Dostarczanie feedów Threat Intelligence

Jednym z podstawowych źródeł wiedzy o stopniu bezpieczeństwa IT organizacji jest obserwacja jej otoczenia internetowego i wyszukiwanie anomalii w ruchu oraz symptomów działań przestępczych, w tym planowanych. Obserwacja dużej liczby potencjalnych źródeł takich informacji, konieczność posiadania możliwości dotarcia do głębokich warstw darknetu, często o bardzo ograniczonym dostępie, wymaga specjalistycznej wiedzy. Ponadto informacje te pochodzą z wymiany lub zakupu danych od specjalistycznych podmiotów na świecie, w tym CERT-ów. Wreszcie, każdy CERT rozbudowuje własną sieć sond i sink-holi.

ComCERT oferuje usługę dostarczania takich danych. W jej ramach znajdują się następujące komponenty:

  1. Monitorowanie bezpieczeństwa (w ramach usługi powiadamiamy Klientów automatycznie na podstawie danych spływających z systemów, lub, w wersji rozszerzonej, ręcznie po analizie przez specjalistę ComCERT):
    • monitorowanie infekcji na podstawie:
  • własnych sinkholi
  • danych pozyskiwanych w wyniku wymiany z innymi CERT-ami
  • danych kupowanych komercyjnie
    • monitorowanie i analiza kampanii spamowych. Identyfikacja kampanii spamowej w ciągu kilkunastu minut od jej początku. Jeśli kampania zawiera jakiekolwiek szkodliwe elementy – ostrzeganie Klienta o tym fakcie
    • monitorowanie i obsługa kampanii phishingowych (identyfikacja kampanii phishingowych, zdejmowanie stron phishingowych w wyniku własnych identyfikacji oraz na zlecenie Klientów)
    • monitorowanie pojawień się słów kluczowych Klientów w serwisach, które mogą wskazywać na zaistniałe lub planowane ataki
    • monitorowanie dyskusji na podziemnych forach internetowych, które mogą wskazywać na działania związane z pozyskaniem know-how lub planowanymi akcjami skierowanymi przeciwko naszym Klientom.
  1. Pozyskiwanie danych autoryzacyjnych (PII):
    • pozyskiwanie informacji o danych autoryzacyjnych Klientów i pracowników naszych Klientów. Nowy Klient może otrzymać dane dotyczące informacji sprzed okresu współpracy
    • [dla banków] pozyskiwanie kont mułów
    • [dla banków] pozyskiwanie ofert sprzedaży rachunków bankowych w celach przestępczych.
  2. [dla banków] Pozyskiwanie informacji o ofertach sprzedaży wykradzionych kart płatniczych z forów/sklepów przestępczych i innych źródeł. Nowy Klient otrzymuje komplet informacji o wszystkich wykrytych przez ComCERT kartach płatniczych dotyczących banku działającego w Polsce z okresu 1 roku przed rozpoczęciem współpracy
  3. Monitorowanie słabości systemowych:
    • aktywne śledzenie kilkunastu źródeł informacji o zagrożeniach i słabościach systemowych
    • możliwość dostosowania powiadamiania na podstawie „profilu technologicznego” Klienta (również ustalanego we własnym zakresie, na podstawie obserwowanej ekspozycji Klienta)
    • aktywny monitoring zagrożeń dla Klienta na podstawie jego ekspozycji w sieci (np.: na podstawie otwartych portów).
  4. Przekazywanie informacji o zagrożeniach i incydentach na podstawie informacji uzyskanych od innych zespołów CERT, grup wymieniających informacje o zagrożeniach (np. APWG) oraz pozyskanych od naszych Klientów.
  5. Security NewsLetter (dwutygodnik dla naszych Klientów o bieżących zagrożeniach, incydentach, itp., przeznaczony jest w szczególności dla dużych organizacji).

Dostarczanie feedów TI jest usługą abonamentową. Dane nie wymagające natychmiastowej reakcji mogą być przekazywane w określonych odstępach czasu (np. co 6 lub 24 godziny). Przesyłanie danych odbywa się bezpiecznym kanałem (najczęściej zaszyfrowanym PGP) w postaci maila do osób odpowiedzialnych za obsługę incydentów. Jest również możliwość przesyłania danych w STIX/TAXII, co umożliwia importowanie ich bezpośrednio do narzędzi bezpieczeństwa IT Klienta.

Całkowicie automatyczne elementy usługi są przekazywane do Klienta w trybie 24/7. Te elementy, które wymagają częściowej obróbki ręcznej (weryfikacja false-positive lub interakcja z dysponentem danych) mogą być oferowane w trybie 24/7 lub 8/5.