зависит только от одного вендора, его возможностей и оценки перспективности развития продукта по выбранным направлениям.

Из коммерческих решений на нашем рынке можно выделить два — Anomali ThreatStream (www.anomali.com) и R-Vision TIP (www.rvision.pro/tip). Первое — это, по сути, единственный продукт от зарубежных производителей, представленный в России, а второе — это единственное решение от отечественного производителя, существующее в виде завершённого коммерческого продукта, который уже в течение определённого времени доступен для приобретения.

Решения Threat Intelligence Platform от провайдеров разведданных

Сюда можно отнести узкоспециализированные продукты, предназначенные для получения TI от конкретного провайдера. Они предлагают ограниченный набор функций и по своей природе не могут использоваться как полноценные решения TIP для автоматизации полного цикла обработки разведданных. В некоторых обзорах такие решения относят к TIP, но по нашему мнению это — не совсем корректно.

Правильно будет отнести эти решения к классу TIS (Threat Intelligence Service), так как их основная задача — это поддержка сервисов, предоставляемых провайдерами разведданных. На нашем рынке такие решения предлагают практически все известные российские компании, разрабатывающие сервисы в сфере информационной безопасности.

Оценка зрелости Threat Intelligence Platform

В сухом остатке получился ограниченный выбор доступных для практического использования решений TIP. Мы провели оценку опенсорс-платформ MISP и OpenCTI, а также коммерческих решений Anomali ThreatStream и R-Vision TIP по методике, предложенной агентством Европейского союза по сетевой и информационной безопасности (ENISA) в документе «Exploring the opportunities and limitations of current Threat Intelligence Platforms (Изучение возможностей и ограничений современных платформ для управления информацией об угрозах)».

Оценка определяет способность технического решения соответствовать уровню зрелости, которым характеризуется подход организации к работе с информацией об угрозах, без учёта бизнес-процессов и знаний людей, которые в них задействованы. Таким образом, предложенная модель зрелости решений класса Threat Intelligence Platform базируется только на технической составляющей.

Исследование проводилось по 112 параметрам, обозначенным как FAx.y, где «x» и «y» — порядковые номера. Параметры разделены по группам для оценки того, насколько полно TIP может автоматизировать каждый из этапов процесса управления данными киберразведки. Каждый параметр оценивается по шкале, представленной в таблице 2. Полную выкладку параметров можно посмотреть в оригинальном документе ENISA, так как в этом обзоре их описание заняло бы неоправданно много места.

Далее полученные результаты дополнительно разбиваются на 4 уровня зрелости: «Начальный», «Базовый», «Улучшенный» и «Прогрессивный».

Теперь полученные результаты разбивают на 4 уровня зрелости по следующему принципу:

1-й уровень, «Начальный»: организация занимается сбором информации об угрозах и эксплуатирует самые примитивные (базовые) функции TIP. Данные функции, как правило, являются интегрированными в существующие средства защиты информации. Полученные данные не анализируются, не оцениваются источники угроз. Обмен данными с заинтересованными сторонами осуществляется по запросу, на личных контактах, а не стандартным способом, так как не определена политика совместного использования.

2-й уровень, «Базовый»: организация активно использует возможности TIP для импорта внутренних знаний об угрозах и применения индикаторов на каждом устройстве. TIP является центральной точкой, где хранятся и обогащаются структурированные и неструктурированные данные из широкого спектра источников. Решение обеспечивает надлежащий контроль доступа, безопасное хранение и передачу данных, предоставляет основные функции для управления собранными сведениями и их анализа. Осуществляется автоматизированный обмен данными об угрозах с заинтересованными сторонами.

3-й уровень, «Улучшенный»: TIP используется в качестве стратегического инструмента для сортировки угроз, управления и реагирования. Требования заинтересованных сторон ясны, источники угроз периодически оцениваются с помощью возможностей решения. TIP обеспечивает осведомлённость и понимание уже выполненной обработки, предоставляет инструменты для анализа угроз и функции построения рабочих процессов для совместной работы аналитиков. Распространение данных об угрозах осуществляется систематически как внутри компании, так и для внешних заинтересованных пользователей. Полностью реализована интеграция со средствами контроля безопасности и рабочими процессами обеспечения ИБ.

4-й уровень, «Прогрессивный»: TIP является единственным инструментом работы аналитиков и заинтересованных сторон, предоставляет функциональные возможности на всех этапах жизненного цикла обработки данных TI. Широко используется автоматизация, данные об угрозах являются неотъемлемой частью процессов обеспечения ИБ организации. Обмен информацией стратегически организован через TIP, которая используется как важнейшее рабочее пространство и инструмент, объединяющий все средства защиты информации.

Ниже приведена сводная таблица, отражающая зависимость уровня зрелости от наличия определённых функций TIP на каждом из этапов процесса управления данными киберразведки.

Далее для каждой ячейки таблицы 4 рассчитывается сумма входящих в неё параметров, после чего вычисляется итоговая оценка для каждого уровня зрелости, равная сумме оценок по всем пяти этапам. Итоговая оценка также указывается в процентах (%), отражая степень соответствия TIP каждому из уровней зрелости. Для наглядности введена цветовая дифференциация (см. табл. 5).

Сводные оценки соответствия уровням зрелости Threat Intelligence Platform

Ниже представлены сводные результаты по каждой оцениваемой платформе управления информацией об угрозах.
 

Выводы

Сводные итоговые оценки показывают определённые различия в уровнях зрелости рассматриваемых решений. Так, R-Vision TIP и две платформы с открытым исходным кодом показали примерно одинаковые результаты, однако выводы из этого можно сделать разные. Например, о MISP с учётом его долгого присутствия на рынке и внушительного числа разработчиков можно сказать, что решение достигло своего потолка и существенное улучшение его позиций возможно только внутри крупных компаний, которые смогут позволить себе потратить большие ресурсы на его доработку и внедрение новых, необходимых именно им функций (и вряд ли такие разработки будут общедоступными). А вот R-Vision TIP, наоборот, вышла на рынок только примерно год назад, но за такой короткий срок уже смогла предложить достаточный для удовлетворения нужд большинства пользователей объём функциональности. Также хочется отметить, что эта платформа развивается буквально на глазах: только за время подготовки этой статьи нам пришлось несколько раз пересматривать оценки, что говорит о значительной заинтересованности вендора в развитии продукта и о больших перспективах последнего.

Платформа Anomali ThreatStream, в свою очередь, практически полностью соответствует требованиям первых трёх уровней зрелости и частично — четвёртого, «Прогрессивного». Это неудивительно, ведь решение весьма долго развивается и является одним из признанных лидеров мирового рынка TIP.

Представленные результаты являются личной оценкой авторов и могут не совпадать с другим мнением. Целью обзора является не выявление победителя, а систематизация сведений о TIP вкупе со знакомством широкой публики с возможной методикой их оценки для обоснованного сравнения и выбора приоритетного решения. Читатель может самостоятельно провести подобную оценку рассмотренных в обзоре систем или любых других. Также и сама методика может быть скорректирована с учётом приоритетов и устоявшихся подходов к работе с информацией об угрозах в каждой организации.

Авторы:

Павел Корнилов, руководитель отдела систем мониторинга и автоматизации информационной безопасности STEP LOGIC

Алексей Федоров, ведущий системный архитектор отдела систем мониторинга и автоматизации информационной безопасности STEP LOGIC

Читать статью на портале Anti-Malware.