CC BY
14
УДК 004.62
ИНТЕГРАЦИЯ МЕЖСЕТЕВОГО ЭКРАНА С ПЛАТФОРМОЙ ИНФОРМИРОВАНИЯ ОБ УГРОЗАХ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Н. С. Исаков*, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: isakov-nikolay@mail.ru
Обосновывается необходимость применения информации об угрозах безопасности информации (далее - информация об угрозах) при конфигурировании межсетевого экрана. Предлагается макет автоматизированного решения для информационного взаимодействия межсетевого экрана из состава комплекта программных средств ZoneAlarm и платформы Malware Information Sharing Platform (MISP).
Ключевые слова: информационная безопасность, threat intelligence, межсетевой экран.
INTEGRATION OF A FIREWALL WITH A PLATFORM INFORMING ABOUT THE THREATS TO INFORMATION SECURITY
N. S. Isakov*, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: isakov-nikolay@mail.ru
The article substantiates the necessity to use threat intelligence information when configuring a firewall. The model of the automated solution for information interaction of the firewall from the set of software ZoneAlarm and Malware Information Sharing Platform (MISP) is offered.
Keywords: information security, threat intelligence, firewall.
Одной из мер обеспечения защиты информации любой информационной системы является использование межсетевого экрана, эффективность работы которого определяется в большей степени его конфигурацией. Конфигурация межсетевого экрана может выполняться с учетом имеющейся информации об угрозах, которая может быть получена в результате работы Threat Intelligence процесса (далее - TI-процесса) [1], что в общем случае позволит сократить количество инцидентов информационной безопасности [2].
Алгоритм работы TI-процесса является цикличным, для автоматизации которого используются платформы информирования об угрозах безопасности информации (далее - TI-платформы). Существуют коммерческие (Trend Micro Threat Intelligence Manager и др.) и свободно распространяемые (CIF, MISP, YETI и др.) TI-платформы, но, в любом случае, возникает проблема представления информации об угрозах, обрабатываемой TI-платформой, в такой форме, в которой данная информация может быть обработана межсетевым экраном.
В общем случае не существует унифицированного способа получения информации об угрозах, обрабатываемой TI-платформой, в формате, поддерживаемым каждым межсетевым экраном. При этом ввиду большого объема информации об угрозах требуется также учитывать технические ограничения каждого конкретного межсетевого экрана, например, такие как пропускная способность и максимальное количество правил. Для этого, помимо передачи информации об угрозах межсетевому экрану, требуется обеспечить сбор данных об информационном обмене технических средств организации, на основе которых становится возможным сокращение объема
Секция «Информационнаябезопасность»
информации об угрозах, которую следует использовать при конфигурировании межсетевого экрана.
Таким образом, при интеграции конкретного межсетевого экрана с конкретной Т1-платформой требуется разработка программного средства, позволяющего автоматизировать процесс преобразования информации об угрозах из формата, предлагаемого Т1-платформой, в формат, поддерживаемый межсетевым экраном. Задачи программного средства должны включать периодическую обработку информации об угрозах, обрабатываемой Т1-платформой, и обновление конфигурации межсетевого экрана. При этом в рамках задачи обновления конфигурации межсетевого экрана требуется последовательное выполнение следующих действий:
1. Удаление существующих правил межсетевого экрана, сгенерированных в рамках работы программного средства и не применявшихся в течение заданного периода времени, определяемого конфигурацией программного средства;
2. Создание новых правил межсетевого экрана на основе инфрмации об угрозах и данных об информационном обмене технических средств организации. При этом требуется учитывать количество существующих правил межсетевого экрана, которое не должно превышать максимально допустимого значения, определяемого техническими характеристиками межсетевого экрана и конфигурацией программного средства;
3. Упорядочивание правил межсетевого экрана. Порядок применения правил межсетевого экрана требуется определять на основе того, кем было создано то или иное правило (сгенерировано в рамках работы программного средства или создано администратором межсетевого экрана), а также частоты срабатывания того или иного правила в ходе работы межсетевого экрана.
Анализ файла конфигурации
Запрос информации об угрозах
Создание правил межсетевого экрана
Формирование списка правил межсетевого экрана
Модификация файла конфигурации
Межсетевой экран из состава ZoneAlarm
Конфигурационный XML файл в формате XML
Условные обозначения
Список правил межсетевого экрана
Malware Information Sharing Platform (MISP)
Алгоритм однократной итерации работы программного средства
Для реализации и апробации предложенного подхода был разработан макет программного средства для интеграции межсетевого экрана из состава комплекта программных средств ZoneAlarm [3] и TI-платформы MISP [4]. Для получения информации об угрозах используется программный интерфейс приложения (API - Application Programming Interface), предоставляемый TI-платформой, который позволяет получить информацию об угрозах посредством HTTP-запросов. Для передачи информации об угрозах межсетевому экрану выполняется модификация конфигурационного файла. В рамках одного цикла работы разработанного программного средства последовательно выполняются следующие действия:
1. Экспорт конфигурации межсетевого экрана в виде файла в формате XML. Возможность изменения формата экспорта межсетевым экраном не предоставляется;
2. Анализ конфигурационного файла в рамках работы программного средства. Результатом анализа является перечень правил межсетевого экрана, существующих в текущей конфигурации;
3. Получение информации об угрозах при помощи API, предоставляемого TI-платформой;
4. Формирование правил межсетевого экрана в поддерживаемом формате на основе полученной информации об угрозах;
5. Дополнение перечня правил межсетевого экрана с последующей модификацией конфигурационного файла;
6. Импорт модифицированного конфигурационного файла в межсетевой экран.
Алгоритм однократной итерации работы программного средства, представлен на рисунке.
Таким образом, при применении информации об угрозах в конфигурации межсетевого экрана
требуется разработка программного средства, позволяющего автоматизировать данный процесс. При этом требуется учитывать объем информации об угрозах и технические ограничения межсетевого экрана. Конфигурирование межсетевого экрана с применением информации об угрозах позволит сократить количество инцидентов информационной безопасности и, следовательно, повысить эффективность системы защиты информации.
В дальнейшем планируется доработка макета программного средства для обеспечения возможности ограничения количества правил межсетевого экрана на основе данных об информационном обмене технических средств.
Библиографические ссылки
1. А что если завтра нас отключат от CVE? [Электронный ресурс]. URL: http://new.groteck.ru/images/catalog/19830/c9317892e9049cd51823fe6ed7ff32cd.pdf (дата обращения: 17.03.2019).
2. Organizations React to Security Threats More Efficiently and Cost Effectively with Recorded Future [Электронный ресурс]. URL: https://go.recordedfuture.com/idc (дата обращения: 17.03.2019).
3. ZoneAlarm Security Blog | Secure Your Online World. [Электронный ресурс]. URL: https://www.zonealarm.com/blog/ (дата обращения: 23.03.2019).
4. MISP - Open Source Threat Intelligence Platform [Электронный ресурс]. URL: https://www.misp-project.org/ (дата обращения: 23.03.2019).
© Исаков Н. С., Жуков В. Г., 2019
