Naraščajoča potreba po hitri izmenjavi ključnih informacij za zaščito sistemov je prisotna v mednarodni ter posledično tudi slovenski kibernetski skupnosti. Hiter prenos informacij o kibernetskih grožnjah, njihova samodejna obdelava in učinkovitejša zaščita omrežij so danes predpogoj za zagotavljanje kibernetske varnosti. Veliko varnostnih strokovnjakov išče rešitve za pridobivanje informacij prek javnih in plačljivih virov, ki oskrbujejo ključne sisteme v omrežju z najnovejšimi tveganji v kibernetskem prostoru. Kot vedno pa obstajajo alternativne možnosti, ena izmed njih je razvita v okviru več kot desetletja starem projektu Malware Information Sharing Platform (v nadaljevanju MISP).
Uporaba MISP v Sloveniji
Stičišče MISP v Sloveniji upravlja Nacionalni odzivni center za kibernetsko varnost SI-CERT, ki širi zavedanje o pomembnosti izmenjave informacij med lokalnimi deležniki ravno prek platforme MISP. Zgodba uporabe platforme MISP je na SI-CERT stara skoraj deset let; posledično je v tujini izmenjava kibernetskih groženj prek platforme že dodobra razširjena in velja za nujnost v okoljih, kjer se ukvarjajo s preučevanjem ali omejevanjem kibernetskih groženj. Informacije o kibernetskih grožnjah, izmenjane s tujimi deležniki, so doprinesle k obogatitvi marsikatere preiskave, ki jo je vodil SI-CERT in prinesle ključne informacije za ugotavljanje vzrokov in boljšo zaščito pred kibernetskimi grožnjami. Uporabnost platforme temelji ravno na široki skupnosti uporabnikov, ki redno nesebično delijo podatke o odkritih grožnjah v svojih omrežjih. Sodelujejo z zavedanjem, da je le na tak način mogoče ustvariti širšo zgodbo iz ugotovljenih analiz incidentov in dogodkov, saj je tudi v tem primeru zgolj vzpostavitev skupne obrambe najboljša rešitev za zaščito pred kibernetskimi napadi. SI-CERT spodbuja uporabo podatkov, ki so deljeni na platformi, kot tudi dodajanje informacij, zaznanih v omrežjih povezanih organizacij. Takšno solidarno delovanje bo prineslo lažje razumevanje o razširjenosti kibernetskih groženj in dodatno obogatilo vedenje o grožnjah samih.
Izmenjava podatkov z mednarodnimi partnerji
Izmenjava podatkov z mednarodnimi partnerji poteka prek MISP povezav, ki obsegajo bogat nabor virov informacij: med njimi je sodelovalno okolje za izmenjavo groženj v okviru ENISA CSIRTs Network (mreža evropskih odzivnih centrov) ter evropska kontrola zračnega prometa EATM-CERT, če izpostavimo le nekaj priznanih partnerjev. Potem so tu še neposredne izmenjave s priznanimi deležniki, med drugim CIRCL in CERT-EU. Na mednarodnem nivoju poteka izmenjava prek svetovnega združenja odzivnih skupin FIRST. Vsi ti viri informacij o kibernetskih grožnjah zagotavljajo Nacionalnemu odzivnemu centru SI-CERT širšo sliko svetovnih kibernetskih groženj.
Prednosti vključitve na MISP platformo
V slovenskem prostoru že poteka izmenjava informacij s posameznimi deležniki prek platforme MISP. Ti z vključitvijo pridobijo dragocene podatke, ki jim, v povezavi s sistemom za pregled in zbiranje varnostnih informacij SIEM, omogočajo boljšo varnost nadzorovanih omrežij. Prednost tovrstne povezave je tudi hipna pridobitev podatkov o grožnjah, v primerih groženj, vnesenih s strani SI-CERT, celo hitreje kot prek drugih, morda plačljivih seznamov, saj pri predaji informacij ni vpletenih posrednikov in nepotrebnega preverjanja. Atributi, deljeni prek MISP namreč lahko vsebujejo oznako, ki opredeljuje indikatorje okužbe oz. t.i. IoC podatke kot primerne za omrežno pregledovanje in blokiranje. Tako lahko v primeru zaznanih korelacij s podatki, pridobljenimi s pomočjo MISP, ugotovijo sum na morebitne varnostne grožnje znotraj omrežja ali okužene delovne postaje. Če organizacija sama s preučitvijo varnostnega incidenta pridobi t.i. IoC podatke, lahko le-te vnese v MISP in jih tako deli z skupnostjo. Deljenje je lahko omejeno na posamezno skupino organizacij ali na priključene MISP platforme. MISP omogoča deljenje t.i. taktik, tehnik, postopkov oz. TTPs, ter tako omogoča poglobljen vpogled v deljen dogodek. Mogoče je izdelati časovnico pojavitve posameznih atributov, vzpostavitev relacij med atributi, povezovanje atributov v objekte, dodajanje besedilnega opisa dogodku, … V okviru EU projekta CyberSEAS, kjer sodelujejo tudi partnerji iz Slovenije, bo razvit poseben MISP objekt, ki bo omogočal opis incidenta v skladu s slovenskim postopkom prijave. Tako bo v okviru projekta predstavljena tudi rešitev prijave incidentov prek MISP.
Kako izvesti priklop na platformo MISP?
Vsa vprašanja, povezana s priklopom na MISP, naslovite na info@cert.si
Trenutno je kriterij upravičenosti dostopa do platforme omejen na zavezance, kot jih opredeljuje Zakon o informacijski varnosti. Vnaprej pojasnjujemo, da SI-CERT ne more nuditi tehnične podpore za namestitev in upravljanje sistema pri zavezancih.
Prosto dostopne informacije o kibernetskih tveganjih in grožnjah
Slovenskim uporabnikom, ki želijo zgolj izboljšati varnost svojih omrežij na način, da obogatijo nabor indikatorjev zlorab, je na voljo izvoz MISP podatkov. Le-ta je na voljo širši javnosti, saj zanj ni potrebno vzpostaviti MISP povezave. Podrobnosti so opisane na naši strani https://www.cert.si/informacije-za-zascito-sistemov/
Prek izvoza podatkov v MISP združljivi obliki SI-CERT podaja zgolj svoje ugotovitve, denimo informacije o opaženih škodljivih priponkah, phishing straneh, opisne podatke o vzorcih škodljive kode ipd… Slabost predmetnega izvoza je izvzem informacij, pridobljenih od drugih MISP deležnikov, kot tudi odstranitev neposrednih vzorcev škodljive kode, ki omogočajo nadaljnjo analizo organizacijam, ki si tega želijo.
S promocijo platforme MISP odzivni center SI-CERT tako aktivno sodeluje pri izmenjavi informacij o kibernetskih tveganjih in grožnjah. S platformo tudi aktivno postavlja nove mejnike varnosti v slovenskih omrežjih ter podaja informacije, ki lahko z ustrezno implementacijo pomagajo vsem državljanom.
Deljenje informacij je ključnega pomena za boljšo zaščito posameznikov in izboljšanje stanja kibernetske odpornosti Slovenije. Zavedati se moramo, da kibernetska varnost ni naloga enega oddelka znotraj podjetja ali ene organizacije znotraj države, saj se kibernetske grožnje ne ustavijo na nacionalnih mejah. Kibernetska varnost zadeva vse – Cyber Security Is Everyone’s Business, in najti učinkovit odziv na kibernetske grožnje je globalni izziv naše dobe.