На прошлой неделе я несколько раз коснулся темы исследований угроз (threat intelligence). Сначала в
корпоративном блоге Cisco,
потом в этом блоге, потом в
виде краткого анализа последних сделок на рынке ИБ, которые фокусировались тоже вокруг Threat Intelligence. А тут и Gartner в своем отчетном документе по ИБ за 2013-й год заявил, что аналитика в области ИБ становится краеугольным камнем любой эффективной системы защиты и эта тенденция будет только нарастать. Но при этом большинство экспертов со стороны производителей средств защиты признает, что такая система аналитики может быть построена только в облаке, т.к. сам по себе потребитель не в состоянии выстроить все процессы с нуля и, самое главное, поддерживать их на должном уровне. А если учитывать, что абсолютное большинство всех аналитических облаков у нас находится за границей (подозреваю, что KSN по большей части тоже), то у российских потребителей возникает закономерное опасение — а не отключат ли супостаты в час Х российские информационные системы от получения обновлений и не сделают ли их беззащитными во время потенциальной кибервойны (да и случайный выход из строя вполне возможен)? По мне так это паранойя, сродни ядерной угрозе. В здравом уме никто не будет развязывать войну, даже в условиях превосходства. Но опасения есть — что-то же надо с ними делать?
Альтернативу чужеродной западной ИБ-аналитике из облака я вижу только одну — создать такую систему самостоятельно, в рамках собственного предприятия, группы компаний или отрасли. Например, на конференции по банковской ИБ в Магнитогорске по инициативе Банка России будет обсуждаться тема создания банковского CERTа, одной из задач которого может стать именно Threat Intelligence. Да и вообще тема CERTов сейчас начинает потихоньку развиваться как на частном, так и на государственном уровне.
Поэтому ближайшие пару дней я посвящу именно этой теме. Но начну с краткого обзора задач, которые должна решать такая система:
- Автоматизированные экспорт и импорт индикаторов угроз из / в различных источников в стандартизованном формате.
- Автоматизированные экспорт и импорт информации об инцидентах из / в различных систем в стандартизованном формате.
- Выборка данных по определенным атрибутам и их наборам.
- Запросы, импорт, экспорт и управление данными через пользовательский интерфейс.
- Обмен данными с другими системами по определенным атрибутам.
- Экспорт данных для систем защиты (МСЭ, систем предотвращения вторжений и т.п.) по различным критериям.
- Обеспечение конфиденциальности, целостности данных и сервисов ААА.
В качестве возможных источников индикаторов угроз, составляющих основу Threat Intelligence, могут выступать
- Списки скомпрометированных и зараженных сайтов
- Списки фишинговых ресурсов
- Управляющие узлы ботнетов
- Фальшивые DNS-сервера.
Не так много, но и не так мало (это без информации об уязвимостях, самих атаках и итных событиях безопасности). Откуда вы будете брать эти данные? Опираться на какие-то внешние источники или проводить собственные исследования? Если источники внешние, то откуда они? Не окажется ли так, что вы все равно столкнетесь с облачной ИБ-аналитикой, приходящей от потенциального врага? В России я сходу не вспомню открытых источников таких данных. Что-то есть у
Positive Technologies, что-то у
Лаборатории Касперского, что-то у Dr.Web, что-то у
Group-IB, но не все публично и не все формализовано.
Но допустим мы решили вопрос с источниками данных, что дальше? А вот про «дальше» мы поговорим завтра…
Алексей, а почему вы употребляете термин "облако"? То есть раньше антивирусы обновлялись просто "с сервера вендора", а теперь это мода такая — использовать облака?
Сервер обновлений вендора — это связь односторонняя, а облако — двусторонняя. В обновлениях — я получаю только их и все, а в облако я еще и сам могу отправлять данные