УДК 004.056
АНАЛИЗ СУЩЕСТВУЮЩИХ ИНФОРМАЦИОННЫХ СТРУКТУР ОРГАНИЗАЦИИ КОНТЕНТА ОБ УГРОЗАХ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
А. П. Голушко*, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: *golushko.ap@yandex.ru
В статье проводится анализ существующих структур организации контента об угрозах безопасности информации, широко применяемых во всем мире, на предмет их соответствия критериям таксономии и онтологии. В дальнейшем результаты могут быть применены для решения вопросов локализации и импортозамещения.
Ключевые слова: таксономия, онтология, угрозы безопасности информации, CWE, CVE, CAPEC, ATT&CK.
ANALYSIS OF EXISTING INFORMATION STRUCTURES OF INFORMATION
SECURITY THREATS CONTENT
A. P. Golushko, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation E-mail: *golushko.ap@yandex.ru
The article analyzes the existing structures of organizing content about information security threats, which are widely used around the world, for their compliance with the criteria of taxonomies and ontologies. In the future, the results can be applied to solve localization and import substitution issues.
Keywords: taxonomy, ontology, information security threats, CWE, CVE, CAPEC, ATT&CK.
В любой области деятельности человек стремится систематизировать полученные знания и формализовать их в попытке познать различные объекты и сущности. В этом стремлении человек применяет древние философские методы, которые веками служили эволюции науки, такие как классификация (таксономия) и онтология.
В сфере информационной безопасности (ИБ) объектами познания стали угрозы безопасности информации (УБИ), компьютерные атаки, применяемые злоумышленником методы атак и иные вопросы. Развитые страны работают над созданием классификацией, которые были бы наиболее близки к отражению действительности. Наиболее признанными во всем мировом ИБ сообществе стали ресурсы, разработанные компанией MITRE.
Основными систематизированными источниками, которые бы могли предоставлять специалистам в области информационной безопасности и разработчикам программного и программно-аппаратного обеспечения необходимые данные для построения эффективной системы защиты информации, стали такие ресурсы как CVE [1], CWE [2], CAPEC [3] и ATT&CK [4].
База CVE позволяет представить в систематизированном виде знания об уязвимостях, но не предназначена для решения задачи классификации уязвимостей. Также в CVE
отсутствуют иерархические связи, которые могли бы объединять отдельные уязвимости в группы. В отношении баз уязвимостей справедливо утверждение о том, что они не являются классификациями или таксономиями.
Единая общепринятая таксономия уязвимостей программного и аппаратного обеспечения отсутствует. В разных странах на уровне законодательства или через понятие «лучших практик» может быть закреплена определенная классификация.
Базы CWE и CAPEC применяются разработчиками. Слабости (weaknesses) и шаблоны атак (attackpatterns) не имеют привязки к операционным системам, иным технологиям, а также нарушителям. Они задают базу знаний о возможных уязвимостях архитектуры программного и аппаратного обеспечения и способах их эксплуатации, которые должны учитываться разработчиками.
База знаний ATT&CK в отличие от CWE и CAPEC содержит в себе сведения, которые сильно связаны с контекстом информационных систем, подверженным компьютерным атакам. Задачей ATT&CK является постоянное предоставление релевантных в текущем времени сведений о наиболее активных кибер-группировках по всему миру, используемых ими методах действий и инструментов, а также рекомендаций по предотвращению или смягчению последствий реализации УБИ. Как следствие, связи между объектами внутри ATT&CK становятся более сложными и выходят за границы иерархических структур.
Далее рассмотрим существующие структуры организации контента об УБИ более подробно.
База типовых ошибок кода и архитектуры программного и аппаратного обеспечения CWE
Основной целью CWE является выявление и устранение наиболее распространенных ошибок в жизненном цикле разработки программного обеспечения. Использование CWE помогает предотвратить уязвимости, которые выявляются в программном и аппаратном обеспечении после внедрения продукта в эксплуатацию.
Структура описания ошибок в базе CWE построена по иерархии, где ошибки группируются по общим признакам. Группы ошибок также могут быть сгруппированы по еще более общим признакам.
Дополнительно необходимо отметить, что содержание базы CWE пополняется за счет иных существующих таксономий, в т.ч. узконаправленных, например, таксономии ошибок в Linux-подобных операционных системах.
В соответствии с вышеизложенным, база CWE представляет собой таксономию типовых ошибок программного и аппаратного обеспечения. Ошибки указаны без привязки к каким-либо продуктам и производителям, они могут быть обнаружены в любом разрабатываемом решении.
База известных шаблонов атак на разрабатываемое программное и аппаратное обеспечение CAPEC
CAPEC - каталог классификации шаблонов атак, созданный для содействия разработчикам в создании безопасного программного обеспечения (ПО).
Примерышаблоноватак:ШТР response splitting; SQL injection;XSS in HTTP query strings;Session fixation;Phishing;Reflection attack in an authentication protocol;Rainbow table password cracking;Cache poisoning;Restful privilege escalation.
Структура объектов CAPEC определена как иерархическая классификация. Каждый шаблон атак может быть классифицирован как Standard, Detailed или как Meta шаблон.
Поля описания шаблонов атак имеют сходство с описанием объектов в CWE и в т.ч. содержат в себе отношения с иными объектами и внешними источниками, примеры реализации и меры предотвращения.
По своей структуре и оказываемому влиянию в сфере информационной безопасности ресурс CAPEC представляет собой таксономию известных шаблонов атак, совершаемых на разных этапах жизненного цикла разработки программного обеспечения.
База тактик и техник действий злоумышленников при совершении компьютерных атак ATT&CK
ATT&CK - это модель описания действий, которые нарушитель может предпринять для совершения компьютерной атаки.
В состав АТТ&СК на текущий момент входит несколько матриц тактик и техник, в т.ч. классификации техник компьютерных атак в Windows, macOS, Linux, Android, iOS, для облачной безопасности, безопасности сети, контейнеров, и промышленных инфраструктур.
ATT&CK в части описания непосредственно тактик и техник действий злоумышленников следует идеи классификации и соблюдает иерархическую структуру (Тактики - Техники -Суб-техники). Следовательно,ATT&CKцелесообразно считать таксономией шаблонов компьютерных атак в современной информационной инфраструктуре.
Анализ соответствия ATT&CK критериям онтологий
С точки зрения теории, онтология подразумевает наличие отношений эквивалентности, томографии, иерархии и ассоциации на множестве объектов, а также сильной семантической связи.
ATT&CK также как и CAPEC представляет собой классификацию шаблонов атак, которые широко используются на практике. Однако особенность ATT&CK заключается в наличии дополнительного контекста, создаваемого за счет введения в базу знаний сведений о конкретных группах злоумышленников и их инструментах, мерах предотвращения и обнаружения.
Автор работы [5] говоря об онтологии в целом делает такое утверждение: «... way to think of an ontology is as a controlled vocabulary or, my preferred term, a regimented language for speaking in a domain of discourse; it can be thought of as a grammar that sets the rules for well-formed sentences within the domain. In this regard, an ontology is an agreement on how we use our words».
ATT&CK в действительности и стал таким ресурсом, который определил термины и понятия, которые применяются специалистами во всем мире. В этом ключе есть основания считать ATT&CK развиваемой онтологией.
В целом, ресурсы CWE, CAPEC, ATT&CK ииные входящие в общую экосистему систематизированных источников контента об угрозах безопасности, с учетом взаимосвязей между этими ресурсами, все вместе образуют онтологию.
Единой общепризнанной онтологии в области информационной безопасности на текущий момент официально не существует, что также отмечается авторами работы [6], где рассмотрены существующие проекты, развиваемые в настоящее время и претендующие на право считаться онтологией верхнего уровня.
Одним из важных аспектов является трансляция ATT&CK в формат описания стандарта STIX 2.x.
Стандарт обмена информацией об угрозах безопасности информации STIX 2.х
Structured Threat Information Expression (STIX) - это язык и формат, используемый для обмена информацией о киберугрозах (Cyber Threat Intelligence - CTI).
STIX позволяет организациям обмениваться CTI друг с другом согласованным и машиночитаемым образом, позволяя сообществам безопасности лучше понимать, какие компьютерные атаки они чаще всего видят, а также предвидеть и / или реагировать на эти атаки быстрее и эффективнее.
Объекты STIX классифицируют каждый фрагмент информации с определенными атрибутами, которые заполняются в соответствии с правилами, описанными в стандарте. Связывание нескольких объектов вместе через отношения позволяет описывать сведения об
угрозах безопасности наиболее полно, учитывая не только низкоуровневые сведения CTI (ip-адреса, хэши, URL и т.п.), но также и контекст реализации компьютерных атак - данные об уровне квалификации нарушителя, мотивации, используемых инструментах, целевых объектах, способах защиты/обнаружения активности.
Данные в STIX представлены в виде связного графа узлов и ребер. В качестве узлов выступают объекты типов SDO (STIX Domain Objects) и SCO (Cyber-observableobjects), а объекты SRO (STIX RelationshipObjects) определяют ребра. STIX как графический язык описания данных позволяет создавать гибкие, модульные, структурированные и непротиворечивые представления CTI.
Стандарт STIX как универсальный язык описания контента об УБИ
Стандарт STIX на текущий момент является наиболее широко-используемым форматом для обмена низкоуровневой и высокоуровневой информацией об УБИ. Стандарт разработан в целях обеспечения универсального языка описания УБИ и соответствует фундаментальным признакам OpenWebLanguage (OWL), являющего собой онтологию высокого уровня.
CAPEC и ATT&CK транслируются в язык описания STIX 2.x и имеют взаимные ссылки в поле «external_references». Кроме того, в описаниях шаблонов атак обеих баз также присутствуют ссылки к данным из базы CVE.
База CWE в формат STIX не переводилась, что возможно связано со спецификой ее контента, применимого к вопросам разработки программного обеспечения, но слабо связанного с информационной безопасностью распределенных информационных систем.
Тем не менее стандарт STIX постепенно охватывает различные систематизированные источники информации и предоставляет возможность решать различные задачи, связанные с построением системы защиты информации, ее внедрением и дальнейшей эксплуатацией.
Заключение
С учетом современных политических событий становится актуальным вопрос о создании собственных независимых российских структур организации контента об угрозах безопасности информации. Проведенный анализ позволяет оценить исторический путь развития широко-признанных ресурсов и использовать этот опыт, чтобы создать единую непротиворечивую онтологию для локализации и импортозамещения.
Библиографические ссылки
1. Common Vulnerabilities Enumeration. Available at: https://cve.mitre.org (accessed: 20.03.2022).
2. Common Weakness Enumeration. Available at: https://cwe.mitre.org (accessed: 20.03.2022).
3. Common Attack Pattern Enumerations and Classifications. Available at: https://capec.mitre.org (accessed: 20.03.2022).
4. Adversarial Tactics, Techniques & Common Knowledge. Available at: https://attack.mitre.org/wiki/Main_Page (accessed: 20.03.2022).
5. ATT&CK Structure Part II: From Taxonomy to Ontology. Available at: https://www.tripwire.com/state-of-security/mitre-framework/attck-structure-ontology/ (accessed: 22.03.2022).
6. Cyber Threat Intelligence Model: An Evaluation of Taxonomies, Sharing Standards, and Ontologies within Cyber Threat Intelligence. Available at: https://arxiv.org/pdf/2103.03530.pdf (accessed: 22.03.2022).
© Голушко А. П., Жуков В. Г., 2022