ПРИМЕНЕНИЕ ТЕХНОЛОГИИ РАСПРЕДЕЛЕННОГО РЕЕСТРА В СИСТЕМАХ THREAT INTELLIGENCE
ПРИМЕНЕНИЕ ТЕХНОЛОГИИ РАСПРЕДЕЛЕННОГО РЕЕСТРА В СИСТЕМАХ THREAT INTELLIGENCE
Научная статья
Семиков В.С.1, *, Команов П.А.2, Тавасиев Д.А.3, Ревазов Х.Ю.4
1 ORCID: 0000-0001-6870-0562;
1, 2, 3, 4 Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, Санкт-Петербург, Россия
* Корреспондирующий автор (2f3h[at]mail.ru)
АннотацияВ статье рассматриваются возможности применения сети блокчейн для доставки информации об угрозах в системах threat intelligence. Упоминаются наиболее распространённые инструменты служащие средством сбора данных об угрозах. Приводятся примеры успешного внедрения технологии распределённого реестра в других областях таких как: медицина, экономика, автомобилестроение. Описывается актуальность данной тематики в условиях российского рынка. Так же предлагаются показатели качества для подобных систем и формулы для их расчёта.
Ключевые слова: киберразведка, блокчейн, распределённый реестр, смарт-контракт, киберугрозы.
APPLICATION OF DISTRIBUTED REGISTER TECHNOLOGY IN THREAT INTELLIGENCE SYSTEMS
Research article
Semikov V.S.1, *, Komanov P.A.2, Tavasiev D.A.3, Revazov H.Yu.4
1 ORCID: 0000-0001-6870-0562;
1, 2, 3, 4 Saint-Petersburg National Research University of Information Technologies, Mechanics and Optics,
Saint-Petersburg, Russia
* Corresponding author (2f3h[at]mail.ru)
AbstractThe paper considers the possibilities of the use of the blockchain network to deliver information about threats in threat intelligence systems. The most common tools that serve as a means of collecting threat data are mentioned here. The examples of successful implementation of distributed ledger technology in other areas such as medicine, economics, and automotive are also given. The authors describe the relevance of this topic in the Russian market and also offer Quality indicators for similar systems and formulas for their calculation.
Keywords: cyber intelligence, blockchain, distributed registry, smart contract, cyber threats.
ВведениеДля компаний, имеющих большое количество конфиденциальных данных, Threat intelligence является необходимым компонентом защиты от кибератак, потому что помимо существующих мер, реализующих защиту от уже известных уязвимостей, приходится искать новые угрозы и устранять их до того, как они нанесут вред [10]. Актуальность информации, предоставляемой фидами, имеет высокую степень важности, но существующие способы доставки информации не обладают высокой скоростью и надежностью, поэтому в качестве средства доставки информации об угрозах предлагается использовать сеть блокчейн.
Технология распределенного реестра привлекла к себе внимание общества благодаря тому, что её применили при создании криптовалют. Постепенно криптовалюты стали менее обсуждаемыми и распределенному реестру нашли множество различных применений за пределами финансовой сферы. Эта технология может найти широкое применение в различных сферах промышленности, благодаря своей устойчивости к фальсификации данных и возможности отслеживания операций над ними.
Блокчейн дает возможность создать систему хранения документов, в которой будут сохраняться все операции, производимые над данными, благодаря «умным контрактам» она будет способна контролировать ход выполнения условий договора самостоятельно, без участия третьих лиц, и только при условии выполнения необходимых событий производить оплату, а затем передавать право собственности на предмет сделки [6]. Пример внедрения подобной технологии продемонстрировал Японский технологический конгломерат Hitachi, запустив созданный с использованием стартапа Hyperledger Fabric комплекс, объединённый с технологией биометрической верификации Hitachi и купонной системой KDDI. Целью является упрощение использования купона для конечного пользователя оплата услуг и верификация платежей с помощью отпечатка пальца. Технология распределенного реестра в этом проекте применяется для верификации транзакций пользователей.
Блокчейн также применим в медицинской сфере [7]. В 2017 году крупные фармацевтические конгломераты Pfizer и Genentech объявили о создании блокчейн-проекта MediLedger. Он основан на платформе Quorum, базирующейся на Ethereum [1]. Цель создания блокчейна — перекрыть поддельным товарам доступ к поставкам.
Смарт-контракты, используемые совместно с блокчейн технологией, позволяют вести электронную торговлю и обмен при выполнении сторонами определенных условий, прописанных в смарт-контракте в виде кода на одном из языков программирования [4]. Это необходимо для автоматической проверки условий и исключения посредников из сделки, что позволяет сэкономить время и деньги. В настоящий момент Ethereum наиболее известная платформа, позволяющая использовать смарт-контракты.
Применение распределенного реестра актуально для повышения кибербезопасности благодаря прозрачности транзакций и необратимости изменений [8]. Определение его как сквозной технологии в приложении № 5 к протоколу заседания правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности от 25 декабря 2018 г. № 1 повышает востребованность данной технологии на глобальном рынке.
В сфере TI существуют различные ресурсы, предоставляющие доступ к данным о новых киберугрозах. Часто - это базы данных содержащие векторы атак, а также базы содержащие стратегии получения несанкционированного доступа потенциальными злоумышленниками.
В качестве примера рассмотрим Maldatabase. Это база данных в которой собрана информация о вредоносном ПО и процессах, выполняемых вредоносными программами. Данные предоставляются в виде файлов распространённых форматов для дальнейшего использовать их средствами визуализации или машинного обучения.
Ещё одним образцом системы сбора информации в области TI является сеть Honey pot состоящая из специальных серверов служащих приманкой для злоумышленников [5]. Сеть собирает информацию о средствах, которые используют для получения несанкционированного доступа к данным и о стратегии потенциальных нарушителей. Основываясь на этих данных в дальнейшем можно разрабатывать эффективные меры противодействия для защиты реальных бизнес структур. Информация, собираемая сетью доступна в HoneyDB являющейся агрегатором данных.
Подобное применение распределенного реестра предложено в статье «A new type of blockchain for secure message exchange in VANET». В ней рассматривается вариант использования сети блокчейн как средства доставки информации в специальной сети для автомобильных дорог VANET [2]. За счёт этой технологии авторы предлагают решить проблемы верификации данных, а также несанкционированного доступа к ним.
Результаты и обсуждение
Системы Threat intelligence используют для анализа информацию, получаемую от различных поставщиков, включающую в себя IoC и данные о поведении злоумышленников [3]. Впоследствии они обрабатываются автоматическими системами на основе искусственных сетей нейронов и экспертных систем. Отчеты, составленные по этим материалам, предоставляются их потребителям, таким как команды, реагирующие на обнаруженную уязвимость и начальство следящее за проделанной работой. При помощи блокчейна возможно создать систему, увеличивающую эффективность этих этапов, благодаря повышению доступности информации об угрозах за счет её репликации на узлах сети, а также возможности проводить автоматические сделки по обмену материалами внутри сети. Противоположной тенденцией является использование сторонних компаний, предоставляющих уже отобранные и обогащенные данные пригодные для дальнейшего анализа. Такой подход является хорошим решением для выявления угроз критичных в узкопрофильных компаниях, потому что позволяет выявить критичные для их области угрозы.
Для систем Threat intelligence одним из наиболее важных параметров является время, затрачиваемое на обнаружение уязвимости или её быстродействие. Этот показатель является важным, потому что необходимо отреагировать на уязвимость прежде чем ей воспользуется злоумышленник.
Следующим по значимости параметром является количество обработанных индикаторов угроз за заданный промежуток времени. Этот показатель отвечает за общую эффективность системы. На этот параметр могут оказывать влияние вычислительные мощности, предоставленные системе.
Точность системы можно определить, как отношение количества ложных срабатываний к общему числу срабатываний. Этот показатель качества способствует оценке системы по полученным результатом и является средством контроля производительности.
Среднее количество индикаторов компрометации, используемое для обнаружения угрозы. Этот параметр может сильно отличаться в зависимости от качества предоставляемых системе данных поэтому относится к незначительным.
Обнаружение уязвимости сложный процесс состоящий из следующих этапов: сбор информации об угрозах из различных источников, обогащение необходимой информацией, анализ полученных знаний. Первый этап заключается в поиске и выборе платформ предоставляющих данные об индикаторах угроз, поиске общедоступных сетей собирающих данные о поведении злоумышленников, сетей приманок. При помощи сети блокчейн можно автоматически собирать такие данные и в любой момент проверить их достоверность [9]. Это упростит их получение и сократит затраты времени на первый этап.
Для эффективной оценки качества разрабатываемой системы необходимо измерить время прохождения каждого из этапов используя контрольные данные подаваемые на вход. Следовательно, измерение быстродействия системы Threat intelligence можно свести к получению метрик обнаружения уязвимостей. Тогда формула определяющая быстродействие системы будет выглядеть следующим образом:
(1)где T1 - время затрачиваемое на сбор индикаторов угроз;
T2 - время затрачиваемое на обогащение данных дополнительной информацией об угрозах;
T3 - время затрачиваемое на анализ полученных знаний.
Показатели времени прохождения каждого из этапов предполагается собирать при помощи программных средств таких как библиотеки логирования.
Для того, чтобы рассчитать точность, необходимо измерить количество ложных срабатываний и общее количество найденных угроз. Затем нужно использовать формулу:
(2)где Q - общее количество срабатываний;
Qf - количество ложных срабатываний.
Заключение
В этой работе предложено использовать блокчейн, как средство доставки валидации и верификации данных о киберугрозах. Рассмотрены существующие возможности применения технологии блокчейн и актуальность данной тематики. Предложены показатели качества для систем threat intelligence использующих технологию распределенного реестра в качестве средства доставки информации об угрозах. Приведены формулы для расчёта показателей качества.
Конфликт интересов Не указан. | Conflict of Interest None declared. |
Список литературы / References
- Pustisek M. Approaches to Front-End IoT Application Development for the Ethereum Blockchain / M. Pustisek, A. Kos // Elsevier – – Vol. 129 – P. 410-419. doi:/10.1016/j.procs.2018.03.017
- Rakesh S. A new type of blockchain for secure message exchange in VANET / S. Rakesh, R. Bajracharya, A. P. Shrestha, N. Y. Seung // Digital Communications and Networks – doi:/10.1016/j.dcan.2019.04.003
- Chiba D. DomainChroma: Building actionable threat intelligence from malicious domain names / D. Chiba, M. Akiyama, Y. Takeshi, K. Hato, T. Mori, S. Goto // Elsevier August – – Vol. 77 – P. 138-161. doi:/10.1016/j.cose.2018.03.013
- Tapscott D. Blockchain Revolution: How the Technology Behind Bitcoin is Changing Money, Business, and the World. / D. Tapscott, A. Tapscott // Portfolio, 2016 – 368 p.
- Hong J. Research on Network Defense Strategy Based on Honey Pot Technology / J. Hong, Y. Hua // IOP Conference Series: Materials Science and Engineering. – 2018. – 315 – P. 227–233. doi:/10.1088/1757-899X/322/5/052033
- Skinner C. ValueWeb: How Fintech Firms are Using Bitcoin Blockchain and Mobile Technologies to Create the Internet of Value. / C. Skinner // Marshall Cavendish International (Asia) Pte Ltd, 2016 – 424 p.
- Brogan J. Authenticating Health Activity Data Using Distributed Ledger Technologies / J. Brogan, I. Baskaran, N. Ramachandran // Computational and Structural Biotechnology Journal – 2018. – 16 – P. 257-266. doi:/10.1016/j.csbj.2018.06.004
- Chen J. Algorand: A secure and efficient distributed ledger / J. Chen, S. Micali // Elsevier – 2019 – 777 – P. 155-183. doi:/10.1016/j.tcs.2019.02.001
- Zhang S. Analysis of the main consensus protocols of blockchain / S. Zhang, J. H. Lee // Elsevier – 2019 – 17 – P. 122-134. doi:/10.1016/j.icte.2019.08.001
- Noor U. A machine learning framework for investigating data breaches based on semantic analysis of adversary’s attack patterns in threat intelligence repositories / U. Noor, Z. Anwar, A. W. Malik, S. Khan, S. Saleem // Elsevier June – 2019 – 95 – P. 467-487. doi: /10.1016/j.future.2019.01.022