Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



01.12.2022

Wyższy poziom programowania

Progress oferuje nowe narzędzia programistyczne: Progress Telerik, Progress Kendo UI i...
01.12.2022

Łączność w podróży

VMware SD-WAN VMware zaprezentował rozwiązanie SD-WAN nowej generacji, w tym nowego...
01.12.2022

Bezpieczne e-maile

Nowa aplikacja firmy Cypherdog Security Inc. umożliwia bezpieczną wymianę maili i...
01.12.2022

Pierwszy w branży

Schneider Electric wprowadza na rynek APC Smart-UPS Ultra. To pierwszy w branży...
01.12.2022

Przełączniki 10G dla MŚP

Nowe urządzenia to przełączniki 10G kompatybilne z systemem Omada SDN.
01.12.2022

Zarządzanie danymi

Firma Synology wprowadziła na rynek czterokieszeniowy DiskStation DS923+.
01.12.2022

Nowatorski system chłodzenia

OVHcloud zaprezentował nową, autorską technologię hybrydowego zanurzeniowego chłodzenia...
01.12.2022

Linia smart routerów

D-Link zaprezentował najnowszą rodzinę routerów Smart Wi-Fi z algorytmami sztucznej...
04.11.2022

Nowa platforma Red Hat

Nowa platforma Red Hat Enterprise Linux (RHEL) w wersjach 8.7 i 9.1 Beta obsługuje...

OpenCTI – zarządzanie informacją o cyberzagrożeniach

Data publikacji: 06-05-2022 Autor: Piotr Michałkiewicz

Duża liczba informacji pojawiających się w mediach dotyczących cyberzagrożeń jednoznacznie wskazuje, że nie jest to temat, który podczas planowania działań organizacji można po prostu pominąć. Ze względu na to, pojawia się coraz więcej pytań dotyczących zarządzania tymi informacjami.

 

Jedno z pytań dotyczy dostępności narzędzi, które mogłyby wspomóc organizacje w tego typu działaniach. Na rynku istnieje wiele rozwiązań komercyjnych, ale warto zwrócić uwagę na OpenCTI – bezpłatną dynamicznie rozwijającą się platformę do zarządzania, a także wymiany informacji o zagrożeniach. Została ona opracowana przez ANSSI (Krajowa Agencja Bezpieczeństwa Systemów Informatycznych we Francji) we współpracy z CERT-EU (Zespół reagowania na incydenty komputerowe w instytucjach, organach i agencjach Unii Europejskiej). Projekt rozpoczął się w 2018 r., a obecnie platforma ta jest zarządzana przez organizację non-profit Luatix (luatix.org), której głównym celem jest prowadzenie prac badawczo-rozwojowych w dziedzinie cyberbezpieczeństwa i zarządzania kryzysowego.
Warto też nadmienić, że platforma OpenCTI została zbudowana z wykorzystaniem znanych i szeroko wykorzystywanych aplikacji, takich jak Elastic, RabbitMQ czy Redis.


>Uruchomienie


W celu zapoznania się z platformą OpenCTI wystarczy wejść na stronę opencti.io, na której znajdują się m.in. dwa przyciski. Kliknięcie przycisku Download otwiera folder w serwisie GitHub. Zawiera on zasoby umożliwiające zainstalowanie od zera platformy OpenCTI na własnej maszynie produkcyjnej. Prześledzenie tej strony pozwoli zauważyć dynamikę zmian w rozwoju tej platformy.


Jeżeli nie chcemy przechodzić złożonego procesu instalacji, możemy kliknąć przycisk Demonstration. Pozwoli to na przejście do strony logowania w systemie Citeum, umożliwiającej dostęp do wersji demonstracyjnej OpenCTI. Logowanie jest możliwe po założeniu nowego konta lub za pośrednictwem kont w systemach Google, Facebook lub GitHub.


Chcąc jednak zacząć testowanie na realnych, a nie przykładowych danych, musimy zainstalować własną platformę OpenCTI. Na stronie github.com/OpenCTI-Platform/opencti, w sekcji Installation, mamy do wyboru cztery sposoby na samodzielne jej uruchomienie: możemy wykorzystać gotową maszynę wirtualną, użyć gotowych kontenerów i platformy Docker, zainstalować całość w chmurze przy użyciu technologii Terraform lub wykonać instalację ręczną poszczególnych komponentów wchodzących w skład platformy OpenCTI. Rekomendowana jest instalacja z użyciem Dockera, ale w takim przypadku i tak trzeba wcześniej przygotować maszynę, na której będziemy instalować OpenCTI. Gotowa maszyna wirtualna nieznacznie pozwoli na skrócenie tego procesu.


Dlatego też na potrzeby tego artykułu została użyta maszyna wirtualna, która działała na Ubuntu 21.10 (login: opencti, hasło: opencti) oraz wykorzystywała platformę OpenCTI w wersji 5.2.4. Po uruchomieniu maszyny wirtualnej, dostęp do platformy OpenCTI był możliwy przy użyciu przeglądarki internetowej pod adresem http://adresIPmaszyny:8080 i użyciu loginu: admin@opencti.io oraz hasła: admin. Po uruchomieniu maszyny wirtualnej należy uzbroić się w cierpliwość, uzyskanie dostępu do OpenCTI może zająć do kilku minut.


Mimo użycia maszyny wirtualnej z OpenCTI, miejmy świadomość, że „pod spodem” działają kontenery (w tym momencie Docker w wersji 20.10.12). Możemy się o tym przekonać po wpisaniu w przeglądarce adresu https://adresIPmaszyny:9443 oraz użyciu loginu: opencti i hasła: openctiopencti. Zostanie wówczas wyświetlone okno aplikacji Portainer, która ułatwia zarządzanie aplikacjami kontenerowymi. W aplikacji tej możemy zobaczyć jakich kontenerów używa w naszym przypadku platforma OpenCTI. Za jej pomocą będziemy także konfigurowali platformę OpenCTI.


>Środowisko


Po uruchomieniu OpenCTI możemy wyróżnić w oknie cztery obszary: lewe menu (główne), górne menu, obszar danych oraz obszar ikon, umieszczony w prawym górnym rogu okna. W przeciwieństwie do systemów, gdzie menu są rozwijalne, w OpenCTI zastosowano inne podejście. Wybranie pozycji w lewym menu powoduje zmianę górnego menu oraz obszaru z widokiem danych. W wielu przypadkach po wybraniu określonego obiektu w obszarze danych, np. raportu, zostaną wyświetlone informacje dotyczące danego raportu i jednocześnie zmieni się górne menu, udostępniając dodatkowe podmenu po znaku „>”. W dalszej części artykułu będziemy używać notacji „lewe menu / górne menu” przy wskazywaniu pozycji w menu, np. Analysis/Reports. Obszar ikon zawiera pole wyszukiwania dla całej platformy oraz przyciski definiowania panelu nawigacyjnego, przeprowadzania dochodzeń, importu danych oraz ikonę profilu użytkownika. W profilu użytkownika znajduje się bardzo istotna pozycja – klucz API. Jest on niezwykle istotny, jeżeli użytkownik będzie korzystał z dostępu do danych przy użyciu interfejsu API.


Po instalacji w ramach domyślnych ustawień otrzymujemy skonfigurowany pulpit nawigacyjny (Dashboard) oraz częściowe ustawienia parametrów w menu Data i Settings. Mimo skonfigurowania domyślnego pulpitu nawigacyjnego, umieszczone na nim widżety nic w tym momencie nie wyświetlają – są przygotowane na wyświetlanie danych, jak tylko się pojawią. Pulpitu domyślnego niestety nie można zmodyfikować. Górne widżety informują o liczbie: wszystkich dostępnych obiektów, utworzonych relacji, raportów oraz obiektów obserwowalnych (observables) na platformie. Obok tych wskaźników, mniejszym stopniem pisma, podawane są dane za ostatnie 24 godziny.


Pozostałe widżety wyświetlają (z ostatnich trzech miesięcy) m.in.: najczęściej występujące etykiety obiektów, 10 najbardziej aktywnych obiektów (czyli obiektów, które najczęściej występują w relacjach – liczba relacji jest wyświetlana po najechaniu na pasek obiektu kursorem myszy) czy też mapę świata wskazującą kraje będące najczęstszym celem ataków. Na dole wyświetlana jest historia ostatnich operacji wykonanych na platformie oraz wykres najczęściej występujących typów obiektów obserwowalnych (ich liczba jest wyświetlana po najechaniu na wykres kursorem myszy). Mimo że pulpitu domyślnego nie możemy zmodyfikować, to możemy utworzyć dodatkowe pulpity, wybierając ikonę Custom dashboards, znajdującą się w obszarze ikon. Jeżeli utworzymy dodatkowe pulpity, to zmieniamy je, wybierając menu Dashboard/ikona_trybiku. Po wybraniu menu Data/Connectors, możemy zobaczyć listę domyślnie zainstalowanych konektorów. Nie są to jednak konektory umożliwiające pobranie danych z systemów zewnętrznych. Konektory i ich instalacja zostaną opisane w dalszej części artykułu.


Ostatnim obszarem domyślnej konfiguracji są ustawienia dostępne w menu Settings. Po wyborze menu Settings/Parameters możemy wybrać m.in. schemat kolorów, którego będziemy używali (jasny lub ciemny), a także zmodyfikować domyślnie ustawione kolory dla każdego z tych schematów. Możemy także w polu Authentication strategies wpisać tekst, który będzie wyświetlany w oknie logowania. Jest to o tyle istotne, że takie wymaganie może wynikać z obowiązującego prawa, norm czy też polityki bezpieczeństwa danej organizacji. Warto także wspomnieć o polu Tools, w którym wyświetlana jest informacja o usługach i aplikacjach działających w ramach platformy OpencCTI, np. w testowanej wersji Elk występował w wersji 7.17.1, RabbitMQ w wersji 3.9.14, zaś Redis w wersji 6.2.6.


Poprzez menu Settings/Accesses możemy definiować m.in. role i użytkowników. W konfiguracji domyślnej otrzymujemy trzy role: Administrator, Connector i Default oraz użytkownika admin. Po wybraniu menu Settings/Rules engine zobaczymy 11 zdefiniowanych reguł wnioskowania. Domyślnie nie są one aktywne, a każda z nich może być włączona niezależnie od pozostałych.

 

[...]

 

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i cyberbezpieczeństwa. Członek ISSA Polska.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"