Зачастую, при демонстрации платформы киберразведки Anomali ThreatStream и того большого объема OSINT-данных, которые она содержит, заказчикам бывает сложно понять, что:
- В платформе ThreatStream нет записей о каждом вредоносном индикаторе.
- Понятие вредоносности индикатора может быть разным для разных организаций.
Рассмотрим для примера использование браузера Tor. Если это государственное ведомство, веб-портал которого создан для небольшой группы пользователей, то анонимное подключение через Tor вызывает подозрения. Но если это СМИ с обширной географией работы, которое проводит глобальные расследования, то идентификационные данные источников информации должны быть скрыты, поэтому доступ через Tor — вполне привычное дело.
Когда во время демонстрации платформы ThreatStream просят найти конкретный IP-адрес или домен, а в ответ на этот запрос из обширной библиотеки активных индикаторов ничего не приходит, качество этих индикаторов ставится под сомнение.
В связи с этим стоит рассмотреть несколько реальных кейсов, в которых Anomali показала эффективность внутренней киберразведки — данных об угрозах, которые генерируются внутри организации из ее собственных журналов событий или расследований.
Захват аккаунтов
Команда киберразведки и SOC в компании по разработке онлайн-видеоигр осознала ценность TIP. Они предоставили доступ к платформе команде по антифроду, у которой была совершенно другая зона ответственности и другой взгляд на платформу киберразведки — они не могли понять ее значимости.
Расследование случаев мошенничества начинается с того, что с командой связывается один из клиентов и сообщает, что с его аккаунта пропадают деньги, данные, токены и т. д. Либо все начинается с алерта от SOC: «Мы заблокировали аккаунт из-за попыток угадать пароль».
Зачастую в начале расследования у команды по защите от мошенников есть нет так много данных. Конкретно в этом случае у них был только идентификатор аккаунта (адрес электронной почты) и исходный IP-адрес, с которого пытались получить доступ к этому аккаунту.
Чтобы определить, какая информация есть у TIP об адресе почты или IP-адресе, команде приходилось проводить отдельный поиск по каждому из этих элементов данных. Часто платформа ничего не находила, из-за чего команда по антифроду разочаровалась в ней.
«В чем смысл киберразведки?» — спрашивали они. Мы ответили на этот вопрос, и хотя по итогам поиска платформа давала релевантные данные, поиск по вышеупомянутым индикаторам не дал команде того, что они считали очевидным доказательством атаки. Однако в процессе работы стало понятно, что команда антифрода собирала очень ценные данные внутренней киберразведки.
Предложение Anomali заключалось в следующем: для каждой потенциальной атаки в TIP должны быть загружены идентификатор атакованного аккаунта и IP-адрес атакующего. К этой информации (а это уже не просто данные) назначались бы соответствующие теги (которые позволят быстро находить ее при последующих поисках), и активировался бы процесс расследования каждой потенциальной атаки.
Благодаря этому команда по защите от мошенников может выявлять закономерности: что общего у атакованных аккаунтов? Исходят ли атаки с одного IP-адреса? Или с одного диапазона IP-адресов или номера автономной системы (ASN)? Из какой страны атакуют? Есть ли закономерность относительно времени проведения атак?
Начало формального процесса расследования в TIP позволило команде анифрода начать сбор ценных данных об атаке. Данные киберразведки, относящиеся именно к этой организации, представляют бо́льшую ценность, чем все собранное из открытых источников, потому что внутренние данные могут дать ответы на следующие вопросы: можно ли установить связь между атаками и объединить их в инцидент? Являются ли эти регулярные атаки частью злоумышленной кампании против нашей организации? Можем ли мы установить, кто является злоумышленником?
Процесс, используемый командой антифрода, со временем был усовершенствован и использует данные внутренней киберразведки. Раньше члены команды добавляли вредоносный IP-адрес и атакованный аккаунт в электронную таблицу, где об этих данных вскоре забывали. Сейчас списки IP-адресов отправляются в SIEM, и каждый раз, когда обнаруживается подключение с одного из этих адресов, сотрудники получают алерт. Если кому-то удалось войти в аккаунт, то можно отслеживать взаимодействие с ним в режиме реального времени.
Атаки через VPN-провайдера
Anomali работала с коммерческой организацией, у которой регулярно сканировались порты и на них отправлялись тестовые запросы. Компания также подвергалась DoS-атакам — все это осуществлялось с множества IP-адресов. Организация провела расследование этих серий атак и выяснила, что все они исходили от взаимосвязанных IP-адресов. Это был не диапазон в подсети или один номер ASN — это были адреса определенного провайдера анонимных VPN-сервисов.
Поиск этих IP-адресов на платформе киберразведки иногда выдавал известные индикаторы, но в основном ответ на запрос приходил пустым. Но почему диапазон адресов легитимного VPN-провайдера, хоть и с сомнительной репутацией, должен быть помечен в обычных фидах открытого доступа как вредоносный? Не стоит забывать, что сам VPN-провайдер не является плохим или хорошим — это его сервисы могут плохо или хорошо использоваться.
Команда по киберразведке составила список всех IP-адресов этого VPN-провайдера, а затем добавила их в TIP с соответствующими тегами. Теперь в SIEM есть список индикаторов и можно найти следующую информацию: сколько сканирований портов произошло за этот месяц? Сколько из них исходило от «плохого» провайдера? Полученные метрики оказались очень убедительными, и было принято решение заблокировать все адреса этого провайдера на межсетевом экране.
Сканирование сервисом Shodan
Shodan описывают как «первый в мире механизм для поиска устройств, подключенных к Интернету».
Путем применения разных фильтров в Shodan можно, например, найти конкретные типы компьютеров или IoT-устройств, у которых есть выход в Интернет. Хотите найти светофоры, домашние отопительные системы или АСУ ТП? Если они подключены к Интернету, то Shodan знает об их существовании.
Shodan — это великолепный инструмент, но информация, которую он предоставляет, может использоваться как во благо, так и во вред. Системный администратор может использовать Shodan для сканирования своих систем, подключенных к Интернету, в поисках утечки данных или открытых портов, которые нужно устранить или закрыть. Злоумышленник может также использовать Shodan для сканирования систем с выходом в Интернет, которые он собирается атаковать, чтобы найти в них утечки данных или открытые порты, которые можно эксплуатировать.
Один из клиентов Anomali, ИТ-организация, широко использует Shodan для сканирования своих систем, подключенных к Интернету. Shodan считается таким же ценным ресурсом и инструментом, как и коммерческий сканер уязвимостей для внутренней сети. Следовательно, в компании регулярно происходит множество сканирований портов. Организации необходимо различать легитимные сканирования, которые исходят от Shodan, и все остальные, которые потенциально вредоносны и могут указывать на начало кибератаки.
Команда по расписанию выгружает список актуальных серверов Shodan из источников организации SANS (внешние данные). Эти данные импортируются в платформу киберразведки ThreatStream, им назначаются нужные теги, после чего из них составляют список для наблюдения в SIEM. Сканирования портов, которые исходят с IP-адресов из этого списка, игнорируются. Алерты о сканированиях с других адресов можно импортировать в ThreatStream как индикаторы угрозы (т. е. внутренние данные), если их там еще нет. Это позволяет отслеживать подключения с этих IP-адресов к корпоративной инфраструктуре, у которой есть выход в Интернет.
Заключение
Самые важные данные киберразведки, которые можно использовать для защиты от атак, находятся в ваших собственных журналах событий. Если индикатор не был обнаружен до вас, это не значит, что его не стоит учитывать. Все совсем наоборот: возможно, что вы первыми обнаружили эту атаку или она направлена только на вашу организацию.
Возможность фильтровать события и выделять их индикаторы для отслеживания в будущем — неотъемлемая часть и даже основа высокоточной внутренней киберразведки.
О платформе Anomali Threat Platform
Платформа Anomali Threat Platform представляет собой интегрированный пакет решений, созданный для выявления сложных угроз, расследования действий злоумышленников и эффективного и действенного реагирования на инциденты, и доступна в виде облачного сервиса, на площадке заказчика или в полностью изолированной среде.
Хотите узнать больше? Закажите демо и тестирование Anomali по этой ссылке.