Początkowy okres rozwoju CTI skupiał się na wsparciu działań reaktywnych, czyli wykorzystaniu oznak kompromitacji (Indicators of Compromise, IOCs) w momencie wystąpienia incydentu oraz w toku analiz powłamaniowych. Na przestrzeni lat aktywność ta wyewoluowała od niszowej działalności, wykonywanej głównie przez zespoły CSIRT/CERT do kluczowego elementu ochrony proaktywnej. Aktualnie coraz większy nacisk kładzie się na pozyskiwanie informacji o strategiach działań adwersarzy i nowych zagrożeniach jeszcze przed wystąpieniem rzeczywistego incydentu.
CTI na ten moment to nie tylko IOCs, ale także próba opisu zachowania adwersarzy, próba identyfikacji cech charakterystycznych poszczególnych grup atakujących czy strategii i typów ataków. Dzięki pozyskiwanej na bieżąco wiedzy możliwa staje się też, w pewnym zakresie, tak zwana atrybucja ataku, czyli próba wskazania grupy hakerskiej odpowiadającej za przeprowadzenie danej kampanii.
Co ciekawe, CTI to także biznes – na rynku pojawia się coraz więcej firm, które żyją z obserwowania tego co się w Internecie dzieje, a liczne zespoły cyberbezpieczeństwa czy zespoły SOC chętnie korzystają z ich usług. Dla przykładu (proszę nie traktowć tego jako reklamę) warto wspomnieć choćby takie firmy jak Censys, Shodan, SecurityTrails, ZeroFox.
Co się monitoruje? Długo można by wymieniać, ale kilka najczęściej spotykanych elementów to monitoring ekspozycji usług w Internecie, monitorowanie rejestracji nowych domen (z których część jest później wykorzystywana w działalności przestępczej), identyfikacja masowych skanów, identyfikacja serwerów C&C, nowych eksploitów, rejestracja zapytań DNS na potrzeby usługi passive DNS dającej możliwość sprawdzenia na jakie adresy IP wskazywała dana domena w danym czasie lub jakie domeny były powiązane z danym IP, identyfikacja spambotów, identyfikacja stron phishingowych i złośliwych adresów URL, monitoring dark web pod kątem wycieków kont i haseł itp. Itd.
Jak taką wiedzę się pozyskuje? Poprzez monitoring (np. zapytań DNS, prób połączeń), skanowanie Internetu (w tym połączenia z adresami pozyskanymi z monitoringu DNS), rejestrację informacji o nowych podatnościach, wystawianie serwisów typu honeypot by wabić potencjalnych atakujących, detonację próbek ze skompromitowanych systemów (lub honeypotów) w piaskownicach (sandbox). Lista oczywiście nie jest wyczerpująca.
Do czego się ją wykorzystuje? Aktualnie próbuje się tą wiedzę wykorzystywać w działaniach operacyjnych do np. dostarczania usług DNS RPZ (blokowanie dostępu do złośliwych domen), identyfikacji potencjalnie skompromitowanych hostów czy serwerów poprzez korelację informacji z rekordów NetFlow/IPFIX z listami kontrolerów botnetów, filtracji ruchu czy ochrony antyphishingowej. Gdy mechanizmy ochrony zawodzą, to CTI nadal się przydaje, jak za dawnych czasów, do analiz powłamaniowych i potencjalnej atrybucji ataku.
Jakie są aktualne trendy? Podobnie jak w innych dziedzinach życia dość dużo uwagi poświęca się sztucznej inteligencji. Sztuczna inteligencja, m.in. duże modele językowe, z jednej strony może być wykorzystywana do usprawniania działań związanych z CTI, a z drugiej może być celem wysublimowanych ataków lub wpierać adwersarzy. W pierwszym przypadku wykorzystuje się ją do analizy pozyskiwanych informacji czy symulacji rzeczywistych systemów wabiących adwersarzy. W drugim przypadku próbuje się np. zmusić sztuczną inteligencję do ujawnienia poufnych informacji lub spowodować zakłócenia w jej pracy. Sztuczna inteligencja jest też niezwykle pomocna w przygotowywaniu celowanych ataków, np. zaawansowanych ataków socjotechnicznych czy powszechnych kampanii phishingowych.
CTI to także współpraca i zaufanie. Podobnie jak w klasycznym wywiadzie, chcemy wiedzieć jak najwięcej i jednocześnie nie ujawniać wszystkiego co wiemy naszym wrogom czy adwersarzom. Jednocześnie chcemy się dzielić wiedzą z przyjaciółmi, po to by oni podzielili się również z nami. Zaufane środowiska wymiany występują między partnerami w ramach wspólnych projektów, w ramach sieci zrzeszających zaufanych partnerów (np. Trusted Introducer / TF-CSIRT, FIRST) czy w ramach lokalnych inicjatyw. PCSS wraz z partnerami krajowymi w szczególności tworzącymi Konsorcjum Pionier (np. projekt PUCHACZ), jak i zagranicznymi, w ramach współpracy w GÉANT aktywnie włącza się w pozyskiwanie i wykorzystywanie CTI. Aktualna wiedza o zagrożeniach, to jeden z istotnych kluczy do bezpieczeństwa.
Maciej Miłostan