CC BY
82Информационная безопасность
УДК 004.62
ПОТРЕБИТЕЛИ ИНФОРМАЦИИ ОБ УГРОЗАХ БЕЗОПАСНОСТИ ИНФОРМАЦИИ THREAT INTELLIGENCE ПРОЦЕССА
Н. С. Исаков*, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
*E-mail: isakov-nikolay@mail.ru
Рассматриваются группы потребителей информации Threat Intelligence (TI) процесса. Обосновывается необходимость автоматизации процесса формирования результатов работы TI-процесса.
Ключевые слова: информационная безопасность, угрозы безопасности, threat intelligence.
CONSUMERS OF THE PROCESS OF COLLECTING AND ANALYSIS OF INFORMATION ABOUT THREATS TO INFORMATION SECURITY
N. S. Isakov*, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation *E-mail: isakov-nikolay@mail.ru
The article considers groups of consumers of information the Threat Intelligence (TI) process. The necessity of automation of the process offorming the results of the TI-process is substantiated.
Keywords: information security, information security threats, threat intelligence.
Временные затраты на проведение кибер-атаки, направленной на преодоление защиты периметра корпоративной вычислительной сети, составляют несколько минут [1]. Под периметром корпоративной вычислительной сети понимается множество сетевых узлов, разграничивающих неконтролируемые организацией сети (в качестве примера такой сети может выступать Internet) от контролируемых, составляющих корпоративную сеть организации [2]. В то же время на обнаружение произошедшего инцидента информационной безопасности и устранения причины, по которой успешная реализация стала возможной, требуются дни, недели и месяцы [1]. Для сокращения временных затрат может применяться TI-процесс, позволяющий по известным признакам идентифицировать угрозы реализации кибер-атак, а также определить и применить типовые действия для их устранения.
Одним из наиболее важных этапов реализации TI-процесса является обработка информации, получаемой в результате его работы. Данная информация может быть использована как для принятия решений, так и для реализации конкретных технических и организационных мер по защите информации, поэтому потребители такой информации могут варьироваться в зависимости от ее содержания и формы представления. Потребителями могут являться специалисты различных квалификаций и должностей, использующие информацию об угрозах безопасности информации, представленную в форме, удобной для восприятия человеком, например, в форме документов и отчетов. Также в качестве потребителей могут выступать тех-
нические средства, использующие информацию об угрозах безопасности информации в форме наборов правил, конфигурационных файлов и т.п.
Кроме того, одна и та же информация об угрозах безопасности информации может быть представлена в разных формах представления и использоваться потребителями различных групп. В качестве примера может выступать информация об IP-адресах, с которых была зафиксирована вредоносная активность. Такая информация может использоваться средствами защиты информации в виде файла, содержащего структурированные данные (например, в одном из форматов представления данных - CSV, JSON, XML и др.), для автоматической конфигурации данных средств защиты. Также в качестве потребителей могут выступать специалисты по защите информации. Например, на основе информации об IP-адресах, с которых была зафиксирована вредоносная активность, может быть составлен перечень штатных технических средств организации, участвующих в информационном обмене с сетевыми узлами, использующими данные IP-адреса. В дальнейшем, на основе данного перечня, могут быть обнаружены произошедшие инциденты информационной безопасности, а также инициированы расследования обнаруженных инцидентов.
Поэтому, принимая во внимание разнообразие и большой объем информации об угрозах безопасности, которая может быть получена в результате работы TI-процесса, требуется выполнить классификацию данной информации на основе групп потребителей [3; 4]. Такая классификация позволит сократить количество ситуаций, когда какому-либо потребителю была пре-
Решетневские чтения. 2018
доставлена не представляющая ценности информация, либо не была предоставлена информация, представляющая ценность конкретно для этого потребителя.
Можно выделить следующие классы информации в зависимости от группы потребителя [3; 4]:
- стратегическая информация. К данному классу относится информация, используемая для принятия глобальных для организации решений. Потребителями являются высокопоставленные в организации лица, например, генеральный директор или совет директоров. Информация данного класса может охватывать финансовые последствия кибер-активности, тенденции атак, области, которые могут повлиять на бизнес-решения высокого уровня. В качестве примера может выступать отчет, указывающий на то, что правительство какой-либо страны, предположительно, осуществляет поддержку кибер-атак на иностранные организации, которые являются прямыми конкурентами отечественным компаниям;
- операционная информация. Данный класс включает информацию о конкретных планирующихся ки-бер-атаках. Потребителями являются сотрудники службы безопасности, занимающие руководящие должности, такие как руководители служб безопасности или реагирования на инциденты. В большинстве случае только правительственные организации имеют достаточно возможностей для сбора такой информации. Частные организации часто не могут получить доступ к источникам информации, используемыми правительственными организациями, в частности, доступ к информации о национальных угрозах, и поэтому исключают информацию данного класса из обработки в их Т1-процессах;
- тактическая информация. Информация данного класса используется для подтверждения того, что система защиты информации позволяет защитить информацию, своевременно уведомить о кибер-атаках и провести расследование инцидента. Примером является отчет, описывающий программные средства, используемые злоумышленниками;
- техническая информация. Такая информация представляет собой данные, обычно используемые техническими средствами системы защиты. В частности, такой информацией являются перечень 1Р-адре-сов, с которых была зафиксирована вредоносная активность и индикаторы компрометации [5]. Такие данные часто имеют короткий срок службы, поэтому процесс их сбора требует автоматизации. Результатом являются управляющие воздействия на средства защиты информации, например, генерация правил межсетевого экрана.
Каждый из классов приведенной классификации может содержать большое количество информации. Кроме того, часть информации может быть представлена в разных формах для потребителей разных групп. Поэтому представление результатов Т1-процесса в различных формах, удобных для восприятия людьми или обработки техническими средствами является задачей, требующей значительного объема временных ресурсов. В итоге эффективность работы Т1-процесса может быть значительно снижена, если часть результатов работы Т1-процесса будет представлена в некорректной форме, передана потре-
бителю, которому она не требуется, либо не передана тому, для кого она предназначалась. Следовательно, процесс представления результатов работы TI-про-цесса для потребителя требует автоматизации.
Таким образом, для эффективной работы TI-про-цесса требуется автоматизировать процесс представления результатов его работы в удобной для потребителя форме, а также распределения результатов между потребителями. В результате автоматизации сократится количество человеческих ресурсов, требуемых для поддержания TI-процесса в работоспособном состоянии, что повысит эффективность системы защиты информации.
Библиографические ссылки
1. А что если завтра нас отключат от CVE? [Электронный ресурс]. URL: http://new.groteck.ru/images/ catalog/19830/c9317892e9049cd51823fe6ed7ff32cd.pdf (дата обращения: 15.08.2018).
2. Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы. 5 изд. СПб. : Питер, 2016. 856 с.
3. Threat Intelligence: Collecting, Analysing, Evaluating [Электронный ресурс]. URL: https://www. mwrinfosecurity.com/assets/Whitepapers/Threat-Intellig-ence-Whitepaper.pdf (дата обращения: 15.08.2018).
4. Open Source Intelligence: What Is It? Why Is It Important to the Military? URL: http://www.oss.net/ dy-namaster/file_archive/040320/fb893cded51d5ff6145f06c 39a3d5094A0SS1997-02-33.pdf (дата обращения: 22.08.2018).
5. Tools and Standards for Cyber Threat Intelligence Projects [Электронный ресурс]. URL: https:// www.sans.org/reading-room/whitepapers/warfare/ tools-standards-cyber-threat-intelligence-projects-34375 (дата обращения: 17.01.2018).
References
1. A chto esli zavtra nas otklychat ot CVE? [What if tomorrow we are disconnected from CVE?] (In Russ.). Available at: http://new.groteck.ru/images/catalog/ 19830/ c9317892e9049cd51823fe6ed7ff32cd.pdf (accessed: 01.09.2016).
2. Komp'yuternye seti. Principy, tekhnologii, proto-koly. [Computer networks. Principles, technologies, protocols]. Saint-Petersburg. Piter Publ. 2016. 856 р. (In Russ.).
3. Threat Intelligence: Collecting, Analysing, Evaluating. Available at: https://www.mwrinfosecurity.com/ as-sets/Whitepapers/Threat-Intelligence-Whitepaper.pdf (accessed: 15.08.2018).
4. Open Source Intelligence: What Is It? Why Is It Important to the Military? Available at: http://www. oss.net/dynamaster/file_archive/040320/fb893cded51d5ff 6145f06c39a3d5094/0SS1997-02-3 3 .pdf (accessed: 22.08.2018).
5. Tools and Standards for Cyber Threat Intelligence Projects Available at: https://www.sans.org/reading-room/whitepapers/warfare/tools-standards-cyber-threat-intelligence-projects-34375 (accessed: 17.01.2018).
© Исаков Н. С., Жуков В. Г., 2018
