ENISA (Europejska Agencja Bezpieczeństwa Sieci i Informacji) opublikowała dzisiaj raport “Actionable Information for Security Incident Response”, opracowany przez CERT Polska. Publikacja jest skierowana do członków zespołów reagujących na incydenty, jak i również do wszystkich osób, które zbierają, analizują i dzielą się informacjami dotyczącymi bezpieczeństwa komputerowego.
Dzielenie się danymi dotyczącymi bezpieczeństwa może pomóc podnieść jego poziom w każdej organizacji, począwszy od małych przedsiębiorstw, po całą administrację publiczną. Powszechnie wymieniane informacje pozwalają m.in. na odnalezienie zainfekowanych komputerów we własnej sieci, czy szybkie załatanie podatności w zainstalowanym oprogramowaniu. Niestety, mimo że coraz więcej organizacji zbiera i wymienia się danymi, ich efektywne wykorzystanie pozostaje wyzwaniem.
W naszej opinii dotychczasowe publikacje nie opisały problemów związanych z tą tematyką w wyczerpującym stopniu, stąd podstawowym celem przygotowanego raportu jest całościowe przedstawienie procesu przetwarzania różnych rodzajów informacji przez zespoły reagujące na incydenty. Tytułowa “actionable information” obejmuje szeroki zakres informacji dotyczących bezpieczeństwa, które mogą być podstawą podjęcia konkretnych działań zmierzających do ograniczenia lub eliminacji zagrożeń dla zasobów informatycznych.
- Definicja jaka informacja może zostać bezpośrednio wykorzystana do zwiększenia poziomu bezpieczeństwa (“actionable information”). Kryterium przydatności informacji opiera się na jej pięciu podstawowych właściwościach: istotność dla odbiorcy, trafność, aktualność, kompletność, łatwość w odbiorze i przetwarzaniu.
- Wprowadzenie ogólnego modelu przetwarzania informacji, podzielonego na pięć etapów: zbieranie, przygotowanie, przechowywanie, analiza, dystrybucja. Każdy z etapów został szczegółowo opisany i przedstawiliśmy zalecenia dla jego implementacji.
- Trzy szczegółowe studia przypadków, które przedstawiają różne aspekty przetwarzania informacji przez zespoły reagujące na incydenty: zastosowanie wskaźników infekcji (indicators of compromise) w celu odparcia ukierunkowanego ataku, monitorowanie botnetów w celu zwiększenia poziomu świadomości sytuacyjnej oraz skuteczna wymiana danych na poziomie krajowym.
- Praktyczne ćwiczenie ilustrujące wykorzystanie ogólnodostępnych istniejących narzędzi do przetwarzania informacji i odparcia ataku.
- Suplement p.t. “Standards and tools for exchange and processing of actionable information” zawierający opisy 53 standardów istotnych dla wymiany danych oraz 16 ogólnodostępnych systemów do przetwarzania i zarządzania informacjami związanymi z bezpieczeństwem.
- Wyszczególnienie wyzwań związanych z przetwarzaniem i wymianą informacji oraz przedstawienie odpowiednich zaleceń, które pomogą w lepszym wykorzystaniu dostępnych danych.
- Actionable information for security incident response
- Standards and tools for exchange and processing of actionable information
- Ćwiczenie: Using indicators to enhance defence capabilities [PDF]
Poniżej przedstawiamy najistotniejsze składniki raportu:
Mamy nadzieję, że nowy raport pomoże zespołom reagującym na incydenty oraz całej społeczności pracującej na rzecz zwiększenia bezpieczeństwa komputerowego w lepszym zrozumieniu zagadnień związanych ze zbieraniem, przetwarzaniem i dzieleniem się informacjami oraz przyczyni się do dalszego rozwoju narzędzi do tego rodzaju zastosowań.
Dokumenty są dostępne do pobrania ze strony ENISA:
Chcielibyśmy podziękować Andrew Kompanek (CERT/CC) za komentarze i sugestie, które stanowiły istotny wkład do raportu.
