Threat intelligence (данные о киберугрозах)

Threat intelligence (данные о киберугрозах) — это информация об актуальных угрозах и группировках киберпреступников, которая позволяет организациям изучить цели, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак. Компании могут сами собирать данные о киберугрозах или заказывать информацию у сторонних поставщиков.

Виды данных о киберугрозах

Данные о киберугрозах можно условно разделить на три основных группы:

  • Тактические — техническая информация, например индикаторы компрометации.
  • Операционные — описание техник и процедур, которыми пользуются злоумышленники, а также их возможностей и преследуемых ими целей.
  • Стратегические — данные о рисках, связанных с конкретными угрозами.

Threat intelligence предоставляют в виде потоков сырых данных об угрозах или аналитических отчетов с выводами и рекомендациями.

Как работают с данными о киберугрозах

Threat intelligence собирают вручную или автоматически из разных источников, в том числе с конечных точек и других элементов инфраструктуры компании, из новостей и предоставляемых ИБ-компаниями потоков данных об угрозах, с интернет-сайтов и форумов, ресурсов даркнета и так далее. Собранную информацию анализируют и преобразуют в удобный для практического использования формат. Весь процесс работы с threat intelligence можно разделить на следующие этапы:

  1. Планирование — постановка задачи для программы или специалистов.
  2. Сбор и обработка данных — сбор информации об актуальных угрозах, а также очистка от дублирующих данных и приведение собранной информации к единому формату. Обработка необходима для оперативного поиска и извлечения конкретных данных.
  3. Анализ — изучение полученных данных, в том числе подозрительных файлов и программ, формирование гипотез и рекомендаций. На этапе анализа также выявляются недочеты методик сбора и обработки данных.
  4. Распространение — передача threat intelligence заинтересованным лицам, например специалистам внутри компании, если она собирала данные для себя, или клиентам, если организация выполняла заказ третьих лиц.
  5. Обратная связь — получение и учет реакции сотрудников или клиентов организации на предоставленную информацию.

Применение данных о киберугрозах

Threat intelligence может применяться на разных этапах защиты организации. В частности, ИБ-специалисты компании могут использовать эти данные для активного поиска угроз в инфраструктуре организации. Индикаторы компрометации позволяют усовершенствовать пассивные защитные инструменты, например обновить правила брандмауэра. Кроме того, данные об угрозах могут применяться для атрибуции при расследовании киберинцидентов.

Потоки данных Threat intelligence используются в различных решениях для обеспечения информационной безопасности, таких как SIEM и EDR-платформы, а также в шлюзах с имплементацией потоков данных о киберугрозах (Threat Intelligence Gateway, TIG).

Публикации на схожие темы