Эффективный обмен информацией об угрозах среди множества участников работает, как коллективный иммунитет: чем больше участников задействованы в этом процессе, тем выше вероятность успешно противостоять атакующим. О том, какая культура обмена такими данными сложилась за рубежом, чем отличается российская практика, и в чем заключаются основные подводные камни этой области, — расскажу в статье.
Что такое культура обмена данными, и зачем она нужна?
Обмениваться информацией об угрозах стоит как минимум по трем причинам. Во-первых, чтобы сэкономить, ведь предупредить атаку дешевле, чем устранять ущерб от нее. Во-вторых, чтобы быть социально ответственным: бороться вместе с другими компаниями против общего врага. Наконец, в-третьих, чтобы иметь хорошую репутацию. Если компания условно безопасна, ей доверяют не только клиенты, но и инвесторы.
На сегодняшний день можно выделить несколько типов данных, которыми делятся участники обмена TI:
инциденты — подробная информация о попытках атак и их успешности;
угрозы и уязвимости — часто бывает так, что злоумышленники успевают воспользоваться уязвимостью до того, как она попадет в известные базы уязвимостей;
методы устранения уязвимостей, локализации или блокирования угроз;
информация о новых неблагоприятных событиях в мире ИБ.
Обмен этими данными происходит различными способами. Первый — через open-source фиды, которые генерируют члены TI-комьюнити и некоторые компании, open-source и проприетарные платформы. К плюсам этого способа можно отнести бесплатный доступ к фидам, их большой выбор и простоту использования. Однако есть и минусы: большое количество нерелевантных данных и, следовательно, необходимость их фильтрации, а также отсутствие контекста. Второй способ — создание и участие в специализированных организациях. Их список довольно большой: CERT, CSIRT, CIRC, CIRT, SIRT, IRT, IRC, SERT, ISAC, ISAO. Подробнее о том, что они собой представляют, расскажу ниже. Третий способ — участие в профильных мероприятиях, например, FIRST CTI SIG Summit, SANS CTI Summit, Threat Intelligence Summit, Black Hat, Cyber Intelligence Asia.
Степень зрелости культуры обмена данными о киберугрозах — комплексный показатель, на который прямо или косвенно влияют количество профильных мероприятий, количество TI-вендоров, активность и вовлеченность потенциальных участников обмена: членов TI-комьюнити, частных компаний, государства. Ландшафт угроз, активность и изощренность новых методов злоумышленников также определяют качество ответных мер и квалификацию защитников.
Мы с командой считаем, что с учетом этих факторов культура обмена данными об угрозах в США и Европе более зрелая, и нам стоило бы многому у них поучиться. Давайте разберемся, как это устроено «у них».
США
В США есть ряд программ обмена данными TI, разработанных Агентством кибербезопасности и защиты инфраструктуры (Cybersecurity and Infrastructure Security Agency / CISA).
ISAC (Information Sharing and Analysis Center) — центры обмена и анализа информации, которые формируются вокруг определенной отрасли: финансы, энергетика, промышленность и так далее. Впервые они были созданы в 1998 году по указу президента США для обмена информацией о киберугрозах между владельцами и операторами критически важных инфраструктур. Всего на сегодняшний день в США существует 25 таких центров.
ISAO (Information Sharing and Analysis Organisation) — организации, сосредоточенные в первую очередь на защите совместно используемой информации. Это так называемое расширение ISAC, которое не связано с конкретной отраслью: участники этих организаций могут объединяться по другим признакам, например, по территориальному.
AIS (Automated Indicator Sharing) позволяет обмениваться индикаторами компрометации в реальном времени. В AIS участвуют субъекты частного и государственного сектора. Всем участникам гарантируется анонимность и конфиденциальность передаваемой информации, а кроме того, на них не распространяются антимонопольный закон, федеральные законы и законы штатов.
Европа
В Европе действуют аналогичные организации, созданные Агентством Европейского союза по сетевой и информационной безопасности (ENISA). Европейские ISAC появились позже американских, использовали их опыт, поэтому между ними есть некоторые отличия.
Так, ISAC в ЕС не обязательно связаны с какой-либо отраслью. Вот какие модели построения ISAC в Европе можно выделить:
ISAC в рамках одной страны чаще всего управляются группой реагирования на инциденты в области компьютерной безопасности (CSIRT).
Отраслевые ISAC сосредоточены на организациях одного, обычно критического или жизненно важного, сектора и в основном поддерживаются самим сектором или правительством.
Международные ISAC объединяют ключевых экспертов со всего мира, но из-за культурных различий и разных подходов в них нередко возникает проблема доверия между экспертами. Примеры международных ISAC, созданных в Европе: EU FI-ISAC (финансовый сектор), EE-ISAC (сектор энергетики).
Структуры обмена данными TI схожи в большинстве стран ЕС. Есть ISAC, которые могут быть представлены группами реагирования (CERT), организациями CSIRT и другими, и есть вышестоящие организации для координации взаимодействия ISAC.
Развитие экосистемы ISAC в Европе зависит от общего уровня доверия между государственными и частными структурами. Поэтому для стран, где этого доверия недостаточно, может оказаться целесообразным сначала начать развитие структур PPP (государственно-частное партнерство, менее формальная организация по сравнению с ISAC), а затем преобразовать их в ISAC.
Инициатива по созданию ISAC может исходить от правительства или частного сектора (в этом случае правительство может играть роль посредника). Независимо от структуры ISAC, для гибкого и эффективного сотрудничества необходим регламент взаимодействия членов объединения, который описывает в том числе процедуры проверки новых участников сообщества.
Сотрудничество происходит не только внутри ISAC, но и между различными организациями такого типа. Например, в результате сотрудничества сообществ была создана платформа X-ISAC. Она эксплуатируется и обслуживается Центром реагирования на компьютерные инциденты Люксембурга (CIRCL) и проектом MISP.
FIRST
Говоря об обмене информацией о киберугрозах, нельзя не сказать о FIRST (the Forum of Incident Response and Security Teams). С момента создания этой организации в 1990 году ее представители практически непрерывно занимались обработкой тысяч уязвимостей безопасности. Несправедливо относить FIRST к определенному государству, ведь это масштабное международное сообщество, поэтому я решила посвятить ему отдельный раздел.
В качестве своей миссии FIRST называет три составляющих.
Глобальная координация — FIRST предоставляет платформы, средства и инструменты для тех, кто реагирует на инциденты.
Глобальный язык — FIRST поддерживает инициативы по разработке общих средств передачи данных.
Управление — члены FIRST не работают изолированно, а являются частью более крупной системы.
FIRST объединяет группы реагирования на инциденты информационной безопасности (CERT, CSIRT), группы реагирования на инциденты в области безопасности продукции (PSIRT) и независимых ИБ-исследователей.
Остановлюсь подробнее на типах групп реагирования. Аббревиатура CERT (computer emergency response team) — зарегистрированная торговая марка Университета Карнеги — Меллона. Именно здесь по заказу правительства США в 1988 году была сформирована первая команда CERT для борьбы с так называемым «червем Морриса». Сегодня так обозначают группы экспертов, которые занимаются постоянным мониторингом информации о появлении угроз ИБ, их классификацией и нейтрализацией. Такие команды могут быть как национальными, так и сфокусированными на определенном секторе. Их основная цель — своевременно реагировать на новые угрозы и сообщать о них заинтересованным лицам. Для этого группы CERT выпускают бюллетени с агрегированной информацией об угрозах и рекомендациями по реагированию на них.
CSIRT (computer security incident response team) — еще один термин, обозначающий группу реагирования на компьютерные инциденты. Отличие в том, что его можно использовать без получения специального разрешения. В 1992 году датский академический провайдер SURFnet создал первую в Европе команду CSIRT под названием SURFnet – CSIRT.
Помимо этого, на практике используются и другие аббревиатуры: IRT (группа реагирования на инциденты), CIRT (группа реагирования на компьютерные инциденты), SERT (группа оперативного реагирования на инциденты безопасности). Главная цель у CERT, CSIRT, ISAC, ISAO и других подобных организаций одна — улучшение ландшафта информационной безопасности, но у CERT и CSIRT основной фокус направлен на реагирование на инциденты ИБ и уже потом на повышение осведомленности заинтересованных сторон.
Россия
В России среди участников обмена данными об угрозах можно выделить регуляторов и ряд коммерческих организаций. Например, на базе ФинЦЕРТ, специального структурного подразделения ЦБ, действует система информационного обмена о компьютерных атаках в кредитно-финансовой сфере. Другой регулятор — НКЦКИ, координирует взаимодействие субъектов критической информационной инфраструктуры с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак ГосСОПКА.
К коммерческим организациям относятся CERT-GIB, BI.ZONE-CERT, Infosecurity CERT и KASPERSKY ICS CERT. Также, говоря об участниках обмена данными TI, стоит упомянуть и некоммерческую организацию RU-CERT, нацеленную на снижение уровня киберугроз для пользователей Рунета.
Несмотря на довольно большой список участников обмена, как такового устоявшегося и крупного комьюнити, посвященного Threat Intelligence, в России пока нет. При этом есть заметный прогресс: появляются многочисленные чаты в Telegram (иногда их создают вендоры) и open-source фиды, проводятся тематические мероприятия. Тем не менее, пока главным мотиватором и двигателем обмена информацией остается требование регулятора.
Подводные камни
Фундаментом обмена информацией о киберугрозах можно считать доверие между участниками этого процесса: чем выше уровень доверия, тем эффективнее взаимодействие и сотрудничество. Помимо недостаточного уровня доверия, можно выделить еще несколько проблемных моментов:
Недостаточная информированность — не все организации понимают пользу и потенциальные выгоды участия в обмене информацией.
Страх — многие организации считают, что если поделятся информацией об атаке, это нанесет ущерб их репутации.
Недостаточное финансирование — информации море, для ее анализа нужны специалисты, которым в свою очередь нужны деньги, а для этого нужен бюджет.
Нехватка квалифицированных специалистов — как в сфере ИБ, так и для поддержки инфраструктуры обмена.
Можно провести параллель между проблемой культуры обмена данными TI и экологической проблемой (что? да!). Точечные инициативы не принесут результата. Необходимо, чтобы каждое звено обмена было заинтересованным и активным в достижении цели, формат обмена был согласованным.
И конечно, самое важное — чтобы государство и бизнес осознали масштаб рисков, связанных с киберугрозами, и увеличивали объем инвестиций в развитие информационной безопасности.
Автор: Валерия Чулкова, системный аналитик R-Vision Threat Intelligence Platform
Другие статьи по теме