Отчеты об APT-активности содержат подробности компрометации многочисленных организаций, секторов экономики, различных отраслей и даже стран (на протяжении многих лет). Как подчеркнули в некоммерческой исследовательской организации MITRE: «Организациям важно иметь доступ к данным о киберугрозах, и ключевым компонентом в этом случае является возможность обмена информацией с партнерами, коллегами по отрасли и другими доверенными организациями». Обмен данными об угрозах полезен для любых организаций, так как поступающие извне сведения способствуют усилению внутренней безопасности.

В ИБ-отрасли нередко можно встретить определение APT-активности как «атаки», то есть подспудно, на уровне языковых средств, дефиниция формулируется таким образом, чтобы оправдать свое право на самооборону (с использованием очень эмоционального и широко трактуемого термина active defense, «активная оборона»). Мы считаем, что более корректным термином для определения APT-активности является «компрометация»: это в должной мере описывает нарушение целостности, доступности и/или конфиденциальности ИТ-систем и данных в атакуемой организации.

Меры, требуемые для гарантирования и поддержания работоспособного состояния организации при угрозе компрометации, включают в себя защиту, детектирование и ответную реакцию. Более агрессивные меры составляют категорию, которую исследователи Химма и Диттрих (Himma and Dittrich) называют Active Response Continuum — «континуум активного отклика». Если сторонник более агрессивных действий с целью обороны неспособен четко сформулировать и проанализировать последствия с точки зрения этики и права, он не может участвовать в реализации самых жестких мер и не может рассчитывать на снисхождение при нарушении закона с целью «самообороны«.

Если мы «закладываемся на взлом», то есть признаем, что может произойти компрометация и что обычный цикл мер защиты, обнаружения и реагирования должен быть нормой, а не исключением, то разумным будет задействовать всю имеющуюся информацию, чтобы эффективнее справиться с компрометацией. Эта информация поступает в виде характерных признаков (observables) и индикаторов компрометации (indicators of compromise, IOC) — в формате, описанном в статье MITRE от 2012 года, посвященной фреймворку Structured Threat Information eXpression, STIX.

Зачастую люди неправильно понимают характерные признаки и IOC ввиду недостатка знаний, неточности определений и других проявлений человеческого фактора (в некоторых случаях это «непонимание» имеет определенную цель и более походит на самоцель, чем на стремление улучшить состояние национальной безопасности для общего блага). Давайте посмотрим, как MITRE определяет эти термины.

«Характерные признаки компрометации — это имеющие определенное состояние свойства и измеряемые события безопасности, связанные с работой компьютеров и сетей. Информация о файле (название, хэш, размер и т.п.), значение ключа системного реестра, запуск службы, отправка HTTP-запроса — вот простые примеры характерных признаков компрометации. […] Индикаторы компрометации — это конструкции, используемые для подачи характерных признаков компрометации в совокупности с контекстной информацией с целью представления артефактов и/или заслуживающего внимания поведения в контексте кибербезопасности. Индикатор включает в себя несколько характерных признаков, контекстуализированных с учетом потенциально возможных инструментов, тактик и процедур, а также ряд релевантных метаданных — например, степень уверенности в индикаторе, ограничения по обработке, подтвержденные временные окна, возможный негативный эффект, различимость индикатора, необходимые для обнаружения механизмы тестирования структуры, оптимальный порядок действий, источник индикатора и т.п.».

MITRE также определяет ряд связанных между собой терминов, которые характеризуют более общие логические структуры и организационные цели: «инциденты»; «инструменты, тактики и процедуры» (TTP); «кампания»; «злоумышленник»; «порядок действий».

Как отметил в блоге Infosec Zanshin Алекс Сиейра (Alex Sieira), объединение характерных признаков и IOC, а также неправильное использование признаков приводят к большому количеству ложных срабатываний. То, что обычно преподносят как «сведения об угрозах», часто оказывается набором характерных признаков, которые не должны использоваться как единственное основание для генерации предупреждений системы безопасности. Вывод автора в целом верен, но то, о чем он пишет (IP-адреса, доменные имена, URL), — это характерные признаки, а не IOC. Автор разъясняет, что нельзя поднимать тревогу лишь из-за присутствия характерных признаков. По его мнению, предупреждения должны генерироваться на основании IOC, сочетающих множество характерных признаков и метаданные (степень уверенности и т.п.), — лишь таким образом можно снизить вероятность ложных срабатываний.

Давайте проанализируем еще один пример, как его описывает Джессика Децианно (Jessica Decianno) из Crowdstrike: «В сообществе экспертов-криминалистов IOC зачастую определяют как найденное на компьютере свидетельство, указывающее на нарушение безопасности сети». При этом она не приводит уместных цитат, и вообще непонятно, имеет ли эта дефиниция «от криминалистов» какое-либо отношение к данному вопросу.

Уилл Граджидо (Will Gragido) также использует термин «криминалистический артефакт«, но при этом подчеркивает, что IOC — это нечто большее.

И вновь обратимся к Crowdstrike: «Для киберсообщества IOC — это хэш MD5, C&C-домен, прописанный в коде IP-адрес, ключ реестра, имя файла и так далее. Эти IOC постоянно меняются, что делает проактивный подход к защите предприятия невозможным». И вновь подчеркнем: согласно определениям MITRE от 2012 года, все вышеперечисленное — это не IOC, а характерные признаки компрометации.

Росс и Брим (Ross, Breem) приводят живой пример IOC (ниже), демонстрирующий взаимосвязь составляющих и учет «постоянных изменений».

mandiant-IOC

Децианно применяет к индикаторам компрометации определения «унаследованный» и «пассивный», а также ассоциирует слово «проактивный» с новой концепцией — «индикатором атаки» (IOA); этот термин, по ее мнению, лучше, чем IOC. Определение IOA довольно размыто, но включает фразу «дает представление о ряде действий, которые нужно выполнить злоумышленнику, чтобы атака была успешной», — по аналогии с шагами, необходимыми для совершения преступления.

«С точки зрения кибербезопасности ценность IOA заключается в способности показать, каким образом злоумышленник проник в ваше окружение, получил доступ к файлам, выгрузил пароли, продвигался по сети и в конечном итоге вывел ваши данные», — пишет Децианно.

В терминах MITRE здесь речь явно идет об IOC вкупе со связанными «инцидентами», TTP, «кампанией» и «злоумышленником». Тот факт, что все эти сведения собираются и обрабатываются в реальном времени, не обуславливает их отличие от IOC. Он лишь подчеркивает необходимость сбора характерных признаков компрометации, их объединения и обогащения дополнительной информацией. Таким образом, они станут более полезными для «общих усилий по созданию, развитию и улучшению обмена структурированной информацией об угрозах», согласно MITRE. Зачем изобретать новый термин для уже существующего явления и отвергать общеупотребительную концепцию, которая помогает улучшить общее положение дел в киберобороне?

Если целью действительно является укрепление национальной безопасности в условиях роста киберпреступности (как в США, так и в других странах) путем повышения эффективности защиты, обнаружения и реагирования на угрозы, нужно в рамках отрасли перейти на ясный и единый язык ради общего блага. Если этого не сделать, намерения обеспечить безопасность могут не привести к желаемому результату.

Дейв Диттрих — исследователь информационной безопасности из Центра изучения данных при Университете Вашингтона в Такоме. Дейв ведет борьбу с компьютерными преступлениями с конца 1990-х и много пишет о состоянии хостов и сетей, о ботах и ботнетах, о DDoS, а также об этике компьютерных исследований и об Active Response Continuum.

Кэтрин Карпентер (Katherine Carpenter) — независимый консультант. Она занимается исследованиями в области обеспечения приватности и безопасности данных, а также вопросами этики компьютерных исследований. В прошлом Кэтрин специализировалась в области этики биотехнологий и здравоохранения.

Категории: Аналитика, Главное, Кибероборона, Хакеры