O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

Как создать в России свою систему Threat intelligence?

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 32 Anúncio

Как создать в России свою систему Threat intelligence?

Baixar para ler offline

Как создать в России свою систему Threat intelligence? Обзор процессов, ресурсов и инструментов

Как создать в России свою систему Threat intelligence? Обзор процессов, ресурсов и инструментов

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Quem viu também gostou (20)

Anúncio

Semelhante a Как создать в России свою систему Threat intelligence? (20)

Mais de Aleksey Lukatskiy (20)

Anúncio

Mais recentes (20)

Как создать в России свою систему Threat intelligence?

  1. 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 А что если завтра нас отключат от CVE? Или как создать собственную систему Threat Intelligence? Алексей Лукацкий Бизнес-консультант по безопасности 12 February 2015
  2. 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Что такое Threat Intelligence? •  Threat Intelligence – информация (процесс ее получения) об угрозах и нарушителях, обеспечивающая понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им •  Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.
  3. 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Что на выходе системы Threat Intelligence? •  Анализ уязвимостей •  Анализ угроза (атак) •  Анализ вредоносного кода •  Анализ нарушителей •  Анализ кампаний •  Мониторинг бренда •  Фиды •  Резюме для руководителей •  Периодические бюллетени
  4. 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Уровни функционирования системы Threat Intelligence Тактическая / операционная Стратегическая •  Пример Фиды об признаках угроз (сетевых или хостовых) Анализ конкретной вредоносной программы (например, Stuxnet) •  Пример Анализ хакерской кампании Оценка угроз для конкретной отрасли (например, новый вид мошенничества для банков)
  5. 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Карты угроз: пример стратегической Threat Intelligence
  6. 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Почему нельзя оставить все как есть? •  Отсутствие автоматизации процесса приводит к пропуску угроз и реализации ущерба Вспомним ПП-861 про уведомление об инцидентах на объектах ТЭК на бумаге с указанием цвета шариковой ручки, которым должно заполняться уведомление •  Непростая геополитическая ситуация Противостояние России и Запада •  Лидерство России в различных блоках ШОС, ОДКБ, БРИКС, ЕАЭС, СНГ… •  А вдруг реально опустится «железный занавес»?
  7. 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Зачем нужна Threat Intelligence? Источник: 2012 Verizon Data Breach Investigations Report От компрометации до утечки От атаки до компрометации От утечки до обнаружения От обнаружения до локализации и устранения Секунды Минуты Часы Дни Недели Месяцы Годы 10% 8% 0% 0% 75% 38% 0% 1% 12% 14% 2% 9% 2% 25% 13% 32% 0% 8% 29% 38% 1% 8% 54% 17% 1% 0% 2% 4% Временная шкала событий в % от общего числа взломов Взломы осуществляются за минуты Обнаружение и устранение занимает недели и месяцы
  8. 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Возрастает число (около)государственных CERTов •  GovCERT Уже действует. Указ Президента №31с •  FinCERT Решение о создании принято •  CERT для критических инфраструктур Должен быть создан по законопроекту о безопасности критических информационных инфраструктур •  CERT для операторов связи Разговоры идут уже несколько лет •  CERT ОДКБ Решение о создании принято •  Включение темы реагирования на инциденты во многие нормативные акты •  Антидроп-клуб •  CERT-GIB •  RU-CERT •  WebPlus ISP •  …
  9. 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Текущий рынок Threat Intelligence •  Крупные производители средств защиты имеют собственные процессы/подразделения Threat Intelligence Например, покупка ThreatGRID компанией Cisco •  Существуют самостоятельные компании, предоставляющие услуги Threat Intelligence всем желающим IQRisk, ETPro, ThreatStream •  Существуют открытые источники Threat Intelligence •  Развиваются отраслевые/государственные центры обмена информацией Threat Intelligence Например, ISAC в США
  10. 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Российских игроков на этом рынке нет! •  Только в отчете Gartner фигурирует Group-IB
  11. 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Facebook тоже выходит на рынок Threat Intelligence 11 февраля 2015 года! http://threatexchange.fb.com/
  12. 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 А что, реально могут отключить? •  Как минимум, могут осложнить доступ с российских IP-адресов •  Могут быть ограничения по доступу к определенной информации только после регистрации Например, на многие сайты в домене .mil можно попасть только будучи сотрудником американской компании и имея соответствующие разрешения •  Как максимум, могут динамически вноситься изменения в предоставляемую информацию, снижая ее эффективность или вводя в заблуждение •  Информация об угрозах и уязвимостях может быть классифицирована (в будущем) как оружие – с соответствующими ограничениями по распространению
  13. 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Сценарии создания системы Threat Intelligence Государственная КоммерческаяСобственная •  Независимо от выбранного сценария принципы создания системы Threat Intelligence будут едиными Процессы, источники и инструментарий тоже •  В собственной системе Threat Intelligence можно активно задействовать данные от внутренних систем защиты информации
  14. 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 5 этапов процесса Threat Intelligence План Сбор Анализ Распространение информации Разбор полетов •  Зачем нам Threat Intelligence? •  Какие у нас требования? •  Кто (нарушитель) может атаковать нас (модель нарушителя)? •  Нюансы (геополитика, отрасль…) •  Своя или внешняя система Threat Intelligence? •  Что может провайдер TI (источники)? •  Возможности провайдера стыкуются с вашими потребностями? •  Кто внутри вас будет общаться с провайдером и как? •  Как «сырые» данные превратятся в TI? •  Платформа для обработки и анализа? •  Кто проводит анализ? •  Кому можно распространять информацию? На каких условиях? •  Какие стандарты используются для распространения? •  Когда распространять информацию? Реагирование •  Какие действия необходимо произвести на основании полученных данных? •  Как взаимодействовать со средствами защиты?
  15. 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Признаки хорошей системы Threat Intelligence •  Точность. Точность источников и получаемых оттуда данных •  Связанность. Связь выбранной системы/источника с потребностями организации •  Интеграция. Без интеграции TI в систему защиты, эффективность TI стремится к нулю •  Предсказуемость. Необходимо стремиться к раннему предупреждению об угрозах •  Релевантность. Соответствие TI отрасли, географии, языку… •  Учет аудитории. Руководству не нужны индикаторы компрометации, а ИБ-эксперту не нужны карты угроз •  Своевременность. Все должно быть вовремя – информация и реагирование
  16. 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Задачи оперативной системы Threat Intelligence •  Автоматизированные экспорт и импорт индикаторов угроз из / в различных источников в стандартизованном формате •  Автоматизированные экспорт и импорт информации об инцидентах из / в различных систем в стандартизованном формате •  Выборка данных по определенным атрибутам и их наборам •  Запросы, импорт, экспорт и управление данными через пользовательский интерфейс •  Обмен данными с другими системами по определенным атрибутам •  Экспорт данных для систем защиты (МСЭ, систем предотвращения вторжений и т.п.) по различным критериям •  Обеспечение конфиденциальности, целостности данных и сервисы ААА
  17. 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Источники Threat Intelligence •  Тип источника •  Уровни представления информации •  Широта охвата •  Языковая поддержка/покрытие •  Доверие •  Частота предоставления •  Тип (OSINT/HUMINT/TECHINT) •  Платность •  Формализованность представления информации •  Abuse.ch •  AlienVault (Open Threat Exhange) •  Blocklist.de •  CleanMX •  Malwr.com •  SenderBase.org •  SpamHaus •  VirusTotal •  VirusShare •  ZeusTracker •  Dr.Web •  Group-IB •  IOCbucket.com •  IOCmap •  Malwaredomains.com •  MalwareIOC •  Microsoft APP •  Mirror-ma.com •  Pastebin •  Twitter •  Zone-h.org
  18. 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 Внутри организации тоже много нужной информации! •  Сетевой трафик (Netflow / jFlow / sFlow) •  Активность с необычных IP-адресов •  DNS-запросы •  URL •  Заголовки SMTP •  Адреса email •  Сэмплы вредоносного кода •  Активность пользователей •  Неудачные попытки входа •  Административный доступ •  Операции с СУБД •  Соединения на нетипичных портах •  Появление нетипичных протоколов •  Несоответствие размеров пакетов для служебных протоколов стандартам •  Адреса анонимайзеров •  User Agent в HTTP •  Входные узлы Tor •  Вредоносные IP (C&C, спамеры, боты…) •  Репутация пользователей, узлов и файлов •  И т.д.
  19. 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Но ее не используют, опираясь на внешние TI-данные
  20. 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Необходима платформа для анализа информации •  Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir, Paterva/Maltego CaseFile, SharePoint, ThreatConnect •  В простых случаях можно обойтись решениями open source
  21. 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Популярный Maltego •  Maltego – open source решение для анализа данных, полученных из разных источников, и связей между ними •  Canari Framework – инфраструктура, позволяющая более эффективно использовать Maltego •  Malformity – Maltego-проект, базирующийся на Canari, для проведения исследования вредоносного кода и др.
  22. 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Стандарты Threat Intelligence •  Описание различных проблем с ИБ CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак CCE (http://cce.mitre.org/) - описание конфигураций CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными средствами защиты (аналог SDEE/RDEP) CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME MARF (http://datatracker.ietf.org/wg/marf/documents/) OVAL (http://oval.mitre.org/) - язык описания уязвимостей CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки защищенности
  23. 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 Стандарты Threat Intelligence •  Признаки компрометации (Indicators of Compromise) и информация о нарушителях и хакерских кампаниях OpenIOC (http://openioc.org) - преимущественно хостовые признаки CybOX (http://cybox.mitre.org) OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox) STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга IODEF-SCI – расширение IODEF для добавления дополнительных данных VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях
  24. 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Стандарты Threat Intelligence •  Обмен информацией TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA SecDEF – европейский стандарт ENISA CAIF (http://www.caif.info) - европейский стандарт DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт IODEF RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX, IODEF, STIX и TAXII в единое целое RFC 5941 – обмен информацией о мошенничестве (фроде) MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного кода
  25. 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Стандарты Threat Intelligence •  Разное TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг распространения информации CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и нейтрализовать угрозы путем генерации правил для Snort, iptables и др.
  26. 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Взаимосвязь стандартов Threat Intelligence
  27. 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Разработка политики Threat Intelligence •  Что должно быть / может быть предоставлено в рамках Threat Intelligence? •  Кто может обмениваться информацией или получать ее? •  Когда должен происходить обмен информацией? •  Как может распространяться информации (круг общения и маркировка)? •  Юридические основания для сбора/обмена информацией и использования ее в качестве доказательства
  28. 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 Не забыть про данные вопросы •  Система Help Desk для отработки запросов / информации от заказчиков / источников •  Корреляция связанных, а также противоречивых данных из разных источников •  Эскалация сложных случаев •  Обратная связь •  Измерение эффективности •  Долгосрочное хранение всех данных •  API для интеграции с внешними решениями •  Описанные процессы
  29. 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Нерешенные проблемы: по крупному •  Атрибуция атак •  Расследование инцидентов частными структурами (монополия органов ОРД) •  Отсутствие взаимодействия между госорганами (подковерные игры) и с другими странами (мы видим во всех врагов) •  Засекречивание всего и вся •  Политика импортозамещения
  30. 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Threat Intelligence – это еще не конец •  Как будет интегрироваться информация о Threat Intelligence в вашу систему защиты? •  Информация Threat Intelligence – это часто вход для системы реагирования Она у вас выстроена? •  Если говорить об отечественной системе Threat Intelligence, то необходимо устанавливать особые требования к средствам защиты, которые могут отдавать данные для анализа и принимать команды для реагирования
  31. 31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31 Выводы •  Система Threat Intelligence как никогда важна в текущих условиях для каждой организации, отрасли, государства •  Система Threat Intelligence может стать основой системы раннего предупреждения об атаках и спецоперациях в киберпространстве •  Сегодня есть все возможности, ресурсы и инструменты для создания такой системы •  Стандартизация и автоматизация (включая обновления) – ключ к эффективной системе Threat Intelligence •  Система Threat Intelligence не «висит в воздухе» – необходимо создание целой инфраструктуры для ее эффективного функционирования
  32. 32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32 Благодарю за внимание Еще больше информации вы найдете на http://lukatsky.blogspot.com/

×