УДК 004.056
ИМПЛЕМЕНТАЦИЯ ЗНАНИЙ О ТАКТИКАХ И ТЕХНИКАХ ДЕЙСТВИЙ
ЗЛОУМЫШЛЕННИКОВ В ПРОЦЕСС ПРОЕКТИРОВАНИЯ СИСТЕМЫ ЗАЩИТЫ
ИНФОРМАЦИИ
А. П. Голушко, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: [email protected]
Рассматривается проблема экспертного метода, используемого при определении актуальных угроз безопасности информации в процессе проектирования системы защиты, и предлагается применение базы знаний ATT&CK для снижения субъективности принимаемых экспертом решений.
Ключевые слова: БДУ ФСТЭК России, ATT&CK, определение актуальных угроз безопасности информации, экспертный метод в процессе проектирования систем защиты информации.
IMPLEMENTATION OF ADVERSARIAL TACTICS AND TECHNIQUES KNOWLEDGE IN THE PROCESS OF DESIGNING THE INFORMATION
PROTECTION SYSTEM
A. P. Golushko, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation Е-mail: [email protected]
The article discusses the problem of the expert method used in determining actual threats to information security in the process of designing a protection system, and suggests using the ATT&CK knowledge base to reduce the subjectivity of the decisions made by the expert.
Keywords: BDU FSTEC of Russia, ATT&CK, identification of actual threats to information security, expert method in the process of designing information security systems.
Как показывает современная практика, создаваемая система защиты информации должна удовлетворять не только регламентированным требованиям информационной безопасности, которые остаются неизменными в течение продолжительного времени, но и учитывать быстро меняющийся ландшафт угроз безопасности информации (далее - УБИ).
Вероятность реализации тех или иных угроз меняется во времени в зависимости от вовлеченности разных преступных групп в процесс эксплуатации и развития ранее известных и новых уязвимостей, от используемых технологий обработки и защиты информации, от изменения ценности категорий защищаемой информации под влиянием политических, экономических и иных факторов.
В настоящий момент, как в мировой практике, так и на территории РФ существуют методики работы с ландшафтом угроз и определения актуальных из них. Однако ответственность осведомленности об активности злоумышленников, используемых ими методах действия, инструментах и эксплуатируемых уязвимостях возлагается на специалистов информационной безопасности, осуществляющих деятельность по определению актуальных угроз и созданию системы защиты информации. Такой подход носит название экспертного и применяется во многих известных методиках.
Актуальные проблемы авиации и космонавтики - 2019. Том 2
Актуальным становится вопрос о повышении уровня объективности и обоснованности решения эксперта в процессе его деятельности по составлению модели угроз безопасности обрабатываемой информации, и как следствие повышении эффективности проектируемой системы защиты информационной системы, выражающейся в способности противостоять современным атакам злоумышленников.
Целью работы является проведение анализа возможности применения знаний о тактиках и техниках действий злоумышленника на этапах определения актуальных угроз безопасности информации и выборе мер защиты для повышения информированности и объективности принимаемых экспертом решений.
На текущий момент при проектировании систем защиты информации применяется Банк данных угроз безопасности информации ФСТЭК России (далее - БДУ ФСТЭК), который представляет собой систематизированный источник информации о существующих уязвимостях и угрозах безопасности информации. Сведения в БДУ ФСТЭК России добавляются благодаря разным исследовательским группам, входящим в состав крупных компаний в сфере информационной безопасности РФ. Результаты апостериорного анализа инцидентов информационной безопасности обрабатываются и передаются для включения в БДУ ФСТЭК. Таким образом, данный порядок взаимодействия позволяет обеспечивать развитие российской базы знаний и ее дальнейшие применение специалистами информационной безопасности на практике.
На уровне мирового опыта агрегации знаний о действиях преступных групп одним из авторитетных источников является база знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), разработанная корпорацией MITRE, представляющая собой постоянно растущий систематизированный ресурс информации о поведении злоумышленников.
Как было показано в работе [1], на основании того, что представленные сведения и уровень их детализации в обозначенных источниках совместимы между собой, предлагается применение базы знаний ATT&CK в процессе проектирования системы защиты информации совместно с БДУ ФСТЭК как на этапе моделирования угроз безопасности информации, так и на этапе определения мер защиты.
Сведения, представленные в базе знаний ATT&CK, представляют собой детализированные данные по угрозам, которые можно классифицировать, в том числе согласно Базовой модели угроз БИ [2] как угрозы, реализуемые с использованием протоколов межсетевого взаимодействия из внешних сетей. К этому классу угроз могут быть отнесены, например, следующие угрозы [2]: угрозы «Анализа сетевого трафика» с перехватом передаваемой из информационной системы (далее - ИС) и принимаемой в ИС из внешних сетей информации, угрозы внедрения ложного объекта как в ИС, так и во внешних сетях, угрозы выявления паролей, угрозы типа «Отказ в обслуживании», угрозы удаленного запуска приложений, угрозы внедрения по сети вредоносных программ.
Описанные типы угроз могут быть соотнесены с тактиками действий злоумышленника, согласно которым осуществляется классификация используемых нарушителями техник (методов) реализации атак.
Для техник действий злоумышленника могут быть использованы сведения о том, какими группами нарушителей эти техники используются, а также информация о периодах активности этих групп. Так, согласно исследованию компании Cybereason [3], для построения эффективной системы защиты ИС организации, функционирующей в рамках определенной сферы деятельности, рекомендуется осуществлять выбор набора контролируемых техник действий злоумышленников исходя из того, какие группы злоумышленников направляют свою активность на эту сферу деятельности.
Для государственных и муниципальных учреждений, например, будет целесообразным принять во внимание техники, используемые такими группами злоумышленников, как APT 17, APT 18 и BRONZE BUTLER. Для автоматизации работы с группами злоумышленников и используемыми ими техниками может быть применено веб-приложение ATT&CK Navigator. Полученный набор техник далее необходимо соотнести с набором угроз безопасности информации БДУ ФСТЭК, которые на основании характеристик ИС и потенциала нарушителя были выбраны как
потенциально возможные к реализации в рассматриваемой ИС. Пример реализации представлен в таблице.
Применение базы знаний ATT&CK в процессе определения актуальных УБИ
№ п/п Тип угрозы Тактика Техника УБИ
1 Угрозы выявления паролей Credential Access Credential Dumping УБИ.74 Угроза несанкционированного доступа к аутен-тификационной информации
2 Угрозы удаленного запуска приложений Execution User Execution УБИ.127 Угроза подмены действия пользователя путём обмана УБИ.186 Угроза внедрения вредоносного кода через рекламу, сервисы и контент
3 Угрозы внедрения ложного объекта в ИС Persistence, Lateral Movement, Defense Evasion Masquerading УБИ.126 Угроза подмены беспроводного клиента или точки доступа УБИ.131 Угроза подмены субъекта сетевого доступа
4 Угрозы «Анализа сетевого трафика» Discovery Remote System Discovery УБИ.98 Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб УБИ.132 Угроза получения предварительной информации об объекте защиты
На основании полученных данных экспертом могут быть сделаны выводы о вероятности реализации УБИ и далее используема методика определения актуальных угроз, применяемая в соответствии с требованиями безопасности информации в определенной сфере деятельности.
Таким образом, в процессе проектирования системы защиты информации могут быть применены практические результаты апостериорного анализа инцидентов информационной безопасности, полученные специалистами не только РФ, но также и зарубежными экспертами, с целью повышения информированности и объективности принимаемых решений лицами, непосредственно осуществляющими деятельность по созданию и модернизации систем защиты информации.
Библиографические ссылки
1. Применение базы знаний ATT&CK в процессе моделирования угроз безопасности информации. Материалы XXII Международной научно-практической конференции «Решетневские чтения», посвященной памяти генерального конструктора ракетно-космических систем академика М. Ф. Решетнева (12-16 нояб. 2018, г. Красноярск): в 2 ч. / под общей ред. Ю. Ю. Логинова. -Красноярск, 2018, ч.2, с. 322-323. А. П. Голушко, М. Н. Жукова
2. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) (утв. ФСТЭК России 15.02.2008 г.) [Электронный ресурс] // URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii-2008-god (дата обращения: 13.03.2019).
3. Five stages to create a closed-loop security process with MITRE ATT&CK [Электронный ресурс]. URL: https://www.cybereason.com/unleashing-the-true-potential-mitre-attck (дата обращения: 05.03.2019).
© Голушко А. П., Жуков В. Г., 2019