Структурный подход к расследованию инцидентов информационной безопасности на базе платформы threat intelligence Текст научной статьи по специальности «Компьютерные и информационные науки»

Решетневские чтения. 2018

УДК 004.056

СТРУКТУРНЫЙ ПОДХОД К РАССЛЕДОВАНИЮ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА БАЗЕ ПЛАТФОРМЫ THREAT INTELLIGENCE

Ю. Ю. Дрянных*, В. Г. Жуков

Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31

E-mail: dr.yuly@mail.ru

Рассматривается сценарий применения программного обеспечения threat intelligence при расследовании инцидентов информационной безопасности.

Ключевые слова: информационная безопасность, инцидент информационной безопасности, threat intelligence.

STRUCTURAL APPROACH TO INVESTIGATION OF INFORMATION SECURITY INCIDENTS ON THE BASIS OF THE THREAT INTELLIGENCE PLATFORM

Yu. Yu. Dryannykh*, V. G. Zhukov

Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: dr.yuly@mail.ru

This article describes scenario of application of threat intelligence software in the investigation of information security incidents is considered.

Keywords: information security, information security incidents, threat intelligence.

Типовая политика безопасности информации, реализованная в рамках организации, не гарантирует абсолютную защиту информации от нарушения основных свойств безопасности информации. После проектирования, развертывания и ввода в эксплуатацию системы защиты информации в информационной системе организации со временем могут появиться уязвимости, которые могут быть использованы злоумышленником для компрометации бизнес-операций организации и реализации угроз безопасности информации.

Согласно статистическим данным [1] 77 % респондентов в опросе, проведенном Ponemon Institute, заявили, что их организации не имеют официального плана реагирования на инциденты информационной безопасности. Несвоевременное реагирование на инциденты информационной безопасности может привести к ущербу репутации и крупным финансовым убыткам организации. Таким образом, в рамках организации специалистам по защите информации необходимо уделять должное внимание при разработке и реализации системы менеджмента инцидентов информационной безопасности.

Подготовка организации к обработке инцидентов информационной безопасности подразумевает под собой применение структурного и планового подхода к следующему [2]:

1) обнаружению, оповещению об инцидентах информационной безопасности и их оценке;

2) реагированию на инциденты информационной безопасности;

3) извлечению уроков из инцидентов, введению превентивных защитных мер и улучшению общего подхода к менеджменту инцидентов информационной безопасности.

Рассмотрим возможный сценарий реализации структурного подхода, основываясь на технических мерах защиты информации.

Обнаружение инцидентов информационной безопасности является трудоемкой задачей: среднее время обнаружения нарушений информационной безопасности составляет 191 день [3]. Таким образом, в рамках разработки системы менеджмента инцидентов информационной безопасности стоит уделить должное внимание выбираемым программно-техническим средствам обнаружения нарушений и каналам обновления информации о нарушениях информационной безопасности (применимость, достоверность, качество поступаемой информации, оперативность поступления информации и т. д.). В качестве демонстрации предлагаемого подхода была выбрана система обнаружения и предотвращения вторжений «Snort». Свободно распространяемые правила «Snort», предоставляемые на сайте разработчика «Snort» [4], бывают двух видов: общие правила и правила для зарегистрированных пользователей. Список общих правил, предоставляемых членами сообщества «Snort» или интеграторами «Snort», часто обновляется, но не учитывает специфику угроз, характерных для данной организации. Список правил для зарегистрированных пользователей разбит на различные классы угроз, но не содержит информацию об атаках нулевого дня. Таким

Информационная безопасность

образом, появляется необходимость в дополнительном источнике информации о нарушениях информационной безопасности, имеющем постоянное обновление правил и учитывающем специфику угроз, характерных для организации. В качестве программного средства, предоставляющего актуальную информацию об угрозах безопасности информации, в том числе и в формате правил для «Snort», была выбрана платформа threat intelligence «MISP» [5].

Дополнительным преимуществом применения платформы threat intelligence «MISP» является предоставление полной информации об инциденте информационной безопасности:

- описание угрозы;

- индикаторы компрометации, которые не могут быть отображены в рамках «Snort» (информацию о конкретных уязвимостях, сигнатуры YARA и т. д.);

- информацию о нейтрализации;

- описание злоумышленника;

- описание используемого инструмента;

- TTP (Tactics, Techniques, and Procedures).

При реагировании на инциденты информационной безопасности необходимо установить факт реализации инцидента информационной безопасности и собрать информацию об инциденте информационной безопасности с использованием журналов средств защиты информации. После сбора информации об инциденте информационной безопасности специалист имеет большое количество данных об инциденте и ограниченное время на анализ данных и последующее реагирование на инцидент информационной безопасности. С целью сокращения времени на анализ журнала системы обнаружения и предотвращения вторжений «Snort» и выбора сценария по реагированию на инцидент информационной безопасности, был разработан скрипт, автоматизирующий фиксацию событий, обнаруженных «Snort», в платформе «MISP».

На вход скрипта подается alert-файл, зафиксированный «Snort». Поле правила «msg» содержит информацию об индикаторах компрометации, информация о которых хранится в платформе «MISP». Скрипт выделяет обнаруженный индикатор компрометации, необходимый для дальнейшего распознавания конкретного, связанного с данным индикатором инцидента, информация о котором хранится в платформе threat intelligence. Далее осуществляется подключение к базе данных «MISP», в которой находится соответствующий порядковый номер индикатора компрометации. После этого порядковый номер передается на вход POST-запроса, позволяющего зафиксировать в рамках платформы threat intelligence нарушение, выявленное в рамках информационной системы. Фиксация обнаруженных в информационной системе индикаторов компрометации реализуется с помощью встроенного в платформу механизма «Sightings».

Написанный скрипт позволит специалисту при возникновении инцидента информационной безопасности уменьшить время на анализ и реагирование на инцидент информационной безопасности. Фиксация

инцидентов информационной безопасности в рамках платформы threat intelligence «MISP» также позволит отслеживать реализованные в рамках организации угрозы информационной безопасности, что даст возможность анализировать недостатки существующей системы защиты информации организации с целью ее дальнейшего совершенствования.

Библиографические ссылки

1. The Third Annual Study on the Cyber Resilient Organization [Электронный ресурс]. URL: https://info.resilientsystems.com/hubfs/IBM_Resilient_Br anded_Content/White_Papers/2018_Cyber_Resilient_Org anization_Study.pdf?hsCtaTracking=81d7f4d1-c1a7-4ad6-99af-b93cf3a8fe39%7C2480333d-1f9e-4b70-a4e3-d4af11 cee2ab (дата обращения: 25.08.2018).

2. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности [Электронный ресурс]. URL: http://internet-law.ru/gosts/gost/47690/ (дата обращения: 25.08.2018).

3. 2017 Cost of Data Breach Study [Электронный ресурс]. URL: https://public.dhe.ibm.com/common/ssi/ ecm/se/en/sel03130wwen/security-ibm-security-services-se-research-report-sel03130wwen-20180122.pdf (дата обращения: 26.08.2018).

4. Snort [Электронный ресурс]. URL: https://www.snort.org/ (дата обращения: 26.08.2018).

5. MISP - User Guide A Threat Sharing Platform [Электронный ресурс]. URL: https://www.circl.lu/ doc/misp/book.pdf (дата обращения: 27.08.2018).

References

1. The Third Annual Study on the Cyber Resilient Organization. Available at: https://info.resilient-systems. com/hubfs/IBM_Resilient_Branded_Content/White_Papers/ 2018_Cyber_Resilient_Organization_Study .pdf?hsCtaTrac king=81d7f4d1-c1a7-4ad6-99af-b93cf3a8fe39%7C248033 3d-1f9e-4b70-a4e3-d4af11cee2ab (accessed: 25.08.2018).

2. GOST R 18044-2007. Informatsionnaya tekhno-logiya. Metody i sredstva obespecheniya bezopasnosti. Menedzhment intsidentov informatsionnoy bezopasnosti [Information technology. Security techniques. Information security incident management]. Available at: http:// internet-law.ru/gosts/gost/47690/ (accessed: 25.08.2018).

3. 2017 Cost of Data Breach Study. Available at: https://public.dhe.ibm.com/common/ssi/ecm/se/en/sel0313 0wwen/security-ibm-security-services-se-research-report-sel03130wwen-20180122.pdf (accessed: 26.08.2018).

4. Snort. Available at: https://www.snort.org/ (accessed: 26.08.2018).

5. MISP - User Guide A Threat Sharing Platform. Available at: https://www.circl.lu/doc/misp/book.pdf (accessed: 27.08.2018).

© Дрянных Ю. Ю., Жуков В. Г., 2018