Решетневские чтения. 2017
УДК 004.056
О НЕОБХОДИМОСТИ ВНЕДРЕНИЯ THREAT INTELLIGENCE
Ю. Ю. Дрянных*, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Рассматривается необходимость внедрения Threat Intelligence для повышения уровня информационной безопасности в организациях. Также представлено описание основных факторов, оказывающих влияние на эффективность threat intelligence.
Ключевые слова: информационная безопасность, мониторинг информационной безопасности, Threat Intelligence.
ON THE NEED TO INTRODUCE THREAT INTELLIGENCE
Yu. Yu. Dryannykh*, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected]
This article describes the need to introduce threat intelligence for increase the level of information security in organizations. Also the article presents the description of main factors, which affect the efficiency of threat intelligence.
Keywords: information security, information security monitoring, Threat Intelligence.
Каждые несколько лет в сфере информационной безопасности появляются новые методы и средства защиты информации, позволяющие эффективно защищать информационные системы организаций. Одной из последних тенденций является threat intelligence. Согласно Gartner threat intelligence - «это основанное на фактических данных знание, включающее контекст, механизмы, индикаторы, последствия и рекомендации по реагированию, о существующих или возникающих угрозах или рисках активов, которые могут быть использованы для принятия решений относительно реагирования субъекта на эту угрозу или риск» [1]. Обмен знаниями напрямую влияет на эффективность защиты. Так, согласно Указу Президента Российской Федерации от 15 января 2013 г. № 31с, одной из основных задач государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) является «обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак». FinCERT Банка России обязан поддерживать обратную связь с клиентами с целью оповещения об угрозах информационной безопасности и рекомендациях по их устранению.
В России есть коммерческие поставщики threat intelligence, например: Group-IB, Cisco и Kaspersky. Group-IB является одним из 7 лучших поставщиков данных для threat intelligence. Компания помимо тактической и стратегической информации предоставля-
ет веб-интерфейс, отслеживающий уведомления об угрозах и рисках [2]. Kaspersky предоставляет сервис по получению тактической и стратегической информации по электронной почте или в формате JSON [3]. Для получения услуг, предоставляемых Group-IB и Kaspersky, необходимо непосредственно связаться с ними. В свою очередь решение Cisco Threat Intelligence Director, также позволяющее получать информацию из различных источников данных, представляет собой расширение средств защиты, поставляемых компанией Cisco [4].
На эффективность threat intelligence влияют следующие факторы: feeds, платформа, API и используемые стандарты.
Feeds - это данные об угрозах, например, IP- и DNS-адреса, URL, CVE-записи, ключи реестра и т. д. Данные об угрозах могут быть общими (информация о вредоносном ПО, DNS, спаме и т. д.) и узкоспециальными (информация предназначена для конкретной отрасли). Существует множество внешних источников такой информации. Среди российских поставщиков выделяются: Group-IB, Kaspersky, Cisco, среди зарубежных - Check Point, Arbor ATLAS и др. Именно выбор источника данных об угрозах является одной из самых первых задач, которые необходимо решить на этапе планирования внедрения threat intelligence в существующую систему защиты информации. При поиске поставщика данных для нужд организации возникает множество вопросов, таких как: насколько предоставляемые ими данные полны? Насколько оперативно они обновляются? Насколько они учитывают отраслевую специфику? Для решения данной проблемы при выборе источника данных рекомендуется
Методы и средства защиты информации
оценить следующие параметры: число записей, доверие к источнику пользователей, частота предоставления информации, формализованность представления информации, возможность автоматизации.
Выбор платформы также является серьезной задачей при планировании внедрения threat intelligence. Критерии, предъявляемые к платформам, могут быть основаны на различных факторах: популярность использования, простота эксплуатации и т. д. Но также существуют решения, предоставляемые поставщиками threat intelligence. Например, Group-IB предоставляет веб-интерфейс без предварительной установки, визуализирующий всю необходимую для организации информацию об угрозах. Рынок платформ threat intelligence разнообразен (BAE Systems Detica CyberReveal, IBM i2, Mitre CRITs, Palantir, Paterva/Maltego CaseFile и т. д.). Очевидно, что выбор платформы будет зависеть от целей использования threat intelligence и возможностей организации.
Автоматизировать процесс threat intelligence и интегрировать его с существующей системой защиты позволит API (application programming interface) - на средства защиты информации (IDS, SIEM, межсетевые экраны и т. д.) будут поступать правила, позволяющие защитить информацию от актуальных угроз. Для возможности использования API необходимо, чтобы платформа threat intelligence поддерживала такую возможность. Выбор того или иного API будет напрямую зависеть от того, какие средства защиты информации применяются в организации [5].
На данном этапе развития threat intelligence существует большое количество стандартов, применимых для описания угроз и осуществления информационного обмена, однако, единого общепризнанного стандарта для threat intelligence не существует. Российские поставщики threat intelligence используют стандарты STIX (Structured Threat Information eXpression) и TAXII (Trusted Automated eXchange of Indicator Information). Стандарт STIX является стандартом описания различных угроз, индикаторов атаки, информации об инциденте, рекомендаций о реагировании на инцидент и т. д. Стандартом обмена информации об угрозах, описанных с помощью STIX, является стандарт TAXII. Эксперт по информационной безопасности Алексей Лукацкий в качестве стандарта рекомендует использовать CIF (Collective Intelligence Framework). Обосновано это тем, что в России существует опыт эксплуатации данного стандарта, а также возможность интеграции CIF под нужды организации (генерация правил для Snort и других средств защиты информации).
Таким образом, внедрение и эксплуатация threat intelligence позволяет организациям получать знания об угрозах и рисках в реальном времени, что позволит поддерживать систему защиты информации в актуальном состоянии, и, соответственно, обеспечивать высокий уровень безопасности информации в организации. Так, например, согласно исследованию SANS Institute организации-потребители threat intelligence отметили следующие положительные изменения, полученные после внедрения threat intelligence: 63 % опрошенных считают, что улучшилось понимание методов и тактик
атакующих; 51 % организаций утверждают, что обнаружение и реагирование на инциденты информационной безопасности стали быстрее и точнее; 48 % говорят о снижении количества зафиксированных инцидентов за счет уменьшения количества ложных срабатываний средств защиты информации; 28 % опрошенных отметили увеличение точности и скорости мониторинга и управления инцидентами [6].
Библиографические ссылки
1. Threat intelligence: What is it, and How Can it Protect You from Today's Advanced Cyber-Attacks? [Электронный ресурс]. URL: https://www.gartner.com/ imagesrv/media-products/pdf/webroot/issue1_webroot.pdf (дата обращения: 22.08.2017).
2. Threat intelligence [Электронный ресурс]. URL: https://www.group-ib.ru/intelligence.html (дата обращения: 22.08.2017).
3. Сервисы Kaspersky Security intelligence [Электронный ресурс]. URL: https://media.kaspersky.com/ ru/ enterprise-security/Leaflet_KSIS_threats_info_RUS_WEB.pdf (дата обращения: 22.08.2017).
4. Новое решение Cisco по кибербезопасности -Cisco Threat Intelligence Director [Электронный ресурс]. URL: https://gblogs.cisco.com/ru/tid/?doing_wp_ cron=1503847773.2783749103546142578125 (дата обращения: 22.08.2017).
5. Threat Intelligence для SOC Что и откуда брать? [Электронный ресурс]. URL: http://soc-forum-2015.ib-bank.ru/files/files/10_lukatsky.pdf (дата обращения: 23.08.2017).
6. SANS Institute InfoSec Reading Room Who's Using Cyberthreat Intelligence and How? [Электронный ресурс]. URL: https://www.sans.org/reading-room/white-papers/analyst/cyberthreat-intelligence-how-35767 (дата обращения: 24.08.2017).
References
1. Threat intelligence: What is it, and How Can it Protect You from Today's Advanced Cyber-Attacks? Available at: https://www.gartner.com/imagesrv/media-products/pdf/webroot/issue1_webroot.pdf (accessed: 22.08.2017).
2. Threat intelligence. Available at: https://www. group-ib.ru/intelligence.html (accessed: 22.08.2017).
3. Kaspersky Security intelligence services. Available at: https://media.kaspersky.com/ru/enterprise-security/ Leaflet_KSIS_threats_info_RUS_WEB.pdf (accessed 22.08.2017).
4. A new solutions Cisco to cybersecurity - Cisco Threat Intelligence Director. Available at: https:// gblogs.cisco.com/ru/tid/?doing_wp_cron=1503847773.27 83749103546142578125 (accessed: 22.08.2017).
5. Threat Intelligence for SOC What and where to take? Available at: http://soc-forum-2015.ib-bank.ru/ files/files/10_lukatsky.pdf (accessed: 23.08.2017).
6. SANS Institute InfoSec Reading Room Who's Using Cyberthreat Intelligence and How? Available at: https://www.sans.org/reading-room/whitepapers/analyst/ cyberthreat-intelligence-how-35767 (accessed 24.08.2017).
© Дрянных Ю. Ю., Жуков В. Г., 2017