Пользовательские каналы угроз - это будущее - вот как начать
31 июля 2025 г.Поскольку программное обеспечение продолжает есть мир, и ИИ становится множителем силы для злоумышленников, те из нас, кто поручил защищать наши системы, должны быть более сфокусированными, преднамеренными и упреждающими в наших подходах. Мы должны подняться, чтобы встретить этот натиск новых киберугроз.
В этой статье мы рассмотримИнтеллект угроз, что это такое и почему это важно, какУгроза интеллекта кормаможет помочь нам в нашей повседневной защите и в том, как мы можем создатьПользовательские каналы интеллекта угрозЭто соответствует конкретным потребностям наших организаций.
Понимание интеллекта угроз
Интеллект угрозВся контекстная информация, которая нам нужна, о потенциальных или активных угрозах кибербезопасности, чтобы помочь нам понять риски. Эти части информации называютсяИндикаторы интеллекта угрозПолем Примеры включают вредоносные IPS, домены, хеши вредоносных программ и тактику злоумышленников.
Интеллект угрозы имеет решающее значение - она помогает организациям обнаружить, предотвратить и реагировать на угрозы, обогащая необработанные данные безопасности индикаторами и поведенческими моделями. Наиболее эффективная интеллекта угроз объединяет техническую информацию с пониманием целей, методов и инфраструктуры актеров угрозы.
Интеллект угроз имеет решающее значение для борьбы с усталостью и шумом. Слишком много информации создает десенсибилизацию. В итоге мы медленно реагируем или даже игнорируем критические проблемы. Цель с интеллектом угроз - сделать его значимым, чтобы мы никогда не пропустили важное предупреждение.
Есть несколько типов индикаторов интеллекта угроз. Давайте посмотрим на каждого вместе с его масштабами и целью.
Индикаторы и корма для интеллекта угроз
Индикаторы интеллекта угроз часто сгруппированы в категории, такие как атомные (отдельные части информации), вычисленная (информация, полученная из анализа) и поведенческий (что делает злоумышленник).
Мы также часто группируем информацию вкорм—Data Streams индикаторов интеллекта угроз, которые мы используем для подачи наших систем постоянных обновлений о рисках и угрозах. Это то, на чем мы сосредоточимся здесь.
Средства для интеллекта угроз могут быть:
- Стратегические каналы-Тенденции угрозы высокого уровня, возникающие риски и развивающиеся векторы атаки, помогая с долгосрочным планированием и приоритетом ресурсов.
- Операционные каналы- Активные угрозы, мониторинг тактики, методов и процедур (TTP), используемых противниками, позволяя командам SOC предвидеть и защищать от атак.
- Технические каналы- Точные, действенные данные (такие как IP -адреса, домены и хеши вредоносных программ), которые можно использовать немедленно для блокировки известных угроз.
- Тактические подачи- Данные об угрозах в реальном времени, которые поддерживают быстрый ответ инцидентов, позволяя SOCs быстро реагировать.
К счастью, вам не нужно строить все эти каналы с нуля. Коммерческие поставщики, правительственные учреждения и общины с открытым исходным кодом предоставляют предварительно построенные каналы угроз в стандартных форматах, таких как Stix 2.1 (JSON), OpenLOC (XML) и MISP (JSON).
Эти каналы различаются по объему, качеству и специализации. Некоторые сосредоточены на актеров национальных государства и продвинутых постоянных угрозах (APT), в то время как другие подчеркивают кампании вредоносных программ, ботнет или фишинговую инфраструктуру. Команды безопасности могут выбрать объединить несколько каналов, чтобы создать комплексную картину угроз, подходящую для потребностей их организации.
Примеры включают:
- Alienvault OTX- Совместная интеллектуальная платформа угроз, где специалисты по безопасности делятся и потребляют индикаторы компромисса в режиме реального времени (МОК). Он обеспечивает доступ к данным об угрозах, обусловленных сообществом, включая IPS, домены, хеши вредоносных программ и паттерны атаки.
- ФБР Infragard- Партнерство между ФБР и частным сектором было сосредоточено на защите критической инфраструктуры посредством доверенного обмена информацией. Infragard предоставляет уведомления о частной интеллекта угроз и сектора-специфические каналы, полученные в результате расследований ФБР и партнерских отношений с операторами инфраструктуры.
- Интеллект Google угрозы (ранее Mandiant)- Предоставляет МОК с высокой достоверностью, подписи вредоносных программ, правила Yara, профили актеров и телеметрию кампании. Сдачи доступны через API, Stix/TAXII и интеграции с платформами SIEM/SOAR для автоматического обнаружения и корреляции.
Рыжая конфликтов частной угрозы
Но что, если эти каналы не дадут вам всего, что вам нужно? В этом случае вам нужно BYOF! (Принесите свой корм.)
Рыжая конфликтов частной угрозыможет быть создан на основе ваших запатентованных организационных потребностей и добавлять в ваши интеллектуальные системы угроз, как промышленные кормы.
В идеале эти частные каналы генерируются путем просеивания ваших (потенциально огромных) оповещений и событий, а затем разумно всплыв наиболее релевантные показатели. После того, как вы создали свой личный канал, вы можете объединить его со стандартными каналами интеллекта угроз выше. Это создает индивидуальное представление об угрозах, которое позволяет вашей команде безопасности нулевой и быстро реагировать на угрозы.
Но создание этих частных каналов может быть проблемой. Вам необходимо создать систему, которая может хранить, собирать, анализировать и объединять отраслевые каналы с вашими частными каналами, а также отображать информацию в команду безопасности и интегрироваться с другими общими инструментами, сохраняя при этом систему надежной, масштабируемой и безопасной.
Большинство организаций предпочитают использовать прочную существующую платформу и сосредотачивать свои ресурсы на своих основных компетенциях. Давайте посмотрим на один способ, это можно сделать. Для нашего примера мы будем использоватьСумо логика-Облачное управление журналами и аналитическая служба, с которой большинство людей знакомы.
Как донести собственные каналы в логику Sumo
С Sumo Logic мы можем использовать как существующие отраслевые каналы, так и наши собственные пользовательские каналы. Давайте посмотрим, как добавить отраслевые и частные каналы через веб -интерфейс.
Установить разрешения
Во -первых, если вы еще этого не сделали, перейдите в меню администрирования и создайте новую роль с возможностями Intel.
Перейдите к конфигурации интеллекта угроз
Теперь иди вКонфигурацияменю. ВЖурналыраздел, нажмитеИнтеллект угрозПолем
Вы также можете просто просмотреть прямо наhttps://service.sumologic.com/threat-intelligenceПолем
Предварительно построенные подачи
Вы сразу же увидите, что логика Sumo уже предоставляет предварительно построенные каналы для разведки глобальных угроз:Intel471иКраудстикПолем
- Intel471Обеспечивает интеллект угроз, ориентированную на поведение противника, полученное из таких источников, как Dark Web и преступные форумы. Его канал включает в себя профили актеров, ранние предупреждения о запланированных атаках, отслеживании вредоносных программ и эксплойтов, а также богатые контекстными индикаторами компромисса (МОК), связанных с конкретными актерами угроз.
- КраудстикПредоставляет интеллект, полученный из конечной точки в реальном времени и облачной телеметрии, собранной через его платформу Falcon. Он включает в себя МОК с высокой достоверностью, атрибуцию противника и подробное понимание тактики, методов и процедур (ТТП), наблюдаемые во время живых атак, часто отображаемых по сравнению сMiter Att & Ckрамки.
Вместе эти каналы дают вам отличное начало с дополнительного взгляда на ландшафт угроз:Intel471сосредоточен на намерениях и планировании злоумышленника, иКраудстикО активном исполнении и наблюдаемых кампаниях.
Добавление нового пользовательского индикатора (BYOF)
Но мы не хотим просто использовать предварительно построенные каналы. Мы хотим добавить наш собственный индикатор (и в конечном итоге подавать). Итак, давайте сделаем это дальше.
Есть три поддерживаемых формата:
- Нормализованный формат JSON
- Формат CSV
- Stix 2.x json format(Только API используется)
Мы будем использовать JSON. Вот пример:
{
"indicators": [
{
"id": "0001",
"indicator": "192.0.2.0",
"type": "ipv4-addr",
"source": "TAXII2Source",
"validFrom": "2023-03-21T12:00:00.000Z",
"validUntil": "2025-03-21T12:00:00.000Z",
"confidence": 30,
"threatType": "malicious-activity",
"actors": "actor1,actor2",
"killChain": "reconnaissance",
"fields": {
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"kill_chain_phase": "reconnaissance"
}
},
{
"id": "0002",
"indicator": "192.0.2.1",
"type": "ipv4-addr",
"source": "TAXII2Source",
"validFrom": "2023-03-21T12:00:00.000Z",
"validUntil": "2025-03-21T12:00:00.000Z",
"confidence": 30,
"threatType": "malicious-activity",
"actors": "actor3,actor4",
"killChain": "reconnaissance",
"fields": {
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"kill_chain_phase": "reconnaissance"
}
}
]
}
УвидетьИндикаторы интеллекта угрозДокументация от логики SUMO для получения более подробной информации.
Пользовательские индикаторы появятся через несколько минут.
Обновление индикаторов
Как вы могли заметить, это нединамикаПоправьте эту логику сумо, может запросить и обновить. Вместо этого мы создали канал, который периодически обновляется с последним интеллектом угроз.
Почему модель на основе толчка? Это довольно распространено и позволяет логике SUMO поддерживать безопасные границы (без хранения учетных данных, отсутствие веб -хука/API, подвергающегося риску атак) и удалять любые риски надежности, связанные с внешними системами. Это также гарантирует, что проглатывание является преднамеренным, стандартизированным и под контролем организации.
Создайте свой собственный корм
С учетом вышесказанного мы теперь можем построить наш собственный контактный канал для личной угрозы и объединить его с промышленными каналами выше, создавая индивидуальный корм, который отвечает точным потребностям нашей организации.
Создание собственного корма требует плана и тщательного исполнения. Вот некоторые вопросы, которые должен решить ваш план:
- Какие индикаторы угрозы вы хотите подвергнуть логике SUMO?
- Вы выставляете один индикатор или несколько индикаторов?
- Как собирать соответствующую информацию из вашей системы?
- Как отфильтровать и подготовить данные?
- Как часто вы загружаете/обновляете индикаторы?
Например, допустим, у нас периодическое сканирование наших ведер S3, чтобы убедиться, что они не являются публичными. Но некоторые ведра S3 содержат общественные активы, которые должны иметь публичный доступ к чтению. Умный частный канал может сравнить список публичных ведер с белым списком и загружать только публичные ведра, не в списке.
После того, как у вас будут ответы (и индикаторы), вы создаете услугу, которая собирает, фильтрует и загружает файлы индикатора в логику SUMOAPIчерез регулярные промежутки (или когда обнаруживаются срочные угрозы). Sumo Logic объединит этот канал с другими выбранными отрасльными каналами для индивидуального набора индикаторов для вашей организации.
Заключение
Интеграция интеллекта угроз в ваши операции безопасности имеет важное значение для того, чтобы оставаться впереди быстро развивающиеся киберугрозы. Используя как общественные, так и частные каналы интеллекта угроз, мы можем лучше понять ландшафт угроз. И, в конечном счете, мы можем предпринять более быстрые, более точные действия.
Удачного дня!
Оригинал