Обзор системы VERIS: реагирование и обработка инцидентов информационной безопасности

Если проанализировать работу служб информационной безопасности (ИБ) в различных компаниях, то наверняка можно отметить, что специалисты по ИБ сталкиваются в своей деятельности с задачей фиксирования, реагирования, обработки и расследования инцидентов ИБ постоянно. Причем эта деятельность организована на предприятиях в самой различной форме: у кого-то есть современное программное обеспечение для задач информационных технологий (ИТ) и ИБ (SIEM, DLP-системы, системы поддержки пользователей “help-desk ticketing system” и т.д.), кто-то вообще ведет учет «по старинке» в виде таблицы Excel.  Но суть задачи анализа не в этом, а в том, что за все время работы у определенного количества компаний накопилась критическая масса информации по типовым случаям инцидентов ИБ и способов реагирования на них. Возникла идея: как бы весь этот опыт и все эти знания систематизировать в единую базу данных и в единый проект, который бы позволял компаниям в стандартном формате фиксировать и описывать инциденты ИБ, заносить их в единый реестр и обмениваться ими (сохраняя конфиденциальность, конечно же) с другими компаниями.

Эта идея реализована в виде проекта VERIS (англ. The Vocabulary for Event Recording and Incident Sharing, VERIS), разработанного компанией Verizon. VERIS представляет собой набор метрик для описания инцидентов (см. VERIS Wiki), этот проект открытый, ссылка на страницу проекта есть на портале Github. Пользователи сами наполняют глобальную базу данных VCDB (англ. The VERIS Community Database, VCDB), на основании данных этой базы можно построить интерактивные графики по различным параметрам. Сбор данных идет в формате JSON — это текстовый формат обмена данными, основанный на JavaScript, который интуитивно понятен и легко читаем, в отличие от других форматов. Ежегодно сама компания Verizon на основании VCDB формирует детальный отчет  DBIR (англ. Verizon’s Data Breach Investigations Reports, DBIR). Пользователь может отправить свои данные в базу VCDB по ссылке на сайте VERIS.  Пример возможной формы для заполнения доступен здесь.

Итак, можно сказать, что основные цели проекта VERIS – это сбор данных в формализованном упорядоченном виде и сравнение своих данных с общей базой данных.

Базовые принципы работы VERIS.

            В качестве основы разработчики VERIS взяли модель «4А», в которой описаны следующие основные параметры инцидента (см. табл.1):

Таблица 1.

Модель «4А»


К таблице 1 нужно добавить следующие примечания:

  • Субъекты часто предпринимают много действий;
  • На активы могут быть направлены сразу несколько действий;
  • Пострадавшие активы могут быть описаны несколькими атрибутами.

Фактически имея систему 4А, в VERIS построена модель угроз, где обозначены основные категории субъектов, действий, активов и атрибутов. Если свести все комбинации категорий высокого уровня для каждого из типов:  (3 -субъекты, 7- действия, 5 — активы, а также 3 атрибута), то получается таблица 2, где отражены все 315 типов (ID) инцидентов. Все детальные классификации можно посмотреть в VERIS Wiki.

Таблица 2.

Модель угроз VERIS

Пример 1: Как воспользоваться таблицей 2? Находим №1, смотрим в таблицу и видим параметры “Server.Conf” и “External.Malware”. Из чего следует, что нарушена конфиденциальность (attribute) сервера организации (asset) внешним злоумышленником (external actor), который внедрил вредоносное ПО (action).

Пример 2: Допустим, что служба ИБ компании на протяжении какого-то периода времени выполняет достаточно «рутинную работу», заполняя такую же таблицу, но уже исходя из собственной практики реагирования на различные инциденты.  В результате получается неплохая статистика по основным видам инцидентов, выраженных в процентном соотношении, см. табл.3.

Таблица 3.

Статистика инцидентов в компании (в процентах)

На основании таких данных, полученных от различных компаний, в VERIS собирается итоговая статистика инцидентов по отраслям экономики, см. табл.4.

Таблица 4.

Статистика инцидентов обобщенная, по отраслям экономики

Перейдем от модели “4A” к более сложным классификациям VERIS для описания инцидентов. Полный список всех значений можно посмотреть по ссылке в VERIS Wiki (SCHEMA ENUMERATIONS). Ниже перечислены основные разделы проекта (VERIS SCHEMA DOCUMENTATION):

 — Incident Tracking (Отслеживание инцидента);

 — Victim Demographics (Демографические данные потерпевших);

 — Incident Description (Описание инцидента в модели “4A”);

 — Discovery & Response (Обнаружение и реагирование);

 — Impact Assessment (Оценка воздействия на актив).

Наглядно эту систему классификации инцидентов в VERIS можно посмотреть на интеллект-карте (англ. Mind map) ниже, а примеры построения более сложных интеллект-карт и графов, можно найти здесь:

Как применить VERIS в практике обнаружения и расследования инцидентов ИБ?

Покажем на простом примере, как использовать VERIS в отделе ИБ Вашей организации. В одной компании произошел инцидент ИБ, который можно классифицировать, как «шпионаж» (англ. espionage). Внешний нарушитель использовал фишинговые письма (англ. phishing email), они посылались одному из сотрудников компании с «заманчивыми предложениями» перейти по ссылке и воспользоваться неким «бесплатным сервисом». Сотрудник компании по ссылке перешел, скачал «сомнительную программу», которая установила на его компьютер вредоносное ПО (англ. malware). С помощью этого вредоносного ПО злоумышленник узнал учетные данные сотрудника в системе. Злоумышленник использовал эти учетные данные и создал бэкдор (англ.  backdoor) в системе, затем, получив несанкционированный доступ к серверу, похитил конфиденциальную информацию этой компании. Через некоторое время журналист одного из скандальных СМИ связался с руководством этой компании по вопросу публикации «компрометирующих» компанию материалов в известной газете. Конфиденциальную информацию репортер приобрел на одном из «закрытых форумов» в Даркнете (англ. DarkNet). Попробуем данный инцидент описать стандартными операторами VERIS (см. табл.5):

Таблица 5.

Запись инцидента ИБ для VERIS

2) Какова величина материального ущерба для компании от потери информационных активов, а именно, через хакинг (англ. hacking) и фишинг (англ. phishing)?

 3) Как ее можно сравнить с ущербом от физической кражи активов?

В заключение хочется отметить, что рассмотренная нами система VERIS позволяет:

 — формировать собственную статистику инцидентов ИБ в виде формализованных и удобных записей;

 — собирать статистику таких инцидентов по заданным параметрам и критериям;

 — получать аналитику по инцидентам ИБ в виде таблиц, графиков, майнд-карт и т.д.;

 — отправлять свои данные в глобальную базу данных (VCDB), делиться с другими пользователями информацией об инцидентах, а также получать полезную информацию из базы;

— применять обобщенную аналитику VERIS в обнаружении и расследовании инцидентов ИБ в своей компании.

Поделиться записью: