Miesięcznik informatyków i menedżerów IT sektora publicznego

Kamil Folga

Platforma do zarządzania bezpieczeństwem

Threat Intelligence Platform (TIP) służy do udostępniania, przechowywania i korelacji danych o różnych metodach ataków cybernetycznych. W bazie przechowywane są informacje m.in. o celach i rodzajach ataków oraz mechanizmach działania zagrożeń.

Co oczywiste, pierwsze logowanie do systemu MISP wymaga od użytkownika zmiany hasła.

Platforma tego typu pozwala organizacjom zwiększyć wiedzę o zagrożeniach, zbudować efektywne mechanizmy obrony i minimalizować ryzyka, które mogą zniszczyć jej reputację. Co ważne, system zbiera dane z różnych źródeł, a następnie je analizuje i filtruje. Najważniejszym celem TIP jest utworzenie opisu zagrożenia oraz raportu zawierającego pełne informacje, które będą możliwe do wykorzystania w narzędziach do automatycznej kontroli bezpieczeństwa. Dodatkowym celem jest bieżące informowanie organizacji o ryzykach związanych z określonymi zagrożeniami, atakami dnia zerowego, a także metodami ochrony przed nimi. Oprogramowanie pozwala nam upewnić się, że mamy aktualne informacje na temat zagrożeń, pomaga działać proaktywnie oraz informować zarządzających i użytkowników o najnowszych zagrożeniach. W tym celu TIP posługuje się wskaźnikami do oceny ryzyka. Najważniejsze pozwalają określić poziom zagrożenia oraz odpowiednio zareagować na atak lub infekcję. Przykładowe wskaźniki to: adres IP, URL, nazwa domenowa, adres e-mail, temat e-mail, łącza i załączniki, klucze Rejestru, nazwy plików, skróty plików i bibliotek DLL.

Jak działa platforma TIP

Podstawowe zadania każdej platformy TIP to agregacja danych o zagrożeniach, które są zbierane od różnych dostawców. Kolejnym krokiem jest ich analiza w jednej centralnej lokalizacji, gdzie mogą zostać udostępnione w ustandaryzowanej formie. Gdy system TIP zbierze i zagreguje dane, następnym krokiem jest identyfikacja zagrożeń. Może ona zostać przeprowadzona na podstawie takich elementów, jak:

  • sprawdzenie plików z logami pod kątem obecności szkodliwych wskaźników;
  • sprawdzenie danych w narzędziach dostawców trzecich;
  • monitorowanie domeny pod kątem podszywania się;
  • analiza plików ze szkodliwym oprogramowaniem;
  • śledzenie twórców zagrożeń i ich kampanii.

Kolejnym etapem jest analiza, czyli ocena zagrożeń i możliwości pojawienia się danego zagrożenia w organizacji. Ostatecznym celem tego procesu jest podjęcie akcji, a zatem wysłanie odpowiednich zaleceń do systemów detekcji i obrony. Akcja to wdrożenie na urządzeniu realizującym bezpieczeństwo teleinformatyczne określonych elementów ochrony, a następnie opublikowanie zewnętrzne i wewnętrzne istotnych danych o zagrożeniu. W praktyce kierujemy takie informacje tam, gdzie niebezpieczeństwo może zostać najszybciej zażegnane. Niezwykle cenną funkcją platformy TIP jest automatyzacja, która pozwala na efektywniejsze przeprowadzanie analizy.

Czym są wskaźniki kompromitacji

Indicators of Compromise (IoC), czyli wskaźniki kompromitacji, precyzują, czy dany atak cybernetyczny rzeczywiście ma miejsce, i pozwalają śledzić jego aktywność. Przykładem IoC są sygnatury wirusów. Systemy bezpieczeństwa używają IoC do działań proaktywnych – wykrywania na wczesnym etapie infekcji, wycieków danych i innych zagrożeń.

Wskaźniki kompromitacji możemy tworzyć na podstawie różnych nietypowych zjawisk. Jedną z najczęściej spotykanych oznak naruszenia bezpieczeństwa są anomalie w ruchu sieciowym ze szczególnym naciskiem na wzorce ruchu i wolumen. Dobrymi wskaźnikami są np. wyniki monitorowania dostępu do uprawnionych kont lub określonych zasobów, a także zwiększona liczba zapytań do bazy danych.

Darmowe rozwiązanie TIP

Malware Information Sharing Platform (dalej: MISP) to opensource’owe oprogramowanie umożliwiające wymianę i współdzielenie informacji o zagrożeniach, wskaźnikach kompromitacji, celach szkodliwego oprogramowania, finansowych wyłudzeniach (fraudach) i wielu innych niebezpieczeństwach czyhających na organizację. Platforma zbudowana jest w modelu dystrybucyjnym, zawierającym informacje zarówno techniczne, jak i nietechniczne. Dane mogą być przechowywane w środowisku otwartym lub zamkniętym. Wymiana informacji z użyciem MISP powinna spowodować szybszą i udoskonaloną detekcję ataków. Dzięki ReST API platforma zapewnia dużą elastyczność w integracji z innym oprogramowaniem. MISP jest dostępny jako standardowa paczka dla różnych dystrybucji, kontener Docker, a także maszyna wirtualna VMware/VirtualBox/Xen.

[...]

Autor zawodowo zajmuje się informatyką ze specjalizacją w zakresie bezpieczeństwa sieci. Publikuje w magazynach komputerowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej