Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



07.06.2022

Red Hat Enterprise Linux 9

Red Hat zaprezentował system operacyjny Red Hat Enterprise Linux 9 (RHEL 9)...
07.06.2022

Technologiczna piaskownica

Koalicja partnerów KIR, IBM, Chmura Krajowa, PKO Bank Polski, Urząd Komisji Nadzoru...
07.06.2022

Sztuczna inteligencja w...

OVHcloud wprowadziło na rynek AI Notebooks – najnowszy element w ofercie usług...
07.06.2022

Spójna ochrona brzegu sieci

Fortinet zaprezentował FortiOS 7.2 – najnowszą wersję swojego flagowego systemu...
07.06.2022

Zarządzanie transferem

Firma Progress wypuściła nową wersję oprogramowania do zarządzania transferem plików...
07.06.2022

Notebook ekstremalny

Panasonic przedstawił 14-calowy Toughbook 40, notebook do pracy w ekstremalnych...
07.06.2022

Zestaw startowy dla robotyki

Firma AMD przedstawiła najnowszy produkt w portfolio adaptacyjnych modułów SOM...
07.06.2022

Precyzja kadrowania

Najnowsze rozwiązania klasy pro firmy Poly mają sprostać zmieniającym się potrzebom...
07.06.2022

Serwer klasy korporacyjnej

QNAP zaprezentował nowy model serwera NAS, TS-h1886XU-RP R2, który działa na systemie...

OpenCTI – zarządzanie informacją o cyberzagrożeniach

Data publikacji: 06-05-2022 Autor: Piotr Michałkiewicz

Duża liczba informacji pojawiających się w mediach dotyczących cyberzagrożeń jednoznacznie wskazuje, że nie jest to temat, który podczas planowania działań organizacji można po prostu pominąć. Ze względu na to, pojawia się coraz więcej pytań dotyczących zarządzania tymi informacjami.

 

Jedno z pytań dotyczy dostępności narzędzi, które mogłyby wspomóc organizacje w tego typu działaniach. Na rynku istnieje wiele rozwiązań komercyjnych, ale warto zwrócić uwagę na OpenCTI – bezpłatną dynamicznie rozwijającą się platformę do zarządzania, a także wymiany informacji o zagrożeniach. Została ona opracowana przez ANSSI (Krajowa Agencja Bezpieczeństwa Systemów Informatycznych we Francji) we współpracy z CERT-EU (Zespół reagowania na incydenty komputerowe w instytucjach, organach i agencjach Unii Europejskiej). Projekt rozpoczął się w 2018 r., a obecnie platforma ta jest zarządzana przez organizację non-profit Luatix (luatix.org), której głównym celem jest prowadzenie prac badawczo-rozwojowych w dziedzinie cyberbezpieczeństwa i zarządzania kryzysowego.
Warto też nadmienić, że platforma OpenCTI została zbudowana z wykorzystaniem znanych i szeroko wykorzystywanych aplikacji, takich jak Elastic, RabbitMQ czy Redis.


>Uruchomienie


W celu zapoznania się z platformą OpenCTI wystarczy wejść na stronę opencti.io, na której znajdują się m.in. dwa przyciski. Kliknięcie przycisku Download otwiera folder w serwisie GitHub. Zawiera on zasoby umożliwiające zainstalowanie od zera platformy OpenCTI na własnej maszynie produkcyjnej. Prześledzenie tej strony pozwoli zauważyć dynamikę zmian w rozwoju tej platformy.


Jeżeli nie chcemy przechodzić złożonego procesu instalacji, możemy kliknąć przycisk Demonstration. Pozwoli to na przejście do strony logowania w systemie Citeum, umożliwiającej dostęp do wersji demonstracyjnej OpenCTI. Logowanie jest możliwe po założeniu nowego konta lub za pośrednictwem kont w systemach Google, Facebook lub GitHub.


Chcąc jednak zacząć testowanie na realnych, a nie przykładowych danych, musimy zainstalować własną platformę OpenCTI. Na stronie github.com/OpenCTI-Platform/opencti, w sekcji Installation, mamy do wyboru cztery sposoby na samodzielne jej uruchomienie: możemy wykorzystać gotową maszynę wirtualną, użyć gotowych kontenerów i platformy Docker, zainstalować całość w chmurze przy użyciu technologii Terraform lub wykonać instalację ręczną poszczególnych komponentów wchodzących w skład platformy OpenCTI. Rekomendowana jest instalacja z użyciem Dockera, ale w takim przypadku i tak trzeba wcześniej przygotować maszynę, na której będziemy instalować OpenCTI. Gotowa maszyna wirtualna nieznacznie pozwoli na skrócenie tego procesu.


Dlatego też na potrzeby tego artykułu została użyta maszyna wirtualna, która działała na Ubuntu 21.10 (login: opencti, hasło: opencti) oraz wykorzystywała platformę OpenCTI w wersji 5.2.4. Po uruchomieniu maszyny wirtualnej, dostęp do platformy OpenCTI był możliwy przy użyciu przeglądarki internetowej pod adresem http://adresIPmaszyny:8080 i użyciu loginu: admin@opencti.io oraz hasła: admin. Po uruchomieniu maszyny wirtualnej należy uzbroić się w cierpliwość, uzyskanie dostępu do OpenCTI może zająć do kilku minut.


Mimo użycia maszyny wirtualnej z OpenCTI, miejmy świadomość, że „pod spodem” działają kontenery (w tym momencie Docker w wersji 20.10.12). Możemy się o tym przekonać po wpisaniu w przeglądarce adresu https://adresIPmaszyny:9443 oraz użyciu loginu: opencti i hasła: openctiopencti. Zostanie wówczas wyświetlone okno aplikacji Portainer, która ułatwia zarządzanie aplikacjami kontenerowymi. W aplikacji tej możemy zobaczyć jakich kontenerów używa w naszym przypadku platforma OpenCTI. Za jej pomocą będziemy także konfigurowali platformę OpenCTI.


>Środowisko


Po uruchomieniu OpenCTI możemy wyróżnić w oknie cztery obszary: lewe menu (główne), górne menu, obszar danych oraz obszar ikon, umieszczony w prawym górnym rogu okna. W przeciwieństwie do systemów, gdzie menu są rozwijalne, w OpenCTI zastosowano inne podejście. Wybranie pozycji w lewym menu powoduje zmianę górnego menu oraz obszaru z widokiem danych. W wielu przypadkach po wybraniu określonego obiektu w obszarze danych, np. raportu, zostaną wyświetlone informacje dotyczące danego raportu i jednocześnie zmieni się górne menu, udostępniając dodatkowe podmenu po znaku „>”. W dalszej części artykułu będziemy używać notacji „lewe menu / górne menu” przy wskazywaniu pozycji w menu, np. Analysis/Reports. Obszar ikon zawiera pole wyszukiwania dla całej platformy oraz przyciski definiowania panelu nawigacyjnego, przeprowadzania dochodzeń, importu danych oraz ikonę profilu użytkownika. W profilu użytkownika znajduje się bardzo istotna pozycja – klucz API. Jest on niezwykle istotny, jeżeli użytkownik będzie korzystał z dostępu do danych przy użyciu interfejsu API.


Po instalacji w ramach domyślnych ustawień otrzymujemy skonfigurowany pulpit nawigacyjny (Dashboard) oraz częściowe ustawienia parametrów w menu Data i Settings. Mimo skonfigurowania domyślnego pulpitu nawigacyjnego, umieszczone na nim widżety nic w tym momencie nie wyświetlają – są przygotowane na wyświetlanie danych, jak tylko się pojawią. Pulpitu domyślnego niestety nie można zmodyfikować. Górne widżety informują o liczbie: wszystkich dostępnych obiektów, utworzonych relacji, raportów oraz obiektów obserwowalnych (observables) na platformie. Obok tych wskaźników, mniejszym stopniem pisma, podawane są dane za ostatnie 24 godziny.


Pozostałe widżety wyświetlają (z ostatnich trzech miesięcy) m.in.: najczęściej występujące etykiety obiektów, 10 najbardziej aktywnych obiektów (czyli obiektów, które najczęściej występują w relacjach – liczba relacji jest wyświetlana po najechaniu na pasek obiektu kursorem myszy) czy też mapę świata wskazującą kraje będące najczęstszym celem ataków. Na dole wyświetlana jest historia ostatnich operacji wykonanych na platformie oraz wykres najczęściej występujących typów obiektów obserwowalnych (ich liczba jest wyświetlana po najechaniu na wykres kursorem myszy). Mimo że pulpitu domyślnego nie możemy zmodyfikować, to możemy utworzyć dodatkowe pulpity, wybierając ikonę Custom dashboards, znajdującą się w obszarze ikon. Jeżeli utworzymy dodatkowe pulpity, to zmieniamy je, wybierając menu Dashboard/ikona_trybiku. Po wybraniu menu Data/Connectors, możemy zobaczyć listę domyślnie zainstalowanych konektorów. Nie są to jednak konektory umożliwiające pobranie danych z systemów zewnętrznych. Konektory i ich instalacja zostaną opisane w dalszej części artykułu.


Ostatnim obszarem domyślnej konfiguracji są ustawienia dostępne w menu Settings. Po wyborze menu Settings/Parameters możemy wybrać m.in. schemat kolorów, którego będziemy używali (jasny lub ciemny), a także zmodyfikować domyślnie ustawione kolory dla każdego z tych schematów. Możemy także w polu Authentication strategies wpisać tekst, który będzie wyświetlany w oknie logowania. Jest to o tyle istotne, że takie wymaganie może wynikać z obowiązującego prawa, norm czy też polityki bezpieczeństwa danej organizacji. Warto także wspomnieć o polu Tools, w którym wyświetlana jest informacja o usługach i aplikacjach działających w ramach platformy OpencCTI, np. w testowanej wersji Elk występował w wersji 7.17.1, RabbitMQ w wersji 3.9.14, zaś Redis w wersji 6.2.6.


Poprzez menu Settings/Accesses możemy definiować m.in. role i użytkowników. W konfiguracji domyślnej otrzymujemy trzy role: Administrator, Connector i Default oraz użytkownika admin. Po wybraniu menu Settings/Rules engine zobaczymy 11 zdefiniowanych reguł wnioskowania. Domyślnie nie są one aktywne, a każda z nich może być włączona niezależnie od pozostałych.

 

[...]

 

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i cyberbezpieczeństwa. Członek ISSA Polska.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"