ПРИМЕНЕНИЕ ПЛАТФОРМЫ TheHive, КАК ОДИН ИЗ МЕТОДОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Аннотация. В данной статье рассматриваются актуальные вопросы обеспечения информационной безопасности по средствам платформы TheHive, которая обеспечивает сбор, обработку и анализ сведений об инцидентах безопасности.

Ключевые слова: информационная безопасность, инцидент безопасности.

Современный мир просто невозможно представить без обмена информацией, использования и хранения данных, поэтому нельзя не заметить глобальный процесс информатизации, который затрагивает почти все сферы общества и порождает зависимость от неотъемлемого информационного пространства, играя весьма значимую роль в жизни каждого. Естественно данный процесс имеет и негативные стороны, которые сходятся в понятии информационная война. Данный фактор способствует необходимости рассмотрения термина “Информационная безопасность”. Информационная безопасность (далее ИБ) – это состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность [1]. В следствии необходимости защитить данные существует большое количество методов и средств, чтобы это обеспечить, например: нормативно-правовые, организационные, физические, программные. На последних остановимся поподробнее. Данными средствами могут служить:

• антивирусы;
• средства разграничения доступа;
• инструменты виртуализации;
• программные межсетевые экраны;
• DLP-системы;
• SIEM-системы.

Но, не стоит забывать, что данные средства по одиночке не могут обеспечить полную безопасность вашей информации, находящейся на устройстве, поэтому чаще всего они применяются совместно.

Каждая попытка нарушения информационной безопасности создает инцидент безопасности – событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ [2].

Рассмотрим платформу TheHive, которая работает на основе получения сведений об инцидентах информационной безопасности. TheHive – это масштабируемая бесплатная платформа, которая не оставляет без внимания инциденты безопасности 3-в-1 с открытым исходным кодом, имея большие возможности, данная платформа успешно используется SOC, CSIRT, CERT и других специалистов по информационной безопасности, работающих с инцидентами безопасности, возможности которых необходимо узнать и оперативно на них среагировать. Платформы TheHive и MISP успешно дополняют друг друга. Предоставляется возможность осуществить синхронизацию платформы с одним или несколькими экземплярами MISP, чтобы начать изучение событий MISP (рисунок 1). Результаты работы можно экспортировать как событие MISP, для осуществления взаимодействия с другими специалистами [3].

TheHive предоставляет множество возможностей, активно используясь специалистами в информационной безопасности:

• одновременность работы над инцидентом безопасности;
• разработка шаблонных действий;
• анализ событий безопасности.

Рассмотри каждый из них.

Одновременность работы над инцидентом безопасности предоставляет возможность реагировать сразу нескольким специалистам в режиме онлайн, успешно разбивая между собой задачи. При этом создаются мультитенантные среды, которые позволяют определить различные команды и задачи для каждой из них, также предоставляется возможность настройки ролей и разрешений.

Разработка шаблонных действий обеспечивает доступ к уже осуществлённым алгоритмам реагирования по данному типу инцидента. Каждый случай можно решить, используя механизм разбиения задач, и вместо того, чтобы добавлять каждый раз существующее решение TheHive предлагает использовать шаблонное. Платформа предоставляет полный доступ к документированным API для реализации рабочих процессов или разработки любых автоматизированных сценариев.

Анализ событий безопасности – платформа автоматически осуществляет анализ и идентифицирует наблюдаемые объекты, которые были обнаружены в ходе работы с предыдущими инцидентами безопасности, также данная возможность разрешает использовать функцию “Управление оповещениями”, которая позволяет осуществить настройку реагирования, определяя должен ли определенный инцидент отправлен на обработку или сразу отреагировать на него. В платформу также встроен механизм динамической панели мониторинга, который позволяет осуществлять сбор и сопоставление статистики по обращениям, задачам, метрикам для создания необходимых KPI и MBO [4].

Рассмотрим основные характеристик платформы:

• мультивладение;
• RBAC;
• аутентификация;
• интеграции.

Мультивладение обеспечивает поддержку сразу нескольких пользователей, при этом могут выполняться два режима: разрозненный, когда организациям не предоставляется возможность обмениваться данными и совместный, в этом случае организациям имеют возможность решать задачи реагирования на инцидент вместе, при этом их действия регламентируются механизмом настраиваемых пользователей (RBAC).

RBAC – механизм настройки ролей и разрешений. Платформа TheHive включает в себя базовые наборы разрешений:

• admin: полные административные права, отсутствие возможности управления решением задач по реагированию на инцидент безопасности;
• org-admin: имеет разрешение на управление пользователями и всей конфигурацией на уровне организатора, в отличие от роли admin, может редактировать задачи, решения, наблюдаемые инциденты безопасности, а также осуществлять запуск анализатора;
• analyst: предоставляется возможность создания и редактирования задач, наблюдений, а также имеет разрешение на запуск анализатора;
• read-only: имеет разрешение только на чтение информации о инцидентах безопасности и задачах.

Администратор платформы имеет возможность на создание новых профилей платформы.

Платформа поддерживает следующие механизмы аутентификации:

• локальный аккаунт: создаёт сеанс, если предоставленный логин и пароль или ключ API верны в соответствии с локальной базой данных пользователей;
• каталог active: использует Microsoft ActiveDirictory для аутентификации пользователей;
• LDAP: использует сервер каталогов для аутентификации пользователей;
• базовая аутентификация: аутентифицирует HTTP-запросы, используя логин и пароль;
• ключи API: Аутентифицирует HTTP-запросы с помощью ключа API, указанного в заголовке авторизации;
• OAUTH2: аутентифицируйте пользователя с помощью внешнего сервера проверки подлинности OAuth2;
• многофакторная аутентификация.

Возможность интеграции TheHive даёт возможность работать с другими платформами (рисунок 1):

• MISP;
• Cortex;
• DigtalShadows;
• Zerofox.

Рисунок 1. Схема интеграции платформы TheHive

Объединение с MISP позволяет импортировать события безопасности из одного или нескольких его экземпляров.

Взаимодействие с Cortex обеспечивает качественный анализ инцидентов безопасности.

TheHive, при взаимодействии с DigtalShadows и Zerofox, использует их как источник предупреждений, импортируя из них инциденты, полученные платформами, просматривая и преобразовывая их для дальнейшего анализа и реагирования [5].

Итак, TheHive – IRP-платформа с функциональными возможностями, которые необходимы для выполнения базовых задач управления инцидентами. Система достаточно гибкая для взаимодействия с продуктами, предназначенных для реагирования на инциденты безопасности. Платформа является оптимальным решением для обеспечения информационной безопасности, осуществляя сбор данных и проведение анализа, а также содержит в себе мощные модули реагирования на внешние воздействия на защищаемый объект.