CC BY
100
Секция «Информационная безопасность»
УДК 004.056
АВТОМАТИЗИРОВАННЫЙ СБОР И АНАЛИЗ ДАННЫХ ОБ УГРОЗАХ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Ю. Ю. Дрянных*, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: dr.yuly@mail.ru
Рассматривается сценарий развертывания средства управления информацией об угрозах безопасности информации и его последующая интеграция с системой обнаружения вторжений в информационной системе организации.
Ключевые слова: информационная безопасность, мониторинг информационной безопасности, средство управления информацией об угрозах безопасности информации.
AUTOMATED COLLECTION AND ANALYSIS OF DATA ABOUT THREATS
OF SECURITY INFORMATION
Yu. Yu. Dryannykh*, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation
E-mail: dr.yuly@mail.ru
This article describes scenario of deployment of information security threats information management tool and it's integration with intrusion detection system in information system of the organization.
Keywords: information security, information security monitoring, threat intelligence.
Своевременные осведомленность и принятие мер, направленные на предупреждение возможности реализации угроз безопасности информации, позволяют поддерживать безопасность информационной системы в актуальном состоянии. Принятие таких превентивных мер обеспечивает минимизацию ущерба организации от реализации угроз безопасности информации. Для всестороннего понимания существующего ландшафта угроз необходимо обеспечить сбор информации, как из внутренних, так и из внешних источников. Получение или обмен информацией об угрозах может осуществляться в самом простом случае, например, с помощью электронной почты, мессенджеров и т. д., что, несомненно, замедляет обработку информации об угрозах и принятие защитных мер. Не менее актуальны и такие вопросы, как получение и обработка больших объемов информации об угрозах безопасности или необходимость их применения в нескольких информационных системах - как следствие, обработка информации об угрозах безопасности информации не будет являться оперативной.
Одним из решений, позволяющим автоматизировано собирать информацию из внешних источников и внедрять в систему защиты информации информационной системы, является Threat Intelligence. Согласно опросу SANS 2018 г. 81 % респондентов подтверждают эффективность использования Threat Intelligence, что является улучшением по сравнению с 2017 г. (78 %). Помимо этого 73 % опрошенных утверждают об улучшении видимости угроз и методов атак [1].
Для того чтобы обеспечить эффективную обработку информации об угрозах безопасности информации на базе платформы Threat Intelligence, поставщиком информации о киберугрозах «Recorder Future» рекомендуется [2]:
Актуальные проблемы авиации и космонавтики - 2018. Том 2
- обеспечивать централизованный сбор больших объемов данных из источников, поставляющих информацию, необходимую в рамках конкретной организации, отрасли, а также их последующую обработку поступивших данных;
- обеспечивать агрегацию данных;
- анализировать поступающую информацию;
- сконфигурировать Threat Intelligence под решение конкретных задач;
- интегрировать поступающую информацию со средствами защиты информации.
Для автоматизированного сбора и анализа информации, поступающей из различных источников, об угрозах безопасности информации предлагается применение свободно распространяемой системы управления информацией об угрозах безопасности информации «MISP» [3].
Для определения актуальных угроз безопасности информации и их конкретизации можно опереться на статистические данные. Согласно статистике, представленной «Hackmageddon» на январь 2018 года, самым распространенным вектором атаки является вредоносное программное обеспечение [4], что и определило основное направление применения развертываемой системы.
В качестве источников информации об угрозах безопасности информации были выбраны: CIRCL OSINT Feed. inThreat OSINT Feed, ZeuS compromised blocklist, longtail.lt.marist.edu 7 days, ramnit C&Cs, virut C&Cs, alienvault reputation generic, blocklist.de. К выбранным источникам было осуществлено подключение и выгрузка данных. Согласно [5] каждая атака представляет собой последовательность событий, за каждым из которых закреплены определенные атрибуты угроз безопасности информации. Исходя из этого анализ данных, полученных из источников, осуществлялся по следующему принципу: если события содержат соответствующие атрибуты, то источник информации об угрозах включается в список основных источников. Практическая реализация данного принципа позволила осуществить фильтрацию событий по атрибутам. Таким образом, на основании результатов проведенного анализа в качестве основных источников информации были определены CIRCL OSINT Feed и inThreat OSINT Feed.
Следующий критерий отбора внешних источников информации основывался на наличии пересечений событий информации различных источников. С помощью «MISP» была построена матрица, показывающая наличие схожих событий источников. В результате было выявлено отсутствие одинаковых событий у внешних источников CIRCL OSINT Feed и inThreat OSINT Feed, что явилось основанием для подтверждения выбора данных источников в качестве основных. Полученные из источников данные можно активно применять при моделировании угроз, формировании отчетов и просто в целях повышения осведомленности о текущем ландшафте угроз.
Однако только формирование отчетов и повышение осведомленности недостаточно для поддержания безопасности информационной системы в актуальном состоянии - необходимо осуществить интеграцию средства управления информацией об угрозах безопасности информации со средством защиты информации. Для демонстрации возможности интеграции была выбрана система обнаружения вторжений «Snort». На основании информации, полученной из внешних источников, были сгенерированы решающие правила и осуществлена коррекция конфигурационного файла системы обнаружения вторжений с целью указания директории со сгенерированными правилами, что предоставляет системе обнаружения вторжений возможность учитывать актуальную информацию об угрозах безопасности информации и детектировать попытки реализации угроз злоумышленниками.
Развертывание в информационной системе организации средства управления информацией об угрозах безопасности информации, как базис Threat Intelligence, позволяет осуществлять автоматизированный сбор и анализ информации, поступающей из различных источников, об угрозах и интегрировать результаты работы с существующей системой защиты информации. Применение средства управления информацией об угрозах безопасности информации, безусловно, требует высокого уровня зрелости процессов информационной безопасности в организации, но позволяет поддерживать защищенность на более высоком уровне путем предупреждения угроз безопасности информации.
Секция «Информационнаябезопасность»
Библиографические ссылки
1. Cyber Threat Intelligence in Security Operations: Results of 2018 SANS Survey [Электронный ресурс]. URL: https://www.prnewswire.com/news-releases/cyber-threat-intelligence-in-security-operations-results-of-2018-sans-survey-300587637.html (дата обращения: 23.02.2018).
2. Using the Right Threat Intelligence Tools for the Job [Электронный ресурс]. URL: https://www.recordedfuture.com/threat-intelligence-tools/ (дата обращения: 16.02.2018).
3. MISP - Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing [Электронный ресурс]. URL: http://www.misp-project.org/ (дата обращения: 16.01.2018).
4. January 2018 Cyber Attacks Statistics [Электронный ресурс]. URL: http://www. hackmageddon.com/2018/02/22/january-2018-cyber-attacks-statistics/ (дата обращения: 01.03.2018).
5. MISP - User Guide A Threat Sharing Platform [Электронный ресурс]. URL: https://www.circl.lu/doc/misp/book.pdf (дата обращения: 11.02.2018).
© Дрянных Ю. Ю., Жуков В. Г., 2018
