CC BY
3
УДК 004.056
РАЗРАБОТКА СИСТЕМЫ ПОДДЕРЖКИ УПРАВЛЕНИЯ ИНЦИДЕНТАМИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
*
Ю. Ю. Дрянных Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
E-mail: dr.yuly@mail.ru
Рассматривается решение проблемы своевременного обнаружения и сбора информации об инцидентах информационной безопасности путем разработки системы поддержки управления инцидентами информационной безопасности.
Ключевые слова: информационная безопасность, инцидент информационной безопасности, threat intelligence, incident response platform.
DEVELOPMENT OF INFORMATION SECURITY INCIDENT MANAGEMENT
SUPPORT SYSTEM
Yu. Yu. Dryannykh* Scientific supervisor - V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
E-mail: dr.yuly@mail.ru
This article describes the solution to the problem of timely detection and collection of information about information security incidents by developing an information security incident management support system
Keywords: information security, information security incidents, threat intelligence, incident response platform.
Установление факта возникновения в организации инцидента информационной безопасности может занять длительное количество времени. Согласно статистическим данным, представленным в «Ponemon 2018 Cost of a Data Breach Study», опрошенным организациям в среднем требуется 196 дней, чтобы обнаружить инцидент информационной безопасности [1]. Данное время обнаружения инцидента информационной безопасности может быть объяснено тем, что в среднем специалисты по информационной безопасности могут получать около 17000 предупреждений только о вредоносных программах в неделю, что составляет более 100 оповещений в час для группы специалистов, работающий в режиме 24/7 [2]. Таким образом, возникает необходимость автоматизации процедур обнаружения и регистрации инцидентов информационной безопасности.
В качестве решения проблемы по автоматизации процедур регистрации инцидентов информационной безопасности в рамках работы была рассмотрена свободно распространяемая платформа по реагированию на инциденты «Thehive» [3]. Выбранная платформа позволяет осуществлять создание и хранение отчетов по инциденту информационной безопасности с указанием его категории, приоритета и характерных
Секция «Информационнаябезопасность»
инциденту информационной безопасности индикаторов компрометации. Но использование данной платформы не позволяет решить проблему своевременного обнаружения инцидентов информационной безопасности организации.
Решение данной проблемы возможно путем интеграции платформы по реагированию на инциденты «Thehive» с системой, основной функционал которой направлен на сбор и хранение индикаторов компрометации, фиксация которых на объектах информатизации будет указывать специалисту по защите информации на возможный инцидент информационной безопасности. В качестве такой системы в рамках работы была рассмотрена платформа threat intelligence MISP [4].
При эксплуатации MISP в качестве базы индикаторов компрометации специалист по защите информации вынужден уделять внимание проблеме фильтрации поступающей в MISP информации, так как, по умолчанию, информация, хранящаяся в базе индикаторов компрометации, считается доверенной и на основании ее будет инициироваться работа по реагированию на инциденты информационной безопасности. Данный факт определил необходимость дополнительно в состав системы поддержки инцидентов управления инцидентами информационной безопасности добавить средство сбора и обработки индикаторов компрометации GOSINT [5], позволяющее осуществлять автоматизированную фильтрацию индикаторов компрометации и передачу данных индикаторов в MISP.
В качестве решения проблемы своевременного обнаружения инцидента информационной безопасности в рамках работы была усовершенствована полученная система путем написания программы, обеспечивающей автоматизацию процессов, реализуемых при фиксации индикаторов в MISP, передаче индикаторов в «Thehive» и создании отчета об инциденте в «Thehive» на основании полученных индикаторов компрометации.
Для фиксации индикаторов компрометации, выявленных на защищаемых объектах, предполагается на вход разработанной программы подавать лог-файлы средств защиты информации, осуществляющих сбор сетевых индикаторов компрометации (домены, URL, почтовые адреса, IP-адреса), с помощью которых возможно зафиксировать нарушения, инициируемые внешними нарушителями, и в последствии собрать дополнительную информацию о выявленном инциденте информационной безопасности. Для распознания сетевых индикаторов компрометации в программе были заданы соответствующие им регулярные выражения.
Далее для фиксации выявленных индикаторов компрометации по базе данных индикаторов компрометации MISP осуществляется поиск соответствия, и в случае нахождения соответствия осуществляется POST-запрос, позволяющий осуществить фиксацию индикатора компрометации в MISP.
Схема работы программы
Для автоматизации фиксации индикаторов компрометации и создания отчета по инциденту информационной безопасности был определен следующий сценарий: осуществление сбора индикаторов компрометации из внешних источников осуществляется
только под учетной записью администратора MISP, в случае фиксации индикаторов компрометации, данные индикаторы становятся доступными для пользователя, осуществляющего обмен информацией с «Thehive», который в последствии осуществляет их отправку.
После получения индикаторов компрометации в «Thehive» происходит их импорт в систему и создание отчета об инциденте информационной безопасности для реализации дальнейшей работы по реагированию на инцидент информационной безопасности. Общая схема работы программы, описанной выше, представлена на рисунке 1.
Для дальнейшего оперативного реагирования на инцидент информационной безопасности, после его обнаружения и регистрации, специалисту по защите информации необходимо получить полную информацию о случившемся инциденте информационной безопасности, позволяющую специалисту понять: как развивается инцидент информационной безопасности, на что он может быть направлен и как его оперативно предотвратить. Для решения данной проблемы в систему поддержки управления инцидентами информационной безопасности была добавлена система обогащения данных по инцидентам «Cortex» [6], которая была интегрирована с «Thehive». Таким образом, после регистрации инцидента информационной безопасности с использованием анализаторов «Cortex» специалист по защите информации может оперативно дополнять отчет по инциденту информационной безопасности информацией, связанной с обнаруженными индикаторами компрометации.
Таким образом, автоматизация процедур по управлению инцидентами информационной безопасности с использованием полученной системы позволяет обеспечить экономию времени специалиста на обработку большого количества лог-файлов различных средств защиты информации. Совершенствование собранной системы в дальнейшем также будет направлено на автоматизацию процессов, позволяющих сэкономить время специалиста при анализе и реагировании на инциденты информационной безопасности.
Библиографические ссылки
1. Calculating the Cost of a Data Breach in 2018. The Age of AI and the IoT [Электронный ресурс]. URL: https://securityintelligence.com/ponemon-cost-of-a-data-breach-2018/ (Дата обращения: 25.03.2020).
2. The threat intelligence Handbook [Электронный ресурс]. URL: https://go.recordedfuture.com/hubfs/ebooks/threat-intelligence-handbook-second-edition.pdf?utm_campai gn=THR-EBO-
1019&utm_source=hs_automation&utm_medium=email&utm_content=78663535&_hsenc=p2AN qtz--0t73eMZoAXpQrHjUhatZenRKUQhI3n8XTzfrRjUy2s15gQDjbGe0z_fgjersvJc-3lqi51yT6UzFbSKaG2VRjUV3sag&_hsmi=78663535 (Дата обращения: 25.03.2020).
3. Security incident response for the masses [Электронный ресурс]. URL: https://thehive-project.org (Дата обращения: 26.03.2020).
4. MISP - Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing [Электронный ресурс]. URL: https://www.misp-project.org/index.html (Дата обращения: 27.03.2020).
5. GOSINT [Электронный ресурс]. URL: https://github.com/ciscocsirt/G0SINT (Дата обращения: 28.03.2020).
6. Cortex [Электронный ресурс]. URL: https://github.com/TheHive-Project/Cortex (Дата обращения: 28.03.2020).
© Дрянных Ю.Ю., 2020
