Gdy dane spotykają się z automatyzacją, dwa filary nowoczesnej technologii łączą się, tworząc coś inteligentniejszego: kanały danych cyberwywiadowczych. Bieżące informacje, decyzje podejmowane z prędkością osiągalną tylko dla maszyn i globalna perspektywa – wszystko to współdziała, by przechytrzyć zagrożenia, zanim przerodzą się w incydenty.

Dane cyberwywiadowcze od ANY.RUN to uporządkowane, stale aktualizowane strumienie świeżych informacji o zagrożeniach. Zawierają wskaźniki oparte na analizie ruchu sieciowego – adresy IP, nazwy domen i adresy URL – wzbogacone o dodatkowe dane kontekstowe, takie jak skróty plików (hash) czy informacje o otwieranych portach.

Informacje te zwiększają skuteczność systemów wykrywania zagrożeń i umożliwiają zespołom SOC szybkie reagowanie na ataki, łącznie z nowymi rodzajami złośliwego oprogramowania i zaawansowanymi działaniami cyberprzestępców.

Źródło, struktura i korzyści związane z danymi cyberwywiadowczymi od ANY.RUN

ANY.RUN oferuje możliwość pobrania próbki swoich danych cyberwywiadowczych w formatach STIX oraz MISP

Dane cyberwywiadowcze pochodzą z publicznych sesji analiz wykonywanych w chmurowym sandboksie przez klientów ANY.RUN, łącznie z zespołami SOC funkcjonującymi w ponad 15 000 firm z różnych branż na całym świecie. W ramach tych analiz specjaliści detonują i drobiazgowo analizują próbki złośliwych programów występujących w prawdziwym świecie.  

Wykryte wskaźniki infekcji są wstępnie przetwarzane z użyciem autorskich algorytmów ANY.RUN i w razie potrzeby zamieszczane na białych listach, by unikać fałszywych alarmów przy zapewnieniu wysokiej skuteczności wykrywania. Każdy wskaźnik jest wzbogacony o kontekstowe metadane, co pozwala jeszcze dokładniej analizować zagrożenia:

  • zewnętrzne źródła: linki do powiązanych sesji sandboxa, 
  • etykieta: nazwa rodziny złośliwego oprogramowania i/lub kampanii cyberprzestępczej, w której dane zagrożenie jest wykorzystywane, 
  • znaczniki czasowe wykrycia: daty ostatniego/pierwszego wykrycia, pozwalające lepiej zrozumieć, czy zagrożenie jest dalej aktywne, 
  • powiązane obiekty: identyfikatory plików oraz sieci związane z danym wskaźnikiem infekcji, 
  • punktacja: wartość reprezentująca poziom zagrożenia związanego z danym wskaźnikiem infekcji. 

Dane cyberwywiadowcze od ANY.RUN są dostępne w formatach STIX lub MISP i zawierają wskaźniki, które możesz wybrać według własnych potrzeb. Jeżeli chcesz przekonać się, w jaki sposób wskaźniki infekcji mogą wzbogacić Twoje rozwiązania bezpieczeństwa, skonfiguruj dostęp testowy. ANY.RUN utrzymuje także dedykowaną instancję MISP, z którą możesz zsynchronizować własny serwer lub połączyć ją ze swoimi rozwiązaniami bezpieczeństwa. Aby rozpocząć, skontaktuj się z nami.

Dostarczając informacje o zagrożeniach i ich wskaźnikach, kanały danych cyberwywiadowczych wspierają firmy na różnych etapach reagowania na incydenty: w procesie wstępnej oceny i kategoryzacji incydentu, polowania na zagrożenia oraz analizy po incydencie.

Wstępna ocena i kategoryzacja incydentów

Ocena i kategoryzacja ma na celu określenie stopnia zagrożenia i nadania incydentowi odpowiedniego priorytetu, z którego wynika potencjalny wpływ na organizację. Aby oszczędzać czas analityków, a także unikać fałszywych alarmów, proces ten musi odbywać się szybko i precyzyjnie.

Dane cyberwywiadowcze usprawniają to zadanie dzięki dostępowi do informacji kontekstowych pozwalających wzbogacać i uwiarygadniać alerty, co przekłada się na możliwość szybszego i bardziej świadomego podejmowania decyzji.

  • Korelacja ze znanymi zagrożeniami: dostarczane wskaźniki (złośliwe adresy IP, domeny itp.) mogą być błyskawicznie korelowane z generowanymi alertami w celu uzyskania potwierdzenia, czy ostrzeżenie dotyczy faktycznego zagrożenia czy jest fałszywym trafieniem. 
  • Nadawanie priorytetów: punktacja określająca poziom zagrożenia oraz dodatkowy kontekst pomaga zespołowi bezpieczeństwa w wyselekcjonowaniu incydentów, które stanowią największe ryzyko. 
  • Automatyzacja: integracja z systemami SIEM oraz SOAR pozwala na automatyczne wzbogacenie alertów o szczegóły dotyczące zagrożenia, a tym samym na zmniejszenie nakładu ręcznej pracy. 


Przykład

Instytucja finansowa otrzymuje ze swojego systemu wykrywania włamań (IDS) alert o podejrzanym połączeniu sieciowym wychodzącym do nieznanego adresu IP. Dane cyberwywiadowcze zawierają informacje wskazujące, że adres ten jest powiązany z infrastrukturą serwerową utrzymywaną przez cyberprzestępców w ramach ataków zagrożenia ransomware o nazwie Lynx. Posiadając te informacje, zespół bezpieczeństwa firmy nadaje temu incydentowi priorytet oznaczający wysoki poziom zagrożenia, izoluje urządzenie nawiązujące wspomniane połączenie i prowadzi dalsze dochodzenie, które pozwala uniknąć potencjalnego włamania. 

Wpływ na działalność biznesową

  • Redukcja czasu wykrycia zagrożenia poprzez szybką weryfikację alertów. 
  • Mniej czasu traconego na analizę fałszywych trafień, co pozwala skupić się na krytycznych incydentach. 
  • Gwarancja zgodności z regulacjami poprzez szybkie reagowanie na zagrożenia.  

Dane cyberwywiadowcze są uaktualniane co kilka godzin o świeże wskaźniki infekcji pobierane z ponad 16 000 zadań publicznych uruchamianych przez użytkowników sandboxa ANY.RUN. Dzięki temu organizacje mogą reagować na powstające zagrożenia niemal natychmiast po ich pojawieniu się w dziczy.

Polowanie na zagrożenia

  • Wzbogacenie danych sieciowych: strumienie danych dostarczają wskaźniki infekcji, które mogą zostać skorelowane z dziennikami zdarzeń sieciowych, informacjami z punktów końcowych oraz aktywnością użytkowników celem wykrywania anomalii. 
  • Wsparcie we własnych badaniach: dane cyberwywiadowcze wzbogacone o informacje kontekstowe dają solidne podstawy do dalszych badań związanych ze złośliwym programem, atakiem lub grupą cyberprzestępczą. Znając wskaźniki infekcji oraz taktyki, techniki i procedury atakujących, badacze mogą skuteczniej rozwijać własne hipotezy dotyczące potencjalnych zagrożeń. 
  • Ochrona proaktywna: poprzez ukazywanie powstających zagrożeń (takich jak pakiety exploitów czy kampanie phishingowe), dane cyberwywiadowcze pozwalają badaczom na wyszukiwanie powiązanej aktywności przestępców zanim uruchomią pełny atak. 

Przykład 

Zespół cyberbezpieczeństwa działający w firmie z branży handlu detalicznego zauważył w danych cyberwywiadowczych nową kampanię phishingową wycelowaną w platformy sprzedaży elektronicznej. Ataki były powiązane z określoną złośliwą domeną oraz unikatowym skrótem (hashem) pliku zawierającego program ransomware. Specjaliści użyli tej wiedzy do przeszukania dzienników zdarzeń sieciowych, by sprawdzić, czy w ich infrastrukturze pojawiły się próby nawiązywania połączeń ze wspomnianą domeną oraz pliki o danym skrócie. 

Badacze znaleźli jeden punkt końcowy, który podejmował próbę uzyskania dostępu do złośliwej domeny, jednak został on zablokowany przez zaporę sieciową. Dalsza analiza pozwoliła zidentyfikować phishingową wiadomość e-mail, która nie została wcześniej wykryta. Zespół zneutralizował zagrożenie poprzez poddanie tego punktu końcowego kwarantannie i uaktualnienie filtrów poczty e-mail, co pozwoliło zapobiec lokalnej epidemii ransomware i poważnym konsekwencjom.

Wpływ na działalność biznesową

  • Zapobieganie incydentom poprzez ich identyfikację zanim dojdzie do wyrządzenia jakichkolwiek szkód. 
  • Wzmocnienie ochrony proaktywnej i zmniejszenie szans udane cyberataki. 
  • Ochrona reputacji marki poprzez wykluczenie ryzyka wycieku ujawnienia danych klientów w trakcie ataku. 

Analiza po incydencie

Analiza po incydencie skupia się na zrozumieniu głównej przyczyny ataku, ocenie jego wpływu oraz wzmocnieniu ochrony z myślą o przyszłych zagrożeniach. Dane cyberwywiadowcze pozwalają dokonać rekonstrukcji ataku, zidentyfikować luki w zabezpieczeniach i budować strategie łagodzenia ataków. 

Dane cyberwywiadowcze ANY.RUN czerpią z obszernej bazy generowanej przez społeczność ponad 500 000 badaczy oraz zespołów SOC funkcjonujących w ponad 15 000 firm. Tak obszerna skala gwarantuje szerokie pokrycie zagrożeń, łącznie z exploitami dnia zerowego i dopiero powstającymi złośliwymi programami, także z uwzględnieniem określonych branż. Dzięki temu zespoły odpowiedziane za cyberbezpieczeństwo mogą z łatwością mapować lokalne incydenty na globalne trendy.

  • Rekonstrukcja ataków: dane cyberwywiadowcze oferują szczegółowe informacje o atakujących oraz powiązanych z ich działaniami wskaźnikami infekcji, co pozwala zespołom bezpieczeństwa śledzić źródło i przebieg ataku. 
  • Identyfikacja luk w zabezpieczeniach: poprzez możliwość porównania incydentu ze znanymi wzorcami zagrożeń, dane cyberwywiadowcze pomagają w ujawnieniu słabych punktów w zabezpieczeniach (niezałatane podatności, źle skonfigurowane urządzenia, nieaktualne systemy operacyjne itp.) 
  • Analiza retrospektywna: nowo opublikowane informacje mogą zostać wykorzystane do ponownego dokonania analizy związanej ze starszymi incydentami. Pomaga to identyfikować niebezpieczne działania, które wcześniej nie zostały wykryte. 

Przykład 

Firma z branży produkcyjnej padła ofiarą wycieku danych, w wyniku czego doszło do kradzieży własności intelektualnej. Zespół odpowiedzialny za reagowanie na incydenty użył danych cyberwywiadowczych do dokonania analizy ataku. Okazało się, że włamanie było elementem ukierunkowanej kampanii phishingowej powiązanej z cybergangiem specjalizującym się w atakowaniu firm z sektora przemysłowego.

Dane cyberwywiadowcze ANY.RUN obejmują linki do sesji analitycznych prowadzonych w sandboksie, dzięki czemu zespół bezpieczeństwa mógł szczegółowo zapoznać się z technikami, taktykami i procedurami atakujących, łącznie z wykorzystaniem określonego exploita w niezałatanej wersji oprogramowania oraz autorskiego skryptu PowerShell wykorzystywanego do wyprowadzenia skradzionych danych.

Wszystko to pozwoliło wyeliminować podatność, wdrożyć nowe reguły wykrywania na punktach końcowych i przeszkolić personel w rozpoznawaniu spersonalizowanych wiadomości phishingowych. 

Wpływ na działalność biznesową

  • Zmniejszenie czasu potrzebnego na odzyskanie sprawności dzięki pomocy w łagodzeniu skutków ataku.
  • Wzmocnienie długoterminowej odporności poprzez usunięcie przyczyn ataku oraz luk w zabezpieczeniach.
  • Zwiększenie zgodności z regulacjami poprzez możliwość szczegółowego dokumentowania incydentów i ich neutralizacji na potrzeby audytów.

W jaki sposób dane cyberwywiadowcze wspomagają wydajność operacyjną

Dzięki obsłudze formatów STIX oraz MISP, dane cyberwywiadowcze ANY.RUN mogą być z łatwością integrowane z systemami SIEM, SOAR, zaporami sieciowymi i innymi platformami bezpieczeństwa. Pozwala to na zautomatyzowane dostarczanie wskaźników infekcji, usprawnienie pracy analityków oraz zwiększenie efektywności istniejących rozwiązań. Oto najważniejsze korzyści płynące z zastosowania takiego podejścia.

1. Możliwość wczesnego wykrywania

Dane cyberwywiadowcze powalają identyfikować potencjalne zagrożenia zanim przerodzą się w kosztowne incydenty. Dzięki identyfikacji złośliwych programów lub kampanii phishingowych już na etapie ich powstawania, firmy mogą unikać przestojów, dbać o swoją reputację i zabezpieczać źródła przychodu. 

2. Szybszy czas reakcji

Dzięki korelacji informacji o zagrożeniach z występującymi incydentami, dane cyberwywiadowcze skracają czas potrzebny do identyfikacji i neutralizacji zagrożeń. Szybszy czas reakcji pozwala minimalizować wpływ potencjalnych włamań na funkcjonowanie firmy, co z kolei przekłada się na mniejsze straty finansowe, ochronę reputacji marki oraz zapewnienie zgodności z regulacjami, takimi jak RODO.

3. Świadome podejmowanie decyzji  

Dane cyberwywiadowcze ułatwiają sprawne podejmowanie decyzji w oparciu o konkretne, szczegółowe informacje – zgodnie ze strategią cyberbezpieczeństwa i celami biznesowymi. Przejrzysty obraz krajobrazu cyberprzestępczego pomaga zarządzać priorytetami w zakresie rozwiązań bezpieczeństwa, szkoleń personelu czy współpracy z innymi podmiotami. 

4. Ochrona proaktywna

Dane cyberwywiadowcze sprawiają, że firmowy system cyberbezpieczeństwa zaczyna działać w modelu proaktywnym, przewidując zagrożenia i zapobiegając incydentom zanim do nich dojdzie. Pozwala to na ograniczenie kosztów związanych z łagodzeniem skutków ataków oraz na zmniejszenie liczby przestojów w pracy.

Podsumowanie

Dane cyberwywiadowcze ANY.RUN to wysokiej jakości, precyzyjnie wyselekcjonowane, uaktualniane niemal w czasie rzeczywistym informacje o realnych zagrożeniach. Powstają przy olbrzymim udziale aktywnej społeczności i płynnie integrują się z istniejącą infrastrukturą cyberbezpieczeństwa.

Strumienie informacji usprawniają kategoryzację i nadawanie priorytetów incydentom, pozwalają na wdrożenie proaktywnego wykrywania zagrożeń i podnoszą na nowy poziom analizę realizowaną po wykryciu zagrożenia w firmowej sieci.

Integrując dane cyberwywiadowcze ze swoimi mechanizmami reagowania na incydenty, firmy mogą minimalizować szkody, poprawiać ogólny stan zabezpieczeń i dostosowywać systemy bezpieczeństwa do swoich celów biznesowych.

Informacje o ANY.RUN

ANY.RUN to rozwiązanie łączące chmurowy, interaktywny sandbox do analizy szkodliwych programów z rozbudowanymi źródłami danych cyberwywiadowczych. Platforma ułatwia pracę analityków z działów SOC oraz jednostek odpowiedzialnych za reagowanie na incydenty. Każdego dnia korzysta z niej ponad 500 000 profesjonalistów z całego świata.

Poproś o demo i korzystaj bezpłatnie przez 14 dni z najwyższego planu Enterprise

Źródło: https://any.run/cybersecurity-blog/threat-intelligence-feeds-in-incident-response/