Threat Intelligence по полочкам: культура обмена данными

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Эффективный обмен информацией об угрозах среди множества участников работает, как коллективный иммунитет: чем больше участников задействованы в этом процессе, тем выше вероятность успешно противостоять атакующим. О том, какая культура обмена такими данными сложилась за рубежом, чем отличается российская практика, и в чем заключаются основные подводные камни этой области, — расскажу в статье.

Что такое культура обмена данными, и зачем она нужна?

Обмениваться информацией об угрозах стоит как минимум по трем причинам. Во-первых, чтобы сэкономить, ведь предупредить атаку дешевле, чем устранять ущерб от нее. Во-вторых, чтобы быть социально ответственным: бороться вместе с другими компаниями против общего врага. Наконец, в-третьих, чтобы иметь хорошую репутацию. Если компания условно безопасна, ей доверяют не только клиенты, но и инвесторы. 

На сегодняшний день можно выделить несколько типов данных, которыми делятся участники обмена TI:

  • инциденты — подробная информация о попытках атак и их успешности;

  • угрозы и уязвимости — часто бывает так, что злоумышленники успевают воспользоваться уязвимостью до того, как она попадет в известные базы уязвимостей;

  • методы устранения уязвимостей, локализации или блокирования угроз;

  • информация о новых неблагоприятных событиях в мире ИБ.

Обмен этими данными происходит различными способами. Первый — через open-source фиды, которые генерируют члены TI-комьюнити и некоторые компании, open-source и проприетарные платформы. К плюсам этого способа можно отнести бесплатный доступ к фидам, их большой выбор и простоту использования. Однако есть и минусы: большое количество нерелевантных данных и, следовательно, необходимость их фильтрации, а также отсутствие контекста. Второй способ — создание и участие в специализированных организациях. Их список довольно большой: CERT, CSIRT, CIRC, CIRT, SIRT, IRT, IRC, SERT, ISAC, ISAO. Подробнее о том, что они собой представляют, расскажу ниже. Третий способ — участие в профильных мероприятиях, например,  FIRST CTI SIG Summit, SANS CTI Summit, Threat Intelligence Summit, Black Hat, Cyber Intelligence Asia.

Степень зрелости культуры обмена данными о киберугрозах — комплексный показатель, на который прямо или косвенно влияют количество профильных мероприятий, количество TI-вендоров, активность и вовлеченность потенциальных участников обмена: членов TI-комьюнити, частных компаний, государства. Ландшафт угроз, активность и изощренность новых методов злоумышленников также определяют качество ответных мер и квалификацию защитников.

Мы с командой считаем, что с учетом этих факторов культура обмена данными об угрозах в США и Европе более зрелая, и нам стоило бы многому у них поучиться. Давайте разберемся, как это устроено «у них».

США

В США есть ряд программ обмена данными TI, разработанных Агентством кибербезопасности и защиты инфраструктуры (Cybersecurity and Infrastructure Security Agency / CISA).

  • ISAC (Information Sharing and Analysis Center) — центры обмена и анализа информации, которые формируются вокруг определенной отрасли: финансы, энергетика, промышленность и так далее. Впервые они были созданы в 1998 году по указу президента США для обмена информацией о киберугрозах между владельцами и операторами критически важных инфраструктур. Всего на сегодняшний день в США существует 25 таких центров.

  • ISAO (Information Sharing and Analysis Organisation) — организации, сосредоточенные в первую очередь на защите совместно используемой информации. Это так называемое расширение ISAC, которое не связано с конкретной отраслью: участники этих организаций могут объединяться по другим признакам, например, по территориальному.

  • AIS (Automated Indicator Sharing) позволяет обмениваться индикаторами компрометации в реальном времени. В AIS участвуют субъекты частного и государственного сектора. Всем участникам гарантируется анонимность и конфиденциальность передаваемой информации, а кроме того, на них не распространяются антимонопольный закон, федеральные законы и законы штатов.

Европа

В Европе действуют аналогичные организации, созданные Агентством Европейского союза по сетевой и информационной безопасности (ENISA). Европейские ISAC появились позже американских, использовали их опыт, поэтому между ними есть некоторые отличия.

Так, ISAC в ЕС не обязательно связаны с какой-либо отраслью. Вот какие модели построения ISAC в Европе можно выделить:

  • ISAC в рамках одной страны чаще всего управляются группой реагирования на инциденты в области компьютерной безопасности (CSIRT).

  • Отраслевые ISAC сосредоточены на организациях одного, обычно критического или жизненно важного, сектора и в основном поддерживаются самим сектором или правительством.

  • Международные ISAC объединяют ключевых экспертов со всего мира, но из-за культурных различий и разных подходов в них нередко возникает проблема доверия между экспертами. Примеры международных ISAC, созданных в Европе: EU FI-ISAC (финансовый сектор), EE-ISAC (сектор энергетики).

Структуры обмена данными TI схожи в большинстве стран ЕС. Есть ISAC, которые могут быть представлены группами реагирования (CERT), организациями CSIRT и другими, и есть вышестоящие организации для координации взаимодействия ISAC.

Развитие экосистемы ISAC в Европе зависит от общего уровня доверия между государственными и частными структурами. Поэтому для стран, где этого доверия недостаточно, может оказаться целесообразным сначала начать развитие структур PPP (государственно-частное партнерство, менее формальная организация по сравнению с ISAC), а затем преобразовать их в ISAC.

Инициатива по созданию ISAC может исходить от правительства или частного сектора (в этом случае правительство может играть роль посредника). Независимо от структуры ISAC, для гибкого и эффективного сотрудничества необходим регламент взаимодействия членов объединения, который описывает в том числе процедуры проверки новых участников сообщества.

Сотрудничество происходит не только внутри ISAC, но и между различными организациями такого типа. Например, в результате сотрудничества сообществ была создана платформа X-ISAC. Она эксплуатируется и обслуживается Центром реагирования на компьютерные инциденты Люксембурга (CIRCL) и проектом MISP.

FIRST

Говоря об обмене информацией о киберугрозах, нельзя не сказать о FIRST (the Forum of Incident Response and Security Teams). С момента создания этой организации в 1990 году ее представители практически непрерывно занимались обработкой тысяч уязвимостей безопасности. Несправедливо относить FIRST к определенному государству, ведь это масштабное международное сообщество, поэтому я решила посвятить ему отдельный раздел.

В качестве своей миссии FIRST называет три составляющих.

  • Глобальная координация — FIRST предоставляет платформы, средства и инструменты для тех, кто реагирует на инциденты.

  • Глобальный язык — FIRST поддерживает инициативы по разработке общих средств передачи данных.

  • Управление — члены FIRST не работают изолированно, а являются частью более крупной системы.

FIRST объединяет группы реагирования на инциденты информационной безопасности (CERT, CSIRT), группы реагирования на инциденты в области безопасности продукции (PSIRT) и независимых ИБ-исследователей.

Остановлюсь подробнее на типах групп реагирования. Аббревиатура CERT — зарегистрированная торговая марка Университета Карнеги — Меллона. Именно здесь по заказу правительства США в 1988 году была сформирована первая команда CERT для борьбы с так называемым «червем Морриса». Сегодня так обозначают группы экспертов, которые занимаются постоянным мониторингом информации о появлении угроз ИБ, их классификацией и нейтрализацией. Такие команды могут быть как национальными, так и сфокусированными на определенном секторе. Их основная цель — своевременно реагировать на новые угрозы и сообщать о них заинтересованным лицам. Для этого группы CERT выпускают бюллетени с агрегированной информацией об угрозах и рекомендациями по реагированию на них.

CSIRT — еще один термин, обозначающий группу реагирования на компьютерные инциденты. Отличие в том, что его можно использовать без получения специального разрешения. В 1992 году датский академический провайдер SURFnet создал первую в Европе команду CSIRT под названием SURFnet – CSIRT. 

Помимо этого, на практике используются и другие аббревиатуры: IRT (группа реагирования на инциденты), CIRT (группа реагирования на компьютерные инциденты), SERT (группа оперативного реагирования на инциденты безопасности). Главная цель у CERT, CSIRT, ISAC, ISAO и других подобных организаций одна — улучшение ландшафта информационной безопасности, но у CERT и CSIRT основной фокус направлен на реагирование на инциденты ИБ и уже потом на повышение осведомленности заинтересованных сторон.

Россия

В России среди участников обмена данными об угрозах можно выделить регуляторов и ряд коммерческих организаций. Например, на базе ФинЦЕРТ, специального структурного подразделения ЦБ, действует система информационного обмена о компьютерных атаках в кредитно-финансовой сфере. Другой регулятор — НКЦКИ, координирует взаимодействие субъектов критической информационной инфраструктуры с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак ГосСОПКА.

К коммерческим организациям относятся CERT-GIB, BI.ZONE-CERT, Infosecurity CERT и KASPERSKY ICS CERT. Также, говоря об участниках обмена данными TI, стоит упомянуть и некоммерческую организацию RU-CERT, нацеленную на снижение уровня киберугроз для пользователей Рунета.

Несмотря на довольно большой список участников обмена, как такового устоявшегося и крупного комьюнити, посвященного Threat Intelligence, в России пока нет. При этом есть заметный прогресс: появляются многочисленные чаты в Telegram (иногда их создают вендоры) и open-source фиды, проводятся тематические мероприятия. Тем не менее, пока главным мотиватором и двигателем обмена информацией остается требование регулятора.

Подводные камни

Фундаментом обмена информацией о киберугрозах можно считать доверие между участниками этого процесса: чем выше уровень доверия, тем эффективнее взаимодействие и сотрудничество. Помимо недостаточного уровня доверия, можно выделить еще несколько проблемных моментов:

  • Недостаточная информированность — не все организации понимают пользу и потенциальные выгоды участия в обмене информацией.

  • Страх — многие организации считают, что если поделятся информацией об атаке, это нанесет ущерб их репутации.

  • Недостаточное финансирование  — информации море, для ее анализа нужны специалисты, которым в свою очередь нужны деньги, а для этого нужен бюджет.

  • Нехватка квалифицированных специалистов — как в сфере ИБ, так и для поддержки инфраструктуры обмена.

Можно провести параллель между проблемой культуры обмена данными TI и экологической проблемой (что? да!). Точечные инициативы не принесут результата. Необходимо, чтобы каждое звено обмена было заинтересованным и активным в достижении цели, формат обмена был согласованным.

И конечно, самое важное — чтобы государство и бизнес осознали масштаб рисков, связанных с киберугрозами, и увеличивали объем инвестиций в развитие информационной безопасности.

Автор: Валерия Чулкова, системный аналитик R-Vision Threat Intelligence Platform 

Другие статьи по теме 

  • Погружение в Threat Intelligence: кому и зачем нужны данные киберразведки

  • Threat Intelligence по полочкам: разбираемся в стандартах обмена данными

  • Разбираемся в источниках Threat Intelligence

Источник: https://habr.com/ru/company/rvision/blog/557270/


Интересные статьи

Интересные статьи

В результате работы с фреймворком Angular, мы декомпозируем наше web-приложение. И по этому у нас возникает ситуация, когда нам нужно передавать данные между компонентами...
Доброго времени суток, Хабр! Сегодня мы поговорим о том, к чему приводят невыполнимые требования законодательства. Понятно, что глобально это приводит к невыполнению этих...
Вам приходилось сталкиваться с ситуацией, когда сайт или портал Битрикс24 недоступен, потому что на диске неожиданно закончилось место? Да, последний бэкап съел все место на диске в самый неподходящий...
Довольно часто владельцы сайтов просят поставить на свои проекты индикаторы курсов валют и их динамику. Можно воспользоваться готовыми информерами, но они не всегда позволяют должным образом настроить...
Как обновить ядро 1С-Битрикс без единой секунды простоя и с гарантией работоспособности платформы? Если вы не можете закрыть сайт на техобслуживание, и не хотите экстренно разворачивать сайт из бэкапа...