V dosavadních částech tohoto seriálu jsme se zaměřovali hlavně na potřeby související s poznáním vlastní infrastruktury, chráněných aktiv, jednoduše na vlastní píseček. Následují však dvě potřeby, jejichž základ tkví hlavně v poznání toho, co se děje venku. Jde o potřeby s názvy threats (hrozby) a behaviors (chování).
Jejich náplň tvoří jistým způsobem konkrétní doplněk k analýze rizik v kyberbezpečnosti. Pokud jsme v analýze rizik mluvili o tom, jaký dopad by měl např. ransomwarový útok na chod organizace, při uspokojování těchto potřeb se budeme bavit spíše o tom, kdo by takový útok proti chráněné organizaci mohl provést, jak by takový útok po technické stránce vypadal a jak ho můžeme detekovat a zabránit mu. Hovoříme o potřebě bezpečnostního týmu, či SOCu, poznat útočníky a jejich chování, resp. o potřebě detekovat činnosti potenciálního útočníka v našem prostředí.
Základem pro naplnění obou těchto potřeb je důkladné poznání různých typů a skupin útočníků a jejich modus operandi a nástrojů. Přesné získávání a používání takových informací o kyberbezpečnostních hrozbách je náplní celé velké oblasti kyberbezpečnosti nazývané cyber threat intelligence (dále CTI).
Cyber Threat Intelligence
Když se řekne Cyber Threat Intelligence, většina lidí si představí ohromné seznamy IP adres a domén spojovaných s phishingem, ransomwarem a dalšími různými „breberkami“. CTI však zahrnuje mnohem více.
Pokud to vezmeme zeširoka existuje množství definic toho, co vlastně CTI je a co představuje. Pro jednoduché přirovnání si můžeme vzít práci tajných služeb, které získávají informace (tedy intelligence) o různých hrozbách, ať už pro bezpečnost státu nebo vojenských operací apod. Jejich cílem nejsou jen informace o tom, že nějaká vojenská jednotka znepřáteleného státu používá nějakou zbraň a výstroj, ale také informace o jejím umístění, složení, či informace vyšší úrovně, jako je motivace znepřáteleného státu k útoku, politické dění, historické souvislosti současného stavu apod. Všechno toto má svůj protějšek v CTI. Největší rozdíl je v tom, že zatímco tradiční zpravodajské služby a jejich informace se týkají zejména hrozeb v reálném světě, CTI se soustředí na kybernetické hrozby a informace o útočnících, jejich motivaci, použité nástroje, techniky, které používají při útocích či identifikaci konkrétních IP adres a domén, které byly použity při útocích.
Další definice, která je společná pro CTI a standardní zpravodajské informace je to, že slouží k tomu, aby z nepoznaných neznámých hrozeb („unknown unknows“) udělali známé a poznané ( „known knowns“). Co tyto pojmy znamenají, se pokusím ukázat na příkladu. Představte si, že jste velký výrobce leteckých dílů a rozhodl jste se expandovat na Taiwan. Bez CTI nebudete vědět, že vám hrozí kybernetické útoky od čínských hackerů – o této hrozbě nevíte nic a ani nevíte, že nějaká hrozba pro vás existuje – jde tedy o nepoznanou neznámou hrozbu.
Jakmile začnete zkoumat, co by vám mohlo hrozit, uvědomíte si, že z geopolitického hlediska je Taiwan důležitou zájmovou oblastí pro Čínu a stejně tak váš sektor byl již několikrát cílem čínských hackerů. Díky CTI jste se právě posunuli o kousek výš – už víte, že vám potenciálně může hrozit kybernetický útok z Číny, ale nevíte ještě to, co byste měli očekávat – hrozba čínského útoku je pro vás známou hrozbou ale zároveň jí stále nerozumíte (known unknown).
Začnete se touto hrozbou zabývat ještě více a zjistíte jakým způsobem tito hackeři útočí, jaké používají nástroje a možná dokonce i získáte nějaké IP adresy, či domény, které byly v minulosti asociované s jejich operacemi. Často nezjistíte vše, což je logické, protože prioritou druhé strany je co nejvíce tyto informace utajit, ale kousek po kousku se blížíte k tomu, že o hrozbě víte a dokonale ji znáte (known known). Na základě těchto informací, tedy CTI, můžete naplánovat vaši obranu proti této hrozbě.
CTI se však nedotýká pouze státem sponzorovaných kybernetických útoků, ale i standardních útoků na běžné uživatele, či organizace. Informace o tom, že na oblíbené stránce ke shlédnutí seriálů, jsou reklamy, přes které se šíří malware, patří také do CTI, je však určena pro jiného adresáta, než informace o hrozbách z příkladu výše.
O tom, jak dělíme CTI a jak můžeme tyto informace o hrozbách využít, se dočtete v pokračování článku v dalších číslech.
Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.
Obrázek: Matt Swann