CTI w firmie, czyli jak być o krok przed cyberprzestępcami

Cyber Threat Intelligence (CTI) to działania, których celem jest bieżące rozpoznawanie zagrożeń w cyberprzestrzeni, np. oznak włamania, jakich należy szukać w firmowej sieci komputerowej. To również wykrywanie zagrożeń zanim znajdą je przestępcy. Mogą to być prozaiczne rzeczy, jak niezaktualizowane oprogramowanie lub błędnie skonfigurowane bazy danych czy serwery.

Przykładowo, na źle skonfigurowanym serwerze mogą znaleźć się publicznie dostępne wartościowe informacje, takie jak repozytoria kodu lub kopie zapasowe, z których można wywnioskować, czym dana firma się zajmuje oraz jakie zbiera informacje. Taka sytuacja to ryzyko wycieku danych.

Bardzo istotnym działaniem w ramach CTI jest także monitorowanie internetu (w tym również darknetu) w poszukiwaniu potencjalnych zagrożeń. Odpowiadają za to specjaliści, którzy są obecni na forach, w grupach czy sklepach, gdzie cyberprzestępcy oferują wartościowe informacje.

Zdarza się też, że udostępniają oni pozyskane dane za darmo, tak aby zwiększyć zakres szkód zadanych organizacji lub losowych użytkowników internetu. Co może być taką informacją? Np. dane logowania do bankowości elektronicznej. Mając wiedzę, że nastąpił ich wyciek, bank może szybko zareagować zanim jego klienci zostaną poszkodowani. Oprócz tego, analitycy skupiają się na monitorowaniu wszystkiego, co może dotyczyć obsługiwanej organizacji: jej domen, klas adresowych czy interesujących ją słów kluczowych.

Pozyskanie informacji CTI to jednak początek drogi. Ich zakres może być ogromny, dlatego tak ważne jest ich przetworzenie, ocena wiarygodności, zrozumienie szerszego kontekstu i wyciągnięcie odpowiednich wniosków. Dopiero analiza źródeł i pozyskanych informacji pozwala ocenić ich przydatność oraz poziom zagrożenia.

Nie każda informacja o zagrożeniu – nawet jeśli okazuje się prawdziwa – jest użyteczna dla chronionego podmiotu. Dlatego ważne jest, aby z szumu informacyjnego wyselekcjonować tylko te, które faktycznie dotyczą monitorowanej firmy i są cenne z punktu widzenia jej bezpieczeństwa.

Istotnym aspektem jest także sposób komunikacji z klientem. Istnieją platformy umożliwiające gromadzenie, przetwarzanie i przekazywanie klientom spersonalizowanych informacji o zagrożeniach w cyberprzestrzeni. Dzięki temu osoby odpowiedzialne za ten obszar mogą na bieżąco monitorować i reagować na ryzyka związane z cyberbezpieczeństwem organizacji, np. potencjalne ataki na infrastrukturę i sieć. Takie rozwiązanie to też większa wydajność i skuteczność odpowiednich zespołów w organizacji.

Wracając do przykładu bankowości elektronicznej - zespół bezpieczeństwa lub administratorzy w odpowiednich modułach widzą informację o wycieku danych czy próbach podszycia się pod strony banku, gdzie cyberprzestępcy mogą przechwycić loginy i hasła jego klientów.

CTI to usługa, w której ważną rolę odgrywają analitycy posiadający kompetencje techniczne oraz umiejętności związane z programowaniem i administrowaniem. Warto podkreślić, że osoby, które sprawdzają się w roli ekspertów od cyberbezpieczeństwa, to przede wszystkim pasjonaci. Jest to bowiem bardzo rozległy temat, w którym zachodzą dynamiczne zmiany, co wymaga ciągłego aktualizowania i rozszerzania posiadanej wiedzy.

Tacy eksperci potrafią nie tylko znaleźć informacje o zagrożeniach, ale także odpowiednio je sklasyfikować i przekazać obsługiwanej organizacji, dzięki czemu może ona przygotować się na ataki i przeciwdziałać im w przyszłości. Przykładowo nasz zespół podzielił je na 4 bloki tematyczne:

• Słabości infrastruktury – czyli informacje o otwartych portach, usługach pracujących w oparciu o nieaktualne oprogramowanie, wygasłych certyfikatach SSL/TLS czy błędach w konfiguracji usług narażających organizację na atak. 
• Incydenty – to mogą być informacje, np. o kampanii phishingowej wykorzystującej wizerunek klienta i przypadki podszywania się pod jego firmę, wzmianki o organizacji klienta na forum przestępczym, wyciek bazy danych podmiotu trzeciego, w której znajdowały się informacje dotyczące klienta czy publikacja jego dokumentów wewnętrznych.
• Radar zagrożeń – to z kolei ostrzeżenia o poważnych zagrożeniach i alerty dotyczące globalnych niebezpieczeństw.
• Feedy IoC – czyli informacje o wykrytych oznakach włamania, tzw. wskaźnikach kompromitacji.

Wysoki poziom cyberbezpieczeństwa to nie tylko kwestia odpowiedzialności oraz zapewnienia stabilności i efektywnego funkcjonowania organizacji. To obowiązek nakładany przez różnych regulatorów. Takim zbiorem przepisów jest uchwalona w styczniu 2023 r. unijna dyrektywa NIS2, w ramach której Parlament Europejski zmodernizował przepisy cyberbezpieczeństwa. Stanowi ona odpowiedź na dynamiczną cyfryzację życia i biznesu oraz rosnący poziom cyberzagrożeń.

Dyrektywa NIS2 wzmacnia m.in. wymogi związane z zarządzeniem ryzykiem przez przedsiębiorstwa, a także usprawnia reagowanie, zarządzanie i obowiązki raportowania incydentów bezpieczeństwa. Nakłada ona na wiele organizacji obowiązek prowadzenia dynamicznej analizy ryzyka, która w praktyce oznacza konieczność korzystania z usług CTI. Natomiast w nowej wersji normy ISO27002 wprost znajduje się wymaganie dotyczące pozyskiwania feedów CTI jako sposobu na ograniczenie ryzyka skutecznego ataku teleinformatycznego.

Autorem artykułu jest Wojciech Korus, specjalista ds. bezpieczeństwa IT, ComCERT.

Artykuł powstał w ramach współpracy merytorycznej Akademii Biznesu i Asseco.