Общая методология и проблематика выявления инцидентов ИБ и обмена информацией по кибербезопасности

Дмитрий Костров, заместитель директора, Центр систем кибербезопасности, ООО «Энвижн Специальные проекты», NVision Group

Оценивая работу коллег в Международном союзе электросвязи по созданию стандартов обмена информацией о кибербезопасности (CYBEX), а также собственную работу в группе по телекоммуникациям и информации (Telecommunications and Information Working Group, TELWG) Комитета по безопасности и благосостоянию (Security and Prosperity Steering Group, SPSG) стран АТЭС – Азиатско-Тихоокеанского Экономического Сотрудничества, в рамках которого в прошлом году было принято решение об автоматизированном обмене информацией об инцидентах кибербезопасности (информационной безопасности), можно отметить некоторые расхождения в подходах, принципах и методах организации обмена сообщениями ИБ.

Автоматизация обмена информацией об инцидентах: за и против

С одной стороны, большинство государств стараются обеспечить автоматизированный обмен информацией об инцидентах, с другой – страны опасаются, что информация об уязвимости может нанести ущерб национальной безопасности. На мой вопрос американским коллегам по АТЭС о возможных проблемах при автоматизированном обмене инцидентами кибербезопасности был приведен пример с вирусами, которые могут быстро распространяться, убивая людей: «Вы же в случае такой пандемии захотите как можно быстрее получить информацию о проблеме?».

Назначение кибербезопасности

Существующие принципы и методы обмена информацией об инцидентах кибербезопасности могут использоваться как по отдельности, так и в различных сочетаниях с целью повысить уровень кибербезопасности путем согласованного, комплексного, глобального, своевременного и гарантированного обмена информацией, который является одним из элементов обеспечения уверенности и безопасности при использовании ИКТ. Отметим, что в предложенных подходах не налагаются обязательства по обмену информацией, а также не рассматриваются средства получения и конечное использование информации.

Рис. 1. Схема работы CYBEX

Хотелось бы напомнить определение кибербезопасности, принятое на уровне Международного союза электросвязи. Под кибербезопасностью в Рекомендации X.1205 подразумеваются набор инструментальных средств, стратегии, принципы обеспечения безопасности, гарантии безопасности, руководящие принципы, подходы к управлению рисками, действия, профессиональная подготовка, практический опыт, страхование и технологии, которые могут быть использованы для защиты киберсреды, ресурсов организации и пользователя. Ресурсы организации и пользователя обычно включают подсоединенные компьютерные устройства, персонал, инфраструктуру, приложения, услуги, системы электросвязи и всю совокупность переданной и/или сохраненной информации в киберсреде. Под киберсредой «связисты» понимают пользователей, сети, устройства, все программное обеспечение, процессы, сохраненную или транзитную информацию, приложения, услуги и системы, которые могут прямо или косвенно соединяться с сетями.

Назначение кибербезопасности состоит в попытке достижения и сохранения свойств безопасности у ресурсов организации или пользователя, направленных против соответствующих угроз безопасности в киберсреде. Общие задачи обеспечения безопасности включают доступность, целостность (которая может включать аутентичность и неотказуемость) и конфиденциальность.

Методы обмена информацией об инцидентах ИБ

Что касается методов обмена информацией об инцидентах ИБ, напомним, что, как ожидается, организации, создающие центры обеспечения безопасности (security operation center – SOC), работают совместно с центрами реагирования на компьютерные инциденты (CIRT), которые находятся в их непосредственном или совместном ведении. Общие цели SOC и CIRT: получение информации, которая позволит им принимать решения и меры, направленные на существенное повышение уровня конфиденциальности, целостности и доступности глобальных средств и услуг; получение информации, способствующей безопасному процессу сотрудничества и безопасному управлению, благодаря которым повышается уровень гарантии при обмене информацией между организациями;    обеспечение согласованного подхода к управлению и обмену информацией о кибербезопасности на глобальной основе; повышение осведомленности о кибербезопасности и улучшение сотрудничества в целях снижения влияния киберугроз, кибератак и вредоносного программного обеспечения.

Эти методы включают: структурирование информации о кибербезопасности для целей обмена;              идентификацию и обнаружение информации о кибербезопасности и объектов кибербезопасности; заключение соглашения о доверии и политике между объектами, осуществляющими обмен; запрашивание и предоставление информации о кибербезопасности;      гарантирование целостности обмена информацией о кибербезопасности.

Обычно они сгруппированы по следующим блокам:

  • слабые места, уязвимость и состояние;
  • событие, инцидент и эвристика;
  • политика обмена информацией; идентификация, обнаружение и запрос;
  • гарантия идентичности;
  • протоколы обмена.

Напомню определение инцидента безопасности (security incident) [Рекомендация E.409]: любое неблагоприятное событие, в результате которого некий аспект безопасности может подвергнуться угрозе. Принципы автоматизации обмена информацией об инцидентах информационной безопасности постоянно развиваются, для чего созданы:

  • протокол автоматизации управления данными безопасности (SCAP), разработанный Национальным институтом стандартов и технологий (NIST) США для реализации Базовой конфигурации федеральных настольных систем (FDCC) и разработанной на ее основе Базовой версии конфигурации для правительства Соединенных Штатов (USGCB);
  • система автоматизации управления безопасностью, разработанная японским сайтом-порталом JVN.

Цель стандартизации обмена информацией

Цель любой стандартизации, касающейся обмена информацией о кибербезопасности (CYBEX), – описать обеспечивающие достаточный уровень гарантии методы, с помощью которых объекты кибербезопасности могут обмениваться информацией по ИБ. К числу объектов кибербезопасности, как правило, относятся организации, физические лица, устройства или процессы, которые обладают информацией о кибербезопасности или пытаются ее получить. Наиболее часто этими объектами являются группы CIRT, операторы или разработчики оборудования, программного обеспечения или сетевых систем, а заказчиками – именно SOC. Обмен информацией о кибербезопасности полезен с точки зрения достижения более высокого уровня кибербезопасности и защиты инфраструктуры, а также содействия CIRT в выполнении их главных функций.

Участники, виды информации, двунаправленность обмена информацией

Обмен информацией о кибербезопасности может осуществляться в рамках узкоспециализированных доверительных сообществ при соблюдении принципов доступа к специальной информации на основе ранее согласованных принципов политики, а также в рамках использования общедоступной информации. Типичными примерами видов информации, которой обмениваются между собой объекты, являются знания в отношении угроз, уязвимостей, инцидентов, рисков, способов уменьшения их влияния и связанных с этими способами средств устранения. Обмен информацией о кибербезопасности может выполняться в двух направлениях, что позволяет с помощью проверенных информационных запросов и ответов обеспечивать требуемые уровни гарантии между сторонами или осуществлять сертификацию правильности полученной информации в соответствии с согласованными принципами политики и применимыми законодательными и нормативными актами, средства получения и виды использования информации. Например, в некоторых специализированных реализациях обмена информацией о кибербезопасности, таких как обратная трассировка источника атаки, могут потребоваться механизмы, связанные с конкретными приложениями, которые позволяют осуществлять рекурсивную серию запросов и ответов для получения необходимой информации.

Обмен информацией: термины

В онтологии CYBEX определены следующие термины:

– операции кибербезопасности – методы и процессы, используемые для мониторинга безопасности и управления обеспечением безопасности в рамках определенных рабочих пределов, которые включают:

  • сбор и анализ информации, которая может влиять на безопасность;
  • обнаружение поведения или событий, которые негативно влияют на безопасность либо по которым можно определить вероятность будущего негативного влияния;
  • меры, принимаемые в том случае, если имеет место негативное поведение или событие, с целью ограничить будущие инциденты, смягчить их последствия и/или предотвратить их;
  • обмен информацией по вопросам безопасности, касающейся статуса и состояния систем;

– объект кибербезопасности: любой объект, который участвует в обмене информацией о кибербезопасности, включая сам информационный объект;

– оперативная информация о кибербезопасности: любая информация, которая необходима для того, чтобы объекты кибербезопасности выполняли операции кибербезопасности.

Обмен информацией: структура, атрибуты

Для осуществления обмена информацией о безопасности между двумя объектами обмен должен быть структурирован и описан согласованным образом, который понятен обоим объектам. Базовой целью CYBEX является облегчение обмена информацией о кибербезопасности, которая включает общие перечни, т. е. упорядоченные списки значений общепринятой информации для одинаковых типов данных. Общий перечень позволяет взаимно увязывать распределенные базы данных и другие средства, а также упрощает проведение сравнений, касающихся кибербезопасности.

Для осуществления этого обмена в информацию о кибербезопасности включены структурированные данные или знания относительно:

  • состояния оборудования, ПО или сетевых систем с точки зрения кибербезопасности, особенно уязвимостей;
  • экспертно-технического анализа инцидентов или событий;
  • эвристики и сигнатур, которые получены на основе имевших место событий;
  • участвующих объектов кибербезопасности;
  • спецификаций обмена информацией о кибербезопасности, в том числе модулей, схем, условий и присвоенных номеров;
  • атрибутов идентичности и гарантии всей информации о кибербезопасности;
  • требований, руководящих указаний и практики в отношении реализации.

Рис. 2. Модель онтологии CYBEX

Для того чтобы описать на общем уровне желательные атрибуты обмена информацией о кибербезопасности, средства структурированной информации сгруппированы по следующим шести блокам, относящимся к отдельным группам обмена информацией о кибербезопасности:

  • слабые места, уязвимость и состояние;
  • событие, инцидент и эвристика;
  • политика обмена информацией;
  • идентификация, обнаружение и запрос;
  • гарантия идентичности;
  • протокол обмена.

Визуализация инцидентов ИБ

Проблема централизации и визуализации инцидентов ИБ неизбежна. Во-первых, из-за большого количества инцидентов, следить за которыми небольшая горстка спецов уже не может, во-вторых, из-за постоянно снижающегося, к сожалению, уровня экспертизы специалистов, которым необходим процесс очистки инцидентов, обеспечивающий возможность в режиме развертки читать о том, что случилось, – для этого существуют системы класса SIEM (Security Information and EventManagement).

Рис. 3. Магический квадрант SIEM

Производители систем класса SIEM давно используют следующие методы и протоколы: «общеизвестные уязвимости и незащищенность» (CVE); система оценки общеизвестных уязвимостей (CVSS); перечень общеизвестных слабых мест (CWE); система оценки общеизвестных слабых мест (CWSS); открытый язык описания уязвимостей и оценки (OVAL); расширяемый формат описания списка проверки конфигурации (XCCDF); перечень общеизвестных платформ (CPE); перечень общеизвестных конфигураций (CCE); формат обмена результатами оценки (ARF); описание общих событий (CEE); формат обмена описаниями инцидентов (IODEF); перечень и классификация общеизвестных схем атак (CAPEC); формат перечня и характеристик атрибутов вредоносного программного обеспечения (MAEC); протокол маркировки информации (TLP) – язык запросов информации о кибербезопасности (CYIQL); доверенные платформы; TPM – доверенное подключение к сети (TNC); сертификаты с расширенной валидацией (EVC); межсетевая защита в реальном времени (RID); профиль протокола для расширяемого обмена блоками информации (ВЕЕР); простой протокол доступа к объектам (SOAP).

С учетом повышения сложности атак и обнаружения нахождения источника, а также невысокого уровня компетенции защищающегося использование систем сбора, анализа и визуализации инцидентов становится не просто модной тенденцией, а необходимым средством. Кроме того, обмен (желательно быстрый) информацией об инцидентах кибербезопасности не только способен помочь сохранить активы (снизить риск и эффект атаки), но и позволяет говорить о существовании целых защищенных областей во все расширяющемся ИТ-мире.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку