Threat Inteliigence / OSINT / NETSEC / NATSEC

Czytelnia

Podczas dyskusji, które odbywam z innymi praktykami i badaczami zagadnień bezpieczeństwa jak i podczas szkoleń SANS zauważyłem, że jednym ze stałych punktów jest wymiana informacji na temat publikacji dotyczących konkretnych zagadnień. Jest to szczególnie interesujące w przypadku bardziej niszowych tematów, kiedy mogłem zarówno pomagać w znalezieniu wydawnictw z zakresu którym się zajmowałem jak i polegać na wiedzy rozmówców w tematach w których brakowało mi doświadczenia aby wybrać publikacje. Chciałbym więc podzielić się wiedzą w zakresie pozycji, które w mojej ocenie są warte uwagi dla osób zarówno już pracujących w threat intelligence jak i tych, które swoją przygodę dopiero zaczynają. Aby ułatwić nawigację, listę ułożyłem zagadnień.

  1. Nauki o analizie wywiadowczej
  2. Cyber Threat Intelligence
  3. Informatyka śledcza i reagowanie na incydenty
  4. Analiza malware’u
  5. Wywiad Amerykański
  6. Wywiad Rosyjski
  7. Wywiad Chiński
  8. Wywiad i kontrwywiad organizacji niepaństwowych

Wywiad i analiza wywiadowcza

Wywiad, analiza wywiadowcza – publikacje dotyczące wywiadu w szerokim kontekście dotyczące założeń, organizacji, form i metod działalności wywiadowczej.

Intelligence: From Secrets to Policy – wszechstronna analiza roli i znaczenia wywiadu dla współczesnego aparatu państwa. Książka skupia się na realiach Amerykańskich, ale rozdziały dotyczące interakcji pomiędzy organizacjami wywiadowczymi, a władzą wykonawczą i ustawodawczą mają charakter uniwersalny.

Thwarting Enemies at Home and Abroad: How to Be a Counterintelligence Officer – wydany w 1987 podręcznik taktyki i metod stosowanych w kontrwywiadzie. Naturalnie obowiązkowa pozycja, jak zapewne możecie wnioskować po nazwie mojego serwisu 🙂 A bardziej na poważnie, zdecydowanie wciąż uważam, że większość zajęć w sektorze prywatnym, a szczególnie CTI, to właśnie kontrwywiad. Dlatego warto znać metody działań kolegów pracujących w mniej cyber warunkach.

Psychology of Intelligence Analysis – studium problemów z jakimi muszą mierzyć się analitycy w zakresie unikania przeniesienia własnych poglądów na produkty wywiadowcze. To tutaj też opisana została jedna z najbardziej znanych ustrukturyzowanych technik analitycznych – analiza wykluczających się hipotez (ACH). Dostępna za darmo w zasobach CIA.

Curveball – historia ku przestrodze o tym jak naciski na polityczną interpretacje danych wywiadowczych doprowadziło do błędnych wniosków co do BMR w Iraku.

Active Measures – szczególnie dzisiaj aktualna i wartościowa pozycja. Historia stosowania operacji wywiadowczych do szerzenia dezinformacji i kontrolowania narracji wydarzeń.

Cyber Threat Intelligence

Cyber Threat Intelligence – cyber strona wywiadu i publikacje związane z metodami analizy zagrożeń w celu lepszego zapobiegania atakom.

The Cuckoo’s Egg – pod wieloma względami pierwszy przypadek analizy CTI, nawet jeżeli sam zainteresowany nie był tego świadomy 🙂 Historia tego, jak astronom w Laboratorium Lawrence Berkley zaczął tropić włamywacza na podstawie odkrytego błędu w systemie księgowym, co doprowadziło do wykrycia cyber operacji wywiadowczej nakierowanej na zbieranie informacji z sieci rządu USA.

Intelligence-Driven Incident Response: Outwitting the Adversary – w mojej ocenie publikacja, której najbliżej do miana podręcznika CTI. Rzetelny opis teoretycznej i praktycznej strony wykorzystywania wiedzy pozyskanej w wyniku analiz wrogich zachowań w naszym środowisku aby wspomagać ochronę sieci.

Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains – słynna publikacja pracowników Lockheed Martin opisująca metodologię analizy aktywności w oparciu o wyodrębnienie następujących po sobie, deterministycznych etapów. Na przestrzeni lat ocena modelu zaczęła budzić kontrowersje, jednak wciąż lektura obowiązkowa dla analityków CTI. O wykorzystaniu cyber kill-chain pisałem zresztą w jednym z postów.

The Diamond Model of Intrusion Analysis – podobnie jak poprzednia pozycja, jeden z kluczowych artykułów dla praktyki threat intelligence. Opis kategoryzacji aktywności w oparciu o wyróżnienie czterech elementów – atakującego, ofiary, infrastruktury i możliwości, które muszą występować w każdej próbie włamania.

MITRE ATT&CK: Design and Philosophy – ATT&CK to jak Cyber Kill Chain i Diamond Model, jedno z najbardziej obecnie popularnych narzędzi threat intelligence – opis wrogiej aktywności w oparciu o katalogowanie w znormalizowany sposób taktyk, technik i procedur wykorzystanych w ataku.

The Threat Intelligence Handbook A Practical Guide for Security Teams to Unlocking the Power of Intelligence – wysokopoziomowy opis zastosowania threat intelligence w ochronie organizacji wraz z przeglądem źródeł, scenariuszy i koncepcji. Za darmo od Recorded Future.

Attribution of Advanced Persistent Threats: How to Identify the Actors Behind Cyber-Espionagejak pisałem w jednym z postów, atrybucja to jedno z najbardziej złożonych i kontrowersyjnych zagadnień CTI. Publikacja Timo Steffensa opisuje autorską metodologię określania odpowiedzialnych za wrogie działania w oparciu o szereg technicznych i nietechnicznych czynników. Biorąc pod uwagę, że to pierwsza książka tak kompleksowo opisująca temat, lektura obowiązkowa.

Informatyka śledcza i reagowanie na incydenty (DFIR)

File:Digital Forensics - Imaging a hard drive in the field.jpg - Wikimedia  Commons

Informatyka śledcza i reagowanie na incydenty (DFIR) – CTI to w dużej mierze analiza wrogiej aktywności tożsama z tym co robią zespoły CERT. Różnica polega na tym, że kiedy reagujący na incydenty gaszą pożary, analitycy CTI starają się ustalić kto i w jaki sposób będzie podkładał ogień w przyszłości. Tak czy inaczej, umiejętności w zakresie DFIR są niezwykle istotne dla zajmujących się wywiadem. I biorąc pod uwagę wzrost znaczenia cyber operacji, nawet nie tylko zajmujących się ściśle CTI.

Incident Response & Computer Forensics, Third Edition – kompletny przewodnik po analizie incydentów bezpieczeństwa, zaczynając od ich identyfikacji, poprzez gromadzenie dowodów, a kończąc na analizie danych i postępowaniu z określonymi rodzajami artefaktów. Nieco już leciwa (2014) jednak wciąż idealna pozycja jako podręcznik DFIR.

The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory – analiza pamięci to zdecydowanie moja ulubiona część informatyki śledczej. Złośliwe aktywności nie zawsze muszą korzystać z narzędzi przesłanych na dysk ofiary – za pomocą technik Living off the Land i wszelakich bez plikowych malwawre’ów można skutecznie przeprowadzić włamanie bez pozostawiania artefaktów w systemie plików. Jeżeli jednak napastnik chce choćby uruchomić proces to ślady działań znajdziemy właśnie analizując pamięć. Art of Memory Forensics w bardzo przystępny sposób przeprowadza nas zarówno przez zrozumienie struktury działania pamięci w systemie jak i pozyskiwania i analizy artefaktów. Tutaj już niestety upływ czasu jest zauważalny – szczególnie pomiędzy systemami Windows 7 i Windows 10 nastąpiły zmiany w zakresie obsługi pamięci przez system, należy więc mieć to na uwadze przy lekturze.

Windows Internals – aby odnajdywać ślady złośliwej aktywności, musimy wiedzieć jak system zachowuje się w normalnych warunkach. Seria Windows Internal zajmuje się opisywaniem infrastruktury i wewnętrznych elementów systemów rodziny Windows, co pozwoli nam na zrozumienie tego jak napastnik może manipulować jego funkcjami i jakie ślady może pozostawić.

Practical Linux Forensics – mimo dominacji Windowsa, warto również wiedzieć jak zabrać się do analizy artefaktów związanych z Linuxem. Practical Linux Forensics w przystępny sposób przedstawia elementy Linuxa, które mogą mieć znaczenie z perspektywy informatyki śledczej i pokazuje jak zebrać artefakty w celu odtworzenia złośliwej aktywności.

Practical Packet Analysis – analiza ruchu sieciowego to jedna z najważniejszych broni analityków CTI, którzy mogą w ten sposób odkryć sposób działania C2, infrastrukturę wykorzystaną do ataku i instrukcje wysyłane przez atakujących. A najwięcej informacji możemy znaleźć podczas analizy pakietów zawierających zawartość ruchu.

Analiza malware’u

File:Ghidra-disassembly,March 2019.png - Wikimedia Commons

Przez długi czas raporty z analizy złośliwego oprogramowania były niemal synonimem raportów threat intelligence. Sytuacja zmieniła się na szczęście na przestrzeni lat i raporty CTI uwzględniają przekrój aktywności łącząc dane z różnych źródeł. Wciąż jednak analiza malware’u jest istotnym elementem threat intelligence, pozwalającym poznać możliwości napastnika.

Threat Intelligence and the Limits of Malware Analysis – zacznijmy więc od publikacji Joe Slowika na temat tego jaką rolę może pełnić analiza malware’u w procesie threat intelligence i jakie są jej ograniczenia.

Practical Malware Analysis – klasyka gatunku krok po kroku pokazująca jak zabierać się za analizę próbek – od tworzenia środowiska pracy i bardzo prostego listowania charakterystyk do zwalczania technik utrudniających analizę.

Hacking, The Art of Exploitation – uwzględnienie tej pozycji w tym dziale może dziwić – jest to w końcu publikacja o technikach ofensywnych. Cześć dotycząca programowania jest jednak na tyle sprawnie napisana, że bardzo pomaga w zrozumieniu sposób działania programów napisanych w C i Assembly co przydaje się w analizach.

Practical Reverse Engineering – bardziej zawansowana publikacja traktująca o niskopoziomowej analizie aplikacji. Dużo przykładów pomagających zrozumieć trudniejsze kwestie.

Reversing: Secrets of Reverse Engineering – i kolejna pozycja o inżynierii odwrotnej, polecam szczególnie ze względu na rozdział o analizie Windowsowego API.

Wywiad Amerykański

Hunt For Red October Alec Baldwin GIF - Hunt For Red October Alec Baldwin Jack  Ryan - Descubre & Comparte GIFs

Amerykańskie służby wywiadowcze to zdecydowanie najlepiej opisane spośród służb świata agencje. Na taki stan rzeczy składają się dwa czynniki – po pierwsze wielki budżet przekładający się na możliwości i prestiż agencji wciągnął je do kultury masowej i nieustannie tworzy popyt na publikacje. Po drugie, USA to kraj demokratyczny co przekłada się na większy stopień transparentności działań agencji rządowych i nadzoru nad nimi. Badacze mają więc dostęp do szerokich zasobów materiałów i źródeł.

Spies, Patriots, and Traitors: American Intelligence in the Revolutionary War – zaczynając od zamierzchłej historii Amerykańskiego wywiadu, Spies, Patriots, and Traitors traktuje o praktykach wywiadowczych w XVIII-wiecznych Stanach.

Ghost Wars i Directorate S – dwie publikacje Steve’a Colla opisujące działania CIA w Afganistanie odpowiednio od inwazji Sowietów do 11 września i po 11 września. Pozycje obowiązkowe dla zrozumienia roli CIA w walce z organizacjami niepaństwowymi.

The Way of the Knife – historia ewolucji CIA jaka miała miejsce po 11 września i nadała agencji bardziej paramilitarny charakter.

The Art of Intelligence – spojrzenie na operacje paramilitarne które towarzyszyły inwazji na Afganistan autorstwa byłego zastępcy dyrektora CTMC w CIA.

88 Days to Kandahar – i z drugiej strony, historia tych operacji oczami szefa stacji w Islamabadzie.

Circle of Treason – historia śledztwa w sprawie Aldricha Amesa napisana przez osoby które je prowadziły.

Spy – historia zdrady Roberta Hanssena i śledztwa które doprowadziło do jego ujęcia.

Spycraft – historia technicznych rozwiązań wykorzystywanych do zbieraania informacji przez CIA.

A Secret Life – Polski akcent – historia prowadzenia Ryszarda Kuklińskiego przez CIA.

See No Evil – relacja z pierwszej ręki oficera CIA prowadzącego operacje na Bliskim Wschodzie. Bardzo interesujące spojrzenie na konflikt w Libanie. To na tej książce oparty jest film George’a Clooneya „Syriana”.

Dark Territory – pozycja od bardziej cyber strony. Historia rozwoju Amerykańskich zdolności cyber ofensywnych.

Countdown to Zero Day – i ponownie bardziej agresywne operacje cyber. Kim Zetter o Stuxnetcie, jednym z najbardziej znanych malware’ów w historii, który uszkodził infrastrukturę wzbogacania uranu w Iranie.

Wywiad Rosyjski

Putin Defends Shirtless Photos: 'I See No Need to Hide'

Rosyjskie służby stanowią duże większe wyzwanie dla badaczy niż Amerykańskie. Na szczęście dzięki połączeniu wspomnień byłych oficerów, informacji które wyciekły i relacji osób zaangażowanych w rywalizacje z nimi, materiałów i tak jest sporo.

The Mitrokhin Archive – KGB i jego Pierwszy Dyrektorat (przodek współczesnego SVR) w ich własnych słowach. Wydawnictwo napisane na podstawie materiałów z wewnętrznego archiwum KBG wyniesionych przez Vasilija Mitrokhina.

Spy Handler – autobiografia Victora Cherkashina, oficera KGB odpowiedzialnego za prowadzenia Aldricha Amesa i Roberta Hanssena.

Comrade J – trochę bardziej współczesna historia, opowieść o oficerze SVR odpowiedzialnym za operacje w USA w latach 1995-2000.

Sandworm – historia powiązanej z Rosyjskim wywiadem grupy Sandworm odpowiedzialnej choćby za niszczycielski atak z wykorzystaniem malware’u NotPetya.

Russians Among Us – tytuł może nie najszczęśliwszy, ale lektura zdecydowanie warta uwagi. Historia oficerów SVR (w tym Anny Chapman) którzy działali w USA jako „nielegałowie”.

Wywiad Chiński

źródło: https://twitter.com/BadChinaTake/status/1318920838624743425/photo/2

Tak jak w przypadku Rosji, trudniej jest o szczegółowe opracowania niż w przypadku USA, tak Chiny wyprzedzają oba te kraje o kilka długości. Próżno szukać wspomnień byłych oficerów, ujawnionych dokumentów czy OSINTowych źródeł. Powodem jest oczywiści bariera językowa jak i zamknięty charakter kraju. Tym bardziej cenne są publikacje autorów którym udało sie dotrzeć do informacji.

Chinese Intelligence Operations – książka, która była moim wejściem w świat Chińskich nie-cyber operacji wywiadowczych. Dość sucha i akademicka w swojej formie (no i z 1994 roku) jednak z pewnością obowiązkowa pozycja.

Chinese Communist Espionage: An Intelligence Primer – historia Chińskiego wywiadu i opis jego działalności poprzez analizę ujawnionych przypadków operacji (choćby przez postępowania karna wobec wykrytych oficerów). Wydana w 2019 i można by ją niejako uważać za kontynuację Chinese Intelligence Operations, gdyby nie to, że Nicolas Eftimiades wydał nową książkę o wywiadzie Chin, a mianowicie:

Chinese Espionage: Operations and Tactics – również studium przypadków i analiza Chińskich operacji w zakresie ujawnionych informacjach o wykrytych operacjach. Co warte zaznaczenia, trzy wymienione pozycje koncentrują się głównie na „klasycznych” (nie cyber) operacjach, co tym bardziej sprawia, że są godne polecenia dla osób, które zajmują się zazwyczaj aspektem CTI.

Chinese Industrial Espionage: Technology Acquisition and Military Modernisation – szpiegostwo przemysłowe jest jednym z najbardziej znanych objawów Chińskiej działalności wywiadowczej. Autorzy opisują tutaj założenia i implementacje wspierania działań B+R poprzez pozyskiwanie zagranicznej technologii.

APT1 Exposing One of China’s Cyber Espionage Units – raport firmy Mandiant który spopularyzował określenie „APT” i opisał działania jednostki Armii Ludowo Wyzwoleńczej w zakresie operacji cyber.

Aktorzy niepaństwowi

Mies, joka palkattiin tappamaan Pablo Escobar – brittisotilas kertoo, miksi  uskomaton operaatio meni pieleen ja miljoonapalkkio huumeparonin päästä  valui läpi sormien - Viihde - Ilta-Sanomat

Jeden z moich ulubionych aspektów wywiadu to to jak organizacje niepaństwowe radzą sobie z bezpieczeństwem operacyjnym i prowadzeniem tajnych operacji. Nie posiadając zasobów organizacyjnych i majątkowych struktury państwa, często bardzo skutecznie nawiązują rywalizacje z agencjami państwowymi. Oczywiście ich sukcesy to najczęściej tragedie, gdyż będziemy tutaj mówić o organizacjach przestępczych, grupach terrorystycznych i kartelach narkotykowych. Zrozumienie tego jak udaje się im przetrwać będąc ściganym przez agencje rządowe jest jednak kluczowe dla zrozumienia koncepcji operacji wywiadowczych.

Terrorism and Counterintelligence: How Terrorist Groups Elude Detection – obowiązkowa pozycja, w której autor analizuje zachowanie grup terrorystycznych w kontekście tego jak poszczególne cechy organizacyjne wpływają na zdolność organizacji do przetrwania. Co jeszcze lepsze, publikacja ta była rozprawą doktorską, więc jest dostępna za darmo tutaj.

Killing Pablo – historia polowania na Pablo Escobara i problemów z jakimi musiały mierzyć się organy ścigania pracując w warunkach powszechnej korupcji.

The Exile – opis ucieczki Osamy Bin Ladena w pokłosiu zamachów z 11 września i jego ukrywania się, aż do śmierci w wyniku operacji USA.

Hezbollah: The Global Footprint of Lebanon’s Party of God – dogłębna analiza zagranicznych operacji prowadzonych przez Hezbollach.

The Green Book – podręcznik szkoleniowy Irlandzkiej Armii Republikańskiej.

Black Flags – historia powstania ISIS. Ważne studium przypadku w zakresie formowania się struktury organizacji terrorystycznej.

pl_PLPolish