30 июня, 2017, BIS Journal №2(25)/2017

Мировые тренды информационной безопасности на службе финтеха


Ермаков Кирилл

директор по информационной безопасности (QIWI)

Сотрудники QIWI создали Vulners – бесплатную поисковую систему по источникам информации, связанным с анализом защищенности компьютерных систем. Она позволяет быстро, эффективно и, главное, объективно выявить тренды и основные тенденции в сфере ИБ


Как с годами меняется ситуация с хакерскими угрозами? Достаточно посмотреть на график роста угроз и уязвимостей за последние 20 лет, чтобы сделать прогноз на 2017 г. (рис. 1).


 
Рис. 1. График роста угроз и уязвимостей за последние 20 лет.

На этом фоне очевидно, что отследить все тысячи существующих уязвимостей и выявить среди них реально важные – сложно. Что такое современные информационные системы? Это миллионы строк чужого кода, всевозможные библиотеки, разнообразное программное обеспечение, это десятки разновидностей аппаратно-программных комплексов, на каждом из которых стоит своя операционная система и программное обеспечение различных версий. Как в такой ситуации проследить за всеми уязвимостями, принимая во внимание многочисленные источники? Возникла идея создать поисковую систему, которая позволит отделить зерна от плевел и интегрировать в нее систему обмена информацией, какую использует любой CERT. Создатели БД Vulners решили изучить поисковые запросы и проанализировать поведение большой массы людей, интересующихся вопросами ИБ, чтобы выявить что им реально важно, а что нет.
 
Vulners.com — это большая и непрерывно обновляемая база данных ИБ-контента, своеобразный технологический стартап, созданный сотрудниками компании QIWI в свободное от основной работы время. Это приложение позволяет искать уязвимости, эксплоиты, патчи, результаты bug bounty и многое другое так же как обычный поисковик ищет сайты. Vulners изначально задумывался как внутренний инструмент для QIWI – база данных уязвимостей, которая бы позволила быстро отслеживать появление новых угроз.
 
Созданная поисковая система Vulners агрегирует и представляет в удобном виде основные типы данных: 
  • бюллетени безопасности вендоров, в которых указаны выявленные уязвимости в поставляемых ими продуктах;
  • эксплойты из Exploit-DB, Metasploit и других крупных источников;
  • nessus-плагины – компоненты сканера для обнаружения уязвимостей;
  • cведения об исправленных ошибках в программах с сайтов bug bounty программ;
  • публикации на тематических ресурсах.
Таким образом, создатели Vulners объединили 69 различных источников информации об уязвимостях и эксплоитах. База данных Vulners содержит более 600 тыс. бюллетеней безопасности и является одним из крупнейших в мире хранилищ подобной информации с обновлениями в режиме реального времени. Физический объем БД небольшой для хранилища, компактность достигается за счет дедупликации и упаковывания. Vulners написан на Python с применением собственной оболочки поверх популярного фреймворка Django, для поиска используется база данных Elasticsearch, данные хранятся в формализованном виде, связи между ними устанавливаются автоматически. Vulners защищается WAF Wallarm, работающем в блокирующем режиме.
 
Нужна ли такая база данных уязвимостей? Как показывает статистика, в день фиксируется порядка 6 тыс. обращений об уязвимостях и патчах к ним, половина трафика идет из запросов поисковой системы Google. Как работает поисковая система в ее классическом виде? Пользователь заходит в поисковик, что-то ищет, просматривает и тем самым меняет метрики искомого контента внутри хранилища. Поисковая система корректирует поисковую выдачу. Получается замкнутый цикл оценки релевантности информации.
 
Создатели Vulners собирают математическую статистику на основе поисковых запросов, учитывают контент, переходы по ссылкам, просмотры… Все эти сведения, собранные и проанализированные в одном месте, формируют скоринг. Фактически, Vulners учитывает интерес пользователей своего сервиса, а также данные внешних ресурсов, например, TheHackerNews, которые ведут собственные рейтинги контента.
 
Кто пользуется базой данных уязвимостей? Все те, кому интересна и нужна информация об уязвимостях и эксплойтах. Около четверти всех запросов приходит из России, пятая часть – из США, еще 7% - из Индии. Все это видно на трендах. Построив систему замкнутой – аналогично Google, разработчики поисковика смогли увидеть, что на сегодня действительно интересно, а что – всего лишь информационный шум (рис. 2).


Рис. 2. Система с замкнутым циклом.
 
Предложенная разработчиками система анализа позволяет отслеживать действительно важные вещи. Всплеск популярности новости может быть кратковременным, однако если применить методы машинного обучения и анализа данных, то можно понять ее реальную ценность. Например, в октябре прошлого года вышел опасный эксплойт на уязвимость 2013 г. Своими силами отследить факт его появления можно, если тратить все время на чтение бюллетеней обновлений. Однако используя методы математического анализа можно определить, что вышло действительно важное обновление или пример использования уязвимости, его обнаружили и начали эксплуатировать множество пользователей.


Рис. 3. Специальный интерфейс на Vulners.
 
На рис. 3 приведен пример специального интерфейса на Vulners. (рис 12 презентации). Разработчики системы получают трендовую аналитику за последние 7 дней. По ней видно то, что действительно важно и на что нужно обратить внимание, а что – малозначительные события. (рис. 4). Слева – тот контент, который предлагается как трендовый. Справа – расшифровка уязвимости. Итоговый отчет формируется в файл .pdf.



Рис. 4. Взгляд изнутри. Слева - тот контент, который предлагается как трендовый. Справа - расшифровка уязвимости.
 
Как отмечают специалисты в области ИБ, инструменты, подобные системе информирования и раннего оповещения Vulners, удобны в качестве бесплатного сервиса для финансовых организаций. Унифицированный контент и встроенные сервисы, которые предоставляет Vulners, намного удобнее многочисленных сканеров информационной безопасности, так как позволяет получать моментальную реакцию на обновления данных.
 
Несмотря на то, что проект молодой – недавно ему исполнился год – он уже привлек свою немаленькую аудиторию. Среди наших пользователей, например, такие гиганты как Adobe и Wargaming. Благодаря тому, что этот инструмент экономит время при исследовании и эксплуатации сложных векторов атак, он становится все более популярным у сотрудников отделов информационной безопасности всего мира, в т.ч. в России и США. Инструмент Vulners продолжает развиваться, и я, как один из создателей этого поисковика, утверждаю, база данных всегда будет открытым и бесплатным для пользователей. 

 

Смотрите также

Ключ для ДБО

23 мая, 2017
Подпишись на новости!
Подписаться