V doterajších častiach tohto seriálu sme sa zameriavali hlavne na potreby súvisiace s poznaním vlastnej infraštruktúry, chránených aktív, jednoducho na vlastný piesoček. Nasledujú však dve potreby, ktorých základ tkvie hlavne v poznaní toho, čo sa deje vonku. Ide o potreby s názvami threats (hrozby) a behaviors (správanie).
Ich náplň tvorí istým spôsobom konkrétny doplnok k analýze rizik v kyberbezpečnosti. Ak sme v analýze rizík hovorili o tom, aký dopad by mal napr. ransomwarový útok na chod organizácie, pri uspokojovaní týchto potrieb sa budeme baviť skôr o tom, kto by takýto útok proti chránenej organizácii mohol vykonať, ako by taký útok po technickej stránke vyzeral a ako ho môžeme detekovať a zabrániť mu. Hovoríme o potrebe bezpečnostného tímu, či SOCu, poznať útočníkov a ich správanie, resp. potrebe detekovať činnosti potenciálneho útočníka v našom prostredí.
Základom pre naplnenie oboch týchto potrieb je dôkladné poznanie rôznych typov a skupín útočníkov a ich modus operandi a nástrojov. Presne získavanie a používanie takýchto informácii o kyberbezpečnostných hrozbách je náplňou celej veľkej oblasti kyberbezpečnosti nazývanej cyber threat intelligence (ďalej CTI).
Cyber Threat Intelligence
Keď sa povie Cyber Threat Intelligence, väčšina ľudí si predstaví ohromné zoznamy IP adries a domén spájaných s phishingom, ransomwarom a ďalšími rôznymi „breberkami“. CTI však zahŕňa oveľa viac.
Ak to vezmeme zoširoka existuje množstvo definícií toho, čo vlastne CTI je a čo predstavuje. Pre jednoduché prirovnanie si môžeme vziať prácu tajných služieb, ktoré získavajú informácie (teda intelligence) o rôznych hrozbách, či už pre bezpečnosť štátu alebo vojenských operácii a pod. Ich cieľom nie sú len informácie o tom, že nejaká vojenská jednotka znepriateleného štátu používa nejakú zbraň a výstroj, ale aj informácie o jej umiestnení, zložení, či informácie vyššej úrovne, ako je motivácia znepriateleného štátu k útoku, politické dianie, historické východiská súčasného stavu a pod. Všetko toto má svoj náprotivok v CTI. Najväčší rozdiel je v tom, že zatiaľ čo tradičné spravodajské služby a ich informácie sa týkajú najmä hrozieb v reálnom svete, CTI sa sústredí na kybernetické hrozby a informácie o útočníkoch, ich motivácii, použitých nástrojoch, technikách, ktoré používajú pri útokoch či identifikáciu konkrétnych IP adries a domén, ktoré boli použité pri útokoch.
Ďalšia definícia, ktorá je spoločná pre CTI a štandardné spravodajské informácie je to, že slúžia na to, aby z nepoznaných neznámych hrozieb („unknown unknows“) urobili známe a spoznané („known knowns“). Čo tieto pojmy znamenajú, sa pokúsim ukázať na príklade. Predstavte si, že ste veľký výrobca leteckých dielov a rozhodli ste sa expandovať na Taiwan. Bez CTI nebudete vedieť, že vám hrozia kybernetické útoky od čínskych hackerov – o tejto hrozbe neviete nič a ani neviete, že nejaká hrozba pre vás existuje – ide teda o nepoznanú neznámu hrozbu.
Akonáhle začnete skúmať, čo by vám mohlo hroziť, uvedomíte si, že z geopolitického hľadiska je Taiwan dôležitou záujmovou oblasťou pre Čínu a rovnako tak váš sektor bol už niekoľkokrát cieľom čínskych hackerov. Vďaka CTI ste sa práve posunuli o kúsok vyššie – už viete, že vám potenciálne môže hroziť kybernetický útok z Číny, ale neviete ešte to, čo by ste mali očakávať – hrozba čínskeho útoku je pre vás známou hrozbou ale zároveň jej stále nerozumiete (known unknown).
Začnete sa touto hrozbou zaoberať ešte viac a zistíte akým spôsobom títo hackeri útočia, aké používajú nástroje a možno dokonca aj získate nejaké IP adresy, či domény, ktoré boli v minulosti asociované s ich operáciami. Často nezistíte všetko, čo je logické, keďže prioritou druhej strany je čo najviac tieto informácie utajiť, ale kúsok po kúsku sa blížite k tomu, že o hrozbe viete a dokonale ju poznáte (known known). Na základe týchto informácii, teda CTI, môžete naplánovať vašu obranu proti tejto hrozbe.
CTI sa však nedotýka len štátom sponzorovaných kybernetických útokov, ale aj štandardných útokov na bežných užívateľov, či organizácie. Informácia o tom, že na obľúbenej stránke na pozeranie seriálov, sú reklamy, cez ktoré sa šíri malware, patrí tiež do CTI, je však určená pre iného adresáta, než informácie o hrozbách z príkladu vyššie.
O tom, ako delíme CTI a ako môžeme tieto informácie o hrozbách využiť, sa dočítate v pokračovaní článku v ďalších číslach.
Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.
Obrázok: Matt Swann
