Taxonomie pro bezpečnostní incidenty, aneb „je to kočka nebo pes?“

28. 2. 2018
Doba čtení: 3 minuty

Sdílet

Bezpečnostní týmy (CSIRT, CERT,…) pro klasifikaci bezpečnostních incidentů často používají své vlastní, mnohdy velmi rozdílné, taxonomie. Komunikace o incidentech tak bývá složitá. Snad ale svítá na lepší časy.

Snad každá organizace, která má vyspělejší proces pro detekci a řešení bezpečnostních incidentů, incidenty také klasifikuje. Pro organizace spadající pod působnost zákona o kybernetické bezpečnosti jsou typy incidentů, které musí organizace rozeznávat, definovány v prováděcí vyhlášce (v rámci novelizace VKB zde však zřejmě dojde ke změně). Pokud požadavek na konkrétní taxonomii (klasifikaci) dané organizaci neurčuje právní předpis ani jiný standard, je pouze na jejím uvážení, jaké kategorie bude pro klasifikaci bezpečnostních incidentů užívat.

Vzhledem k tomu, že každá organizace má specifické bezpečnostní potřeby, v rámci Evropy (a potažmo celého světa) vytvořilo mnoho organizací, resp. jejich bezpečnostních týmů, bezpočet různých taxonomií, které jsou si mnohdy poměrně vzdálené. Výměna konkrétních i statistických informací o incidentech mezi jednotlivými týmy je v popsaném prostředí z uvedených důvodů často relativně náročná, zejména při automatizovaném zpracování příchozích informací o incidentech.

V současnosti bývá jako základ pro tvorbu interních taxonomií zejména v Evropě nejčastěji užívána taxonomie eCSIRT.net (aktuálně ve verzi eCSIRT.net mkVI). Ta obsahuje jedenáct hlavních kategorií, umožňujících na vysoké úrovni abstrakce definovat typ incidentu (např. „Malicious code“), a jeden nebo více příkladů – de facto podkategorií – pro každou z nich (např. „Rootkit“ nebo „Worm“). Ne vždy je však uvedená taxonomie výchozím bodem a i v případě, kdy ano, většina týmů si jednotlivé kategorie a zejména podkategorie dále upravuje a doplňuje (někdy i o další úrovně) tak, aby plně vyhovovaly jejich prostředí, což způsobuje, že reálně používané taxonomie jsou mnohdy vzájemně jen špatně mapovatelné.

Aby však byly bezpečnostní týmy schopny „hovořit stejnou řečí“, je nezbytné, aby jejich interně používané taxonomie byly buď přímo kompatibilní, nebo alespoň mapovatelné na určitou univerzální/referenční taxonomii. Stejný požadavek je nutné klást i na komunikaci bezpečnostních týmů s policií a dalšími bezpečnostními orgány v různých státech. Pro tuto oblast proto byla na úrovni EU v loňském roce vytvořena taxonomie s názvem Common Taxonomy for Law Enforcement and CSIRTs, která by měla komunikaci mezi bezpečnostními složkami a CSIRT týmy ohledně incidentů usnadnit. Pro oblast obecné výměny informací o incidentech mezi samotnými bezpečnostními týmy však takový nástroj dosud chyběl.

V rámci 51. setkání TF-CSIRT – fóra sdružujícího CSIRT týmy na úrovni Evropy – v květnu 2017 v Haagu se po diskuzi uvedené problematiky přítomní usnesli na potřebě vytvoření taxonomie, která by mohla sloužit jako referenční rámec pro všechny týmy. V návaznosti na toto usnesení TF-CSIRT, ENISA (Agentura EU pro síťovou a informační bezpečnost) a některé další subjekty vytvořily pracovní skupinu s názvem Reference Incident Classification Taxonomy Task Force, která se problematikou má dále zabývat.

První zasedání této pracovní skupiny, jehož se účastnili i zástupci dvou českých týmů – Pavel Kácha za CESNET-CERTS a má maličkost za ALEF-CSIRT – proběhlo v rámci 52. setkání TF-CSIRT ve Stockholmu o čtyři měsíce později, a druhé pak v lednu tohoto roku v Hamburku. Na základě těchto zasedání a diskuzí realizovaných v mezičase byla jako výchozí bod zvolena výše uvedená taxonomie eCSIRT.net mkIV, jejíž další úpravy a doplňování jsou nyní zvažovány.

bitcoin_skoleni

Důvodem pro zvolení právě této taxonomie jako výchozí pro další aktivity byla nejenom zmíněná skutečnost, že jde o základ mnoha aktuálně užívaných interních taxonomií, ale také fakt, že výše jmenovaná taxonomie pro výměnu informací mezi CSIRT týmy a bezpečnostními složkami je na ní založena (resp. vychází z taxonomie CSIRT.PT, která sama vychází z taxonomie eCSIRT.net – uvedený řetězec vhodně demonstruje, proč je nezbytné vytvořit jednu „standardní“ a obecně přijímanou referenční taxonomii a ne nekonečně taxonomie větvit). Právě zajištění kompatibility terminologie CSIRT týmů a bezpečnostních složek minimálně v rámci EU a získání schopnosti automatické výměny dat mezi nimi je také jedním z cílů jmenované pracovní skupiny.

Téměř aktuální stav aktivit Reference Incident Classification Taxonomy Task Force je možné najít v dokumentu, který ENISA publikovala 26. ledna tohoto roku. Obecně lze však říci, že přestože cesta ke splnění všech úkolů této skupiny zřejmě nebude nejlehčí, vzhledem ke konstruktivní spolupráci všech zapojených subjektů můžeme v dohledné době očekávat, že „standardizace“ referenční taxonomie by měla být dokončena. A automatizovaná výměna a zpracování informací o incidentech i vzájemné porovnávání nebo agregace relevantních statistik by měly být pro budoucnost o něco jednodušší.

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.