🛡️ Уроки 3-4. Threat Intelligence и моделирование угроз

• Изучить основы Threat Intelligence и ее роль в современной кибербезопасности
• Освоить методологии моделирования угроз (STRIDE, DREAD, Attack Trees)
• Понять жизненный цикл threat intelligence и процессы принятия решений
• Изучить источники и типы индикаторов компрометации (IoC)

• Развить аналитическое мышление при работе с разведывательными данными
• Сформировать навыки структурированного анализа угроз
• Развить способность к прогнозированию и моделированию киберрисков
• Научиться работать с различными фреймворками анализа угроз

• Воспитать ответственный подход к анализу и интерпретации данных
• Сформировать этические принципы работы с разведывательной информацией
• Развить командное мышление в контексте защиты организации

Кейс “Прогнозирование непрогнозируемого”

• Анализ атаки на SolarWinds: как threat intelligence могла помочь
• Демонстрация временной шкалы: от первых индикаторов до публичного раскрытия
• Проблемный вопрос: “Можно ли предсказать кибератаку до ее начала?”

Определение и сущность: Threat Intelligence - это обработанная информация о текущих и потенциальных угрозах для организации, представленная в контексте, который позволяет принимать обоснованные решения по безопасности.

Пирамида данных в TI:

        INTELLIGENCE (Мудрость)
           ↑
      INFORMATION (Знание)  
           ↑
        DATA (Данные)
           ↑
      RAW SIGNALS (Сигналы)

Типы Threat Intelligence:

1. Стратегическая (Strategic) - долгосрочные тренды, для руководства
2. Тактическая (Tactical) - TTPs злоумышленников, для SOC
3. Техническая (Technical) - IoCs, для автоматизированной защиты
4. Оперативная (Operational) - детали конкретных кампаний, для threat hunters

Интерактивный элемент: Квиз “Определи тип TI” - студенты классифицируют примеры intelligence по типам

Intelligence Cycle (разведывательный цикл):

1. Планирование и направление (Planning & Direction)

   • Определение intelligence requirements (IR)
   • Приоритизация угроз для организации
   • Распределение ресурсов

2. Сбор данных (Collection)

   • OSINT (открытые источники)
   • HUMINT (человеческие источники)
   • SIGINT (сигнальная разведка)
   • Commercial feeds

3. Обработка и анализ (Processing & Analysis)

   • Нормализация данных
   • Корреляция с существующими данными
   • Применение аналитических фреймворков

4. Производство и упаковка (Production & Packaging)

   • Создание отчетов для разных аудиторий
   • Визуализация данных
   • Определение уровня достоверности

5. Распространение и обратная связь (Dissemination & Feedback)

   • Доставка intelligence потребителям
   • Сбор обратной связи
   • Корректировка процессов

Практическое упражнение: “Мини-цикл TI” - работа в группах по созданию упрощенного intelligence продукта

Источники Threat Intelligence:

Внутренние источники:

• Логи SIEM/SOC
• Honeypots и deception технологии
• Incident response данные
• Vulnerability assessments

Внешние источники:

• Коммерческие TI feeds
• Правительственные бюллетени
• Исследования безопасности
• Threat sharing communities

Pyramid of Pain (пирамида боли для атакующих):

        TTPs (Очень сложно изменить)
           ↑
        Tools (Сложно)
           ↑
    Network/Host Artifacts (Непросто)
           ↑
      Domain Names (Просто)
           ↑
      IP Addresses (Тривиально)
           ↑
      Hash Values (Тривиально)

Интерактивная дискуссия: Почему изменение TTPs болезненно для атакующих?

Лабораторная “Анализ реального APT отчета”:

• Каждая группа получает фрагмент реального APT отчета (например, от FireEye, CrowdStrike)
• Задачи:
  1. Извлечь IoCs разных типов
  2. Определить TTPs по MITRE ATT&CK
  3. Оценить релевантность для гипотетической организации
  4. Предложить контрмеры

• Создание mind-map “Экосистема Threat Intelligence”
• Обсуждение практической применимости в российском контексте
• Подготовка к теме моделирования угроз

Игра “TI-детектив”:

• Представляется набор IoCs
• Студенты должны построить гипотезу о возможной атаке
• Обсуждение логики рассуждений

Что такое моделирование угроз? Структурированный подход к идентификации, количественной оценке и приоритизации потенциальных угроз для системы.

Принципы эффективного моделирования:

1. Системность - рассмотрение всех компонентов
2. Итеративность - постоянное обновление моделей
3. Практичность - фокус на реализуемых мерах
4. Контекстуальность - учет специфики организации

Когда применять моделирование угроз:

• Разработка новых систем
• Значительные изменения в архитектуре
• После серьезных инцидентов
• Регулярные ревью безопасности

STRIDE - классификация угроз по типам:

• S - Spoofing (Подмена личности)

  • Примеры: фишинг, IP spoofing, DNS spoofing
  • Контрмеры: аутентификация, цифровые подписи

• T - Tampering (Нарушение целостности)

  • Примеры: модификация данных, code injection
  • Контрмеры: проверка целостности, access controls

• R - Repudiation (Отказ от авторства)

  • Примеры: отрицание совершенных действий
  • Контрмеры: логирование, цифровые подписи

• I - Information Disclosure (Раскрытие информации)

  • Примеры: утечки данных, SQL injection
  • Контрмеры: шифрование, access controls

• D - Denial of Service (Отказ в обслуживании)

  • Примеры: DDoS, resource exhaustion
  • Контрмеры: rate limiting, redundancy

• E - Elevation of Privilege (Повышение привилегий)

  • Примеры: buffer overflow, privilege escalation
  • Контрмеры: principle of least privilege, sandboxing

Практическое применение STRIDE:

1. Создание диаграммы потоков данных (DFD)
2. Применение STRIDE к каждому элементу
3. Документирование найденных угроз
4. Приоритизация и планирование мер

Интерактивная работа: Применение STRIDE к простой веб-системе (логин-форма)

DREAD - оценка рисков:

• D - Damage (Ущерб) - насколько велик потенциальный ущерб?
• R - Reproducibility (Воспроизводимость) - насколько легко воспроизвести атаку?
• E - Exploitability (Эксплуатируемость) - насколько легко провести атаку?
• A - Affected Users (Затронутые пользователи) - сколько пользователей пострадает?
• D - Discoverability (Обнаружимость) - насколько легко найти уязвимость?

Оценка: каждый параметр от 1 до 10, итоговый риск = сумма/5

Attack Trees (деревья атак):

• Графическое представление путей атаки
• Корень дерева = цель атакующего
• Ветви = способы достижения цели
• Листья = базовые действия атакующего

Пример структуры Attack Tree:

Получение доступа к базе данных
├── Атака на веб-приложение
│   ├── SQL Injection
│   └── Authentication Bypass
└── Атака на инфраструктуру
    ├── Network Penetration
    └── Social Engineering

MITRE ATT&CK Framework:

• Tactics (тактики) - цели атакующего
• Techniques (техники) - способы достижения целей
• Procedures (процедуры) - конкретные реализации

Практическое задание: Создание простого Attack Tree для мобильного приложения

Комплексное моделирование угроз:

• Работа в командах по 4-5 человек
• Каждая команда получает описание IT-системы
• Задачи:
  1. Создать DFD системы
  2. Применить STRIDE анализ
  3. Построить Attack Tree для одной критичной угрозы
  4. Оценить риски по DREAD
  5. Предложить топ-3 контрмеры

• Краткие презентации команд (по 1 мин)
• Peer review и конструктивная критика
• Обсуждение различий в подходах

• Design Thinking: структурированный подход к решению проблем безопасности
• Problem-Based Learning: каждая концепция изучается через решение реальной проблемы
• Collaborative Learning: работа в командах имитирует реальные SOC/TI teams
• Inquiry-Based Learning: студенты формулируют собственные исследовательские вопросы

• Threat Modeling Canvas: визуальный инструмент для группового моделирования
• Red Team/Blue Team симуляции: ролевые игры атакующих и защитников
• Fishbowl дискуссии: обсуждение сложных этических вопросов TI
• Gallery Walk: презентация результатов моделирования в формате выставки

• Базовый трек: фокус на понимании концепций и терминологии
• Продвинутый трек: глубокое погружение в методологии и инструменты
• Исследовательский трек: самостоятельная разработка моделей угроз

• Peer Assessment: взаимная оценка качества threat models (25%)
• Continuous Reflection: рефлексивные дневники с анализом изученного (20%)
• Active Participation: качество вопросов и вклада в дискуссии (25%)
• Rapid Prototyping: быстрое создание простых моделей угроз (30%)

• Портфолио проект: комплексное моделирование угроз для выбранной системы
• Критерии оценки:
  • Техническая корректность (40%)
  • Практическая применимость (30%)
  • Презентация и документирование (20%)
  • Инновационность подхода (10%)

Задание: Создать еженедельный threat intelligence briefing

• Найти 3-5 актуальных угроз из открытых источников
• Проанализировать их релевантность для образовательной организации
• Создать краткий отчет с рекомендациями (1-2 страницы)
• Использовать Traffic Light Protocol для классификации информации

Задание: Комплексное моделирование угроз

• Выбрать реальную IT-систему (можно из открытых источников)
• Создать детализированную DFD
• Провести полный STRIDE анализ
• Построить Attack Trees для топ-3 угроз
• Оценить риски по DREAD
• Предложить план мер по снижению рисков
• Оформить в виде профессионального отчета (8-10 страниц)

Задание: Исследовательская работа

• Изучить одну из современных технологий в Threat Intelligence:
  • AI/ML в автоматизации анализа угроз
  • Blockchain для sharing threat intelligence
  • Quantum computing угрозы и их моделирование
  • Deception technologies как источник TI
• Написать аналитическую статью (3000-4000 слов)
• Предложить собственную концепцию или улучшение
• Подготовить презентацию для конференции

• Уроки 1-2: Современные угрозы как основа для TI анализа
• Эволюция угроз → необходимость структурированного анализа

• Уроки 5-6 (Социальная инженерия 2.0): OSINT как источник TI
• Уроки 7-8 (Правовые аспекты): Этические и правовые аспекты TI
• Все последующие технические модули: Применение threat modeling

• Математика/Статистика: Вероятностные модели рисков, анализ данных
• Психология: Понимание мотивации атакующих, cognitive biases в анализе
• Экономика: Cost-benefit анализ мер безопасности
• Политология: Геополитические аспекты государственных APT групп

• Стажировки в SOC: Применение изученных методологий
• CTF соревнования: Threat intelligence как элемент защиты
• Bug bounty: Моделирование угроз для поиска уязвимостей

• MISP (Malware Information Sharing Platform) - для работы с IoCs
• ATT&CK Navigator - для визуализации техник атакующих
• Threat Dragon - для создания threat models
• Draw.io/Lucidchart - для создания DFD диаграмм

• Виртуальные SOC среды для практики TI анализа
• Threat hunting лаборатории с реальными логами
• Red team симуляторы для понимания TTPs