Применение базы знаний att&ck в процессе моделирования угроз безопасности информации Текст научной статьи по специальности «Компьютерные и информационные науки»

Решетневские чтения. 2018

УДК 004.056

ПРИМЕНЕНИЕ БАЗЫ ЗНАНИЙ ATT&CK В ПРОЦЕССЕ МОДЕЛИРОВАНИЯ УГРОЗ

БЕЗОПАСНОСТИ ИНФОРМАЦИИ

А. П. Голушко, М. Н. Жукова

Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31

Е-mail: anna-6991@mail.ru

Рассматривается сценарий применения базы знаний о тактиках и техниках действий злоумышленников в процессе моделирования актуальных угроз безопасности информации.

Ключевые слова: угрозы безопасности информации, модель нарушителя, ATT&CK, БДУ ФСТЭКРоссии.

ATT&CK KNOWLEDGE BASE APPLICATION IN THE BUILDING PROCESS OF INFORMATION SECURITY THREATS MODELS

A. P. Golushko, M. N. Zhukova

Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation Е-mail: anna-6991@mail.ru

The article is devoted to the application of database of adversarial tactics and techniques knowledge in the process of modeling actual information security threats.

Keywords: information security threats, the model of the intruder, ATT&CK, FSTEC of Russia threat database.

Существующий подход к построению системы защиты информации, реализуемый в соответствии с требованиями безопасности информации, постоянно совершенствуется и в настоящее время учитывает не только результаты анализа потенциально возможных для данной системы событий, но также и результаты анализа происходящих инцидентов информационной безопасности в масштабе страны.

Это позволяет обеспечить единый минимальный базис требований и рекомендаций к мерам защиты информации, обрабатываемой в различных информационных системах.

Однако процесс формирования требований к создаваемой или модернизируемой системе защиты может быть улучшен путем применения мирового опыта знаний о тактиках и техниках действий злоумышленника с целью расширения базы знаний апостериорного анализа, применяемой при проектировании систем защиты информации, и представляющей собой единый банк данных об угрозах безопасности информации, сформированный ФСТЭК России.

БДУ ФСТЭК России представляет собой систематизированный источник информации о существующих уязвимостях и угрозах безопасности информации, который постоянно развивается путем добавления в него новых данных по результатам апостериорного анализа инцидентов информационной безопасности [1].

Однако при проектировании систем защиты информации кроме данных, представленных в БДУ ФСТЭК, могут быть также использованы и другие систематизированные каталоги информации, с целью

интеграции мирового опыта исследований об активности злоумышленников.

Исследователями компании Cisco в своем ежегодном отчете за 2017 год [2] отмечены две основные тенденции в области информационной безопасности: эскалация последствий нарушений безопасности и увеличение темпов и масштабов развития технологий. Динамика обозначенных тенденций рассматривается в ходе обсуждения вопросов о тактиках злоумышленников и выявленных уязвимостях. Были изучены определенные методы, используемые злоумышленниками для компрометации пользователей и внедрения в системы. Для специалистов службы информационной безопасности отмечена важность понимания изменений в тактиках злоумышленников, чтобы адаптировать свои методы обеспечения безопасности и информировать пользователей.

По результатам исследований компании Symantec [3] существует динамика роста числа новых преступных группировок, осуществляющих целевые атаки на информационные системы. 140 групп злоумышленников было обнаружено по итогам 2017 г., что на 15,7 % превышает результаты 2016 г.

Наиболее перспективным представляется направление улучшения системы защиты путем применения знаний о тактиках и техниках действий злоумышленника, что подтверждается в исследовательских отчетах компании Cisco [2].

Для решения этой задачи были изучены лучшие зарубежные практики в сфере информационной безопасности по применению дополнительных источников информации.

Информационная безопасность

Совместимость БДУ ФСТЭК и ATT&CK на уровне объектов воздействия угроз безопасности

№ п/п Тактика Техника Инф. технология, используемая для реализации техники Объекты воздействия согласно БДУ ФСТЭК

1 Defense Evasion Rootkit Системное и прикладное программное обеспечение, технологии виртуализации Системное и прикладное программное обеспечение, гипервизор, микропрограммное обеспечение BЮS/UEFI

2 Exploitation for Defense Evasion Наличие уязвимостей в системном и(или) прикладном программном обеспечении, уязвимостей в СЗИ Системное и прикладное программное обеспечение, средства защиты информации, программно-аппаратные средства со встроенными функциями защиты

Одним из авторитетных источников является база знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), разработанная корпорацией MITRE, представляющая собой постоянно растущий систематизированный ресурс информации о поведении злоумышленников. Она позволяет всесторонне оценивать технологии, процессы и политики защиты компьютерной сети. Представленные в ней тактики действий злоумышленника описывают предполагаемые варианты поведения нарушителя после внедрения в систему. Всего в базе представлены одиннадцать тактик [4]. Каждой тактике соответствует определенное число техник, которые могут быть реализованы в рамках конкретной тактики. Все они требуют разной квалификации злоумышленника. Для каждой техники представлено соответствующее техническое описание, методы обнаружения и потенциальные меры по нейтрализации атак.

Действия злоумышленника описаны на достаточно высоком уровне, что позволяет применять их в процессе определения актуальных угроз, но все же предоставляют достаточно деталей, чтобы быть технически полезными.

Применение реальных данных об атаках в ATT&CK позволяет сосредоточить защиту на наиболее часто используемых методах в разных группах действий и позволяет выявить пробелы в безопасности.

В настоящий момент не существует готовой методики применения мирового опыта знаний о тактиках и техниках действий злоумышленника при проектировании системы защиты информации [5]. Предлагается применение базы знаний ATT&CK в процессе проектирования системы защиты информации совместно с БДУ ФСТЭК как на этапе моделирования угроз безопасности информации, так и на этапе определения мер защиты. Для этого сведения, представленные в ATT&CK, должны быть соотнесены с информацией об угрозах безопасности информации в БДУ ФСТЭК.

Пример данных, являющихся частью результатов исследований возможности применения ATT&CK в процессе формирования угроз безопасности информации представлен в таблице.

Таким образом, на основании полученных результатов могут быть разработаны сценарии применения ATT&CK в процессе проектирования систем защиты информации. Это позволит улучшить существующий

подход к определению актуальных угроз безопасности информации, в котором в качестве основы используется экспертный метод.

Библиографические ссылки

1. Банк данных угроз безопасности информации [Электронный ресурс]. URL: https://bdu.fstec.ru/ (дата обращения: 19.07.2018).

2. Отчет Cisco по информационной безопасности за первое полугодие 2017 г. [Электронный ресурс]. URL: http ://nncit.tneu. edu.ua/wp-content/uploads/2017/ 10/cisco_2017_mcr_071817 _fnl_hq.pdf (дата обращения: 21.07.2018).

3. Internet Security Threat Report. Symantec [Электронный ресурс]. URL: http://images.mktgassets. symantec.com/Web/Symantec/%7B3a70beb8-c55d-4516-98ed-1d0818a42661%7D_ISTR23_Main-FINAL-APR10. pdf?aid=elq_ (дата обращения: 05.08.2018).

4. Adversarial Tactics, Techniques & Common Knowledge [Электронный ресурс]. URL: https://attack. mitre.org/wiki/Main_Page (дата обращения: 15.08.2018).

5. APT Trends report Q1 2018 [Электронный ресурс]. URL: https://securelist.com/apt-trends-report-q1-2018/85280/ (дата обращения: 25.08.2018).

References

1. Bank dannyh ugroz bezopasnosti informacii. Available at: https://bdu.fstec.ru/ (access: 19.07.2018).

2. Отчет Cisco по информационной безопасности за первое полугодие 2017 г. Available at: http:// nncit.tneu.edu.ua/wp-content/uploads/2017/10/cisco_2017_ mcr_071817 _fnl_hq.pdf (access: 21.07.2018).

3. Internet Security Threat Report. Symantec. Available at: http://images.mktgassets.symantec.com/Web/ Symantec/%7B3a70beb8-c55d-4516-98ed-1d0818a42661 %7D_ISTR23_Main-FINAL-APR10.pdf?aid=elq_ (access: 05.08.2018).

4. Adversarial Tactics, Techniques & Common Knowledge. Available at: https://attack.mitre.org/wiki/ Main_Page (access: 15.08.2018).

5. APT Trends report Q1 2018 Available at: https://securelist.com/apt-trends-report-q1-2018/85280/ (date of access: 25.08.2018).

© Голушко А. П., Жукова М. Н., 2018