CC BY
77
УДК 004.62
ИСТОЧНИКИ ИНФОРМАЦИИ ОБ УГРОЗАХ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ДЛЯ THREAT INTELLIGENCE ПРОЦЕССА
Н. С. Исаков1*, В. Г. Жуков1, Д. В. Смирнов2
1Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31 ^Национальный исследовательский университет «Высшая школа экономики» Российская Федерация, 101000, г. Москва, ул. Мясницкая, 20 E-mail: isakov-nikolay@mail.ru
Рассматриваются особенности источников информации для Threat Intelligence (TI) процесса. Обосновывается необходимость автоматизации процесса сбора входных данных TI-процесса.
Ключевые слова: информационная безопасность, угрозы безопасности, threat intelligence.
AUTOMATION OF THE PROCESS OF COLLECTING AND ANALYSIS OF INFORMATION ABOUT THREATS TO INFORMATION SECURITY
N. S. Isakov1*, V. G. Zhukov1, D. V. Smirnov2
1Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation 2National Research University "Higher School of Economics" 20, Myasnitskaya Str., Moscow, 101000, Russian Federation E-mail: isakov-nikolay@mail.ru
The article considers the features of information sources for the Threat Intelligence (TI) process. The necessity of automation of the process of collecting the input data of the TI-process is substantiated.
Keywords: information security, information security threats, threat intelligence.
При обеспечении информационной безопасности корпоративной вычислительной сети часто подавляющая часть ресурсов выделяется для защиты периметра сети. Под периметром сети понимается совокупность всех сетевых узлов, разграничивающих неконтролируемые (внешние) организацией сети, в частном случае, Интернет, от контролируемых (внутренних) - корпоративной сети организации [1].
Тем не менее, вне зависимости от количества выделенных материальных ресурсов гарантия полного устранения угрозы преодоления злоумышленником защиты периметра сети отсутствует. Поэтому появляется необходимость оперативного обнаружения и реагирования на ситуации, когда злоумышленнику удалось реализовать угрозу и получить доступ к ресурсам корпоративной сети, содержащей защищаемую информацию.
В случае реализации угрозы время от момента начала атаки до компрометации защищаемой информации в подавляющем большинстве случаев составляет несколько минут. Временные затраты же на обнаружение и устранение угрозы могут составлять дни, недели и месяцы [2]. Одним из перспективных решений снижения временных затрат является построение TI-процесса, позволяющего по характерным признакам идентифицировать угрозы и применять типовые действия для их устранения.
Существуют как коммерческие (Trend Micro Threat Intelligence Manager и др.), так и свободно распространяемые (CIF, MISP и др.) платформы для построения TI-процесса, множество открытых (GovCERT в Российской Федерации, NH-ISAC в США и др.) и доступных по платной
Секция «Информационнаябезопасность»
подписке (8рашЬаш и др.) источников информации об угрозах, стандарты, описывающие порядок обмена (ТАХ11, УЕБЕБ и др.) и описания (8Т1Х, ОрепЮС и др.) информации об угрозах, но нет единого стандартизованного алгоритма построения Т1-процесса. В результате реализация Т1-процесса, его интеграция в существующую систему защиты и поддержка работоспособности становятся нетривиальными задачами.
Для корректного функционирования Т1-процесса требуется наличие информации, на основе которой могут приниматься решения по обнаружению, исследованию и устранению угроз. Потенциально, такая информация может быть получена из огромного количества разнообразных источников, от просмотра отчетов организаций о том, как злоумышленники осуществляют проникновение в защищаемые корпоративные сети, до неформального общения с практикующими специалистами по информационной безопасности.
В виду большого количества и разнообразия информации, которая может обрабатываться в рамках Т1-процесса, для эффективного управления процессами сбора и анализа такой информации требуется определить ее классификацию [3]. В таком случае возникает вопрос выбора критериев классификации. Широко распространены такие критерии как класс источника информации [4] и группа потребителей [3] результатов работы Т1-процесса. Такая классификация позволяет описать модель «черного ящика» Т1-процесса без учета деталей его реализации в какой-либо конкретной организации. Модель «черного ящика» Т1-процесса представлена на рисунке.
Общественные
Внутренние
MalwareDomains ETPro Ruleset Внешние
Конфигурационные файлы, управляющие команды
Условные обозначения
Межсетевой экран
Бумажный носитель информации
Система обнаружения/ предотвращения вторжений
Программные данные
База данных
Модель «черного ящика» TI-процесса
Можно выделить следующие классы источников [4]:
- внутренние источники. К данному классу относятся любые источники информации, которая может быть собрана в организации. В качестве таких источников могут выступать межсетевые экраны, системы обнаружения вторжений и другие средства защиты информации. Также ценным источником информации являются результаты анализа, проводимого в рамках расследования инцидентов информационной безопасности;
- общественные источники. Источники данного класса включают в себя всю информацию, совместно используемую множеством доверенных участников. В качестве участников могут выступать организации, осуществляющие обмен информацией, затрагивающей их общие интересы, или организованные сообщества, например REN-ISAC (Research and Education Networking Information Sharing and Analysis Center - REN-ISAC).
- внешние источники. Класс включает все источники, не относящиеся к организации и общественным источникам. Выделяют 2 типа внешних источников: публичные и закрытые.
К публичным относятся источники, доступ к которым осуществляется свободно, без материальных затрат со стороны получателя информации, но в то же время без гарантий качества
информации. Примером является MalwareDomains, предоставляющий доступ к перечню доменных имен, с которых была зафиксирована вредоносная активность.
Закрытыми являются источники, доступные только в форме оплачиваемой получателем информации подписки. В результате получатель имеет доступ к регулярно обновляемой информации, качество которой подтверждается производителем и может варьироваться в зависимости от уровня обслуживания. Примером является ETPro Ruleset, предоставляющий доступ к спискам правил для обнаружения и блокирования сетевых атак [5].
Результатом работы TI-процесса является информация, на основании которой принимаются решения по защите информации, а потребители могут варьироваться в зависимости от ее формы. Потребителями могут быть специалисты различных квалификации и должностей (информация предоставляется в форме отчетов, документов и т. п.). Также информация может обрабатываться техническими средствами (в форме наборов правил, конфигурационных файлов и т. п.).
В соответствии с приведенной классификацией каждый из классов источников может содержать большое количество информации. Описание модели «черного ящика» TI-процесса показывает, что реализация и поддержание в работоспособном состоянии процесса сбора информации об угрозах становятся трудоемкими задачами. В результате снижается эффективность работы TI-процесса, что приводит к увеличению количества пропущенных событий реализации угроз и, как следствие, нанесению ущерба организации. Поэтому возникает необходимость автоматизации процесса сбора информации об угрозах.
Таким образом, для реализации и поддержания в работоспособном состоянии процессов оперативного обнаружения и реагирования на события реализации угроз необходима автоматизация процесса сбора информации об угрозах. Автоматизация позволит сократить количество человеческих ресурсов, требуемых для проведения сбора информации об угрозах, и повысить эффективность системы защиты информации.
Библиографические ссылки
1. Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы. 5-е изд. М. : Питер, 2016. С. 856.
2. А что если завтра нас отключат от CVE? [Электронный ресурс]. URL: http://new.groteck.ru/images/catalog/19830/c9317892e9049cd51823fe6ed7ff32cd.pdf (дата обращения: 25.11.2017).
3. Threat Intelligence: Collecting, Analysing, Evaluating [Электронный ресурс]. URL: https://www.mwrinfosecurity.com/assets/Whitepapers/Threat-Intelligence-Whitepaper.pdf (дата обращения: 10.11.2017).
4. Tools and Standards for Cyber Threat Intelligence Projects [Электронный ресурс]. URL: https://www.sans.org/reading-room/whitepapers/warfare/tools-standards-cyber-threat-intelligence-projects-34375 (дата обращения: 17.01.2018).
5. ET Pro Ruleset [Электронный ресурс]. URL: https://www.proofpoint.com/us/threat-insight/et-pro-ruleset (дата обращения: 05.02.2018).
© Исаков Н. С., Жуков В. Г., Смирнов Д. В., 2018
