Bez tzv. obavještajnih podataka o prijetnjama, kraće CTI-a (od engl. cyber threat intelligence) ili threat intelligence, upozoravaju stručnjaci, ne možete ništa učiniti kada je u pitanju obrana vaših sustava i podataka. No što je uopće threat intelligence i koji su trenutačno najbolji alati za obranu od kibernetičkih napada?
Na početku trebalo bi objasniti pojmove threat intelligence i CTI, što nam sugerira Mate Matijašević, analitičar kibernetičke sigurnosti u IT kompaniji Span. Threat intelligence je, navodi, dio šire intelligence-struke koji obuhvaća različite vrste prijetnji, no za razliku od njega CTI se fokusira na kibernetičke prijetnje i primarno se bavi analizom incidenata te napadačkih taktika i tehnika. Kvaliteta intelligence-produkta direktno ovisi o definiranju potreba.
– U početnoj fazi CTI ciklusa, koja usmjerava sve sljedeće aktivnosti, vodimo se filozofijom da je dobro postavljeno pitanje polovica odgovora. Nažalost, ponekad se dogodi da intelligence-produkt ne zadovoljava potrebe naručitelja upravo zbog toga što proces definiranja potreba nije kvalitetno odrađen – objašnjava Matijašević.
Još mistično u Hrvatskoj
U stručnim krugovima pod pojmovima threat intelligence i CTI podrazumijeva se intelligence-produkt, odnosno skup analitičkih informacija ili izvještaj. S druge strane, nastavlja on, threat intelligence podrazumijeva i funkciju, odnosno obavještajni ciklus koji nas dovodi do intelligence-produkta. Najkraće rečeno, CTI u širem smislu predstavlja prikupljanje i analiziranje podataka i informacija o napadačkim aktivnostima – kako bismo njihovim korištenjem složili bolju obranu. U CARNET-u objašnjavaju da je riječ o potencijalnim ili trenutačnim kibernetičkim prijetnjama, a obuhvaćaju podatke kao što su: pokazatelji kompromitacije (engl. indicators of compromise – IOC), podaci o zlonamjernim IP adresama, domenama, URL-ovim, tehnikama, taktikama i procedurama napada i sl.
Postoje tvrtke koje aktivno traže informacije o prijetnjama koje se često dijele unutar sigurnosne zajednice, vele u CARNET-u. Unatoč tome, Matijašević napominje da je CTI na našim prostorima još uvijek relativno svježa i pomalo mistična pojava, pa je pojam podložan različitim i često nepotpunim interpretacijama, poput onog da ‘CTI predstavlja listu malicioznih indikatora‘. Zato predlaže direktnu komunikaciju s naručiteljem kako bi se izbjegao ‘gluhi telefon‘, a druga kritična faza CTI ciklusa je faza diseminacije – aktivnosti kreiranja i dijeljenja izvještaja.
– Kvalitetan intelligence-produkt na kraju se izrađuje isključivo prema potrebama korisnika koje su definirane u početnoj fazi ciklusa. Konkretno o tim potrebama, kao i o razinama odlučivanja ovisi koje će vrste biti konačni izvještaj. Te različite vrste poznatije su kao strategic intelligence, operational intel i tactical intelligence – navodi Matijašević.
Slučaj iz online trgovine
A o svemu tome govori i Ante Marić, junior specijalist za kibernetičku sigurnost u IT kompaniji Duplico, i ističe da se kompanije sve više oslanjaju na napredne tehnike obavještajne analize prijetnji kako bi se zaštitile. Navodi zanimljiv primjer funkcioniranja obavještajne analize za online trgovinu. Dakle, online trgovina je primijetila neuobičajene aktivnosti na svojoj web-stranici – povećan broj pokušaja neuspješnih prijava na administrativno sučelje. Zato se u njoj odlučuju ne sjediti skrštenih ruku i čekati da problem nestane sam od sebe, nego počinju prikupljati dodatne informacije kako bi bolje razumjeli što se događa.
– Njihovi se analitičari koriste raznim izvorima podataka, uključujući interne dnevnike aktivnosti i vanjske sigurnosne izvještaje, kako bi pronašli prijetnju. Otkrivaju da postoji zlonamjerna kampanja koja cilja online trgovine u kojoj se napadač ponaša kao otmičar koji drži sustav kao taoca te onemogućava korištenje. Pritom upotrebljava metodu brute force (sirova snaga) za provaljivanje lozinki. Na temelju prikupljenih informacija tvrtka poduzima konkretne korake da zaštiti svoju internetsku aplikaciju. Preventivno se mijenjaju lozinke svih korisnika te implementira više faktorskih autentifikacija za sve korisničke račune. Uvodi se i geografska blokada spajanja na aplikaciju, odnosno dopušta se spajanje samo iz sigurnih zemalja – objašnjava Marić.
Dodaje da kibernetički stručnjaci Duplica svakodnevno prate aktualna zbivanja te prikupljaju najnovije obavještajne podatke o sigurnosnim prijetnjama, ranjivostima i zlonamjernom softveru. U CARNET-u ističu da se često koriste postojeći podaci kako bi se stvorile zlonamjerne IP adrese ili URL-ovi koji se iskorištavaju za sigurnosno skeniranje mrežnog prometa. Kažu da ako primijete da neki uređaj iz CARNET-ove mreže komunicira sa zlonamjernom IP adresom, mogu ga izolirati i provjeriti je li riječ o kompromitaciji koju treba adresirati.
– Ponekad proizvođači otkriju ranjivosti svojih sustava pa uza zakrpe izdaju i pokazatelje kompromitacije (IOC), pomoću kojih administratori mogu provjeriti je li njihov sustav kompromitiran. Također, pokazatelji kompromitacije mogu se unijeti u sustav radi prepoznavanja ranjivosti ili postaviti na razne servise koji šalju informacije o pokazateljima antivirusnim tvrtkama – ističu u CARNET-u.
Kako se provodi
Matijašević pak dodaje da se threat hunting provodi na način da se postavi hipoteza o izvršenom napadu koja je inspirirana informacijama o napadačkim taktikama i tehnikama, a onda se provodi istraga koja potvrđuje ili negira hipotezu.
– Sličan primjer može se iskoristiti za potrebe sigurnosnih testiranja, primjerice red teaminga, gdje se informacije o taktikama, tehnikama, i procedurama (TTP) upotrebljavaju za emulaciju stvarnih prijetnji. Na strateškoj razini odlučivanja, CTI pomaže u planiranju sigurnosne arhitekture. Primjerice, uvidom u trendove i threat landscape – osobe na CISO funkcijama imaju mogućnost optimirati alokaciju obrambenih resursa prema realnim potrebama i prioritetima – veli Matijašević.
Koji su trenutačno najbolji alati za obranu od kibernetičkih napada, pitamo ga, a on kaže da to prije svega ovisi o specifičnim potrebama, ali i o mogućnostima, a poželjno je da takvi alati imaju mogućnost jednostavne integracije s drugim alatima kako bi zajedno tvorili sigurnosni sustav krojen prema već poznatom modelu slojevite zaštite. Marić pak navodi nekoliko naročito važnih alata, poput SIEM alata kojima se prikupljaju velike količine podataka o događajima koji se izvode na računalima, serverima, mrežama i aplikacijama. To uključuje događaje kao što su pokušaji prijava, promjene konfiguracija sustava ili detektiranja sumnjivih aktivnosti.
– Ono što SIEM čini posebno korisnim jest to što može povezati različite vrste podataka te detektirati uzorke koji su neuobičajeni. Vizualizacijom tih podataka SIEM može alarmirati IT osoblje o sumnjivom događaju. Za razliku od SIEM-a, Threat Intelligence Platform (TIP) skuplja informacije iz različitih izvora diljem interneta o poznatim kibernetičkim prijetnjama. To mogu biti informacije o virusima, zlonamjernom softveru, hakerskim skupinama koje napadaju organizacije u specifičnoj industriji i slično – objašnjava Marić.
Kako na kraju kaže Marić ‘organizacije često imaju mnogo informacija poput transakcija, povratnih informacija korisnika ili podataka o prometu na web-stranici. Rudarenje podataka koristi se raznim trikovima kako bi identificiralo bitne informacije među podacima. Nakon rudarenja podataka na scenu stupa strojno učenje, koje na neki način djeluje kao inteligentni detektiv jer uči iz prikupljenih podataka. Ono analizira identificirane obrasce, identifikatore, anomalije i povezanosti te ih primjenjuje kako bi razvijalo modele koji mogu predviđati buduće događaje ili donositi odluke.‘