Критически важной частью информационной безопасности становится аналитика киберугроз (Cyber Threat Intelligence, CTI) — процесс, который предполагает сбор и интерпретацию данных о распространенных и нетипичных атаках на ИТ-инфраструктуру компаний и позволяет получить представление об актуальном ландшафте угроз, разработать меры профилактики и реагирования на действия атакующих. Данные аналитики киберугроз используют средние и крупные компании, подверженные большому количеству рисков ИБ. Рассказываем, в чем смысл такой аналитики, ее виды и какие специалисты ею занимаются.

Что такое аналитика киберугроз

Аналитика киберугроз — процесс сбора, сначала первичного, а далее и глубокого анализа и интерпретации данных о потенциальных или реальных киберугрозах, например фишинговых атаках, вредоносном ПО, DDoS-атаках, инсайдерских угрозах, сложных атаках с использованием уязвимостей ИТ-инфраструктуры и др. Цели такой аналитики:

• Понять, как та или иная угроза повлияет на бизнес.
• Определить тактики и техники злоумышленников.
• Выявить индикаторы компрометации, которые свидетельствуют о присутствии злоумышленников в информационной инфраструктуре.
• Обогатить имеющиеся данные о различных видах киберугроз.
• На основе собранной информации разработать эффективные меры обнаружения атак.

Результаты аналитики киберугроз помогают бизнесу понять, с какими рисками он может столкнуться и от чего именно нужно защищаться. Не располагая аналитической информацией, компании могут обезопасить себя либо от недостаточного количества угроз, либо, наоборот, от всех потенциальных атак. Оба подхода не принесут нужного результата. В первом случае бизнес останется уязвимым, во втором — зря потратит ресурсы на защиту от угроз, которые маловероятны.

Виды аналитики киберугроз

Выделяют три разновидности аналитики:

• Тактическая — сбор и анализ информации о текущих угрозах и тактиках злоумышленников для дальнейшей передачи сотрудникам ИБ-подразделения с набором процедур для остановки атаки.
• Оперативная — аналитика киберугроз, которая фокусируется на актуальных схемах и методах атак, используемых в отношении конкретной компании. Специалисты разбирают всю подноготную угроз: характер, точки входа, мотивы, сроки, а также собирают данные о существующих хакерских группировках.
• Стратегическая — аналитика, подразумевающая изучение долгосрочных рисков и глобальных тенденций в части киберугроз.

Чтобы всесторонне защищаться от возможных атак и выработать собственные меры реагирования на подозрительную активность, компании должны применять все перечисленные виды аналитики киберугроз. Однако на практике к стратегической аналитике зачастую прибегают только крупные корпорации.

Источники данных для аналитики киберугроз

Откуда можно брать данные для аналитики:

• Внутренние системы мониторинга, например SIEM (Security Information and Event Management). Они собирают логи с серверов, сетевых устройств, баз данных, приложений.
• Платформы Threat Intelligence — специализированные системы, собирающие информацию об актуальных угрозах безопасности.
• Открытые источники. Для сбора данных по различным открытым источникам применяется подход OSINT (Open Source Intelligence).
• Партнерские информационные потоки.

Чем больше для аналитики киберугроз источников данных, тем качественнее ее результаты. Они позволят не только определить риски для своей компании, но и понять, каким атакам подвергались другие организации и какие последствия для них наступали. Эта информация поможет при разработке мер реагирования на угрозы.

Как работает аналитика киберугроз в корпоративной защите

Как выстроены процессы аналитики:

• Сбор и обработка данных о потенциальных и реальных угрозах.
• Корреляция событий и выявление признаков атак.
• Подготовка рекомендаций и инструкций для более качественного обнаружения угроз.

На основе собранных данных принимаются важные управленческие решения в сфере ИБ.

Почему аналитика киберугроз важна для бизнеса

Какие преимущества дает ответственный подход к борьбе с угрозами информационной безопасности:

• Раннее обнаружение киберугроз и минимизация последствий атак для компании.
• Возможность предсказать действия злоумышленников и предотвратить повторные инциденты ИБ.
• Повышение уровня защищенности компании за счет проактивного подхода к решению задач в сфере безопасности.
• Улучшение процессов реагирования на инциденты.

Эти преимущества ждут бизнес, если в штате будут грамотные аналитики SOC 2-й линии. Для достижения такими сотрудниками высокого уровня компетенций, им необходимо пройти специализированное обучение.

Роль аналитиков SOC 2-й линии в поиске и исследовании киберугроз

SOC (Security Operations Center) — это подразделение, специалисты которого занимаются реагированием на киберугрозы. Основная задача аналитиков SOC — обнаружить и устранить угрозу безопасности. Помимо анализа и обработки инцидентов ИБ на них часто возложены и обязанности по исследованию тактик и техник злоумышленников.

Существует несколько уровней SOC-аналитики. Аналитикой киберугроз во многих компаниях занимаются специалисты 2-й линии. Они исследуют поведение злоумышленников, расследуют инциденты ИБ, разрабатывают превентивные меры борьбы с кибератаками, формируют аналитические отчеты.

Аналитики SOC 2-й линии обладают более глубокими навыками, чем аналитики SOC 1-й линии, которые организуют мониторинг событий ИБ и проводят первичный анализ инцидентов. Иными словами, специалисты 2-й линии работают с аналитикой киберугроз на уровне тактики и стратегии.

Обучение аналитиков в Solar Method

Повысить квалификацию и освоить новые навыки можно на онлайн-курсе «Аналитик SOC 2-й линии» от Solar Method. Он подойдет специалистам и инженерам ИБ-подразделения, аналитикам SOC L1 и SOC L2 (Junior).

Какие темы представлены в программе курса:

• Погружение в работу центра мониторинга и реагирования на инциденты ИБ.
• Аудит журналов событий ИБ в типовой ИТ-инфраструктуре.
• Сбор событий ИБ.
• Мониторинг инцидентов.
• Лучшие стратегии и практики реагирования на инциденты.
• Анализ (TI) и поиск угроз (TH).

Преимущества обучения в области аналитики киберугроз:

• Онлайн-формат курса и удобный график, что позволяет обучаться без отрыва от работы.
• Получение актуальных знаний по аналитике киберугроз.
• Практические задания и кейсы.
• Проверка полученных навыков.

Эксперты курса Solar Method подготовят профессиональных, глубоко погруженных в тему киберугроз аналитиков SOC 2-й линии, которые помогут своей компании повысить уровень информационной безопасности.