23.12.2013

Как создать свою систему Threat Intelligence?

На прошлой неделе я несколько раз коснулся темы исследований угроз (threat intelligence). Сначала в корпоративном блоге Cisco, потом в этом блоге, потом в виде краткого анализа последних сделок на рынке ИБ, которые фокусировались тоже вокруг Threat Intelligence. А тут и Gartner в своем отчетном документе по ИБ за 2013-й год заявил, что аналитика в области ИБ становится краеугольным камнем любой эффективной системы защиты и эта тенденция будет только нарастать. Но при этом большинство экспертов со стороны производителей средств защиты признает, что такая система аналитики может быть построена только в облаке, т.к. сам по себе потребитель не в состоянии выстроить все процессы с нуля и, самое главное, поддерживать их на должном уровне. А если учитывать, что абсолютное большинство всех аналитических облаков у нас находится за границей (подозреваю, что KSN по большей части тоже), то у российских потребителей возникает закономерное опасение - а не отключат ли супостаты в час Х российские информационные системы от получения обновлений и не сделают ли их беззащитными во время потенциальной кибервойны (да и случайный выход из строя вполне возможен)? По мне так это паранойя, сродни ядерной угрозе. В здравом уме никто не будет развязывать войну, даже в условиях превосходства. Но опасения есть - что-то же надо с ними делать?

Альтернативу чужеродной западной ИБ-аналитике из облака я вижу только одну - создать такую систему самостоятельно, в рамках собственного предприятия, группы компаний или отрасли. Например, на конференции по банковской ИБ в Магнитогорске по инициативе Банка России будет обсуждаться тема создания банковского CERTа, одной из задач которого может стать именно Threat Intelligence. Да и вообще тема CERTов сейчас начинает потихоньку развиваться как на частном, так и на государственном уровне.

Поэтому ближайшие пару дней я посвящу именно этой теме. Но начну с краткого обзора задач, которые должна решать такая система:

  • Автоматизированные экспорт и импорт индикаторов угроз из / в различных источников в стандартизованном формате.
  • Автоматизированные экспорт и импорт информации об инцидентах из / в различных систем в стандартизованном формате.
  • Выборка данных по определенным атрибутам и их наборам.
  • Запросы, импорт, экспорт и управление данными через пользовательский интерфейс.
  • Обмен данными с другими системами по определенным атрибутам.
  • Экспорт данных для систем защиты (МСЭ, систем предотвращения вторжений и т.п.) по различным критериям.
  • Обеспечение конфиденциальности, целостности данных и сервисов ААА.

В качестве возможных источников индикаторов угроз, составляющих основу Threat Intelligence, могут выступать

  • Списки скомпрометированных и зараженных сайтов
  • Списки фишинговых ресурсов
  • Управляющие узлы ботнетов
  • Фальшивые DNS-сервера.
Не так много, но и не так мало (это без информации об уязвимостях, самих атаках и итных событиях безопасности). Откуда вы будете брать эти данные? Опираться на какие-то внешние источники или проводить собственные исследования? Если источники внешние, то откуда они? Не окажется ли так, что вы все равно столкнетесь с облачной ИБ-аналитикой, приходящей от потенциального врага? В России я сходу не вспомню открытых источников таких данных. Что-то есть у Positive Technologies, что-то у Лаборатории Касперского, что-то у Dr.Web, что-то у Group-IB, но не все публично и не все формализовано.


Но допустим мы решили вопрос с источниками данных, что дальше? А вот про "дальше" мы поговорим завтра...

2 коммент.:

Евгений комментирует...

Алексей, а почему вы употребляете термин "облако"? То есть раньше антивирусы обновлялись просто "с сервера вендора", а теперь это мода такая - использовать облака?

Алексей Лукацкий комментирует...

Сервер обновлений вендора - это связь односторонняя, а облако - двусторонняя. В обновлениях - я получаю только их и все, а в облако я еще и сам могу отправлять данные