АВТОМАТИЗАЦИЯ СБОРА, ПРОВЕРКИ И ЗАГРУЗКИ ИНДИКАТОРОВ КОМПРОМЕТАЦИИ В ПЛАТФОРМУ THREAT INTELLIGENCE Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056

АВТОМАТИЗАЦИЯ СБОРА, ПРОВЕРКИ И ЗАГРУЗКИ ИНДИКАТОРОВ КОМПРОМЕТАЦИИ В ПЛАТФОРМУ THREAT INTELLIGENCE

Ю. Ю. Дрянных*, В. Г. Жуков

Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева

Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31

E-mail: [email protected]

Рассматриваются особенности практической реализации threat intelligence в части сбора и проверки индикаторов компрометации специальным программным средством для повышения оперативности обработки индикаторов компрометации, загружаемых в платформу.

Ключевые слова: информационная безопасность, threat intelligence, open source intelligence.

AUTOMATING THE COLLECTION, VALIDATION AND DOWNLOAD INDICATORS OF COMPROMISE INTO A PLATFORM THREAT INTELLIGENCE

Yu. Yu. Dryannykh*, V. G. Zhukov

Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation

E-mail: [email protected]

This article describes the features of the practical implementation of threat intelligence in terms of collecting and checking indicators of compromise with a special software tool to increase the efficiency of processing indicators of compromise loaded into the platform.

Keywords: information security, information security incidents, open source intelligence.

Внедрение threat intelligence позволяет получать актуальные индикаторы компрометации на всех этапах жизненного цикла информационной атаки kill chain [1] и обеспечивать поддержание системы защиты информации в актуальном состоянии за счет информационной поддержки принятия решения при формировании превентивных мер защиты информации и при расследовании инцидентов информационной безопасности.

Для эффективной реализации перечисленных мер по защите информации необходимо выстроить процесс управления threat intelligence. Так, различные зарубежные лучшие практики [2], [3; 4] схоже описывают процесс развертывания threat intelligence в рамках организации. В качестве основных этапов можно выделить следующие:

1) сбор информации;

2) обработка и анализ полученной информации;

3) распространение информации.

В [5] было представлено описание развертывания платформы threat intelligence MISP. При ее эксплуатации могут возникать следующие проблемы с обработкой информации:

1) если количество источников информации об угрозах безопасности будет велико, то для обеспечения работы платформы threat intelligence может не хватить выделенных вычислительных ресурсов [6] и, как следствие, она не сможет оперативно предоставлять информацию о возможных угрозах и обнаруженных индикаторах компрометации.

2) низкое качество поступивших индикаторов компрометации [6].

3) дублирование - подключенные источники информации об угрозах безопасности информации, могут предоставлять одни и те же индикаторы компрометации, что неизбежно приводит к избыточности информации в базе данных платформы threat intelligence.

АКТУАЛЬНЫЕ ПРОБЛЕМЫ АВИАЦИИ И КОСМОНАВТИКИ - 2019. Том 2

Перечисленные проблемы оказывают прямое влияние на скорость поиска необходимой информации об угрозах безопасности информации.

Одним из перспективных решений вышеописанных проблем является автоматизация сбора, проверки и передачи информации об индикаторах компрометации в платформу threat intelligence с помощью специального программного инструмента сбор и обработку индикаторов компрометации - GOSINT - «Open Source Threat Intelligence Gathering and Processing Framework» [7].

В рамках работы была проведена интеграция платформы threat intelligence MISP и GOSINT. После развертывания GOSINT предоставляет возможность получать информацию об индикаторах компрометации от крупных поставщиков свободно распространяемой информации об индикаторах компрометации AlienVault [В] и VirusTotal [9]. Для обеспечения такой возможности проводится регистрация на соответствующих сервисах, после чего специалист получает соответствующие API, позволяющие подключать GOSINT к данным источникам информации. Дополнительно появляется возможность осуществлять проверку обнаруженных на информационных системах организации индикаторов компрометации по базам данных AlienVault и VirusTotal. Выявленная информация поступает в раздел предобработки событий информационной безопасности, с целью дальнейшего анализа информации об угрозе безопасности информации и с целью установления факта, является ли данное событие инцидентом или нет. После принятия решения о принадлежности события к инциденту, инструмент позволяет перевести данную информацию в раздел дальнейшей обработки информации. Результаты могут быть выгружены в формате CSV для дальнейшего распространения.

Источники информации, отраженные в работе [5] были добавлены в «GOSINT» с целью дальнейшей выгрузки информации из «GOSINT» в платформу threat intelligence. За счет составления правил по фильтрации полученной информации в разделе «Recipe Manager» GOSINT может быть уменьшено повторение собранных индикаторов компрометации.

Интеграция платформы threat intelligence с GOSINT являлась решением одной из проблем построения собственной системы обработки индикаторов компрометации, позволяющей оперативно обнаруживать дополнительную информацию из других источников об инциденте, происходящем в организации. Разрабатываемая система планируется как для обеспечения превентивной защиты за счет сбора и фильтрации индикаторов компрометации, актуальных для организации, и добавления их в систему защиты информации организации, так и для решения инцидентов безопасности информации в организации. Решение инцидентов планируется путем изъятия из журналов системы защиты информации и рабочих мест индикаторов компрометации и сравнения их с базой знаний крупных организаций, занимающихся сбором индикаторов компрометации. Помимо этого, распределение функций threat intelligence на два инструмента обеспечило снижение нагрузки на платформу «MISP», что приводит к реализации более оперативной обработки индикаторов компрометации.

Библиографические ссылки

1. Убийственная цепочка или что такое kill chain [Электронный ресурс]. URL: http://lukatsky.blogspot.ru/2016/10/kill-chain.html (дата обращения: 29.03.2019).

2. Threat Intelligence: Collecting, Analysing, Evaluating [Электронный ресурс]. URL: https://www.ncsc.gov.uk/content/files/protected_files/guidance_files/MWR_Threat_Intelligence_whitep aper-2015.pdf (дата обращения: 30.03.2019).

3. 5 Phases of the Threat Intelligence Lifecycle [Электронный ресурс]. URL: https://www.recordedfuture.com/threat-intelligence-lifecycle/ (дата обращения: 30.03.2019).

4. 5 Insights on building a successful threat intelligence program [Электронный ресурс]. URL: https://www.lookingglasscyber.com/blog/5-insights-on-building-successful-threat-intelligence-program/ (дата обращения: 30.03.2019).

5. Дрянных Ю. Ю., Жуков В. Г. Автоматизированный сбор и анализ данных об угрозах безопасности информации // Актуальные проблемы авиации и космонавтики Том 2 в 3-х томах. -Красноярск: 201В. - С. 221-223.

6. GOSINT - open source решение для управления индикаторами компрометации (IoC) [Электронный ресурс]. URL: https://www.securitylab.ru/blog/company/cisco/345599.php (дата обращения: 01.04.2019).

7. GOSINT [Электронный ресурс]. URL: https://github.com/ciscocsirt/GOSINT (дата обращения: 01.04.2019).

8. AT&T Cybersecurity [Электронный ресурс]. URL: https://www.alienvault.com/ (дата обращения: 02.04.2019).

9. Virustotal [Электронный ресурс]. URL: https://www.virustotal.com/gui/home/upload (дата обращения: 02.04.2019).

10. Дрянных Ю. Ю., Жуков В. Г. Структурный подход к расследованию инцидентов информационной безопасности на базе платформы threat intelligence // Решетневские чтения Том 2 в 2-х томах. - Красноярск: 2018. - С. 324-325.

© Дрянных Ю. Ю., Жуков В. Г., 2019