Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

STIX – informacje o zagrożeniach

Data publikacji: 14-07-2021 Autor: Piotr Michałkiewicz

Zagrożenia w cyberprzestrzeni to temat, który spędza sen z oczu osobom odpowiadającym za bezpieczeństwo IT. Znajomość narzędzi i metod wykorzystywanych przez napastników pozwala podejmować świadome decyzje w walce o bezpieczeństwo organizacji, co przekłada się na odpowiednie mitygowanie ryzyka, a tym samym na mądre inwestycje.

 

Znany od lat termin Cyber Threat Intelligence (CTI) oznacza rozpoznanie zagrożeń w cyberprzestrzeni. Krótko mówiąc, CTI to cykliczny proces, który obejmuje gromadzenie, przetwarzanie i analizę informacji o zagrożeniach. Należy mieć na uwadze nie tylko informacje dotyczące podstawowych wskaźników zagrożeń (IoC), takich jak adresy IP, adresy URL, domeny, skróty plików itp. Istotne są także informacje o przeciwnikach oraz metodach, dzięki którym mogą przeprowadzać ataki.

Żadna organizacja nie funkcjonuje w odosobnieniu, a istotą sukcesu w walce z cyberzagrożeniami jest wymiana informacji pomiędzy różnymi podmiotami na rynku. Jeszcze do niedawna występował w tym zakresie duży problem. Obawy związane z upublicznieniem informacji o incydentach wewnątrz organizacji skutecznie hamowały jakąkolwiek współpracę. Organizacje były skazane na samodzielne zdobywanie informacji o cyberzagrożeniach, które najczęściej pozyskiwane były z dostępnych na rynku wyspecjalizowanych programów lub poprzez wykupienie usługi abonamentowej CTI w podmiotach specjalizujących się w identyfikowaniu zagrożeń w cyberprzestrzeni.

Od czasu wprowadzenia ustawy o krajowym systemie cyberbezpieczeństwa (uksc) sytuacja znacząco się poprawiła. Ustawa wprowadziła dla określonych podmiotów obowiązek przekazywania informacji o incydentach do właściwych CSIRT (CSIRT NASK, CSIRT GOV lub CSIRT MON) oraz do sektorowych zespołów cyberbezpieczeństwa, jeżeli takowe powstaną. Niestety do tej pory tylko Komisja Nadzoru Finansowego, jako organ właściwy, powołała taki zespół (CSIRT KNF). Kolejną inicjatywą wartą uwagi było uruchomienie pierwszego w Polsce centrum wymiany i analizy informacji (ISAC Kolej), którego zadaniem jest wymiana informacji oraz doświadczeń z zakresu cyberbezpieczeństwa.

Uksc to akt bardzo ważny, jeśli chodzi o regulację wymiany informacji na temat zagrożeń. Zapomniano jednak o bardzo istotnej rzeczy, a mianowicie wskazaniu standardów opisu i wymiany informacji dotyczących cyberzagrożeń. Nawet rozporządzenie do uksc w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo nic w tej kwestii nie stanowi. Z pewnością wskazanie takich standardów ułatwiłoby projektowanie czy zakup systemów bezpieczeństwa, zapewniając spójność wymiany informacji oraz automatyzację działań. Dobrym przykładem, niezależnie od kontrowersji dotyczących wyboru, może być rozporządzenie do uksc w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu, w którym wskazano konkretne certyfikaty dostępne na rynku. Jak widać, opracowanie konkretnych standardów jest możliwe.

 

> STANDARYZACJA

Do najważniejszych wyzwań w cyberbezpieczeństwie z pewnością można zaliczyć konieczność przetworzenia ogromu informacji dotyczących cyber-zagrożeń. Liczba gromadzonych w organizacjach danych oraz ich szybka wymiana pomiędzy organizacjami od dłuższego czasu przerasta możliwości specjalistów ds. cyberbezpieczeństwa. W wyniku ich żmudnej pracy poznajemy kontekst działania zagrożeń, a także definiujemy nowe IoC.

Niestety, żadna organizacja nie ma możliwości, by samodzielnie uzyskać dostęp do wszystkich informacji. Dlatego tak bardzo istotna jest współpraca w tym zakresie i wzajemna wymiana informacji. Pozwala ona nie tylko na poznanie nowych zagrożeń, ale przede wszystkim umożliwia podjęcie określonych działań w celu przygotowania się na te zagrożenia. Niestety brak powszechnie przyjętej jednolitej specyfikacji opisu zagrożeń oraz ich wymiany stanowił przez lata duży problem.

Dlatego też od dłuższego czasu trwają prace związane z opracowaniem automatyzacji tego procesu. Do najbardziej znanych należą uzupełniające się specyfikacje Structured Threat Information eXpression (STIX) i Trusted Automated eXchange of Intelligence Information (TAXII). STIX to język służący do opisu informacji o cyberzagrożeniach w sposób znormalizowany i usystematyzowany, tak aby następnie mogły być one wymieniane w zaufany i zautomatyzowany sposób między organizacjami przy wykorzystaniu protokołu TAXII. Pełna dokumentacja dostępna jest pod adresem bit.ly/3dtw4ZQ.

Prace nad tymi specyfikacjami rozpoczęły się w 2012 r. w Departamencie Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS). W 2015 r. DHS przeniósł prace standaryzujące do OASIS zajmującej się standaryzacją wielu projektów, wspieranej przez wiele organizacji na całym świecie. Obecnie w OASIS nad pracami czuwa wydzielony Komitet Techniczny CTI. Bardzo ważne jest to, że specyfikacje OASIS są dostępne dla każdego bez żadnych opłat.

O wadze tych specyfikacji w branży cyberbezpieczeństwa świadczy także fakt ich ujęcia w 2017 r. w decyzji wykonawczej Komisji Europejskiej 2017/2288 w sprawie wskazania specyfikacji technicznych ICT na potrzeby dokonywania odniesień w zamówieniach publicznych.

 

> STIX

STIX to język służący do opisu zagrożeń w ustrukturyzowany sposób. Pierwsza odsłona języka, czyli STIX 1, mimo dobrego przyjęcia przez specjalistów okazała się trudna do wdrożenia. Powodem tego było przyjęcie formatu XML do opisu danych, co spowodowało m.in. powstanie zbyt złożonych konstrukcji zagnieżdżeń, niemniej do dzisiaj wiele podmiotów korzysta z tej wersji. Mimo zalet XML w 2017 r. zdecydowano, aby w STIX 2 wprowadzić format JSON. Tłumaczono tę decyzję tym, że JSON jest lżejszy i w zupełności wystarczający do opisu cyberzagrożeń, a także coraz częściej preferowany przez programistów.

 

> OBIEKTY

W momencie pisania artykułu najnowszą wersją STIX-a była specyfikacja 2.1 z 25 stycznia 2021 r. Rozszerzono w niej liczbę obiektów i ich właściwości. Obiekty znajdują się na najwyższym poziomie, tworząc model w postaci grafu. Węzłami tego grafu są obiekty SDO (STIX Domain Objects) oraz obiekty SCO (STIX Cyberobservable Objects), zaś relacje tworzone są przy użyciu obiektów SRO (STIX Relationship Objects). Poza relacjami definiowanymi przy użyciu obiektów SRO stosowane są także tzw. relacje osadzone zapisywane we właściwościach obiektów.

Specyfikacja STIX 2.1 definiuje 19 obiektów SDO (ramka Obiekty SDO), dwa obiekty SRO (więcej w ramce) oraz 18 obiektów SCO o intuicyjnych nazwach. Obiekty SCO służą do opisu artefaktów dotyczących sieci lub hosta, są to m.in. obiekty Domain Name, Email Address, File, IPv4 Address, URL czy też Windows Registry Key. Należy pamiętać, że obiekty SCO nie zawierają informacji o tym „kto, kiedy i dlaczego”.

Wymienione wyżej obiekty to podstawowe obiekty w STIX 2.1. Poza nimi wprowadzono dodatkowo trzy obiekty STIX Meta Objects oraz obiekt STIX Bundle Object. STIX Meta Objects wzbogacają obiekty podstawowe o dodatkową wersję językową (obiekt Language Content) lub umożliwiają dodanie informacji dotyczących wykorzystywania i udostępniania danych przy użyciu protokołu TLP (Traffic Light Protocol) czy też określenie np. praw autorskich (obiekt Marking Definition). Ponadto pozwalają tworzyć całkowicie nowe obiekty STIX w ustandaryzowany sposób (obiekt Extension Definition).

Obiekt STIX Bundle Object to mechanizm pozwalający zgrupować obiekty STIX w jednym pakiecie. Stanowi tylko kontener i nie wprowadza żadnego związku między zawartymi w nim obiektami.

 

[...]

 

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i cyberbezpieczeństwa. Członek ISSA Polska.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"