Привычные средства защиты информации не способны отловить все без исключения угрозы. У каждого СЗИ есть слепые зоны: то, чего оно еще не видело или не умеет распознавать. Одно из решений данной проблемы — это использование фидов Threat Intelligence, которые в режиме 24/7 обогащают такие решения, как SIEM, NGFW, EDR, XDR и другие внешним контекстом — индикаторами компрометации, правилами детектирования и информацией о тактиках атакующих.
Но и здесь уже на этапе тестирования фидов неизменно возникает парадокс. Срабатывания при загруженных фидах означают, что в инфраструктуре есть хакеры.
Однако их отсутствие может говорить как о «чистоте» системы, так и о кажущейся бесполезности самих фидов. Как отличить одно от другого? И почему количество срабатываний — плохая метрика качества?
Ответы — в этой статье. Здесь мы разберем, какую роль фиды выполняют в защите от киберугроз, откуда берутся данные для них, почему открытых источников для получения фидов всегда недостаточно и зачем пользоваться потоками данных сразу от нескольких вендоров. Параллельно мы развенчаем три самых распространенных мифа о фидах, а самое главное — разберем, как их тестировать, чтобы пилот «полетел» как надо.
Зачем нужны TI-фиды
Фиды Threat Intelligence — это любые данные, которые так или иначе описывают киберугрозы или указывают на следы хакеров. В простейшем случае это индикаторы компрометации: IP-адреса, домены, ссылки на фишинговые страницы, файловые хеши. Но есть и более сложные разновидности — правила детектирования для сетевого трафика, файлов и подозрительного поведения пользователей.
«Зачем нужны TI-фиды, если у компании уже стоят межсетевые экраны нового поколения (NGFW), системы защиты конечных точек (EDR) и другие СЗИ?» Этот вопрос неизбежно может возникнуть у ИБ-руководителя. Дело в том, что ни одно средство защиты не располагает полным арсеналом алгоритмов и правил для обнаружения всех возможных векторов атак. Именно эти бреши, как правило, и используют хакеры. И именно их закрывают TI-фиды, работая в двух направлениях.
Во-первых, TI-фиды показывают явные следы известных атак — метки хакеров. Благодаря этим маркерам СЗИ получают усиление: теперь они могут ловить не просто «кого-то подозрительного», а конкретных злоумышленников по их цифровым следам. Это упрощает работу, повышает точность аналитики и делает защиту эффективнее.
Во-вторых, не в каждом СЗИ экспертиза обнаружения может быть реализована полной в моменте. Фиды как раз предоставляют эту дополнительную экспертизу — правила детектирования, которые можно донести до СЗИ. В результате система начинает работать лучше, чем раньше.
Таким образом, фиды — это не замена существующим средствам защиты, а их усиление. Как следы атакующих, так и правила для их обнаружения помогают повысить качество работы СЗИ.
Топ популярных мифов о фидах
Миф 1: TI-фиды заменяют ИБ-специалиста
Частично — да, полностью — нет. Фиды созданы для того, чтобы оптимизировать работу аналитиков SOC: снизить время на просмотр и анализ всех событий безопасности и сфокусироваться только на самом главном — на том, что указывает на признаки угроз или атак. Модели ИИ помогают решать задачи быстрее и эффективнее, но без человека все преимущества современных технологий сходят на нет.
Фиды предоставляют аналитику данные, которые помогают сориентироваться: что сделать сразу после обнаружения инцидента, на втором, третьем шаге и так далее. Однако здесь важно не «перегрузить» специалиста информацией.
Когда в фиде с индикатором компрометации приходит слишком много дополнительных полей, аналитику сначала нужно изучить это «чтиво» и только потом принимать решение. Время уходит не на реагирование, а на разбор справочников. С другой стороны, если контекста нет вообще — аналитик не знает, в каком направлении копать. Ему все равно придется искать информацию в других источниках, теряя драгоценные минуты.
Идеальный баланс — только то, что помогает сориентироваться на следующем шаге. Что именно нужно знать после срабатывания:
Название угрозы или инструмента атакующего.
Источник атаки и ее актуальность.
Каких последствий ожидать — к чему стремился хакер.
Этого достаточно, чтобы понять: блокировать соединение, изолировать хост или проверить логи конкретного сервера. Остальное — шум, который замедляет реакцию.
Миф 2: Данные для фидов покупают у хакеров
Конечно, нет. Зачем хакерам продавать данные о своих же «фишечках» — в конечном счете это источник их заработка. Данные добываются иначе: специалисты ведут киберразведку, изучают следы атакующих при расследовании инцидентов, обмениваются находками с коллегами по индустрии.
Основной массив данных для фидов берут из открытых источников, в том числе у регуляторов (ФСТЭК, НКЦКИ, ФинЦЕРТ) — они всегда полезны, но их всегда недостаточно. Такие данные доступны всем — и вендорам, и самим заказчикам. А вот уникальная информация — та, что остается у экспертных команд после расследований и разведки, — доступна только специалистам. Именно она позволяет обнаруживать хакеров раньше и точнее.
Поэтому один вендор с «максимальным объемом данных» — не решение. У каждого своя фокусировка: одни делают ставку на типы данных (домены, хеши, правила), другие — на свойства (кто атакует, какие инструменты использует, чем мотивирован). А когда в событии безопасности пересекаются данные от нескольких вендоров, это дополнительно повышает его приоритет — к нему точно стоит присмотреться внимательнее.
Миф 3: Фиды вычисляют хакера для передачи в правоохранительные органы
Нет. Задача фидов — защита, а не розыск. Да, в процессе расследования иногда удается выйти на профили злоумышленников в соцсетях или на форумах разработчиков. Но цель не в этом. Фиды помогают компании защититься — а не собирать доказательства для суда.
Правильно оцениваем работу фидов
Допустим, вы решили пропилотировать TI-фиды. С одной стороны, мы приходим в организацию, где хотелось бы, чтобы не было хакеров — то есть не было бы следов компрометации. С другой стороны, чтобы проверить фиды, нужно увидеть, как данные о хакерах всплывают в ИБ-событиях.
Получается парадокс: критерий успешного пилота — побольше срабатываний. Но успешный пилот, в свою очередь, сигнализирует о нарушении контура безопасности организации. И непонятно, что здесь хорошо — сам пилот или состояние инфраструктуры.
Ответ простой: отсутствие срабатываний не означает, что фиды плохие. Возможно, в инфраструктуре действительно все чисто. Но это не проверка ни работоспособности фидов, ни их качества.
Самый простой способ проверить работоспособность фидов — эмулировать атаки: воспроизвести техники злоумышленников, запустить вредоносные соединения, чтобы срабатывали правила обнаружения. Но и тут есть нюанс.
Главная метрика качества TI-фидов — уровень ложных срабатываний. Даже если они дают много точных срабатываний, но при этом заваливают аналитиков ложными, вся польза сходит на нет. Специалисты тратят время на разбор «шума» вместо реальных угроз. Сжигая ресурсы, мы не решаем изначальную задачу, ради которой фиды и нужны.
Еще один хороший способ оценить качество — сравнить метрики с предыдущими пилотами от других вендоров или с общедоступными фидами. При относительном сравнении разобраться в качестве данных становится легче.
Правильный пилот фидов состоит из двух частей, на которые важно смотреть одновременно, потому что одна без другой бесполезна.
Инженерная составляющая — насколько стабильно фиды интегрируются с СЗИ. Заказчики часто фокусируются именно на этом: покрыть максимум интеграций, увидеть полную картину. Но это только половина дела.
Качество данных — насколько полезны и актуальны фиды в конкретной инфраструктуре. Это позволяет оценить только экспертиза.
Здесь важно проверить:
Есть ли систематические ложные срабатывания, специфичные для вашей среды.
Не содержат ли фиды ошибок в алгоритмах выдачи данных.
Как соотносятся метрики с предыдущими пилотами или с открытыми фидами.
Есть ли систематические ложные срабатывания, специфичные для вашей среды.
Не содержат ли фиды ошибок в алгоритмах выдачи данных.
Как соотносятся метрики с предыдущими пилотами или с открытыми фидами.
В идеале фиды дают минимальное количество ложных срабатываний, но при этом точно подсвечивают приоритетные события. Именно к этому и надо стремиться.
Таким образом, TI-фиды — это про качество, а не количество. При правильном подходе этот инструмент повышает эффективность имеющихся СЗИ и экономит ресурсы на выполнение текущих задач.
Автор: Александр Севостьянов, руководитель отдела анализа угроз Центра исследования киберугроз Solar 4RAYS, ГК «Солар»
