Każda organizacja wykorzystująca systemy informatyczne musi mierzyć się z cybernetycznymi zagrożeniami bezpieczeństwa informacji. Podjęcie kroków w celu wyeliminowania ryzyk naruszenia bezpieczeństwa informacji może mieć kluczowe znaczenie dla funkcjonowania przedsiębiorstw. Naruszenia danych i cyberataki mogą spowodować ogromne szkody finansowe i wizerunkowe. Standard ISO 27001:2022 w załączniku A pkt. 5.7: Threat Intelligence wskazuje na wymagania gromadzenia, analizowania i tworzenia informacji o zagrożeniach związanych z bezpieczeństwem informacji. Celem wymagania jest w szczególności zapewnienie zrozumienia zagrożeń cybernetycznych poprzez zbieranie i analizowanie danych na temat obecnych i przyszłych ataków oraz samych zagrożeń cybernetycznych. Poza zrozumieniem sposobów ataków analiza informacji o zagrożeniach może uświadamiać jakich danych szukają atakujący jakie najczęściej wykorzystują wektory ataku oraz z jakiego rodzaju ryzyko musimy brać pod uwagę. Zagrożenia odnoszące się do poufności informacji, integralności i dostępności mogą prowadzić w szczególności do nieautoryzowanego dostępu, zmiany lub zniszczenia wrażliwych danych lub bezpośrednich zakłóceń w procesach biznesowych.
Zrozumienie środowiska zagrożenia pozwala odpowiednio reagować oraz odzyskiwać dane w przypadku materializacji zagrożenia. Aby zachować zgodność z normą ISO 27001 A.5.7, powinniśmy w szczególności wykonywać następujące czynności:
- okresowo badać występujące zagrożenia np.: poprzez przegląd raportów z agencji rządowych i innych organizacji np.: publikacje SOC jak Raporty Cert Orange Polska, raporty ENISA Threat Landscape (ETL);
- identyfikować źródła zagrożenia tj.: insiderów, konkurentów, przestępców, grupy terrorystyczne;
- określić możliwe nowe wektory ataków i trendy oparte na bieżących wydarzeniach i incydentach które wystąpiły w organizacji;
- opracować zasady i procedury, które pomogą złagodzić zagrożenia bezpieczeństwa organizacji.
Threat intelligence odnosi się do wiedzy o taktyce, narzędziach i technologii wykorzystywanych przez atakujących. Jednym z narzędzi które może nas wspierać w budowaniu skutecznej obrony przed zagrożeniami jest Wazuh. Wbudowany w system Wazuh moduł MITRE ATT&CK umożliwia analizę zagrożeń, który może zostać wykorzystany do ustalenia szerszego kontekstu alertów, które występujących w systemach organizacji. MITRE ATT&CK to repozytorium informacji o taktykach i technikach ataków oraz zbiór informacji o tym, co zrobić, aby skutecznie wykrywać ataki i złagodzić ich skutki. Moduł MITER ATT&CK wyświetla alerty zawierające szczegółowe informacje na temat zagrożeń, taktyk ataku i technik zastosowanych w przypadku zdarzenia związanego z bezpieczeństwem. Jest to bardzo pomocne gdy zdarzenie generuje alerty w systemach a użytkownik chce uzyskać więcej informacji na temat tych alertów.
Wyszukiwanie zagrożeń jest aktywnym środkiem ochrony cybernetycznej w przeciwieństwie do tradycyjnych zabezpieczeń takich jak firewall’e, systemy wykrywania i zapobiegania włamaniom (IPS/IDS) czy systemy antywirusowe. Wyszukiwanie zagrożeń jako element threat intelligence powinno obejmować proaktywne przeszukiwanie systemów, sieci i infrastruktury w celu śledzenie i jak najszybszego reagowanie na zagrożenia. Oznaką naruszenia bezpieczeństwa może być nietypowy ruch sieciowy, nietypowe zmiany plików, wykrycie złośliwego kodu. Wymaga to od organizacji ciągłego aktualizowania informacji o zagrożeniach cybernetycznych i potencjalnych atakujących. Wazuh pomaga spełnić te wymagania, mapując alerty na techniki MITRE ATT&CK i udostępniając pulpit informacyjny umożliwiający przeglądanie taktyk, technik, oprogramowania i środków zaradczych.
MITRE ATT&CK ® to ogólnodostępna baza wiedzy na temat taktyk, zaobserwowanych działań, zachowań i technik wykorzystywanych przez atakujących. Dostępna do bezpłatnego wykorzystania baza ATT&CK służy jako podstawa do opracowywania konkretnych modeli zagrożeń i metodologii. Integracja Wazuh z platformą MITRE ATT&CK jest zapewniana poprzez gotowy moduł na pulpicie nawigacyjnym Wazuh. Umożliwia użytkownikom mapowanie alertów generowanych przez Wazuh do określonych taktyk i technik opisanych w bazie ATT&CK. Dzięki temu możemy lepiej zrozumieć samo zagrożenie i przygotować strategię, która pozwoli na minimalizację skutków w sytuacji wystąpienia zagrożenia.
Autor: Piotr Maziakowski