ИСПОЛЬЗОВАНИЕ CYBER THREAT INTELLIGENCE В ОБЕСПЕЧЕНИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
|
Введение
Глава 1. Предметная область 6
1.1. Кибер-атаки 6
1.2. Уязвимости 9
1.2.1. Общая информация 9
1.2.2. Стандарт CVE 10
1.2.3. Система оценки уязвимостей CVSS 11
1.3. Cyber Threat Intelligence 18
1.4. Заключение 23
Глава 2. Результаты исследования 24
2.1. Формулировка задачи 24
2.2. Определение списка источников 25
2.2.1. Разработка метрик и их применение для оценки
информационных источников 27
2.2.2. Применение оценки к выбранным источникам 30
2.3. Ведение учёта и реакция на обнаруженные потенциальные
угрозы 42
2.4. Проектирование и разработка веб-приложения 45
2.4.1. Схема базы данных 47
2.4.2. Пользовательский интерфейс портала 49
ЗАКЛЮЧЕНИЕ 51
СПИСОК ЛИТЕРАТУРЫ: 53
ПРИЛОЖЕНИЕ
Глава 1. Предметная область 6
1.1. Кибер-атаки 6
1.2. Уязвимости 9
1.2.1. Общая информация 9
1.2.2. Стандарт CVE 10
1.2.3. Система оценки уязвимостей CVSS 11
1.3. Cyber Threat Intelligence 18
1.4. Заключение 23
Глава 2. Результаты исследования 24
2.1. Формулировка задачи 24
2.2. Определение списка источников 25
2.2.1. Разработка метрик и их применение для оценки
информационных источников 27
2.2.2. Применение оценки к выбранным источникам 30
2.3. Ведение учёта и реакция на обнаруженные потенциальные
угрозы 42
2.4. Проектирование и разработка веб-приложения 45
2.4.1. Схема базы данных 47
2.4.2. Пользовательский интерфейс портала 49
ЗАКЛЮЧЕНИЕ 51
СПИСОК ЛИТЕРАТУРЫ: 53
ПРИЛОЖЕНИЕ
В современном мире глобальная сеть Интернет и различные информационные технологии стали настолько неотъемлемой частью жизни, что правительство, бизнес и обычные люди могут стать объектами для кибератак [1]. Целью хакерских атак оказываются как государственные структуры и критически важные системы (энергетика, транспорт, здравоохранение), так и личная жизнь рядовых граждан [2].
В связи с тесной интеграцией компьютерных технологий в нашу жизни, ИБ (далее - ИБ), в какой бы то ни было сфере, имеет если не первостепенное, то, несомненно, особенно важное значение. Чем больше человечество полагается на сеть Интернет и компьютеры, тем большим будет ущерб от кибер-атак. Кибер-атаки становятся все более серьезной проблемой для стран и организаций. Вместе с увеличением числа атак, техники атакующих эволюционируют [3]. Каждая успешно проведенная атака на организацию влечет за собой связанные с этим расходы, такие как: потеря дохода, снижение цен на акции организации, ущерб репутации и ограничение работоспособности. Во избежание подобного негативного влияния кибер-атак человечество нуждается в качественной ИБ, и, в свою очередь, в использовании разведки об угрозах - cyber threat intelligence (далее - CTI).
Системы обеспечения ИБ должны иметь одно из ключевых значений в жизненном цикле любой организации, будь то крупный холдинг или небольшой по масштабу бизнес. В сегодняшних реалиях уже недостаточно просто установить и настроить межсетевой экран или антивирусную систему, то есть ограничиться использованием реактивных методов обеспечения ИБ. Необходимо дополнительно использовать и развивать превентивные меры безопасности. Подобные меры позволяют предотвратить угрозу. Одним из таких методов является разведка - CTI.
Принято считать, что, одним из превентивных методов обеспечения ИБ является процесс контроля версий (англ. - patching management) [4]. Однако, несмотря на то, что патч-менеджмент играет важную роль в защите информационных систем, он не является панацеей, потому что ежедневно публикуется и раскрывается огромное количество угроз и уязвимостей, которые дополняются изощренными атаками. Для более совершенного обеспечения ИБ необходимо оперировать и проактивными, и реактивными методами.
Исследование и разработка, описанные в данной работе, будут наиболее полезными для организаций с ограниченным бюджетом на информационную безопасность, а также для руководителей отделов защиты информации. Бесспорно, руководители отделов ИБ должны обладать актуальной информацией об атаках, критических уязвимостях, другими словами, видеть всю картину «поля боя». Если организация своевременно получает информацию о том, какие существуют угрозы и уязвимости, то будет всегда на шаг впереди в плане обороны своей информационной системы. Таким образом, для обеспечения безопасности смогут быть предприняты превентивные меры по смягчению угроз, нивелирующие зависимость от производителя оборудования или программного обеспечения, создающего и выпускающего обновления безопасности.
Возникает логичный вопрос: «Почему, если CTI столь полезный, он не столь популярный, как например, межсетевые экраны, IDS, IPS?» Ответом на этот вопрос будет - «Деньги». Большинство крупных поставщиков CTI предлагают «анализ угроз» на основе платной подписки. Однако стоимость подобных услуг по CTI может выходить за пределы бюджета на информационную безопасность малых и средних организаций. На рынке провайдеров CTI существуют несколько крупных сервисов. Предлагаемые ими продукты не будут рассмотрены в данной исследовательской работе, так как эта работа направлена на исследование и использования бесплатных источников CTI.
Таким образом, основная цель исследовательской работы состоит в том, чтобы исследовать, разработать и подготовить использование CTI в обеспечении ИБ, опирающееся на бесплатные данные и на данные с открытым исходным кодом. Это позволит организациям с небольшими бюджетами на информационную безопасность использовать CTI как проактивную защиту от угроз. Подобный прототип процесса CTI может использоваться в качестве средства осведомленности менеджера по ИБ, и как триггер для систем и других процессов защиты информации.
Знания о возможных угрозах (критических уязвимостях, глобальных атаках) дадут возможность своевременно реализовать необходимые меры по предотвращению нанесения ущерба или по смягчению влияния атаки на организацию. Таким образом разработанный прототип разведки о киберугрозах будет способствовать переходу компании от обычного реактивного подхода в обеспечении ИБ к проактивному.
Целью данной работы является разработка прототипа такого процесса разведки о кибер-угрозах (процесса CTI), в жизнедеятельности которого будут использоваться только открытые источники.
Для достижения указанной цели решаются следующие задачи:
- Рассмотрение общих теоретических аспектов Cyber Threat Intelligence (CTI);
- Разработка метрик для ранжирования новостных источников CTI;
- Подбор информационных источников CTI и их ранжирование по разработанным метрикам;
- Обозначение требований к программному продукту и его разработка;
- Тестирование разработанного процесса CTI.
В связи с тесной интеграцией компьютерных технологий в нашу жизни, ИБ (далее - ИБ), в какой бы то ни было сфере, имеет если не первостепенное, то, несомненно, особенно важное значение. Чем больше человечество полагается на сеть Интернет и компьютеры, тем большим будет ущерб от кибер-атак. Кибер-атаки становятся все более серьезной проблемой для стран и организаций. Вместе с увеличением числа атак, техники атакующих эволюционируют [3]. Каждая успешно проведенная атака на организацию влечет за собой связанные с этим расходы, такие как: потеря дохода, снижение цен на акции организации, ущерб репутации и ограничение работоспособности. Во избежание подобного негативного влияния кибер-атак человечество нуждается в качественной ИБ, и, в свою очередь, в использовании разведки об угрозах - cyber threat intelligence (далее - CTI).
Системы обеспечения ИБ должны иметь одно из ключевых значений в жизненном цикле любой организации, будь то крупный холдинг или небольшой по масштабу бизнес. В сегодняшних реалиях уже недостаточно просто установить и настроить межсетевой экран или антивирусную систему, то есть ограничиться использованием реактивных методов обеспечения ИБ. Необходимо дополнительно использовать и развивать превентивные меры безопасности. Подобные меры позволяют предотвратить угрозу. Одним из таких методов является разведка - CTI.
Принято считать, что, одним из превентивных методов обеспечения ИБ является процесс контроля версий (англ. - patching management) [4]. Однако, несмотря на то, что патч-менеджмент играет важную роль в защите информационных систем, он не является панацеей, потому что ежедневно публикуется и раскрывается огромное количество угроз и уязвимостей, которые дополняются изощренными атаками. Для более совершенного обеспечения ИБ необходимо оперировать и проактивными, и реактивными методами.
Исследование и разработка, описанные в данной работе, будут наиболее полезными для организаций с ограниченным бюджетом на информационную безопасность, а также для руководителей отделов защиты информации. Бесспорно, руководители отделов ИБ должны обладать актуальной информацией об атаках, критических уязвимостях, другими словами, видеть всю картину «поля боя». Если организация своевременно получает информацию о том, какие существуют угрозы и уязвимости, то будет всегда на шаг впереди в плане обороны своей информационной системы. Таким образом, для обеспечения безопасности смогут быть предприняты превентивные меры по смягчению угроз, нивелирующие зависимость от производителя оборудования или программного обеспечения, создающего и выпускающего обновления безопасности.
Возникает логичный вопрос: «Почему, если CTI столь полезный, он не столь популярный, как например, межсетевые экраны, IDS, IPS?» Ответом на этот вопрос будет - «Деньги». Большинство крупных поставщиков CTI предлагают «анализ угроз» на основе платной подписки. Однако стоимость подобных услуг по CTI может выходить за пределы бюджета на информационную безопасность малых и средних организаций. На рынке провайдеров CTI существуют несколько крупных сервисов. Предлагаемые ими продукты не будут рассмотрены в данной исследовательской работе, так как эта работа направлена на исследование и использования бесплатных источников CTI.
Таким образом, основная цель исследовательской работы состоит в том, чтобы исследовать, разработать и подготовить использование CTI в обеспечении ИБ, опирающееся на бесплатные данные и на данные с открытым исходным кодом. Это позволит организациям с небольшими бюджетами на информационную безопасность использовать CTI как проактивную защиту от угроз. Подобный прототип процесса CTI может использоваться в качестве средства осведомленности менеджера по ИБ, и как триггер для систем и других процессов защиты информации.
Знания о возможных угрозах (критических уязвимостях, глобальных атаках) дадут возможность своевременно реализовать необходимые меры по предотвращению нанесения ущерба или по смягчению влияния атаки на организацию. Таким образом разработанный прототип разведки о киберугрозах будет способствовать переходу компании от обычного реактивного подхода в обеспечении ИБ к проактивному.
Целью данной работы является разработка прототипа такого процесса разведки о кибер-угрозах (процесса CTI), в жизнедеятельности которого будут использоваться только открытые источники.
Для достижения указанной цели решаются следующие задачи:
- Рассмотрение общих теоретических аспектов Cyber Threat Intelligence (CTI);
- Разработка метрик для ранжирования новостных источников CTI;
- Подбор информационных источников CTI и их ранжирование по разработанным метрикам;
- Обозначение требований к программному продукту и его разработка;
- Тестирование разработанного процесса CTI.
В ходе выполнения данной работы был разработан процесс cyber threat intelligence. В роли инструментария процесса выступили:
- разработанный веб-портал для отслеживания публикации об угрозах;
- реестр для фиксации информации о критических угрозах. А также, рекомендация и инструкция как логировать и вести учёт информации об атаках и уязвимостях, на которые было обращено внимание (приложение);
- шаблон интервального отчёта об угрозах.
Наиболее трудозатратными этапами в выполнении работы являются разработка метрик для оценки источников и сам процесс оценивания ресурсов с целью выделения из них наиболее полезных, как источников CTI.
В ходе работы процесса было обнаружено, что информация об уязвимостях и угрозах может дублироваться. Это не является минусом, скорее плюс, так как информация будет подтверждаться различными источниками.
По результатам работы, можно с определенной степенью уверенности сказать, что разработанный прототип процесса CTI без особых трудностей и затрат интегрируется в процессы любой организации.
Таким образом, был разработан прототип процесса cyber threat intelligence и использованием только открытых источников. Для достижения поставленной цели были в полном объёме рассмотрены теоретические аспекты threat intelligence, разработаны метрики, проанализированы и проранжированы информационные источники и разработан веб-портал для взаимодействия с отобранными информационными источниками CTI. Кроме того, разработанный процесс был протестирован, что может быть подтверждено приложенным к работе Актом о внедрении.
- разработанный веб-портал для отслеживания публикации об угрозах;
- реестр для фиксации информации о критических угрозах. А также, рекомендация и инструкция как логировать и вести учёт информации об атаках и уязвимостях, на которые было обращено внимание (приложение);
- шаблон интервального отчёта об угрозах.
Наиболее трудозатратными этапами в выполнении работы являются разработка метрик для оценки источников и сам процесс оценивания ресурсов с целью выделения из них наиболее полезных, как источников CTI.
В ходе работы процесса было обнаружено, что информация об уязвимостях и угрозах может дублироваться. Это не является минусом, скорее плюс, так как информация будет подтверждаться различными источниками.
По результатам работы, можно с определенной степенью уверенности сказать, что разработанный прототип процесса CTI без особых трудностей и затрат интегрируется в процессы любой организации.
Таким образом, был разработан прототип процесса cyber threat intelligence и использованием только открытых источников. Для достижения поставленной цели были в полном объёме рассмотрены теоретические аспекты threat intelligence, разработаны метрики, проанализированы и проранжированы информационные источники и разработан веб-портал для взаимодействия с отобранными информационными источниками CTI. Кроме того, разработанный процесс был протестирован, что может быть подтверждено приложенным к работе Актом о внедрении.
Подобные работы
- Страны БРИКС в контексте международного опыта обеспечения информационной безопасности
Дипломные работы, ВКР, международные отношения. Язык работы: Русский. Цена: 4250 р. Год сдачи: 2021 - Информационная безопасность в системе национальной безопасности Российской Федерации
Дипломные работы, ВКР, информационная безопасность. Язык работы: Русский. Цена: 6900 р. Год сдачи: 2019 - Концепция модуля расширения информационно-аналитической платформы на базе SIEM-системы для повышения внутренней устойчивости предприятия
Магистерская диссертация, экономика. Язык работы: Русский. Цена: 4920 р. Год сдачи: 2022 - Обнаружение программ-шифровальщиков на основе статического и динамического анализа с использованием методов машинного обучения
Бакалаврская работа, информатика. Язык работы: Русский. Цена: 4220 р. Год сдачи: 2022 - Обнаружение программ-шифровальщиков на основе статического и
динамического анализа с использованием методов машинного обучения
Бакалаврская работа, информатика. Язык работы: Русский. Цена: 4700 р. Год сдачи: 2022 - ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ РОБОТИЗИРОВАННЫХ
АВТОМОБИЛЕЙ
Магистерская диссертация, автомобили и автомобильное хозяйство. Язык работы: Русский. Цена: 5700 р. Год сдачи: 2019 - ИСПОЛЬЗОВАНИЕ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ ДЛЯ ОБНАРУЖЕНИЯ ИНФОРМАЦИОННЫХ АТАК
Магистерская диссертация, информационные системы. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2018 - РАЗРАБОТКА МЕТОДИКИ ПРОГНОЗИРОВАНИЯ ДИНАМИКИ ИЗМЕНЕНИЯ ВЕКТОРА КОМПЬЮТЕРНОЙ АТАКИ С ТОЧКИ ЗРЕНИЯ НАРУШИТЕЛЯ
Диссертации (РГБ), информационная безопасность. Язык работы: Русский. Цена: 4335 р. Год сдачи: 2021 - БОРЬБА РОССИЙСКОЙ ФЕДЕРАЦИИ ПРОТИВ КИБЕРПРЕСТУПНОСТИ НА НАЦИОНАЛЬНОМ И МЕЖДУНАРОДНОМ УРОВНЕ
Магистерская диссертация, международные отношения. Язык работы: Русский. Цена: 4825 р. Год сдачи: 2018