Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 28.04.2016, 20:00   #1034
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 642

kroxus вне форума

IT-безопасность-свежие новости.


Корректное понимание индикаторов взлома

Текст Dave Dittrich and Katherine Carpenter

Отчеты об APT-активности содержат подробности компрометации многочисленных организаций, секторов экономики, различных отраслей и даже стран (на протяжении многих лет). Как подчеркнули в некоммерческой исследовательской организации MITRE: «Организациям важно иметь доступ к данным о киберугрозах, и ключевым компонентом в этом случае является возможность обмена информацией с партнерами, коллегами по отрасли и другими доверенными организациями». [Ссылки могут видеть только зарегистрированные пользователи. ] об угрозах полезен для любых организаций, так как поступающие извне сведения способствуют усилению внутренней безопасности.

В ИБ-отрасли нередко можно встретить определение APT-активности как «атак», то есть подспудно, на уровне языковых средств, дефиниция формулируется таким образом, чтобы оправдать свое право на самооборону (с использованием очень эмоционального и широко трактуемого термина active defense, «активная оборона»). Мы считаем, что более корректным термином для определения APT-активности является «компрометация»: это в должной мере описывает нарушение целостности, доступности и/или конфиденциальности ИТ-систем и данных в атакуемой организации.

Меры, требуемые для гарантирования и поддержания работоспособного состояния организации при угрозе компрометации, включают в себя защиту, детектирование и ответную реакцию. Более агрессивные меры составляют категорию, которую исследователи Химма и Диттрих (Himma and Dittrich) называют [Ссылки могут видеть только зарегистрированные пользователи. ] — «континуум активного отклика». Если сторонник более агрессивных действий с целью обороны неспособен четко сформулировать и проанализировать последствия с точки зрения [Ссылки могут видеть только зарегистрированные пользователи. ], он не может участвовать в реализации самых жестких мер и не может рассчитывать на снисхождение при нарушении закона с целью [Ссылки могут видеть только зарегистрированные пользователи. ].

Если мы «закладываемся на взлом», то есть признаем, что может произойти компрометация и что обычный цикл мер защиты, обнаружения и реагирования должен быть нормой, а не исключением, то разумным будет задействовать всю имеющуюся информацию, чтобы эффективнее справиться с компрометацией. Эта информация поступает в виде характерных признаков (observables) и индикаторов компрометации (indicators of compromise, IOC) — в формате, описанном в статье MITRE от 2012 года, посвященной фреймворку [Ссылки могут видеть только зарегистрированные пользователи. ].

Зачастую люди неправильно понимают характерные признаки и IOC ввиду недостатка знаний, неточности определений и других проявлений человеческого фактора (в некоторых случаях это «непонимание» имеет определенную цель и более походит на самоцель, чем на стремление улучшить состояние национальной безопасности для общего блага). Давайте посмотрим, как MITRE определяет эти термины.

«Характерные признаки компрометации — это имеющие определенное состояние свойства и измеряемые события безопасности, связанные с работой компьютеров и сетей. Информация о файле (название, хэш, размер и т.п.), значение ключа системного реестра, запуск службы, отправка HTTP-запроса — вот простые примеры характерных признаков компрометации. […] Индикаторы компрометации — это конструкции, используемые для подачи характерных признаков компрометации в совокупности с контекстной информацией с целью представления артефактов и/или заслуживающего внимания поведения в контексте кибербезопасности. Индикатор включает в себя несколько характерных признаков, контекстуализированных с учетом потенциально возможных инструментов, тактик и процедур, а также ряд релевантных метаданных — например, степень уверенности в индикаторе, ограничения по обработке, подтвержденные временные окна, возможный негативный эффект, различимость индикатора, необходимые для обнаружения механизмы тестирования структуры, оптимальный порядок действий, источник индикатора и т.п.».

MITRE также определяет ряд связанных между собой терминов, которые характеризуют более общие логические структуры и организационные цели: «инциденты»; «инструменты, тактики и процедуры» (TTP); «кампания»; «злоумышленник»; «порядок действий».

Как отметил в блоге Infosec Zanshin Алекс Сиейра (Alex Sieira), объединение характерных признаков и IOC, а также неправильное использование признаков приводят к большому количеству [Ссылки могут видеть только зарегистрированные пользователи. ]. То, что обычно преподносят как «сведения об угрозах», часто оказывается набором характерных признаков, которые не должны использоваться как единственное основание для генерации предупреждений системы безопасности. Вывод автора в целом верен, но то, о чем он пишет (IP-адреса, доменные имена, URL), — это характерные признаки, а не IOC. Автор разъясняет, что нельзя поднимать тревогу лишь из-за присутствия характерных признаков. По его мнению, предупреждения должны генерироваться на основании IOC, сочетающих множество характерных признаков и метаданные (степень уверенности и т.п.), — лишь таким образом можно снизить вероятность ложных срабатываний.

Давайте проанализируем [Ссылки могут видеть только зарегистрированные пользователи. ], как его описывает Джессика Децианно (Jessica Decianno) из Crowdstrike: «В сообществе экспертов-криминалистов IOC зачастую определяют как найденное на компьютере свидетельство, указывающее на нарушение безопасности сети». При этом она не приводит уместных цитат, и вообще непонятно, имеет ли эта дефиниция «от криминалистов» какое-либо отношение к данному вопросу.

Уилл Граджидо (Will Gragido) также использует термин «[Ссылки могут видеть только зарегистрированные пользователи. ]«, но при этом подчеркивает, что IOC — это нечто большее.

И вновь обратимся к Crowdstrike: «Для киберсообщества IOC — это хэш MD5, C&C-домен, прописанный в коде IP-адрес, ключ реестра, имя файла и так далее. Эти IOC постоянно меняются, что делает проактивный подход к защите предприятия невозможным». И вновь подчеркнем: согласно определениям MITRE от 2012 года, все вышеперечисленное — это не IOC, а характерные признаки компрометации.

Росс и Брим (Ross, Breem) приводят живой пример IOC (ниже), демонстрирующий взаимосвязь составляющих и учет «постоянных изменений».
Нажмите чтобы раскрыть спойлер

Децианно применяет к индикаторам компрометации определения «унаследованный» и «пассивный», а также ассоциирует слово «проактивный» с новой концепцией — «индикатором атаки» (IOA); этот термин, по ее мнению, лучше, чем IOC. Определение IOA довольно размыто, но включает фразу «дает представление о ряде действий, которые нужно выполнить злоумышленнику, чтобы атака была успешной», — по аналогии с шагами, необходимыми для совершения преступления.

«С точки зрения кибербезопасности ценность IOA заключается в способности показать, каким образом злоумышленник проник в ваше окружение, получил доступ к файлам, выгрузил пароли, продвигался по сети и в конечном итоге вывел ваши данные», — пишет Децианно.

В терминах MITRE здесь речь явно идет об IOC вкупе со связанными «инцидентами», TTP, «кампанией» и «злоумышленником». Тот факт, что все эти сведения собираются и обрабатываются в реальном времени, не обуславливает их отличие от IOC. Он лишь подчеркивает необходимость сбора характерных признаков компрометации, их объединения и обогащения дополнительной информацией. Таким образом, они станут более полезными для «общих усилий по созданию, развитию и улучшению обмена структурированной информацией об угрозах», согласно MITRE. Зачем изобретать новый термин для уже существующего явления и отвергать общеупотребительную концепцию, которая помогает улучшить общее положение дел в киберобороне?

Если целью действительно является укрепление национальной безопасности в условиях роста киберпреступности (как в США, так и в других странах) путем повышения эффективности защиты, обнаружения и реагирования на угрозы, нужно в рамках отрасли перейти на ясный и единый язык ради общего блага. Если этого не сделать, намерения обеспечить безопасность могут не привести к желаемому результату. Дейв Диттрих — исследователь информационной безопасности из Центра изучения данных при Университете Вашингтона в Такоме.

Дейв ведет борьбу с компьютерными преступлениями с конца 1990-х и много пишет о состоянии хостов и сетей, о ботах и ботнетах, о DDoS, а также об этике компьютерных исследований и об Active Response Continuum.

Кэтрин Карпентер (Katherine Carpenter) — независимый консультант. Она занимается исследованиями в области обеспечения приватности и безопасности данных, а также вопросами этики компьютерных исследований. В прошлом Кэтрин специализировалась в области этики биотехнологий и здравоохранения.


[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика