Как создать в России свою систему threat intelligence?
TRANSCRIPT
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
А что если завтра нас отключат от CVE? Или как создать собственную систему Threat Intelligence?
Алексей Лукацкий Бизнес-консультант по безопасности 12 February 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Что такое Threat Intelligence?
• Threat Intelligence – информация (процесс ее получения) об угрозах и нарушителях, обеспечивающая понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им
• Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Что на выходе системы Threat Intelligence?
• Анализ уязвимостей
• Анализ угроза (атак)
• Анализ вредоносного кода
• Анализ нарушителей
• Анализ кампаний
• Мониторинг бренда
• Фиды
• Резюме для руководителей
• Периодические бюллетени
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Уровни функционирования системы Threat Intelligence
Тактическая / операционная Стратегическая
• Пример Фиды об признаках угроз (сетевых или хостовых)
Анализ конкретной вредоносной программы (например, Stuxnet)
• Пример Анализ хакерской кампании
Оценка угроз для конкретной отрасли (например, новый вид мошенничества для банков)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Карты угроз: пример стратегической Threat Intelligence
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Почему нельзя оставить все как есть?
• Отсутствие автоматизации процесса приводит к пропуску угроз и реализации ущерба Вспомним ПП-861 про уведомление об инцидентах на объектах ТЭК на бумаге с указанием цвета шариковой ручки, которым должно заполняться уведомление
• Непростая геополитическая ситуация Противостояние России и Запада
• Лидерство России в различных блоках ШОС, ОДКБ, БРИКС, ЕАЭС, СНГ…
• А вдруг реально опустится «железный занавес»?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Зачем нужна Threat Intelligence?
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до утечки
От атаки до компрометации
От утечки до обнаружения
От обнаружения до локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего числа взломов
Взломы осуществляются за минуты
Обнаружение и устранение занимает недели и месяцы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Возрастает число (около)государственных CERTов
• GovCERT Уже действует. Указ Президента №31с
• FinCERT Решение о создании принято
• CERT для критических инфраструктур Должен быть создан по законопроекту о безопасности критических информационных инфраструктур
• CERT для операторов связи Разговоры идут уже несколько лет
• CERT ОДКБ Решение о создании принято
• Включение темы реагирования на инциденты во многие нормативные акты
• Антидроп-клуб • CERT-GIB • RU-CERT • WebPlus ISP • …
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Текущий рынок Threat Intelligence
• Крупные производители средств защиты имеют собственные процессы/подразделения Threat Intelligence Например, покупка ThreatGRID компанией Cisco
• Существуют самостоятельные компании, предоставляющие услуги Threat Intelligence всем желающим
IQRisk, ETPro, ThreatStream
• Существуют открытые источники Threat Intelligence
• Развиваются отраслевые/государственные центры обмена информацией Threat Intelligence Например, ISAC в США
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Российских игроков на этом рынке нет!
• Только в отчете Gartner фигурирует Group-IB
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Facebook тоже выходит на рынок Threat Intelligence
11 февраля 2015 года!
http://threatexchange.fb.com/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
А что, реально могут отключить?
• Как минимум, могут осложнить доступ с российских IP-адресов
• Могут быть ограничения по доступу к определенной информации только после регистрации Например, на многие сайты в домене .mil можно попасть только будучи сотрудником американской компании и имея соответствующие разрешения
• Как максимум, могут динамически вноситься изменения в предоставляемую информацию, снижая ее эффективность или вводя в заблуждение
• Информация об угрозах и уязвимостях может быть классифицирована (в будущем) как оружие – с соответствующими ограничениями по распространению
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Сценарии создания системы Threat Intelligence
Государственная
Коммерческая Собственная
• Независимо от выбранного сценария принципы создания системы Threat Intelligence будут едиными Процессы, источники и инструментарий тоже
• В собственной системе Threat Intelligence можно активно задействовать данные от внутренних систем защиты информации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
5 этапов процесса Threat Intelligence
План
Сбор
Анализ Распространение информации
Разбор полетов
• Зачем нам Threat Intelligence? • Какие у нас требования? • Кто (нарушитель) может атаковать нас (модель
нарушителя)? • Нюансы (геополитика, отрасль…) • Своя или внешняя система Threat Intelligence?
• Что может провайдер TI (источники)? • Возможности провайдера стыкуются
с вашими потребностями? • Кто внутри вас будет общаться с
провайдером и как?
• Как «сырые» данные превратятся в TI? • Платформа для обработки и анализа? • Кто проводит анализ?
• Кому можно распространять информацию? На каких условиях?
• Какие стандарты используются для распространения?
• Когда распространять информацию?
Реагирование
• Какие действия необходимо произвести на основании полученных данных?
• Как взаимодействовать со средствами защиты?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Признаки хорошей системы Threat Intelligence
• Точность. Точность источников и получаемых оттуда данных
• Связанность. Связь выбранной системы/источника с потребностями организации
• Интеграция. Без интеграции TI в систему защиты, эффективность TI стремится к нулю
• Предсказуемость. Необходимо стремиться к раннему предупреждению об угрозах
• Релевантность. Соответствие TI отрасли, географии, языку…
• Учет аудитории. Руководству не нужны индикаторы компрометации, а ИБ-эксперту не нужны карты угроз
• Своевременность. Все должно быть вовремя – информация и реагирование
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Задачи оперативной системы Threat Intelligence
• Автоматизированные экспорт и импорт индикаторов угроз из / в различных источников в стандартизованном формате
• Автоматизированные экспорт и импорт информации об инцидентах из / в различных систем в стандартизованном формате
• Выборка данных по определенным атрибутам и их наборам
• Запросы, импорт, экспорт и управление данными через пользовательский интерфейс
• Обмен данными с другими системами по определенным атрибутам
• Экспорт данных для систем защиты (МСЭ, систем предотвращения вторжений и т.п.) по различным критериям
• Обеспечение конфиденциальности, целостности данных и сервисы ААА
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Источники Threat Intelligence
• Тип источника
• Уровни представления информации
• Широта охвата
• Языковая поддержка/покрытие
• Доверие
• Частота предоставления
• Тип (OSINT/HUMINT/TECHINT)
• Платность
• Формализованность представления информации
• Abuse.ch
• AlienVault (Open Threat Exhange)
• Blocklist.de
• CleanMX
• Malwr.com
• SenderBase.org
• SpamHaus
• VirusTotal
• VirusShare
• ZeusTracker
• Dr.Web
• Group-IB
• IOCbucket.com
• IOCmap
• Malwaredomains.com
• MalwareIOC
• Microsoft APP
• Mirror-ma.com
• Pastebin
• Zone-h.org
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
Внутри организации тоже много нужной информации!
• Сетевой трафик (Netflow / jFlow / sFlow)
• Активность с необычных IP-адресов
• DNS-запросы
• URL
• Заголовки SMTP
• Адреса email
• Сэмплы вредоносного кода
• Активность пользователей
• Неудачные попытки входа
• Административный доступ
• Операции с СУБД
• Соединения на нетипичных портах
• Появление нетипичных протоколов
• Несоответствие размеров пакетов для служебных протоколов стандартам
• Адреса анонимайзеров
• User Agent в HTTP
• Входные узлы Tor
• Вредоносные IP (C&C, спамеры, боты…)
• Репутация пользователей, узлов и файлов
• И т.д.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Но ее не используют, опираясь на внешние TI-данные
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Необходима платформа для анализа информации
• Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir, Paterva/Maltego CaseFile, SharePoint, ThreatConnect
• В простых случаях можно обойтись решениями open source
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Популярный Maltego
• Maltego – open source решение для анализа данных, полученных из разных источников, и связей между ними
• Canari Framework – инфраструктура, позволяющая более эффективно использовать Maltego
• Malformity – Maltego-проект, базирующийся на Canari, для проведения исследования вредоносного кода и др.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Стандарты Threat Intelligence
• Описание различных проблем с ИБ CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак CCE (http://cce.mitre.org/) - описание конфигураций CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными средствами защиты (аналог SDEE/RDEP) CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME MARF (http://datatracker.ietf.org/wg/marf/documents/) OVAL (http://oval.mitre.org/) - язык описания уязвимостей CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки защищенности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Стандарты Threat Intelligence
• Признаки компрометации (Indicators of Compromise) и информация о нарушителях и хакерских кампаниях
OpenIOC (http://openioc.org) - преимущественно хостовые признаки CybOX (http://cybox.mitre.org) OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox) STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга IODEF-SCI – расширение IODEF для добавления дополнительных данных VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Стандарты Threat Intelligence
• Обмен информацией TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA SecDEF – европейский стандарт ENISA CAIF (http://www.caif.info) - европейский стандарт DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт IODEF RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX, IODEF, STIX и TAXII в единое целое RFC 5941 – обмен информацией о мошенничестве (фроде) MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного кода
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Стандарты Threat Intelligence
• Разное TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг распространения информации CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и нейтрализовать угрозы путем генерации правил для Snort, iptables и др.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Взаимосвязь стандартов Threat Intelligence
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Разработка политики Threat Intelligence
• Что должно быть / может быть предоставлено в рамках Threat Intelligence?
• Кто может обмениваться информацией или получать ее?
• Когда должен происходить обмен информацией?
• Как может распространяться информации (круг общения и маркировка)?
• Юридические основания для сбора/обмена информацией и использования ее в качестве доказательства
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Не забыть про данные вопросы
• Система Help Desk для отработки запросов / информации от заказчиков / источников
• Корреляция связанных, а также противоречивых данных из разных источников
• Эскалация сложных случаев
• Обратная связь
• Измерение эффективности
• Долгосрочное хранение всех данных
• API для интеграции с внешними решениями
• Описанные процессы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Нерешенные проблемы: по крупному
• Атрибуция атак
• Расследование инцидентов частными структурами (монополия органов ОРД)
• Отсутствие взаимодействия между госорганами (подковерные игры) и с другими странами (мы видим во всех врагов)
• Засекречивание всего и вся
• Политика импортозамещения
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
Threat Intelligence – это еще не конец
• Как будет интегрироваться информация о Threat Intelligence в вашу систему защиты?
• Информация Threat Intelligence – это часто вход для системы реагирования Она у вас выстроена?
• Если говорить об отечественной системе Threat Intelligence, то необходимо устанавливать особые требования к средствам защиты, которые могут отдавать данные для анализа и принимать команды для реагирования
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
Выводы
• Система Threat Intelligence как никогда важна в текущих условиях для каждой организации, отрасли, государства
• Система Threat Intelligence может стать основой системы раннего предупреждения об атаках и спецоперациях в киберпространстве
• Сегодня есть все возможности, ресурсы и инструменты для создания такой системы
• Стандартизация и автоматизация (включая обновления) – ключ к эффективной системе Threat Intelligence
• Система Threat Intelligence не «висит в воздухе» – необходимо создание целой инфраструктуры для ее эффективного функционирования
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
Благодарю за внимание Еще больше информации вы найдете на http://lukatsky.blogspot.com/