Сравнительный анализ TIP. Применение платформ киберразведки на примере Anomaly STAXX
1. Что такое платформы киберразведки и их функции.
TI является частью комплексного подхода по мониторингу и реагированию на современные киберугрозы. Задачами TI являются: разведка и сбор данных, аналитика, обмен данными, оповещение. TI Можно разделить на такие составные части, как:
1. Фиды или сводки данных об угрозах (Threat Intelligence Feeds)
Фиды – это потоки данных, содержащие индикаторы компрометации, т.е. признаки, по которым можно распознать потенциальную угрозу
2. Услуги по киберразведке (Threat Intelligence Services)
3. Платформы киберразведки (Threat Intelligence Platforms)
Платформы киберразведки помогают хранить, централизованно обрабатывать и анализировать данные, собранные из фидов или обнаруженные какими-либо другими средствами. У каждой платформы свой функционал, какие-то позволяют просто хранить и собирать фиды, другие дают возможность для более подробного анализа и более широкого взаимодействия с внешними системами. Выделим основные функции TIP.
Основные функции TIP:
1. Консолидация индикаторов об угрозах от множественных источников;
2. Нормализация, обогащение feed’ов, определение уровня критичности;
3. Анализ и обмен информации об угрозах;
4. Анализ событий из SIEM или других источников информации на наличие угроз безопасности;
5. Интеграция с существующими системами безопасности.
2. Что такое индикаторы компрометации и их значимость в киберразведке
Индикаторами компрометации (Indicator of Compromise, IoC) называют объект или активность, которые могут указывать на то, что осуществляется несанкционированный доступ к защищаемой системе.
IOC принято делить на три основных типа:
Атомарные. К ним относятся IP-адреса, e-mail-адреса, DNS-адреса, полные URL и даже статические фрагменты в управляющих (Command & Control, C2) каналах вредоносного кода или ботнетов. Такая информация является первичной информацией, позволяющей идентифицировать что-то нехорошее, происходящее в сети или на отдельных компьютерах. Да, IP– или DNS-адреса, с которых может распространяться вредоносный код, могут меняться и меняться часто (до нескольких раз в день). Но и индикаторы компрометации, содержащие эту информацию, могут также распространяться по мере появления новой информации.
Вычисляемые. К такому типу индикаторов относятся хэши (контрольные суммы) вредоносных файлов по стандартам MD5 или SHA1, ключи реестра, списки процессов или информация для декодирования протоколов, по которым работает вредоносный код.
Поведенческие. Это уже не отдельные индикаторы, а их наборы, описывающие профиль поведения чего-либо или кого-либо — злоумышленника, узла, подсети и т. п. Например, таким индикатором может служить формализованное описание следующего профиля — «неизвестный часто использует IP-адреса в диапазоне <таком-то> для попытки подключиться к Web-сайту <такому-то> в <такое-то> время» или «неизвестный отправил вложение в формате MS Word в сообщение e-mail с почтового сервера, созданного 10 минут назад в Украине».
Набор данных IOC (основной, дополнительный)
Стандарты IOC
§ TLP (Traffic Light Protocol) — простой протокол, предложенный американским центром реагирования на инциденты US CERT, и позволяющий «раскрасить информацию в 4 «цвета». От цвета зависит, кому можно передавать информацию об угрозах — всем, внутри отрасли или сообщества, внутри организации, нельзя передавать никому. Протокол очень прост в реализации, и его можно применить даже к обычной электронной почте.
§ Протоколы и стандарты рабочей группы MILE (Managed Incident Lightweight Exchange), включающие:
- Стандарт Incident Object Description and Exchange Format (IODEF), описанный в RFC5070, и содержащий в формате XML свыше 30 классов и подклассов инцидентов, включая такую информацию как контакт, финансовый ущерб, время, пострадавшие операционные системы и приложения и т. д. IODEF — стандарт достаточно проработанный и уже немало где используется. Из организаций его использует Anti-Phishing Working Group, а также многие CERT/CSIRTы. Да и с вендорской поддержкой не так все плохо — SIEM постепенно интегрируют его внутрь себя.
- Стандарт IODEF for Structured Cyber Security Information (IODEF-SCI), который является расширением для IODEF, позволяя добавлять к IODEF дополнительные данные — шаблоны атак, информация о платформах, уязвимостях, инструкциях по нейтрализации, уровень опасности и т. п. Также предлагается включить в состав IODEF-SCI часть стандартов американской корпорации MITRE, предназначенных для описания тех или иных нюансов, связанных с ИБ, — уязвимостей, атак, конфигураций, ошибок и т. п. (это стандарты CAPEC, CEE, CPE, CVE, CVRF, CVSS, CWE, CWSS, OCIL, OVAL, XCCDF, XDAS).
- Протокол Real-time Inter-network Defense (RID), который позволяет взаимодействовать различным системам ИБ-аналитики. Построенный на базе HTTP/HTTPS, он, хотя и описан в RFC6545, не является очень уж популярным.
§ OpenIOC — это открытый стандарт описания индикаторов компрометации (Indicator of Compromise, IOC), который первоначально был закрытой разработкой американской компании Mandiant, но потом был открыт для публичного использования. Также как и IODEF построен на базе XML и содержит свыше 500 различных индикаторов, преимущественно узловых (хостовых) — файл, драйвер, диск, процесс, реестр, система, хэш и т. п. Пока OpenIOC — это преимущественно епархия продуктов Mandiant, но постепенно начинает проникать и в решения других компаний-разработчиков средств защиты информации.
§ VERIS (Vocabulary for Event Recording and Incident Sharing) — стандарт американской компании Verizon, ориентированный стратегически, в отличие от тактического OpenIOC, на информацию об угрозах и инцидентах. По сути это некий единый язык для описания и обмена информацией об инцидентах. Схема VERIS состоит из пяти частей — отслеживание инцидента, описание инцидента, демография жертвы, оценка ущерба и реагирование, каждая из которых в свою очередь делится на различные типы данных и переменные. Большой популярности данный стандарт пока не снискал.
§ Стандарт CybOX (Cyber Observable Expression), разработанный американской корпорацией MITRE, предназначенный для описания индикаторов наблюдаемых событий безопасности. Сегодня уже представлено свыше 70 различных описываемых объектов — файл, сетевое соединение, HTTP-сессия, сетевой поток (Netflow), сертификат X.509 и т. п.
§ Стандарт STIX (Structured Threat Information Expression), также разработанный MITRE и позволяет унифицировать описание различных угроз. Несмотря на его активное продвижение в США, он достаточно сложен в реализации и поэтому уступает по популярности OpenIOC и IODEF.
3. Сравнение TIP, имеющихся на рынке
На данный момент существует большое количество платформ киберразведки, но логично, что каждая компания будет использовать какую-то одну, наиболее подходящую для ее деятельности. С этой целью было решено обзор TIP решений и рассмотреть преимущества и недостатки каждого.
Также хотелось бы выделить отдельные преимущества каждой из платформ.
Anomali STAXX
бесплатная версия для небольших компаний;
простая установка, не требующая высокой квалификации специалистов;
автоматическая загрузка фидов по расписанию;
встроенный поисковый движок, позволяющий получать полные сведения о собираемых системой индикаторах компрометации (Indicator of compromise, сокр. IoC).
Anomali ThreatStream + Enterprise
интеграция с решениями SIEM, Firewall, IPS, Endpoint и поддержка интеграции по API;
извлечение индикаторов компрометации из фишинговых писем;
динамический анализ вредоносных программ в песочнице;
бренд-мониторинг, позволяющий осуществлять поиск ресурсов, незаконно использующих бренд компании.
детектирование алгоритмов генерации домена (Domain Generation Algorithms, сокр. DGA), используемых вредоносными программами с помощью механизмов машинного обучения.
ThreatConnect Platform
Динамическая автоматизация и управление на базе Intel для более эффективного принятия решений
Рациональная и расширяемая интеграция для распространения информации среди других инструментов безопасности
поддержка тегов, атрибутов для сегментации и дальнейшего анализа данных;
гибкий модуль аналитики, позволяющий не только видеть список событий, но и всесторонне визуализировать данные;
создание правил Yara на основе полученных индикаторов компрометации.
ThreatQ
Существует возможность агрегировать, дедуплицировать, нормализовать и обогащать
Существует возможность расставлять приоритеты, исходя из ваших требований
Автоматическая отправка данных в инфраструктуру безопасности
EclecticIQ Platform +EclecticIQ Fusion Center
Интеграция с существенным анализом угроз
Комплексный рабочий процесс
Глобальное сообщество пользователей
Релевантная сортировка данных для фокусировки на самых актуальных угрозах.
Your Everyday Threat Intelligence (YETI)
Простая установка в несколько строк Bash;
Хорошо задокументированная настройка, установка, API-интеграция;
Возможность связывать события, визуализируя информацию графами;
Одна из самых простых в настройке и поддержке TIP с открытым исходным кодом
Malware Information Sharing Platform (MISP)
Визуализация графами, обогащение и классификация инцидентов;
Огромное сообщество профессионалов, множество обучающих материалов, книга по использованию, установке, настройке и администрированию;
Ежемесячные обновления и поддержка разработчиков.
R-Vision Threat Intelligence Platform
Интеграция с R-Vision IRP Автоматическое обогащение индикатора компрометации Для отечественных пользователей имеется русский язык
Вывод: Подводя итоги сравнения, следует выделить несколько особенностей. Первое, это то, что большая часть широко используемых платформ являются коммерческими.
Второе – большинство компаний имеют штаб-квартиры в США, показывая, что наибольшее развитие отрасль TI получила именно там.
Третье – Open Source платформы не уступают, а в некоторых критериях и превосходят коммерческие платформы. Благодаря своим сообществам они получают развитие, постоянно дорабатываются, устраняют проблемные места.
Четвертое – все платформы поддерживают стандарты STIX/TAXII, использование CSV-файлов и JSON-файлов в качестве фидов. Особо стоит обратить внимание, что все платформы поддерживают интеграцию по REST API.
Пятое – графическое изображение связей объектов feed’ов и внутренних артефактов, помогающее более точно и подробно изучить каждый индикатор имеет большая часть TIP, также хотелось бы особо отметить, что только две платформы имеют в наличии сформированные образы для платформ виртуализации.
4. Пример работы с платформой с использованием Anomali STAXX.
4.1 Инструкция по развертыванию платформы.
Для начала, чтобы получить продукт необходимо перейти по ссылке https://www.anomali.com/community/staxx. Затем нажать на кнопку Download внизу страницы.
Затем, необходимо заполнить поля с личной информацией, чтобы получить право на скачивание платформы
При скачивании мы получаем zip архив, в котором находятся файл с документацией на платформу в формате pdf, соглашение об уровне предоставления услуг в виде текстового документа и ova файл – пакет, содержащий файлы, применяемые для описания виртуальной машины.
Запускаем ova файл с помощью Oracle VM VirtualBox. В списке имеющихся машин появляется еще одна – Anomali STAXX.
Запускаем ее. Запускается сервер, предоставляющий допуск к платформе. При первом запуске нас встречает сообщение о том, что имя пользователя «anomali», а пароль по умолчанию «anomalistaxx»
Также, особое внимание стоит обратить на URL-адрес, по которому и осуществляется доступ к платформе.
После ввода логина и пароля, заходим в браузер и переходим по заданному URL.
Важно!!!
Перед входом в браузер, возможно, необходимо будет произвести настройку сети виртуальной машины. Пробросить порты с указанием ip-адреса компьютера и заданного платформой ip-адреса. Установить тип подключения: Сетевой мост.
После перехода по заданному URL-адресу попадаем на страницу с авторизацией. Согласно документации, при первом входе необходимо ввести следующие данные:
User name: admin
Password: changeme
Далее нас знакомят с сервисом Anomali Limo, также позволяют самим добавить сторонние источники информации и выбрать какие фиды будут использоваться из данного источника.
После выбора фидов, мы попадаем на саму платформу, которую уже можем настраивать как угодно, в том числе снова добавлять источники с фидами.
4.2 Обзор функций Стартовый экран платформы Anomali STAXX - OVERVIEW имеет следующий вид
Здесь мы можем видеть 5 вкладок Indicators, Severity, Source, Tags, Confidence.
Indicators – тип индикатора компрометации
Severity – степень опасности индикатора компрометации
Source – источник индикатора компрометации
Tags – тег, по которому можно найти индикатор компрометации
Confidence – достоверность индикатора
Можно рассматривать эти обобщенные данные, начиная с последних 30 минут до 5 лет.
При нажатии на любой из столбцов можно увидеть более подробную информации о каждом индикаторе компрометации.
Следующий пункт меню ACTIVITY. В нем осуществляется поиск индикаторов компрометации по любому количеству критериев. Минусом является лишь то, что максимум может храниться 20000 индикаторов в конкретный момент времени. Но чтобы избежать потери, найденных данных, существует функция сохранения поисковых запросов.
Поиск индикаторов можно проводить по следующим критериям:
Date range – временной диапазон
Severity – степень опасности индикатора компрометации
Confidence – достоверность индикатора
TLP (Traffic Light Protocol) — протокол, позволяющий «раскрасить» информацию в четыре цвета, влияющих на то, кому можно передавать полученную информацию об угрозах:
Source – источник индикатора компрометации
Indicator type – тип индикатора компрометации
Меню ACTIVITY имеет следующий вид:
Третий и последний пункт меню – IMPORTS. С помощью этого пункта мы имеем возможность сами загрузить индикаторы компрометации. Они могут иметь вид как обычного текста (окно справа) либо это может быть файл в формате TXT, CSV, STIX и др. Также платформа Anomali STAXX имеет возможность работать с API. Помимо ввода самого индикатора компрометации можно задать его свойства, те же, что используются и для поиска в прошлом пункте меню – ACTIVITY. Пункт имеет следующий вид:
Добавление фидов
Чтобы добавить фиды необходимо нажать на значок шестеренки и выбрать вкладку Sites. Я использовал для тестирования платформы пять каналов с аналитической информацией среди которых Anomali Limo (предоставляется компанией Anomali вместе с платформой STAXX. Использовал два канала, один для стандарта TAXII v.1 и второй – v. 2.0). Также использовались каналы Hailataxii, AlienVault OTX, EclecticIQ TAXII Test server.
Для каждого канале имеется более 10 фидов (кроме AlienVault OTX). Для каждого из них можно увидеть подробную информацию. Также есть возможностьувидеть подробную информацию о каждом фиде, среди которой имеется имя фида/описание либо владелец API, время последнего запроса, результат последнего запроса, включен ли фид, имеются кнопки для запроса в реальном времени (Poll Now) и настройка фида (Edit). Помимо этого с помощью кнопки DISCOVER можно проверить работает ли канал в данный момент времени.
Помимо этого, существует возможность добавлять различных пользователей на платформу. для этого нужно выбрать вкладку USER в меню где происходит добавление канала аналитических данных.
4.3 Анализ найденных IOC Анализ собранных данных
Сбор данных производился в течение месяца. В первую очередь выделим какие типы индикаторов компрометации были найдены.
По результатам анализа было выявлено, какие индикаторы сколько раз удалось получить из источников информации
1. scan_ip (>30436)
2. phish_url (14443)
3. mal_md5 (2787)
4. mal_domain (314)
5. mal_ip (185)
6. bot_ip (170)
7. c2_ip (160)
8. phish_domain (98)
9. apt_url (55)
10. c2_domain (19)
11. mal_email (9)
12. proxy_ip (3)
13. suspicious_domain (2)
14. exfil_url (2)
15. ddos_ip (2)
Вывод по работе с данными:
Итак, всего за время работы было обнаружено 15 типов IoC. Самое большое количество индикаторов типа scan_ip и phish_url, самое маленькое –suspicious_domain, exfil_url, ddos_ip.
Тройкой фидов, предоставивших самое большое количество индикаторов компрометации являются http://www.phishtank.com/, otx.alienvault.com:user_AlienVault, limo.anomali.com:DShield_Scanning_IPs_F150. Стоит отметить, что фиды phishtank и DShield_Scanning_IPs_F150 являются достоверными. Средняя достоверность IoC, предоставляемых ими равна 80, в то время как достоверность индикаторов компрометации от otx.alienvault.com:user_AlienVault, не превышает 20, т.е. работать с ним я бы не советовал, либо если все-таки это необходимо, то нужно очень тщательно проверять, предоставляемую им информацию. Всего за время исследования было обнаружено 77963 IoC. Достоверность 0-50 имели 22536 индикаторов, 50-60 – 3950, 60-70 – 6020, 70-80 – 7191, 80-90 – 34143, 90-100 – 4092 и 100 – 31. Заметно, что достоверность в основном выше 60 процентов, т.е. подключенные фиды, предоставляли подготовленную к работе информацию. Что касается уровня опасности, то большая часть индикаторов имеют среднюю опасность, меньшая – очень высокую (238) это индикаторы типа c2_ip и mal_ip. Также в течение работы было замечено, что наибольшее количество индикаторов компрометации проявляются с пятницы по воскресенье.
5. Заключение
Платформы киберразведки являются полезным экономическим вложением со стороны компаний в область защиты информации, так как каждая компания, будь она частная или государственная, нуждается в знаниях об актуальных угрозах. Также преимуществом платформ является то, что использование платформы обеспечивает им квалифицированный, объективный и стратегический взгляд на угрозы (APT-группировки, инциденты и многое другое), а также позволяет собрать воедино индикаторы компрометации и распространить полученную информацию на имеющиеся средства защиты.
Платформа Anomali STAXX является отличной площадкой для первого опыта работы с TIP. Платформа не требует высокой квалификации специалистов, легко устанавливается и настраивается и имеет понятный интерфейс. Существует возможность импорта и экспорта индикаторов компрометации, имеется функция автоматической загрузки данных через определенный период времени, есть возможность сохранять шаблоны поиска. Платформа позволяет отслеживать уровень опасности, типы, достоверность, организации, к которым IoC относятся и многое другое. Главное, что STAXX бесплатна и подходит даже мелким компаниям, позволяя им начать заниматься безопасностью своей системы без затраты средств. Также плюсом является бесплатная аналитическая информация об угрозах от Anomali Limo, которую можно назвать точной и достоверной.