Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"

Руслан Рахметов, Security Vision

Экстенсивная цифровизация бизнес-процессов, выход множества сервисов в онлайн, непрерывно усложняющийся и эволюционирующий киберландшафт приводят и к сопутствующему росту киберугроз и повышению мотивации атакующих. Если еще 15-20 лет назад большинство хакеров осуществляло взломы ради удовлетворения собственного любопытства или тщеславия, а о материальной выгоде от атаки задумывались единицы, то в наше время подавляющее большинство атакующих являются финансово мотивированными. Продвинутые киберпреступники объединяются в преступные синдикаты со строгой иерархией, четким разделением обязанностей и инвестициями в поиск новых эксплойтов, методов атаки и в обеспечение собственной анонимности и безопасности, а киберармии отдельных государств представляют реальную угрозу целым секторам экономики различных государств. В сложившейся ситуации принципиально важным является взаимодействие защищающихся сторон - государств, компаний, ИБ-вендоров, научных и исследовательских сообществ. Взаимодействие подразумевает не только синхронизацию нормативно-правовой базы для эффективного юридического преследования киберпреступников, но и обмен информацией о способах проведения кибератак и «почерке» хакерских кибергруппировок для повышения эффективности выявления признаков компрометации инфраструктуры, выполнения релевантных оперативных действий по реагированию на киберинциденты, обеспечения корректного пост-инцидентного анализа. Документ NIST SP 800-150 "Guide to Cyber Threat Information Sharing" («Руководство по обмену данными о киберугрозах») предоставляет рекомендации по обмену данными об индикаторах компрометации, о тактиках, техниках и процедурах атакующих и о результатах анализа обработанных киберинцидентов, что помогает определить надежные источники получения таких данных, согласовать правила обмена информацией, эффективно использовать данные киберразведки для повышения уровня кибербезопасности.

Итак, данные о киберугрозах - это любая информация, которая может помочь организации выявить, оценить, отследить и отреагировать на киберугрозы. Примерами данных о киберугрозах будут индикаторы компрометации (IP-адрес, URL, хэш-сумма, адрес отправителя фишингового email), индикаторы атак (последовательность событий ИБ, которые могут свидетельствовать о кибератаке), индикаторы поведения атакующих (сканирование портов, подбор паролей, попытки эксплуатации уязвимостей), артефакты (признаки произошедшей компрометации в виде специфических файлов, метаданных, сетевой активности), тактики, техники и процедуры атакующих, оповещения об угрозах (например, данные об уязвимостях и эксплойтах), отчеты киберкриминалистов и исследователей киберугроз, а также рекомендуемые настройки средств защиты для эффективного сбора, обмена, обработки и анализа данных о киберугрозах. Указанные сведения как правило уже собираются и обрабатываются внутри организаций, но публикация NIST SP 800-150 сфокусирована на внешнем обмене такими данными, что позволяет повысить общий уровень защищенности компаний путем обмена сведениями о совершающихся или недавно произошедших киберинцидентах, особенно если обмен ведется данными, специфичными для определенного сектора экономики. Такой подход даст возможность работать во взаимовыгодной парадигме «то, что выявила одна организация в результате произошедшего инцидента, может использовать другая организация для недопущения аналогичного инцидента», что дает возможность обогащать данные о киберугрозах информацией от всех участников обмена, повышать ситуационную осведомленность и знания об актуальном ландшафте киберугроз, применять релевантные меры и способы защиты для минимизации киберрисков. При этом не следует забывать и о рекомендациях и лучших практиках при обмене информацией, а также о возможных негативных последствиях и мерах предосторожности при информационном обмене: необходимо установить доверительные отношения с участниками обмена, автоматизировать передачу данных и применять стандартизованные решения, обеспечить защиту конфиденциальной информации и минимизировать риск ее  разглашения при информационном обмене данными о киберугрозах, обеспечить ресурсную поддержку при обмене информацией (инфраструктура, инструменты, сотрудники), а также оценить качество входящей информации и обеспечить ее конвертацию в применяемый внутри компании формат, соответствие применимым законодательным нормам, сокрытие конфиденциальных подробностей при отправке данных о кибератаке за пределы компании.

При внедрении процесса обмена данными о киберугрозах можно руководствоваться следующими этапами, приведенными в публикации NIST SP 800-150:

1. Определить цели и задачи процесса обмена данными о киберугрозах, приоритизировать действия и шаги.

2. Определить внутренние источники данных о киберугрозах: выявить сенсоры, инструменты и источники данных о киберугрозах внутри компании; определить информацию о киберугрозах, которая уже собирается и анализируется; выявить информацию о киберугрозах, которая собирается и хранится, но не анализируется; определить категорию информации, которой можно поделиться с внешними участниками информационного обмена.

3. Определить объем и границы информационного обмена: согласовать типы доступной для обмена информации, условия обмена информацией, получателей информации. Также следует приоритизировать типы требующейся информации в зависимости от целей и задач процесса обмена, а также, основываясь на ресурсных возможностях организации, отдавать предпочтение автоматизированным способам обработки информации о киберугрозах.

4. Установить правила обмена информацией и утвердить их в виде политики: определить перечень типов информации, которой можно делиться, определить условия и обстоятельства, при которых обмен возможен, согласовать перечень получателей информации, установить правила санитизации или редактирования информации для удаления конфиденциальных сведений, определить требования к получателям информации по обеспечению защиты полученной информации. Также следует озаботиться соблюдением ограничений на передачу конфиденциальной информации (персональные данные, коммерческая тайна, банковская тайна и т.д.) и разработкой правил санитизации этих сведений в рамках информационного обмена. В документе NIST SP 800-150 приводится пример использования TLP-нотации (Traffic Light Protocol, «светофорный индикатор конфиденциальности»), который можно применять при обмене чувствительной информацией для маркирования её соответствующим образом в зависимости от степени конфиденциальности.

5. Присоединиться к сообществу обмена информацией о киберугрозах: при оценке сообществ обмена информацией и поставщиков данных киберразведки следует оценить потенциальную пользу от предоставляемых ими сведений, оценить полноту закрытия их данными пробелов в ситуационной осведомленности компании. Рекомендуется поддерживать членство в нескольких сообществах по обмену информацией и отдавать предпочтение наиболее релевантным (т.е. тем, которые объединяют компании одного сектора, одного региона, со сходными инфраструктурами и риск-профилями).

6. Запланировать непрерывную дальнейшую поддержку настроенных процессов обмена информацией о киберугрозах: определить сотрудников, финансирование, инфраструктуру и процессы для сбора и анализа информации о киберугрозах из внутренних и внешних источников, настройки защитных мер на основании полученной информации и развертывания инфраструктуры для мониторинга и выявления угроз.

Участие в обмене информацией о киберугрозах, по мнению авторов публикации NIST SP 800-150, должно включать в себя следующие процессы:

1. Участие в непрерывном взаимодействии, которое, помимо технического получения данных в машиночитаемом формате, также включает личное общение экспертов, обмен отчетами и материалами, выступление на конференциях и участие в семинарах и киберполигонах.

2. Получение и реагирование на оповещения об угрозах, которые могут включать в себя данные об уязвимостях, эксплойтах, активных кибератаках, с указанием затронутых систем/платформ, оценку негативного влияния, уровень опасности, возможности по смягчению последствий, ссылки для получения дополнительной информации.

3. Получение и использование индикаторов: проверка целостности поступившей информации, распаковка и приведение к единому формату, парсинг индикаторов, приоритизация в зависимости от важности данных и надежности источника, категорирование полученной информации для определения правил ее хранения и обработки. Показателями качественных индикаторов являются их своевременность, релевантность, точность и полнота описания, специфичность и применимость для выявления и реагирования на киберугрозу. Также можно использовать назначение меток (тэгирование) индикаторов для обозначения качества и точности предоставленных данных.

4. Организация хранения информации о киберугрозах, включая данные об источнике индикатора, использующие данный индикатор правила на СЗИ, дату и время получения данных, срок жизни индикатора, релевантные идентификаторы CVE/CPE/CWE/CCE, ассоциированные с индикатором киберпреступные группы и их техники, тактики, процедуры и атакуемые системы и компании. Не следует забывать и о защите информации о киберугрозах, которая сама может являться одной из целью атакующих для сокрытия кибератаки и увеличения времени обнаружения вторжения.

5. Создание и публикация индикаторов, включая обогащение индикаторов собственными данными, использование стандартных структурированных форматов данных, защиту конфиденциальных сведений.