Warto tu jednak zauważyć, że ochrona infrastruktury IT w dużej mierze sprowadza się do działań defensywnych skierowanych na obronę przed znanymi metodami ataków oraz monitoringu kluczowych assetów.
Nowoczesne rozwiązania bezpieczeństwa rozszerzają wprawdzie metody detekcji zagrożeń o analizę behawioralną, dają też możliwości „detonowania” podejrzanych obiektów (plików, linków) w kontrolowanym środowisku i po części możliwość obrony przed nieznanym wprost zagrożeniem. Jednakże i w tym przypadku wyznaczniki złośliwości są w pewnym stopniu określone. A co z zupełnie nowymi technikami ataków? Pytanie skąd możemy pozyskiwać informacje o nowych metodach ataków, nowych strategiach i technikach. W przypadku znanych ataków, doskonałym źródłem informacji jest macierz MITRE ATT&CK[1]. Natomiast do zbieranie informacji o nowych atakach warto zaprząc systemy honeypot, które udają rzeczywiste środowiska, wabiąc adwersarzy i pozyskując szczegółowe informacje o ich aktywności. Pewnym novum są w tej kategorii systemy wykorzystujące w interakcji z użytkownikami mechanizmy sztucznej inteligencji, w szczególności modele językowe[2]. Ponadto, coraz częściej stosowane podejście, to odwzorowanie rzeczywistej infrastruktury w systemach honeypot, a raczej systemach oszukujących adwersarzy (ang. deception grid).
Godną polecenia platformą, umożliwiającą uruchamianie szeregu honeypotów o różnym stopniu interakcji, jest T-Pot[3].
Warto zauważyć, że wszystkie wspomniane na początku systemy bezpieczeństwa dają nam możliwość pozyskiwania informacji o adwersarzach, ale nie dają nam szerszego kontekstu ich aktywności. Remedium jest tu współdzielenie informacji o obserwowanych atakach z zaufanymi partnerami. Jeśli zidentyfikowaliśmy zagrożenie albo obserwujemy podejrzaną aktywność, to informacje o tym możemy przekazać partnerom za pomocą dedykowanego systemu. Rekomendowaną do tego celu platformą jest MISP[4]. Dzięki współdzieleniu informacji uzyskujemy szerszą perspektywę i wiemy nieco więcej o skali obserwowanych działań. Możemy w szczególności stwierdzić, czy oprócz nas ktoś jeszcze był celem ataku. Dzięki współpracy łatwiej przypisywać atrybucję do cyberataków.
Dodatkowo, informacje uzyskane z honeypotów czy innych systemów bezpieczeństw można skorelować z danymi z urządzeń sieciowych uzyskiwanymi w postaci tzw. NetFlow-ów, np. z wykorzystaniem bazy Clickhouse. Taka korelacja daje dodatkowy wgląd w aktywność adwersarzy i skalę ataków. Wykorzystanie nowoczesnej bazy danych znacząco przyspiesza identyfikację komunikacji, w której wykorzystywany był konkretny adres IP.
Wymiana informacji pomiędzy zaufanymi partnerami jest świetnym sposobem na budowanie świadomości sytuacyjnej. Tak właśnie buduje się CTI, czyli wiedzę o cyberatakach i ich sprawcach. Wiedza ta pozwala lepiej adresować ryzyka związane z atakami.
W ramach projektu GN5-2 PCSS współpracuje z instytucjami zrzeszonymi w ramach GÉANT, m.in. w zakresie współdzielenia informacji o zagrożeniach. W dalszej perspektywie rozważa się udostępnienie wyselekcjonowanych informacji pozyskiwanych od partnerów zagranicznych, także partnerom krajowym.
[1]https://attack.mitre.org/
[2] https://github.com/mariocandela/beelzebub
[3] https://github.com/telekom-security/tpotce
[4] https://www.misp-project.org/
Maciej Miłostan
