Как создать в России свою систему Threat intelligence?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


А что если завтра нас отключат от CVE? Или как создать собственную систему Threat Intelligence?

Алексей Лукацкий Бизнес-консультант по безопасности 12 February 2015


Что такое Threat Intelligence?

•  Threat Intelligence – информация (процесс ее получения) об угрозах и нарушителях, обеспечивающая понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им

•  Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.


Что на выходе системы Threat Intelligence?

•  Анализ уязвимостей

•  Анализ угроза (атак)

•  Анализ вредоносного кода

•  Анализ нарушителей

•  Анализ кампаний

•  Мониторинг бренда

•  Фиды

•  Резюме для руководителей

•  Периодические бюллетени


Уровни функционирования системы Threat Intelligence

Тактическая / операционная Стратегическая

•  Пример Фиды об признаках угроз (сетевых или хостовых)

Анализ конкретной вредоносной программы (например, Stuxnet)

•  Пример Анализ хакерской кампании

Оценка угроз для конкретной отрасли (например, новый вид мошенничества для банков)


Карты угроз: пример стратегической Threat Intelligence


Почему нельзя оставить все как есть?

•  Отсутствие автоматизации процесса приводит к пропуску угроз и реализации ущерба Вспомним ПП-861 про уведомление об инцидентах на объектах ТЭК на бумаге с указанием цвета шариковой ручки, которым должно заполняться уведомление

•  Непростая геополитическая ситуация Противостояние России и Запада

•  Лидерство России в различных блоках ШОС, ОДКБ, БРИКС, ЕАЭС, СНГ…

•  А вдруг реально опустится «железный занавес»?


Зачем нужна Threat Intelligence?

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от общего числа взломов

Взломы осуществляются за минуты

Обнаружение и устранение занимает недели и месяцы


Возрастает число (около)государственных CERTов

•  GovCERT Уже действует. Указ Президента №31с

•  FinCERT Решение о создании принято

•  CERT для критических инфраструктур Должен быть создан по законопроекту о безопасности критических информационных инфраструктур

•  CERT для операторов связи Разговоры идут уже несколько лет

•  CERT ОДКБ Решение о создании принято

•  Включение темы реагирования на инциденты во многие нормативные акты

•  Антидроп-клуб •  CERT-GIB •  RU-CERT •  WebPlus ISP •  …


Текущий рынок Threat Intelligence

•  Крупные производители средств защиты имеют собственные процессы/подразделения Threat Intelligence Например, покупка ThreatGRID компанией Cisco

•  Существуют самостоятельные компании, предоставляющие услуги Threat Intelligence всем желающим

IQRisk, ETPro, ThreatStream

•  Существуют открытые источники Threat Intelligence

•  Развиваются отраслевые/государственные центры обмена информацией Threat Intelligence Например, ISAC в США


Российских игроков на этом рынке нет!

•  Только в отчете Gartner фигурирует Group-IB


Facebook тоже выходит на рынок Threat Intelligence

11 февраля 2015 года!

http://threatexchange.fb.com/


А что, реально могут отключить?

•  Как минимум, могут осложнить доступ с российских IP-адресов

•  Могут быть ограничения по доступу к определенной информации только после регистрации Например, на многие сайты в домене .mil можно попасть только будучи сотрудником американской компании и имея соответствующие разрешения

•  Как максимум, могут динамически вноситься изменения в предоставляемую информацию, снижая ее эффективность или вводя в заблуждение

•  Информация об угрозах и уязвимостях может быть классифицирована (в будущем) как оружие – с соответствующими ограничениями по распространению


Сценарии создания системы Threat Intelligence

Государственная

Коммерческая Собственная

•  Независимо от выбранного сценария принципы создания системы Threat Intelligence будут едиными Процессы, источники и инструментарий тоже

•  В собственной системе Threat Intelligence можно активно задействовать данные от внутренних систем защиты информации


5 этапов процесса Threat Intelligence

План

Сбор

Анализ Распространение информации

Разбор полетов

•  Зачем нам Threat Intelligence? •  Какие у нас требования? •  Кто (нарушитель) может атаковать нас (модель

нарушителя)? •  Нюансы (геополитика, отрасль…) •  Своя или внешняя система Threat Intelligence?

•  Что может провайдер TI (источники)? •  Возможности провайдера стыкуются

с вашими потребностями? •  Кто внутри вас будет общаться с

провайдером и как?

•  Как «сырые» данные превратятся в TI? •  Платформа для обработки и анализа? •  Кто проводит анализ?

•  Кому можно распространять информацию? На каких условиях?

•  Какие стандарты используются для распространения?

•  Когда распространять информацию?

Реагирование

•  Какие действия необходимо произвести на основании полученных данных?

•  Как взаимодействовать со средствами защиты?


Признаки хорошей системы Threat Intelligence

•  Точность. Точность источников и получаемых оттуда данных

•  Связанность. Связь выбранной системы/источника с потребностями организации

•  Интеграция. Без интеграции TI в систему защиты, эффективность TI стремится к нулю

•  Предсказуемость. Необходимо стремиться к раннему предупреждению об угрозах

•  Релевантность. Соответствие TI отрасли, географии, языку…

•  Учет аудитории. Руководству не нужны индикаторы компрометации, а ИБ-эксперту не нужны карты угроз

•  Своевременность. Все должно быть вовремя – информация и реагирование


Задачи оперативной системы Threat Intelligence

•  Автоматизированные экспорт и импорт индикаторов угроз из / в различных источников в стандартизованном формате

•  Автоматизированные экспорт и импорт информации об инцидентах из / в различных систем в стандартизованном формате

•  Выборка данных по определенным атрибутам и их наборам

•  Запросы, импорт, экспорт и управление данными через пользовательский интерфейс

•  Обмен данными с другими системами по определенным атрибутам

•  Экспорт данных для систем защиты (МСЭ, систем предотвращения вторжений и т.п.) по различным критериям

•  Обеспечение конфиденциальности, целостности данных и сервисы ААА


Источники Threat Intelligence

•  Тип источника

•  Уровни представления информации

•  Широта охвата

•  Языковая поддержка/покрытие

•  Доверие

•  Частота предоставления

•  Тип (OSINT/HUMINT/TECHINT)

•  Платность

•  Формализованность представления информации

•  Abuse.ch

•  AlienVault (Open Threat Exhange)

•  Blocklist.de

•  CleanMX

•  Malwr.com

•  SenderBase.org

•  SpamHaus

•  VirusTotal

•  VirusShare

•  ZeusTracker

•  Dr.Web

•  Group-IB

•  IOCbucket.com

•  IOCmap

•  Malwaredomains.com

•  MalwareIOC

•  Microsoft APP

•  Mirror-ma.com

•  Pastebin

•  Twitter

•  Zone-h.org


Внутри организации тоже много нужной информации!

•  Сетевой трафик (Netflow / jFlow / sFlow)

•  Активность с необычных IP-адресов

•  DNS-запросы

•  URL

•  Заголовки SMTP

•  Адреса email

•  Сэмплы вредоносного кода

•  Активность пользователей

•  Неудачные попытки входа

•  Административный доступ

•  Операции с СУБД

•  Соединения на нетипичных портах

•  Появление нетипичных протоколов

•  Несоответствие размеров пакетов для служебных протоколов стандартам

•  Адреса анонимайзеров

•  User Agent в HTTP

•  Входные узлы Tor

•  Вредоносные IP (C&C, спамеры, боты…)

•  Репутация пользователей, узлов и файлов

•  И т.д.


Но ее не используют, опираясь на внешние TI-данные


Необходима платформа для анализа информации

•  Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir, Paterva/Maltego CaseFile, SharePoint, ThreatConnect

•  В простых случаях можно обойтись решениями open source


Популярный Maltego

•  Maltego – open source решение для анализа данных, полученных из разных источников, и связей между ними

•  Canari Framework – инфраструктура, позволяющая более эффективно использовать Maltego

•  Malformity – Maltego-проект, базирующийся на Canari, для проведения исследования вредоносного кода и др.


Стандарты Threat Intelligence

•  Описание различных проблем с ИБ CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак CCE (http://cce.mitre.org/) - описание конфигураций CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными средствами защиты (аналог SDEE/RDEP) CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME MARF (http://datatracker.ietf.org/wg/marf/documents/) OVAL (http://oval.mitre.org/) - язык описания уязвимостей CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки защищенности



•  Признаки компрометации (Indicators of Compromise) и информация о нарушителях и хакерских кампаниях

OpenIOC (http://openioc.org) - преимущественно хостовые признаки CybOX (http://cybox.mitre.org) OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox) STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга IODEF-SCI – расширение IODEF для добавления дополнительных данных VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях



•  Обмен информацией TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA SecDEF – европейский стандарт ENISA CAIF (http://www.caif.info) - европейский стандарт DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт IODEF RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX, IODEF, STIX и TAXII в единое целое RFC 5941 – обмен информацией о мошенничестве (фроде) MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного кода



•  Разное TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг распространения информации CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и нейтрализовать угрозы путем генерации правил для Snort, iptables и др.


Взаимосвязь стандартов Threat Intelligence


Разработка политики Threat Intelligence

•  Что должно быть / может быть предоставлено в рамках Threat Intelligence?

•  Кто может обмениваться информацией или получать ее?

•  Когда должен происходить обмен информацией?

•  Как может распространяться информации (круг общения и маркировка)?

•  Юридические основания для сбора/обмена информацией и использования ее в качестве доказательства


Не забыть про данные вопросы

•  Система Help Desk для отработки запросов / информации от заказчиков / источников

•  Корреляция связанных, а также противоречивых данных из разных источников

•  Эскалация сложных случаев

•  Обратная связь

•  Измерение эффективности

•  Долгосрочное хранение всех данных

•  API для интеграции с внешними решениями

•  Описанные процессы


Нерешенные проблемы: по крупному

•  Атрибуция атак

•  Расследование инцидентов частными структурами (монополия органов ОРД)

•  Отсутствие взаимодействия между госорганами (подковерные игры) и с другими странами (мы видим во всех врагов)

•  Засекречивание всего и вся

•  Политика импортозамещения


Threat Intelligence – это еще не конец

•  Как будет интегрироваться информация о Threat Intelligence в вашу систему защиты?

•  Информация Threat Intelligence – это часто вход для системы реагирования Она у вас выстроена?

•  Если говорить об отечественной системе Threat Intelligence, то необходимо устанавливать особые требования к средствам защиты, которые могут отдавать данные для анализа и принимать команды для реагирования


Выводы

•  Система Threat Intelligence как никогда важна в текущих условиях для каждой организации, отрасли, государства

•  Система Threat Intelligence может стать основой системы раннего предупреждения об атаках и спецоперациях в киберпространстве

•  Сегодня есть все возможности, ресурсы и инструменты для создания такой системы

•  Стандартизация и автоматизация (включая обновления) – ключ к эффективной системе Threat Intelligence

•  Система Threat Intelligence не «висит в воздухе» – необходимо создание целой инфраструктуры для ее эффективного функционирования


Благодарю за внимание Еще больше информации вы найдете на http://lukatsky.blogspot.com/

Как создать в России свою систему Threat intelligence?

Technology

Transcript of Как создать в России свою систему Threat intelligence?