Uvažanje podatkov o aktivnih grožnjah kibernetske varnosti v Micro Focus ArcSight rešitve z odprtih komunikacijskih standardov STIX / TAXII

Micro Focus.News.Slovenian

Micro Focus je v začetku leta 2018 predstavil podporo za odprte komunikacijske standarde izmenjave podatkov o aktivnih grožnjah kibernetske varnosti STIX / TAXII. Veliko število obiskovalcev konference HPE Protect 2017 je namreč izrazilo željo po enostavnem oz. uradno podprtem načinu integracije teh podatkov, potem ko so nekateri od njih izkoristili zelo fleksibilen ekosisitem ArcSight SIEM rešitev in si že sami izdelali preproste skripte za uvažanje podatkov iz strežnikov, ki so posredovali informacije tipa STIXTAXII ali CybOX.

Funkcionalnost se uporablja v povezavi z ArcSight ESM vsebinskim paketom Activate Threat Intelligence (ATI), katerega lahko uporabniki brezplačno naložijo iz spletnega mesta ArcSight Marketplace. ATI Framework sam po sebi podpira tri različne vrste izvorov podatkov – STIX/TAXIICIF ter Ransomware Feeds. V okviru STIX/TAXII podpore dobimo skripte, ki jih zgolj ponastavimo tako, da kažejo na izbrani s STIX 1.2 / TAXII 1.1 skladen strežnik – izvor informacij; avtorji so uspešno preizkusili kompatibilnost s “hail a taxi”, Anomali Limo ter AlienVault OTX. Skripta pretvori pridobljene podatkov v CSV datoteko, iz katere lahko ustrezen FlexConnector polni ESM aktivne liste pod ATI Framework-om z vsemi STIX indikatorji ter vsemi TAXII kolektorji. Uporaba ATI Framework-a in vključenih primerov uporabe – Use Cases – ostaja nespremenjena, izkušeni uporabniki lahko nove informacije tako rekoč takoj implementirajo v SOC center.

Micro Focus namerava v prihodnje rešitev dopolniti z novimi funkcionalnostmi, prednost bodo, ob indikatorjih in kolektorjih, dali integraciji bolj naprednih STIX modelov kot so Kampanje, Prožilci Groženj in TTPs zbirke (Campaigns, Threat Actors, TTPs – tactics, techniques and procedures). V naslednjem koraku pa želijo še implementirati obojestransko izmenjavo informacij, torej možnost posredovanja v ArcSight rešitvi zbranih informacij v obliki STIX objektov do izbranega TAXII strežnika.

STIX, TAXII in CybOX

Dandanes je po svetu veliko kibernetskih groženj oz. govorimo lahko o ekosistemu kibernetskega kriminala. Ta ni stalen, nenehno se spreminja, razvija, nastajajo novi napadi, obstoječi se prilagajajo novim varnostnim rešitvam, hekerske tehnologije se spreminjajo v odvisnosti od tehnologij informacijske varnosti, in obratno. To se dogaja zelo hitro, da se mu lahko zoperstavimo, moramo enako hitro zaznati, preučiti in odgovoriti na nove grožnje. Napadi se dogajajo širom po svetu, da bomo uspešni, moramo dovolj hitro deliti informacije o pojavljajočih se grožnjah med vsemi sodelujočimi; tistimi na strani pravice, seveda. Dobro in sprotno preglednost nad aktualnimi grožnjami morajo imeti raziskovalski kibernetskih napadov, razvijalci novih varnostnih tehnologij, proizvajalci varnostnih rešitev, ter seveda tudi morebitne žrtve napadov, torej načeloma vsa podjetja in organizacije.

Ideja o sodelovanju pravzaprav ni nič novega, vendar je bila do sedaj omejena na enega od dveh možnih načinov. Ali so proizvajalci varnostnih rešitev omogočali deljenje podatkov med svojimi produkti oz. jih omogočili kupcem, ne pa tudi s preostalemu svetu, ali pa se je šlo bolj kot ne za ročno izmenjavo podatkov. Nekoč je to bilo morda dovolj, pri današnji hitrosti spreminjanja varnostnih groženj več ni. Zato so se vzpostavili odprti, na temelju sodelovanja komercialnih in nekomercialnih entitet upravljani projekti za vzpostavitev sistemov hitrega obveščanja o varnostni situaciji, v katerega se lahko enakopravno vklopijo vsi ponudniki in njihove rešitve. To so Trusted Automated Exchange of Indicator Information (TAXII), Cyber Observable Expression (CybOX) ter Structured Threat Information Expression (STIX).

TAXII je nabor specifikacij za izmenjavo varnostnih podatkov, ki opredeljuje:

  • načine izmenjave, na primer peer-to-peer ali iz centralne organizacije do vseh naročnikov, ter
  •  storitve za premikanje informacij v načinih push /pull, za zbiranje in naročanje na zbirke informacij, ter postopke za odkrivanje in naročanje na storitve.

CybOX opredeljuje enotna strukture za predstavljanje zbranih podatkov na primer v obliki sporočila elektronske pošte, MD5 izračuna datoteke, podatkovnega prometa do določenega mrežnega naslova, procesa, URI itd.

STIX je definicija jezika, katerega morajo na primer s pomočjo skript razumeti rešitve klasičnih varnostnih ponudnikov, namenjen pa je izmenjavi varnostnih podatkov v obliki objektov, ki so:

  • Observable,
  • Indicator,
  • Incident,
  • Tactics, Techniques and Procedures (TTPs),
  • Exploit Target,
  • Course of Action (COA),
  • Campaign,
  • Threat Actor.

Podrobnosti si lahko preberete na straneh:

https://cyboxproject.github.io/

https://stixproject.github.io/

https://taxiiproject.github.io/

Projekte podpirajo tudi na primer ponudnik naprednih varnostnih rešitev FireEye ter vladne ustanove ZDA.

ArcSight ESM Activate Threat Intelligence

Dober SIEM je sestavljen iz logike in vsebine, še boljši ima veliko vsebine že pripravljene s strani proizvajalca ali uporabniških komun. Kaj je vsebina oz. kako poimenujemo njene komponente se lahko razlikuje od proizvajalca do proizvajalca, običajno so to za pogoste ali trendovske primere rabe pripravljeni filtri, iskanja, korelacije, poročila, grafikoni, preglednice, pretočni kanali za prikazujejo sproti prihajajočih relevantnih dogodkov itd.

ArcSight SIEM (ESM) je nekoč imel vso vsebino vgrajeno v produkt, ki je prišel do uporabnika. Vendar je proizvajalec ugotovil, da to ni dobro, saj se je dogajalo, da so bili uporabniki preveč obremenjeni s količino funkcionalnosti in se nikakor niso mogli odločiti kje začeti, ali pa so aktivirali preveč vsebine in se tem preobremenili napravo ali sami sebe z rezultati. To je slabo vplivalo na produktivnost SIEM-a.

ArcSight SIEM je sedaj že nekaj let originalno po namestitvi brez vsebine, le ta je bila premaknjena v module poimenovane Activate Framework. To so za posamezne primere uporabe (Use Cases) sestavljeni paketi vsebinskih elementov, katere lahko licencirani uporabniki brezplačno namestijo s spletnega mesta ArcSight Marketplace. Na ta način lahko kupci aktivirajo samo vsebino, ki jo potrebujejo, takrat, kadar jo potrebujejo.

Activate Threat Intelligence je taka vsebina, pravzaprav se gre za dva vsebinska paketa, pri ArcSight vsebinskih paketih je namreč navada, da sta za vsak primer rabe dva paketa, osnovni – Level 1, ter napredni – Level 2, tako lahko še bolj postopoma oz. po potrebi širimo zmogljivosti svoje rešitve.

L1-Threat Intelligence – Indicators and Warnings

Osnovni vsebinski paket je namenjen zbiranju in prikazovanju informacij pridobljenih iz javnosti dostopnih virov podatkov o kibernetičnih grožnjah. Podprti izvori podatkov so že zgoraj omenjeni STIX/TAXII, CIF ter Ransomware Feeds v obliki CSV datotek. Gre se torej za polnjenje, spremljanje in prikazovanje groženj, ne v organizaciji, temveč globalno. Glavni primeri uporabe so:

  • Polnjenje SIEM baze (Threat Model) s podatki iz različnih virov obvestil o informacijskih grožnjah.
  • Obogatitev (enrichment) dogodkov s tako zbranimi podatki.
  • Vizualizacija in poročanje o globalni kibernetski ogroženosti.
  • Zaznavanje grožnje tipa HIDDEN COBRA.

Ta vsebinski paket je osnova za naprednega, ki povezuje tako zbrane globalne podatke in interno zbrane podatke o dogodkih znotraj organizacije.

L2-Threat Intelligence – Situational Awareness

Ta vsebinski paket je nadgradnja osnovnega vsebinskega paketa o ogroženosti, ki dopolnjuje rešitev z povezovanjem – korelacijo – zbranih informacij o globalni ogroženosti z dogodki v lokalnem omrežju in potem s poročanjem ter opozarjanjem na izmenjava podatkov s sumljivimi entitetami.

Glavna primera rabe sta dva.

1. Zaznavanje sumljive aktivnosti

  • Zaznavanje izmenjave podatkov med internimi sistemi organizacije in eksternimi sumljivimi IPji ter URLji. ESM zmore šteti ponavljajoče se dogodke in opozarjati na nove incidente. Notranji sistem se v modelu omrežja označi kot potencialno ogrožen.
  • Anonimizacija – ESM opozori analitika na prihajanje podatkov iz sumljivega izvora z indikatorjem anonimnosti.
  • Nevarno brskanje po svetovnem spletu – ESM sproži alarm, če zazna spletni promet z lokacijami, ki se pojavljajo v podatkih globalne ogroženosti.
  • Phishing – ESM lahko generira alarme, če zazna prihajajoči promet iz sumljivih virov, ki so v globalnih podatkih ogroženosti označeni z ustreznim indikatorjem da so lahko izvori nevarnih sporočil e-pošte.
  • Command & Control – ESM opozarja na izmenjavo informacij z lokacijami, katere globalne informacije opredeljujejo kot nadzorne centre škodljivih omrežij in programov.
  • DNS povpraševanja po škodljivih sistemih – ESM opozarja na izmenjavo podatkov s sumljivimi sistemi na komunikacijskem vratih št. 53.
  • Vohunjenje – ESM opozarja na promet sprožen s strani sumljivih izvorov z ustreznim indikatorjem.
  • Skeniranje komunikacijskih vrat – ESM sproži alarm, če zazna v roku ene minute vsaj 5 iz sumljivih izvorov prihajajočih paketov do različnih komunikacijskih vrat iste tarče.
  • Skeniranje sistemov – ESM sproži alarm, če zazna v roku ene minute vsaj 5 iz sumljivih izvorov prihajajočih paketov do istih komunikacijskih vrat različnih tarče.
  • Zaznavanje Ransomware-a – ESM sproži alarm, če zazna komunikacijo iz sumljivih izvorov z ustreznim tipom indikatorjev, ki opredeljujejo morebitno okužbo s škodljivo kodo tipa Ransomware.
  • Zaznavanje sumljivih datotek – ESM sproži alarm, če se je zaznal prenos datoteke, katere MD5 vrednost se pojavlja v globalnih podatkih kibernetske ogroženosti.

2. Prepoznavanje internih sredstev v javnih podatkih informacijske ogroženosti

ESM prepozna interne sisteme, ko se v dnevniških zapisih pojavijo v revizijski sledi izmenjave podatkov. Nato lahko interne sisteme korelira z podatki iz globalnih baz informacijske ogroženosti in takoj opozori na to. Kajti to je lahko za podjetje zelo slabo, namreč da se po svetu širijo informacije, da je eden od sistemov podjetja zlorabljen in celo nevaren za vse druge.

 

Written/translated by: Robert Lubej, R&D Director at REAL security