О чем материал
Рассказываем, что такое киберразведка, какими данными она оперирует и что нужно, чтобы построить собственный TI-департамент
Девять лет назад, придя в Позитив, я не имел ни малейшего понятия, что такое киберразведка (Threat Intelligence, TI). Когда я начал погружаться в это направление, у меня сразу возникли ассоциации с деятельностью как известных разведчиков, например Абеля или Зорге, так и вымышленных персонажей — того же Джеймса Бонда. Всех их объединяет одно: они добывали сведения о действиях противника, которые впоследствии могли применяться правительством при выработке защитных мер — для полного устранения угрозы или же снижения потенциального ущерба.
В реалиях TI аналитики, по сути, являются теми же разведчиками. Они поставляют данные о тактиках и инструментах противников (хакеров) вендорам, чтобы те могли защитить своих клиентов с помощью новых СЗИ или детектирующих правил. Кроме того, эти данные могут поставляться напрямую клиентам, чтобы они сами решали, какие мероприятия стоит провести для проактивной защиты инфраструктуры, или же использовали их для более быстрого реагирования на инциденты ИБ.
В этой статье я хочу приоткрыть завесу внутренней кухни нашего TI-департамента и рассказать, какие системы мы разработали для генерации данных, какими компетенциями необходимо обладать для правильного использования сведений киберразведки и как самостоятельно применять эти данные у себя в инфраструктуре.
После стольких лет в профессии могу сказать, что те, кто выбрал этот путь, — по-настоящему счастливые люди. Специалисты по киберразведке практически всегда первыми видят новые инциденты, могут быстро провести атрибуцию к злоумышленникам, знают хакерский инструментарий и постоянно ищут новые источники информации об атаках. Конечно, у всего этого есть и обратная сторона в виде рутинных задач по формализации деятельности, но сегодня не об этом.
Почему я называю киберразведку антихрупкостью кибербезопасности
Данные киберразведки являются основополагающим элементом при построении ИБ-архитектуры, особенно если вы придерживаетесь угрозоцентричного подхода. То есть точно знаете, кто и как может вас атаковать, где находятся уязвимые места инфраструктуры и насколько имеющиеся СЗИ обеспечивают ее покрытие. Простой пример: если хакеры в вашей отрасли часто атакуют через фишинг, а у вас нет почтовой защиты — необходимо ее внедрить.
Данные киберразведки помогают вендорам приоритизировать разработку детектирующих правил в пользу актуальных угроз и не тратить время на охват всего и вся: любых выходящих отчетов, неприменяемых теоретических техник и т. д. В некоторых случаях данные о трендах кибератак, полученные от киберразведки, показывают, что требуется не просто написать детектирующее правило, а разработать дополнительный функционал для уже существующего продукта или даже создать новое ИБ-решение.
Таким образом, устойчивость наших систем, эффективность процессов и эволюция стратегий защиты так или иначе зависят от данных и процессов киберразведки, которые мы используем.
Общий взгляд на киберразведку
За девять лет наша команда прошла большой путь — от работы с индикаторами компрометации (IoC) и разрозненных систем обработки данных до единого портала киберразведки PT Fusion и поставки оперативных данных об угрозах клиентам. Чтобы ответить на вопрос, насколько сложно построить собственную киберразведку, обратимся к следующей схеме (см. рис. 1).
По канонам киберразведка делится на три уровня: тактический, операционный и стратегический. Каждый подразумевает работу с разными данными и, соответственно, разных потребителей данных.
На тактическом уровне вы оперируете базовыми вещами — например, образцами ВПО и индикаторами компрометации. Здесь потребителями выступают 1–3-я линии SOC, специалисты киберразведки, а также эксперты по реагированию и расследованию инцидентов.
Собранные данные дают базовую информацию об угрозах через косвенные признаки — индикаторы компрометации. Чаще всего они уже были обнаружены в атаках на смежные компании и показывают, не стали ли мы жертвами аналогичной атаки.
На операционном уровне вы начинаете погружаться в детали атак, строите и наполняете информацией собственную «библиотеку угроз» (как действуют хакеры, какие инструменты и уязвимости применяют, в каких публичных отчетах есть упоминания об этой группировке). Здесь потребителями данных могут выступать не только специалисты, которые работают с тактическими данными, но и люди на руководящих позициях (например, руководители SOC).
Операционные данные дают возможность проводить мероприятия по ретроспективному поиску следов атак (Threat hunting) и тестировать ИБ-продукты на предмет детектирования конкретных индикаторов различных хакерских группировок (Purple teaming). Эти данные также можно использовать для эмуляции действий злоумышленников по всей цепочке жизненного цикла атаки: от исходного вектора до итогового воздействия на инфраструктуру (Attack simulation).
Операционные данные очень ценны: в достаточном количестве их можно получить только при работе с реальными инцидентами. Поэтому компании, у которых есть команды по расследованию или большой SOC, имеют здесь очевидные преимущества. Конечно, данные можно брать из публичных отчетов, но тогда у вас не будет уникальной экспертизы: вы всего лишь будете соревноваться с другими, кто лучше обработает данные из открытых источников.
Наконец, на стратегическом уровне вы можете говорить о трендах атак, поставлять оперативные отчеты об угрозах, строить большие статистические модели, точнее прогнозировать изменение ландшафта киберугроз в масштабах отрасли или страны и в некоторых случаях противодействовать злоумышленникам на этапе подготовки атак.
Достигнуть этого уровня и поставлять релевантную информацию крайне сложно. Чаще всего на нем находятся крупные вендоры: они могут позволить себе мощности для обработки и хранения больших массивов данных, а также способны содержать в штате команду, которая будет работать с этой информацией и доставлять ее конечному потребителю в виде отчетов.
Отмечу, что стратегические данные об угрозах играют ключевую роль в принятии решений о защите инфраструктуры. Именно опираясь на них, CISO и руководители SOC строят ИБ-стратегию, формируют бюджеты и отслеживают релевантные угрозы.
Начало киберразведки в Позитиве: тактический уровень
В далеком 2017 г. я начал работать в Позитиве аналитиком внутреннего SOC. Буквально через несколько месяцев я стал помогать команде по расследованию инцидентов: искал информацию об индикаторах компрометации, атрибутировал атаки, анализировал вредоносный код и систематизировал данные об угрозах. В то время моими любимыми инструментами был Virustotal с подпиской Intelligence, Google и PDNS от RiskIQ (фактически я работал только с базовыми данными и индикаторами: IP, доменами, хешами файлов). Меня сильно впечатлял объем данных, которые были в этих системах: казалось, они содержат все знания мира об угрозах и этого вполне достаточно, чтобы заниматься киберразведкой. Но я ошибался…
Со временем наша команда начала расти, и мы поняли, что начинаем обзаводиться собственными потоками информации, которую необходимо хранить и обрабатывать. У нас возникла идея: можно генерировать данные об угрозах, чтобы использовать их для отслеживания атак и поставки в продукты, а также предоставить доступ к этим данным нашим клиентам. По сути, с этого и началось построение киберразведки в Позитиве.
Мы начали с автоматизированного сбора и анализа образцов вредоносного кода. Почему? Потому что мы в том числе занимаемся написанием детектирующих статических правил для ВПО. Соответственно, нам требовался механизм для сбора коллекции вредоносов и проверки разработанных правил. К слову, сейчас процесс написания детектирующих правил во всех командах Позитива завязан на данные из этой системы.
Важно понимать, что файлы дают много данных, но сначала эти данные нужно извлечь и обработать. Наша система анализа ВПО Solomon позволяет извлекать метаинформацию из 30+ форматов файлов, которые хакеры чаще всего используют в атаках, проверять их статическими правилами и запускать в песочнице PT Sandbox.
После анализа файлов остается достаточно большой объем сопутствующей информации: IoC, артефакты в песочнице (TTP, названия детектирующих правил), трафик, сохраненные в процессе работы файлы и др. Эти данные можно утилизировать в других СЗИ для повышения уровня экспертизы.
Следующий этап — сбор индикаторов компрометации и их контекста. Кажется, что этот процесс не требует глубокой экспертизы (например, как при автоматизированном анализе ВПО), однако в нем много подводных камней. IoC и контекст необходимо не просто собирать, а применять алгоритмы валидации индикаторов и источников, чтобы исключать явно невредоносные данные и необновляемые источники. Так, в популярных открытых сервисах с фидами любой может добавить 8.8.8.8 как вредоносный IoC или же представить хеш от Winrar как индикатор группировки Lazarus. На большом потоке данных это неизбежно приведет к ложноположительным срабатываниям СЗИ: потребители будут постоянно жаловаться на данные, а аналитики — исправлять фолзы. Соответственно, чтобы эффективно фильтровать «хорошее» и «плохое», необходим дополнительный пул систем, которые постоянно генерируют данные для фильтрации. Причем системы для файловых и сетевых индикаторов нужны разные.
Когда мы столкнулись с этими проблемами, нам пришлось провести кропотливую работу по созданию аналитики и системы для фильтрации «плохих» данных. Однако в некоторых случаях мы пришли к выводу, что это не «плохие» данные, а всего лишь другие категории данных, которые можно использовать для обеления или категоризации индикатора. В итоге мы создали разные типы коллекций (фидов) для таких индикаторов (например, VPN, Proxy, CDN, Cloud), которые применяем сами и предлагаем клиентам. Это так называемые индикаторы двойного назначения, которые нельзя однозначно отнести к категории вредоносных, так как они будут генерировать ложноположительные срабатывания из-за использования в легитимных целях. Тем не менее хочется сообщать об этом клиентам, чтобы они обращали внимание на сработки.
Для эффективной фильтрации «хороших» сетевых индикаторов в производственных масштабах также необходим большой объем доменов, их резолвов, поддоменов, связанных DNS-записей и WHOIS-информации. Чтобы решить эту задачу, в 2018 г. мы начали собирать свой passive DNS (pDNS). Сейчас у нас база с более чем 70 млрд записей различных типов, и данные уже начали работать на нас: помимо фильтрации IoC, мы используем ее для выявления фишинговых ресурсов и потенциальных серверов хакеров. Причем выявление происходит на ранних этапах развертывания инфраструктуры злоумышленников, что в некоторых случаях позволяет доставить информацию клиентам еще до начала атаки.
Выходим на оперативные просторы
Спустя два года после того, как мы разобрались с базовыми технологиями и начали стабильно получать информацию о новых атаках, настал момент систематизировать знания о хакерских группировках, их подходах, инструментах и используемых уязвимостях. В большинстве случаев эти сведения можно получить только от команд по расследованию инцидентов или SOC, и это именно те данные, которые будут отличать вас от других вендоров (ведь клиенты, а значит, и инциденты у всех разные). Однако без информации из открытых источников картина все равно будет неполной. Эти данные тоже нужно включать в «Библиотеку угроз», и здесь нам снова пришлось мучиться...
Честно говоря, до появления LLM труд по обработке данных из публичных отчетов был адской каторгой (я сам этим занимался, поэтому знаю, о чем пишу). Аналитикам приходилось анализировать множество информации, вникать в суть и в правильном порядке заносить необходимые данные во внутренние системы. Да, автоматизация была, но она была шаткой и ее приходилось постоянно дорабатывать. Например, когда очередной гений вендор придумает «новое» название существующей группировки или инструмента.
После появления LLM (особенно с выходом GPT-5) этот процесс наконец удалось автоматизировать на 90% и сконцентрироваться только на закрытых данных. Однако спецэффекты все равно оставались: они были связаны с галлюцинациями модели, которая придумывала новые имена для группировок и ВПО. Кроме того, LLM еще не умеют понимать полный контекст действий атакующих, поэтому если мы хотим правильно обновить матрицу действий хакеров данными из свежего отчета, пока это приходится делать руками. Но в большинстве случаев мы эффективно используем постобработанные данные от LLM: это помогает отделять зерна от плевел и освобождает время аналитиков.
Итак, в чем же главная ценность данных операционного уровня? Они дают возможность действовать проактивно. Если в случае с IoC мы практически в 90% случаев пытаемся найти следы уже прошедших атак, то с данными операционного уровня можем подготовиться к атаке, основываясь на опыте пострадавших от действий хакеров. Эти сведения называются процедурами, и они связываются с конкретными техниками из матрицы MITRE ATT&CK (их также называют индикаторами/следами атак — IoA).
Оперативные данные можно проверять в SIEM для поиска следов компрометации в сети (Threat hunting) или использовать для эмуляции тех или иных действий хакеров — чтобы понять, как на них будут реагировать СЗИ (Purple teaming). А если мы не видим реакции от СЗИ, самое время написать детект или сообщить об этом вендору, чтобы он покрыл технику и обновил пакет экспертизы.
Как выглядят эти данные? Чаще всего это командлайны, имена файлов, информация о путях хранения инструментов на машине жертвы, сведения об уязвимостях или о том, как хакеры осуществляют воздействие на инфраструктуру.
| Тактика | Техника | Процедура |
| Первоначальный доступ | Эксплуатация уязвимости | Группировка PhantomCore использовала цепочку уязвимостей BDU:2025-10114, BDU:2025-10115, BDU:2025-10116 в сервисе видео-конференц-связи TrueConf для получения первоначального доступа в атакуемую инфраструктуру и выполнения произвольного кода от имени процесса tc_server.exe: cmd.exe /s /c 'C:\Program Files\TrueConf Server\tc_server.exe' /mode:1 /ServerID:a /ServerName:aaa1111#vcs /Serial:||whoami|| /File:'C:\TrueConf\activation\offlinereg.vrg'. |
| Закрепление | Закрепление через планировщик задач | Группировка HeartlessSoul использовала закрепление через запланированную задачу под названием ZeroDriveBackupTaskSystem141.1.7272.0. Задача запускалась каждые 5 минут, указанный путь для задачи — \ZeroDrive\ZeroDriveBackup\. Описание задачи — Update system executable and save files to cloud. |
IoA особенно полезны, когда вы сталкиваетесь с инцидентом, но не понимаете, кто и как вас атаковал. Если решите заняться расследованием самостоятельно (для качественного расследования все-таки зовите профильные команды), собранные данные могут вывести вас на одну из известных хакерских группировок. После этого вы сможете воспользоваться своими TI-системами или обратиться к коммерческим TI-порталам (например, к нашему PT Fusion) и получить детализированную сводку о том, как действуют эти хакеры (практика показывает, что их действия повторяются от инцидента к инциденту). Получив такую информацию, вы будете понимать, какие следы искать, и даже определите потенциальный исходный вектор атаки (например, уязвимость, которую надо срочно закрыть).
Предположим, вы столкнулись с группировкой, которая занимается шифрованием и вымогательством. Вас еще не зашифровали, но следы атаки вы уже нашли. Необходимо действовать максимально быстро: если правильно используете данные киберразведки и примете эффективные меры, то спасете свою инфраструктуру и кошелек от катастрофических последствий.
Формируем стратегию
Чтобы не просто рисовать красивые графики, а качественно генерировать информацию на стратегическом уровне, необходимы большой объем данных, высокий уровень автоматизации и большая скорость обработки. Здесь мы начинаем склеивать все сведения из предыдущих разделов и обсчитывать различные метрики, чтобы получить тренды. Это нужно делать не в формате «100 500 индикаторов было обнаружено за год», а так, чтобы увидеть динамику за определенный промежуток времени и ответить на главный вопрос: почему именно так, а не иначе?
По сути, здесь мы начинаем работать с ландшафтом угроз для нашей организации. В большинстве случаев он основывается на угрозах для отрасли и страны, поскольку хакерские группировки часто действуют по шаблону (преследуют одни и те же цели и атакуют представителей одной отрасли). Отмечу, что при построении ландшафта угроз важно учитывать состояние внешнего периметра, покрытие СЗИ, стек технологий и процессы, которые есть в компании. Почему процессы тоже важны? Например, если у вас нет DevSecOps, сразу повышается риск взлома через атаки типа Supply chain security. Если нет обучения по выявлению фишинга, увеличивается риск быть взломанным таким образом. И так далее.
Имея на руках полную картину ландшафта угроз, мы начинаем понимать слабые места инфраструктуры и можем составить список защитных мер — в первую очередь для устранения критичных угроз. Например, улучшение парольных политик, увеличение покрытия сети средствами мониторинга, разграничение доступов у подрядчиков и т. д.
Порог входа в киберразведку
Киберразведкой занимаются не только ИБ-вендоры, но и внутренние TI-команды крупных компаний. Разница в том, что вендор распространяет данные максимально широко, а in-house-специалисты делают это в рамках своей или дочерних организаций (и чаще всего дополнительно обрабатывают данные от вендоров).
На самом деле многие ИБ-специалисты от SOC до CISO в некоторой степени занимаются киберразведкой, когда анализируют сработки в СЗИ, сталкиваются с инцидентами, формируют прогнозы или строят ИБ-архитектуру организации. Однако им не всегда хватает навыков понять, что важно, а что нет. Как правильно реагировать на угрозу? От чего нужно защищаться в первую очередь? Как найти релевантную информацию по кейсу и не потратить слишком много времени на анализ?
Возникает дилемма: покупать или строить? Многие компании выбирают первый вариант, чтобы работать с готовыми данными от поставщика. Однако здесь тоже есть нюансы...
К сожалению, киберразведка не всегда дает четкие представления об угрозе. Почему? Все дело в области видимости поставщика данных. При их обработке часто остаются белые пятна, которые не всегда получается закрыть. Например, специалист SOC сидит на смене и видит в СЗИ подозрительную сетевую активность на домене telegramsupport.online. В данных in-house-киберразведки его нет, у вендоров тоже стоит пометка «Не определен». Как в этом случае понять, является ли домен угрозой? Конечно, по внешнему виду можно сказать, что он фишинговый, поэтому: «Давайте блокировать и расследовать инцидент». Но тогда нам нужны детали: что это за угроза, как она оказалась в сети, какие могут быть последствия и т. д. И тут начинается квест по атрибуции…
Аналитики начинают бегать по разным сервисам в поисках крупиц информации об индикаторе, чтобы хоть как-то выйти на след злоумышленников. Легче всего тем, у кого есть доступ к коммерческим TI-порталам, где могут быть связанные с индикатором приватные данные. Мы в PT Fusion пошли немного дальше и решили дать пользователям возможность искать информацию даже в сырых TI-данных (я называю эту функциональность «Поиск последнего шанса»).
Но вернемся к нашему домену. У него есть множество связанных данных: WHOIS, RDAP, SSL-сертификаты, DNS-записи, поддомены, история резолвов в IP. Возможно, эти записи уже засветились в разобранных ранее атаках.
На рис. 7 видно, что у домена очень интересный WHOIS, содержащий данные человека, который его зарегистрировал. Теперь мы можем узнать, не регистрировал ли этот человек других доменов: может быть, они уже были замечены в атаках?
Выясняем, что на этот email было зарегистрировано 50 доменов и среди них есть вредоносные. Следующий вопрос: может быть, они уже атрибутированы и значатся за конкретной группировкой?
И действительно: на одном из вредоносных доменов стоит атрибуция на ScalyWolf (см. рис. 9). Теперь можно ознакомиться с детальным профилем группировки и принять меры по реагированию (см. рис. 10).
Это всего лишь небольшой пример того, как можно раскрутить атаку до конкретной угрозы и сэкономить время на атрибуцию и поиск следов злоумышленников. Но одного доступа к TI-платформе все равно недостаточно: специалист, который к ней обращается, в любом случае должен иметь представление о работе с данными киберразведки.
Будущее позитивной киберразведки
Сегодня мы идем в сторону внедрения ИИ-технологий в работу с данными Threat Intelligence и, как и в обычной разведке, копим данные. Часть этой информации обрабатывается, часть так и остается без внимания, однако в процессе исследования угроз данные могу пригодиться, поэтому, чтобы не тратить время на анализ, мы передаем эти задачи ИИ. Мы уже проводим тестирование агентов, которые могут объяснить пользователю информацию, которую он найдет на портале PT Fusion: ИИ подсказывает, что стоит проверить в инфраструктуре, какие угрозы могут стоять за атакой, какие меры принять при реагировании и т. д.
Дальнейший вектор — использование накопленных нами знаний для обеспечения проактивной защиты пользователей. Ведь глобальная задача киберразведки — предотвратить атаку. Анализируя имеющиеся данные, можно выявлять паттерны, которые говорят о подготовке хакеров. Мы уже можем «предсказывать» некоторые атаки и доставлять эти данные пользователям или же противодействовать злоумышленникам. С применением ИИ этот процесс выйдет на новый уровень.
