По заключению экспертов, к настоящему времени в мире в основном завершено построение ИТ-инфраструктуры и для ИТ-сообщества наступила пора сосредоточиться на проблемах защиты обращающейся в ней информации.
Как отметил на недавно прошедшем в Москве очередном форуме “Технологии безопасности” генеральный директор итальянской компании DFLabs Дарио Форте, в современных условиях критически важным для успешного противодействия киберугрозам ИБ-специалисты разных стран признают сокращение времени реагирования на кибератаки, налаживание приемлемого для всех участников процесса противодействия киберугрозам информационного обмена и организацию борьбы с целенаправленными многоплановыми и продолжительными по времени действия угрозами (так называемыми Advanced Persistent Threats).
В свою очередь, среди наиболее важных аспектов в обмене данными при расследовании ИБ-инцидентов называются: ограничения, связанные с конфиденциальностью (по соображениям обеспечения национальной безопасности, сохранения коммерческих секретов и т. п.) подлежащих передаче данных; различия в национальных оценках и критериях конфиденциальности данных; несогласованность между участниками обмена в требованиях к представлению данных с позиций конфиденциальности; отсутствие гарантированного соответствия национальным законам при трансграничном взаимодействии.
По мнению г-на Форте, чтобы учесть эти аспекты, ИБ-специалистам разных стран предстоит решить ряд важных технологических и организационных задач, таких как преодоление языковых барьеров, различие в используемых киберкриминалистами технологиях и процедурах, в форматах представления подлежащей передаче информации (которая к тому же в данном случае практически всегда является конфиденциальной).
Группа специалистов сообщества Internet Engineering Task Force (IETF) разработала документ Incident Object Decription Exchange Format (IODEF), который существует ныне в статусе рабочего предложения (RFC) этого сообщества. Документ с помощью XML-структур описывает представление данных, обычно используемых в информационном обмене по поводу ИБ-инцидентов. IODEF, по словам г-на Форте, помогает автоматизировать информационный обмен об ИБ-событиях силовым службам, гражданским организациям и группам ИБ-специалистов без опасений нарушения условий конфиденциальности передаваемых сведений.
Предложения, содержащиеся в документе IODEF, по мнению г-на Форте, хорошо ложатся в основу систем управления расследованиями ИБ-инцидентов, которые учитывают требования специалистов к консолидации данных об ИБ-инцидентах, их ранжированию, временной и пространственной реконструкции развития кибератак и оперативности реагирования на них. Эти системы могут работать как самостоятельно, помогая, например, в работе группам по реагированию на инциденты информационной безопасности (Computer Security Incident Response Teams),так и входить в состав центров оперативного управления ИБ (SOC) разного масштаба — корпоративных, региональных, национальных.
В качестве примеров практического использования стандарта г-н Форте сослался на опыт служебного обмена данными между соответствующими структурами в рамках действующей между США и странами ЕС Конвенции по борьбе с киберпреступностью, сокративший время обмена с недель до минут, упомянул организованную с помощью стандарта Федеральным бюро расследований США автоматизацию сбора данных о ИБ-инцидентах и оперативного пресечения их последствий в медицинских учреждениях страны, на опыт итальянской частной компании, массово обслуживающей снабженные IP-адресами электронные электросчетчики домовых хозяйств и организаций.
Со своей стороны руководитель отдела реагирования на ИБ-инциденты российской компании Group-IB Алексей Кузьмин сообщил об использовании стандарта IODEF для консолидации, нормализации, систематизации данных и налаживанию оперативного информационного обмена, который его компания организует при взаимодействии с коллегами в ходе расследования компьютерных преступлений.