Проведение анализа угроз при мониторинге внешней поверхности атаки объектов КИИ

"Научный аспект №6-2024" - Информ. технологии

УДК 004.056

Дмитриева Ирина Николаевна - магистр Санкт-Петербургского государственного университета телекоммуникаций им. профессора М.А. Бонч-Бруевича.

Кравцова Валерия Андреевна – магистр Санкт-Петербургского государственного университета телекоммуникаций им. профессора М.А. Бонч-Бруевича.

Аннотация: Быстро развивающиеся технологии позволяют не только упростить жизнь рядовых граждан, но и создать угрозы для корректного функционирования объектов критической информационной инфраструктуры, которые могут повлиять на нормальную работу целых государств. В данной статье будут рассмотрены угрозы, возникающие при мониторинге.

Ключевые слова: критическая информационная инфраструктура, анализ угроз, модель атаки, кибербезопасность, уязвимости.

Основная часть

Согласно наблюдениям ряда исследовательских лабораторий, на территории Российской Федерации происходит колоссальный всплеск киберпреступлений, затрагивающих конфиденциальную информацию, обрабатываемую в центрах обработки данных ряда организаций, а также на объектах критической информационной инфраструктуры. В соответствии с публикуемой аналитикой экспертов Positive Technologies, количество инцидентов в 2022 году увеличилось на 21% в сравнении с 2021 годом. Векторы атак злоумышленников направлены на информационные активы, которые обеспечены слабой защитой или не обладают защитными механизмами как таковыми. Ряд последних инцидентов информационной безопасности повлек за собой утечки персональных данных миллионов пользователей популярных ресурсов. Де-факто опасность утечки конфиденциальной информации во всеобъемлющем масштабе касается не только отдельно взятых граждан, но и владельцев малого и среднего бизнеса, инвестирующего в технологии.

Зачастую владельцы бизнес-проектов уделяют недостаточное внимание контролю доступности цифровых активов организаций. Инфраструктура каждой организации расширяется посредством использования облачных хранилищ, подключения личных устройств штатных сотрудников, в то время как география распределения информационных систем простирается от Калининграда до Владивостока. Тогда как потенциал злоумышленников исчисляется несметным арсеналом простых в установке инструментов с открытым исходным кодом, позволяющих провести инвентаризацию частной инфраструктуры извне, не применяя сложных тактических приемов. Отсутствие всеобъемлющего контроля за активами организации может поспособствовать краже данных злоумышленниками и вытекающими репутационными издержкам [2].

Мониторинг внешней поверхности атаки

Внешняя поверхность атаки – это зона сетевой доступности инфраструктурных ресурсов, подлежащая непрерывному контролю и анализу на наличие уязвимостей и аномалий. Внешнюю поверхность атаки на организацию составляют неучтенные активы внутри инфраструктуры, некорректные политики и процедуры внутреннего и внешнего контроля, которые способны проэксплуатировать внешние злоумышленники и инсайдеры [4].

Современные условия цифровизации способствуют бесконтрольному перемещению активов организации за пределы контролируемого контура, тем самым увеличивая поверхность атаки. Так, последние 2 года показали увеличение спроса на удаленный доступ и виртуальные частные сети (VPN), что обеспечивает мобильность бизнеса, но параллельно с тем расширяет зону слепой видимости в вопросах контроля и мониторинга. В настоящий момент корпоративная инфраструктура фрагментарно разворачивается в облачных инфраструктурных решениях. Риск компрометации систем увеличивается в связи с отсутствием гарантии нулевого уровня атак на цепочку поставок. Интеграция умных устройств (датчиков Internet-of-Things) с отсутствующими механизмами шифрования трафика и нестабильными режимам работы по защищенным протоколам увеличивает поверхность сетевых атак на инфраструктурные компоненты. В результате вышеупомянутого, современные брандмауэры, включая Next-Generation FireWall (NGFW) с глубокой фильтрацией трафика, и системы обнаружения вторжений уже не позволяют защитить корпоративные информационные системы, подобно оградительному сооружению. В то время как Интернет, подобно открытой книге, открывает безлимитные возможности для злоумышленников по доступу к опубликованным активам [1, 4].

Выявление уязвимых точек инфраструктуры

В прошлом году компания «Microsoft» в открытых источниках обнаружила более 10 миллиардов вредоносных угроз, более 35 миллиардов вредоносных сообщений и более 900 попыток кражи паролей методом перебора каждую секунду [4].

Анализ общедоступной информации на предмет выявления уязвимостей популярных сервисов, систем, программных и аппаратных решений, используемых в организациях, открывает злоумышленникам пространство в тысячи устройств для вредоносной эксплуатации. По сущности Интернет – ресурс с неисчисляемым потенциалом вредоносных действий, где уязвимые службы и неисправленные критические ошибки в сервисах с открытыми сетевыми портами видны, как на ладони. Сетевое интернет-пространство формирует единую точку обмена информацией, которая одним несет полезную нагрузку, иным – вредоносную.

Так, согласно исследованию [4], интеграция облачных вычислений и контейнерных технологий разворачивания мультисервисов в кластерах по типу Kubernetes и Docker, несет большую угрозу безопасности. Сложность инвентаризации и контроля за подобными активами становится неосязаемой при проведении инвентаризации активов [3].

В опасности не только корпоративная инфраструктура, но и конфиденциальность каждого отдельно взятого человека, предоставившего персональные данные для обработки в информационные системы организации. Устройства, которые могут использоваться в качестве точек входа, угрожают безопасности из-за огромных потоков данных и чувствительных датчиков, собирающих телеметрию мозговых волн, мимики лицевых мышц, движения глаз, рук, речь и другие биометрические характеристики [4].

Управление уязвимостями на основе анализа угроз

Отсутствие корректной оценки защищенности развернутых систем и сервисов в инфраструктуре, а также неопределенные статусы процесса устранения уязвимостей формируют условия для эксплуатации потенциально возможных векторов атак злоумышленниками. При постоянно растущей поверхности атаки парадигма «Zero Trust» («Нулевое Доверие») является целью, позволяющей обеспечить устойчивость систем к атакам. Парадигма «Нулевого Доверия» предполагает постоянный анализ и оценку рисков для устройств, сервисов и приложений, данных, сетей, бизнес-функций и компонентов инфраструктуры [1].

Сканирование корпоративных активов и процесс Управления уязвимостями (пер. от англ. «Vulnerability Management») формирует фундамент управления поверхностью атаки и обеспечивает постоянную актуализацию конфигурации средств защиты и статусов мониторинга компонентов инфраструктуры. Все это позволит выявлять неправильно сконфигурированные компоненты до того, как злоумышленники смогут использовать их с целью компрометации систем. Мисконфигурации часто являются основной причиной компрометации систем. Исследователи Gartner прогнозируют, что к 2025 году более 85% успешных атак на пользователей бизнес-систем будут использовать ошибки конфигурации и не обновлённое программное обеспечение с критическими ошибками в безопасности и правах доступа [4].

Управление поверхностью атаки фундаментально не предполагает расчет метрик частотности реализации векторов атак злоумышленниками, параметров эксплуатации уязвимостей, а также осведомленности в открытых источниках о критичности уязвимостей.  Это формирует проблематику работы с поверхностью атаки, поскольку подобное моделирование угроз не отражает критичность эксплуатации уязвимостей в инфраструктуре организации. Для улучшения качества представления информации предлагается контекстуализировать управление поверхностью атаки с помощью подробного анализа угроз.

Управление поверхностью атаки посредством анализа угроз

Разведка и анализ киберугроз – это практический процесс сбора, обработки, анализа и распространения информации. Информация в рамках разведки идентифицируется, отслеживается и позволяет построить прогноз по реализации угрозы, оценить риски и возможности внутри киберпространства. Все это предлагает выстраивание направленности действий, способствующих принятию решений. Анализ угроз в контексте управления поверхностью атаки позволит моделировать способы возможностей эксплуатации уязвимостей для превентивного устранения угроз, например, на основе оценки угроз по общей системе оценки уязвимостей (CVSS). Анализ в подобном разрезе позволит выстроить приоритет по устранению уязвимостей на основе моделирования возможностей потенциальных злоумышленников и потенциального урона от атаки. В соответствии с вышесказанным, это поможет упростить процесс технического аудита инфраструктуры и уменьшить объем собираемых доказательств при изучении возможного вреда от реализованных внешних угроз.

Сбор информации для анализа угроз начинается с источников, подлежащих структуризации сведений о возможных угрозах. Структурирование обеспечивает быстрое обнаружение угроз и оперативное реагирование. Анализ в контексте управления поверхностью атаки носит циклический характер, включает этапы планирования, сбора и систематизации. В данном разрезе могут рассматриваться как индикаторы компрометации (Indicator of Compartmentation, IoC), так и TTP (техники, тактики и процедуры). Для совершенствования сбора информации и последующего прогнозирования и генерации гипотез аналогично применяются машинное обучение [4].

Источники анализа угроз включают подписки на различных авторов публикаций, автоматизированные каналы передачи данных, отраслевой обмен индикаторами компрометации и предупреждениями, а также базы знаний о наблюдаемых тактиках и методах противника MITRE ATT&CK. Форматы разведки угроз включают фреймворки, стандарты, скоринг. Так, MITRE ATT&CK предоставляет обзор характеристик угроз, STIX2.1 выдает структурированную информацию об угрозах, CVSS предоставляет показатели для оценки последствий артефактов [1].

Заключение

В ходе данного исследования проведен анализ возможностей для мониторинга внешней поверхности атаки. Интеграция контекстуального анализа киберугроз с потенциалом машинного обучения в решениях по управлению внешней поверхности атаки предоставляет ценную информацию об угрозах, целях и потенциальных уязвимостях.

 Управление поверхностью атаки на основе анализа и моделирования угроз позволит сосредоточиться на элементах потенциального воздействия противником. Используя интегративную модель управления поверхностью атаки на основе анализа угроз обеспечит управление каналами индикаторов угроз, используя единое пространство, чтобы обеспечить контекст, как повысить отказоустойчивость инфраструктурных элементов.

Список литературы

  1. Jarmul К. Practical Data Privacy: Enhancing Privacy and Security in Data [Текст] / Jarmul К.  – April 2023: First Edition. – United States of America: O'REILLY, 2023 – 315 c.
  2. Исследование инструментов киберразведки по открытым источникам для оценки доступности информационных активов организации: вып. квалиф. раб. на соискание степ. бкл. по спец. 10.03.01 / И. Н. Дмитриева; научный руководитель А. А. Миняев; Санкт-Петербургский гос. ун-т телекоммуникаций им. проф. М. А. Бонч-Бруевича, Кафедра ЗСС. – 2023. – 105 с. URL: http://lib.sut.ru/jirbis2_spbgut
  3. Adarsh Nair, Mastering Information Security Compliance Management [Текст] / Adarsh Nair, Greeshma M. R – April 2023: First Edition. – Birmingham: Packt, August 2023 – 193 c.
  4. Matkowsky J. Threat Intelligence-Driven Attack Surface Management [Текст] / Matkowsky J. – 1. – ResearchGate: Technical Report Microsoft, August 2022 – 29 c.
Автор: Дмитриева Ирина Николаевна