Carding
Professional
- Messages
- 2,870
- Reaction score
- 2,494
- Points
- 113
Количество уязвимостей в области кибербезопасности растет, и в 2022 году было обнаружено почти на 30% больше уязвимостей, чем в 2018 году. Затраты также растут: утечка данных в 2023 году обойдется в среднем в 4,45 млн долларов против 3,62 млн долларов в 2017 году.
Во 2 кв. 2023, общей 1386 жертвы пошли на вымогателей атаки по сравнению с просто 831 в 1 квартале 2023. На данный момент жертвами атаки MOVEit стали более 600 человек, и это число продолжает расти.
Для людей, работающих сегодня в сфере кибербезопасности, ценность автоматизированного анализа угроз, вероятно, довольно очевидна. Рост числа, указанный выше, в сочетании с нехваткой специалистов по кибербезопасности означает, что автоматизация является очевидным решением. Когда операции по сбору информации об угрозах могут быть автоматизированы, угрозы можно идентифицировать и реагировать на них, причем с меньшими усилиями со стороны инженеров.
Однако организации иногда допускают ошибку, предполагая, что, как только они автоматизируют рабочие процессы анализа угроз, люди выпадают из общей картины. Они объединяют автоматизацию с полностью автоматизированной, без участия человека, разведкой угроз.
На самом деле людям отводится очень важная роль, даже (или, возможно, особенно) в высокоавтоматизированных операциях. Как выразился Паскаль Борне (Pascal Bornet) из Aera Technology, "интеллектуальная автоматизация - это все о людях", и автоматизированный анализ угроз не является исключением.
С этого момента операции по разведке угроз постепенно стали более активными. Аналитики угроз и исследователи стремились выявить проблемы до того, как они повлияют на их организации. Это привело к созданию системы прогнозирования угроз, которая позволяла командам выявлять угрозы до того, как субъекты угрозы оказывались в затруднительном положении, пытаясь проникнуть внутрь.
Однако упреждающий анализ угроз не был автоматизированным анализом угроз. Рабочие процессы были в высшей степени ручными. Исследователи вручную искали участников угрозы, находили форумы, где они зависали, и общались с ними. Этот подход не был масштабируемым, потому что потребовалась бы целая армия исследователей, чтобы найти и задействовать каждого субъекта угрозы в Сети.
Для устранения этого недостатка появился автоматизированный анализ угроз. Самые ранние формы автоматизации включали автоматический обход dark web, что позволяло быстрее находить проблемы с гораздо меньшими усилиями исследователей. Затем автоматизация анализа угроз пошла глубже, получив возможность обхода закрытых форумов, таких как группы Telegram и каналы Discord, а также других мест, где собираются участники угрозы, таких как торговые площадки. Это означало, что автоматизированная система анализа угроз может извлекать информацию из открытой сети, темной сети и глубокой сети (включая социальные каналы), делая весь процесс более быстрым, масштабируемым и эффективным.
Это проблема, которая возникает всякий раз, когда вы собираете огромные объемы информации. "Больше данных, больше проблем", как выразился Wired.
Основная проблема, с которой сталкиваются команды при работе с массивами данных об угрозах, заключается в том, что не все из них на самом деле актуальны для данной организации. Большая часть этого связана с угрозами, которые не влияют на конкретный бизнес, или просто с "шумом" - например, обсуждение субъектом угрозы своего любимого аниме-сериала или того, какую музыку он слушает во время написания эксплойтов уязвимости.
Решением этой проблемы является внедрение дополнительного уровня автоматизации путем применения процессов машинного обучения к данным об угрозах. В целом, машинное обучение (ML) значительно упрощает анализ больших массивов данных и поиск релевантной информации. В частности, ML позволяет структурировать и помечать данные об угрозах intel, а затем находить информацию, которая имеет отношение к вашему бизнесу.
Например, один из методов, который Cyberint использует для обработки данных анализа угроз, заключается в сопоставлении цифровых активов клиента (таких как домены, IP-адреса, названия брендов и логотипы) с нашим хранилищем данных анализа угроз для выявления соответствующих рисков. Например, если в журнале вредоносных программ содержится "examplecustomerdomain.com,", мы пометим это и предупредим клиента. В случаях, когда этот домен отображается в поле имя пользователя, вполне вероятно, что учетные данные сотрудника были скомпрометированы. Если имя пользователя является личной учетной записью электронной почты (например, Gmail), но страница входа находится в домене организации, мы можем предположить, что у клиента были украдены учетные данные. Последний случай представляет меньшую угрозу, но Cyberint предупреждает клиентов об обоих рисках.
Ответом будет решительное "нет". Эффективная информация об угрозах по-прежнему в значительной степени зависит от людей по нескольким причинам.
Кроме того, люди должны разрабатывать и обучать алгоритмы, которые анализируют данные после завершения сбора. Они должны гарантировать, что инструменты анализа угроз идентифицируют все соответствующие угрозы, но без поиска настолько широкого, чтобы они выдавали нерелевантную информацию и вызывали поток ложноположительных предупреждений.
Короче говоря, системы автоматизации анализа угроз не создаются и не настраиваются сами по себе. Для выполнения этой работы нужны квалифицированные люди.
Например, представьте, что ваше программное обеспечение генерирует оповещения о том, что учетные данные вашей организации выставляются на продажу в dark web. Но при более тщательном изучении выясняется, что это поддельные учетные данные, а не те, которые на самом деле украли злоумышленники, так что реального риска для вашей организации нет. В этом случае правила автоматизации анализа угроз необходимо будет обновить для проверки учетных данных, возможно, путем перекрестной проверки имени пользователя с помощью внутренней системы IAM или реестра сотрудников, перед отправкой предупреждения.
Например, когда субъекты угрозы начали использовать ChatGPT для создания вредоносного ПО, инструменты анализа угроз необходимо было адаптировать для распознавания новой угрозы. Когда появились открытые форумы, исследователи-люди обнаружили новый форум и обновили свои инструменты для сбора разведданных из этого нового источника. Аналогичным образом, переход к использованию Telegram участниками угроз потребовал перенастройки инструментов анализа угроз для обхода дополнительных каналов.
Например, возможно, автоматизированные инструменты анализа угроз идентифицировали потенциальный фишинговый сайт, который может выдавать себя за отслеживаемый бренд. Возможно, название бренда находится в определенном URL-адресе, либо в поддомене, основном домене, либо в подкаталоге. Это может быть фишинговый сайт, но это также может быть и "фан-сайт", то есть сайт, созданный кем-то, кто отдает дань уважения бренду (например, пишет положительные отзывы, описывает благоприятное впечатление от вашего бренда и продуктов и т.д.). Чтобы определить разницу, требуется аналитик, который изучит предупреждение.
Загрузите наше руководство: Большая книга о глубокой и темной паутине
Но алгоритмы автоматизации должны писаться, поддерживаться и оптимизироваться людьми на постоянной основе. Люди также необходимы для сортировки предупреждений, выявления ложных срабатываний и расследования потенциальных угроз. Даже с сегодняшними передовыми решениями в области искусственного интеллекта трудно представить мир, в котором эти задачи могут быть полностью автоматизированы таким образом, что не требуется никакого взаимодействия с человеком. Это может быть возможно в мире научной фантастики, но это определенно не та реальность, которую мы увидим воплощенной в жизнь в ближайшем будущем.
Возможности глубокого сканирования в темной сети Cyberint помогают выявлять соответствующие риски для организаций, от утечек данных и незащищенных учетных данных до заражения вредоносными программами и целенаправленного общения на форумах участников угроз. Cyberint обеспечивает эффективное оповещение об угрозах, экономя время команд за счет снижения частоты ложных срабатываний и ускорения процессов расследования и реагирования.
Убедитесь в этом сами, запросив демонстрационную версию Cyberint.
Во 2 кв. 2023, общей 1386 жертвы пошли на вымогателей атаки по сравнению с просто 831 в 1 квартале 2023. На данный момент жертвами атаки MOVEit стали более 600 человек, и это число продолжает расти.
Для людей, работающих сегодня в сфере кибербезопасности, ценность автоматизированного анализа угроз, вероятно, довольно очевидна. Рост числа, указанный выше, в сочетании с нехваткой специалистов по кибербезопасности означает, что автоматизация является очевидным решением. Когда операции по сбору информации об угрозах могут быть автоматизированы, угрозы можно идентифицировать и реагировать на них, причем с меньшими усилиями со стороны инженеров.
Однако организации иногда допускают ошибку, предполагая, что, как только они автоматизируют рабочие процессы анализа угроз, люди выпадают из общей картины. Они объединяют автоматизацию с полностью автоматизированной, без участия человека, разведкой угроз.
На самом деле людям отводится очень важная роль, даже (или, возможно, особенно) в высокоавтоматизированных операциях. Как выразился Паскаль Борне (Pascal Bornet) из Aera Technology, "интеллектуальная автоматизация - это все о людях", и автоматизированный анализ угроз не является исключением.
Автоматизированная информация об угрозах: краткая история
Анализ угроз не всегда был автоматизирован. Это был реактивный процесс. Когда возникала проблема, команда Центра управления безопасностью (SOC) – или, в некоторых отраслях, команда по борьбе с мошенничеством, занимающаяся сбором информации о рисках, – проводила расследование вручную. Они искали в темной Сети дополнительную информацию об угрозах, пытаясь выяснить, какие угрозы были актуальны и как участники угрозы планировали действовать.С этого момента операции по разведке угроз постепенно стали более активными. Аналитики угроз и исследователи стремились выявить проблемы до того, как они повлияют на их организации. Это привело к созданию системы прогнозирования угроз, которая позволяла командам выявлять угрозы до того, как субъекты угрозы оказывались в затруднительном положении, пытаясь проникнуть внутрь.
Однако упреждающий анализ угроз не был автоматизированным анализом угроз. Рабочие процессы были в высшей степени ручными. Исследователи вручную искали участников угрозы, находили форумы, где они зависали, и общались с ними. Этот подход не был масштабируемым, потому что потребовалась бы целая армия исследователей, чтобы найти и задействовать каждого субъекта угрозы в Сети.
Для устранения этого недостатка появился автоматизированный анализ угроз. Самые ранние формы автоматизации включали автоматический обход dark web, что позволяло быстрее находить проблемы с гораздо меньшими усилиями исследователей. Затем автоматизация анализа угроз пошла глубже, получив возможность обхода закрытых форумов, таких как группы Telegram и каналы Discord, а также других мест, где собираются участники угрозы, таких как торговые площадки. Это означало, что автоматизированная система анализа угроз может извлекать информацию из открытой сети, темной сети и глубокой сети (включая социальные каналы), делая весь процесс более быстрым, масштабируемым и эффективным.
Решение проблемы сбора данных об угрозах
Автоматизированный анализ угроз помог командам работать более эффективно, но при этом столкнулся с новой проблемой: Как управлять всеми данными, полученными в результате автоматизированных процессов анализа угроз, и придавать им смысл.Это проблема, которая возникает всякий раз, когда вы собираете огромные объемы информации. "Больше данных, больше проблем", как выразился Wired.
Основная проблема, с которой сталкиваются команды при работе с массивами данных об угрозах, заключается в том, что не все из них на самом деле актуальны для данной организации. Большая часть этого связана с угрозами, которые не влияют на конкретный бизнес, или просто с "шумом" - например, обсуждение субъектом угрозы своего любимого аниме-сериала или того, какую музыку он слушает во время написания эксплойтов уязвимости.
Решением этой проблемы является внедрение дополнительного уровня автоматизации путем применения процессов машинного обучения к данным об угрозах. В целом, машинное обучение (ML) значительно упрощает анализ больших массивов данных и поиск релевантной информации. В частности, ML позволяет структурировать и помечать данные об угрозах intel, а затем находить информацию, которая имеет отношение к вашему бизнесу.
Например, один из методов, который Cyberint использует для обработки данных анализа угроз, заключается в сопоставлении цифровых активов клиента (таких как домены, IP-адреса, названия брендов и логотипы) с нашим хранилищем данных анализа угроз для выявления соответствующих рисков. Например, если в журнале вредоносных программ содержится "examplecustomerdomain.com,", мы пометим это и предупредим клиента. В случаях, когда этот домен отображается в поле имя пользователя, вполне вероятно, что учетные данные сотрудника были скомпрометированы. Если имя пользователя является личной учетной записью электронной почты (например, Gmail), но страница входа находится в домене организации, мы можем предположить, что у клиента были украдены учетные данные. Последний случай представляет меньшую угрозу, но Cyberint предупреждает клиентов об обоих рисках.
Роль людей в пользовательском сборе информации об угрозах
В мире, где мы полностью автоматизировали сбор данных об угрозах и, кроме того, автоматизировали анализ данных, могут ли люди полностью исчезнуть из процесса сбора информации об угрозах?Ответом будет решительное "нет". Эффективная информация об угрозах по-прежнему в значительной степени зависит от людей по нескольким причинам.
Конфигурация автоматизации
Для начала люди должны разработать программы, которые управляют автоматизированным сбором информации об угрозах. Им необходимо настроить эти инструменты, улучшить и оптимизировать их производительность и добавить новые функции для преодоления новых препятствий, таких как captcha. Люди также должны указывать автоматизированным средствам сбора данных, где искать данные, что собирать, где их хранить и так далее.Кроме того, люди должны разрабатывать и обучать алгоритмы, которые анализируют данные после завершения сбора. Они должны гарантировать, что инструменты анализа угроз идентифицируют все соответствующие угрозы, но без поиска настолько широкого, чтобы они выдавали нерелевантную информацию и вызывали поток ложноположительных предупреждений.
Короче говоря, системы автоматизации анализа угроз не создаются и не настраиваются сами по себе. Для выполнения этой работы нужны квалифицированные люди.
Оптимизация автоматизации
Во многих случаях автоматизация, которую люди создают изначально, оказывается не идеальной из-за факторов, которые инженеры изначально не могли предсказать. Когда это происходит, людям необходимо вмешаться и улучшить автоматизацию, чтобы обеспечить действенную информацию об угрозах.Например, представьте, что ваше программное обеспечение генерирует оповещения о том, что учетные данные вашей организации выставляются на продажу в dark web. Но при более тщательном изучении выясняется, что это поддельные учетные данные, а не те, которые на самом деле украли злоумышленники, так что реального риска для вашей организации нет. В этом случае правила автоматизации анализа угроз необходимо будет обновить для проверки учетных данных, возможно, путем перекрестной проверки имени пользователя с помощью внутренней системы IAM или реестра сотрудников, перед отправкой предупреждения.
Отслеживание разработок в области автоматизации угроз
Угрозы постоянно развиваются, и людям необходимо следить за тем, чтобы инструменты стратегической разведки об угрозах развивались вместе с ними. Они должны выполнять исследования, необходимые для определения цифровых местоположений сообществ новых субъектов угроз, а также новых стратегий атак, затем использовать инструменты сбора разведданных, чтобы идти в ногу с меняющимся ландшафтом угроз.Например, когда субъекты угрозы начали использовать ChatGPT для создания вредоносного ПО, инструменты анализа угроз необходимо было адаптировать для распознавания новой угрозы. Когда появились открытые форумы, исследователи-люди обнаружили новый форум и обновили свои инструменты для сбора разведданных из этого нового источника. Аналогичным образом, переход к использованию Telegram участниками угроз потребовал перенастройки инструментов анализа угроз для обхода дополнительных каналов.
Проверка автоматизации
Часто необходимо проверять автоматизацию, чтобы убедиться, что она создает наиболее релевантную информацию. Крупные организации получают тонны предупреждений, и автоматизированная фильтрация из них пока что недостаточна. Иногда требуется человек-аналитик, чтобы войти и оценить угрозу.Например, возможно, автоматизированные инструменты анализа угроз идентифицировали потенциальный фишинговый сайт, который может выдавать себя за отслеживаемый бренд. Возможно, название бренда находится в определенном URL-адресе, либо в поддомене, основном домене, либо в подкаталоге. Это может быть фишинговый сайт, но это также может быть и "фан-сайт", то есть сайт, созданный кем-то, кто отдает дань уважения бренду (например, пишет положительные отзывы, описывает благоприятное впечатление от вашего бренда и продуктов и т.д.). Чтобы определить разницу, требуется аналитик, который изучит предупреждение.
Загрузите наше руководство: Большая книга о глубокой и темной паутине
Преимущества и ограничения автоматизированного анализа угроз
Автоматизация - отличный способ сбора данных об угрозах из открытых, глубоких и темных сетей. Автоматизация может использоваться – в форме машинного обучения – для эффективного анализа информации об угрозах.Но алгоритмы автоматизации должны писаться, поддерживаться и оптимизироваться людьми на постоянной основе. Люди также необходимы для сортировки предупреждений, выявления ложных срабатываний и расследования потенциальных угроз. Даже с сегодняшними передовыми решениями в области искусственного интеллекта трудно представить мир, в котором эти задачи могут быть полностью автоматизированы таким образом, что не требуется никакого взаимодействия с человеком. Это может быть возможно в мире научной фантастики, но это определенно не та реальность, которую мы увидим воплощенной в жизнь в ближайшем будущем.
Возможности глубокого сканирования в темной сети Cyberint помогают выявлять соответствующие риски для организаций, от утечек данных и незащищенных учетных данных до заражения вредоносными программами и целенаправленного общения на форумах участников угроз. Cyberint обеспечивает эффективное оповещение об угрозах, экономя время команд за счет снижения частоты ложных срабатываний и ускорения процессов расследования и реагирования.
Убедитесь в этом сами, запросив демонстрационную версию Cyberint.
