Реальная угроза для бизнеса — злоумышленники, обладающие высокой квалификацией в области информационных технологий и владеющие различными методами взлома. Именно они способны реализовать сложные атаки на IT-инфраструктуру. Это могут быть массовые атаки (самый нашумевший пример — вирусные эпидемии WannaCry и NotPetya) или целевые, направленные на конкретную компанию или отрасль.
Проблема в том, что квалифицированные злоумышленники способны обойти любые средства безопасности. Причем, как показывает наша практика, зачастую компании узнают о взломе уже после того, как наступили последствия — украдена информация, оказались зашифрованы данные, злоумышленники потребовали выкуп или, находясь в инфраструктуре несколько месяцев, подготовились и в какой-то момент вывели большую сумму денег. Средства защиты вроде бы установлены, но они не обнаруживают проникновение.
Любой этап атаки должен фиксироваться как инцидент ИБ. Выявляет инциденты на ранних этапах атаки центр мониторинга ИБ и реагирования на инциденты — security operations center (SOC). В его задачи входят контроль активности в IT-инфраструктуре, анализ событий, обнаружение угроз ИБ и реагирование на них. В основе SOC всегда выделяют три составляющие — технологии, люди и процессы. В этой статье речь пойдет о технологиях.
Представим, что для мониторинга IT-инфраструктуры используются только отчеты средств защиты информации и собираются журналы на некоторых серверах. При этом журналы и отчеты анализируются не постоянно, а только тогда, когда появляется такая потребность. Что, если внутри сети компании уже происходит серьезная атака? Как увидеть, что с конкретного узла установлено удаленное соединение? Или что на компьютере главного бухгалтера идет странная активность под учетной записью, которая должна делать только резервное копирование? Как заметить, что произошла подмена в базе данных бухгалтерии?
Чтобы это заметить, необходимо собирать события с большого числа источников — ПК, серверов, баз данных, бизнес-систем, сетевого оборудования — или сам сетевой трафик. Чем больше источников, тем больше шансов детектировать атаку. Однако такой объем источников и событий вызывает сразу несколько проблем:
- Проследить за всеми источниками событий по отдельности сложно.
- У каждого источника события описаны на своем языке, и нужно понимать, как правильно их прочитать.
- События с разных источников могут быть связаны, и нужно уметь выстраивать их в правильную последовательность.
- Журналы периодически удаляются, поэтому сложно восстановить события за долгий срок (например, за пару месяцев).
Решить эти проблемы помогают системы класса security information and event management (SIEM), они используются для автоматизации сбора событий и выявления инцидентов ИБ. SIEM-система — единое окно для всех событий от источников, которые подключены к ней; это снимает первую обозначенную проблему. Перевод событий на один язык происходит в SIEM-системе за счет использования специальных правил нормализации. Для этого система должна знать, что она получает события с определенного источника, и уметь раскладывать данные по отдельным ячейкам (это время события, это пользователь, это IP-адрес и т. д.). Специалист по ИБ получает события в едином понятном формате: это удобно и для ручного анализа, и для автоматизированного сопоставления событий.
Для решения проблемы взаимосвязи событий (в том числе — полученных от разных источников) используют правила корреляции. Что, если злоумышленнику известна примерная структура пароля на целевой системе и он подбирает пароль пробуя по 10 паролей в сутки? А если он подбирает пароль сразу к нескольким системам — зная, что там одинаковые пользователи? При верной настройке корреляции событий SIEM-система заметит такую активность. В качестве правил корреляции могут быть использованы, в частности, правила на базе техник и тактик MITRE ATT&CK.
SIEM-система выступает еще и исторической базой происходящего в IT-инфраструктуре. Это значительно облегчает расследование инцидентов. Кроме того, на сохраненных данных можно проверять новые индикаторы компрометации (IOC), проводить ретроспективный анализ. В качестве индикаторов могут выступать любые шаблоны, по которым можно опознать зловредную активность, — название письма, вложения, имя отправителя, хеш-сумма файла, подключение к внешнему IP-адресу, изменение в реестре. Чем детальнее при этом описан шаблон, тем точнее результаты проверки.
Зачастую также на базе собираемых SIEM-системами данных проводится анализ поведения пользователей (учетных записей) — user and entity behavior analytics (UEBA). Такой анализ базируется на поиске отклонений от среднестатистических данных, полученных за долгое время. Например, если сотрудник совершил вход в систему в час ночи впервые за полгода, это может указывать на потенциальный инцидент.
В качестве источников событий SIEM-система, как правило, использует стандартные журналы других систем — ОС, сетевого оборудования, антивирусных средств, межсетевых экранов, Active Directory, DNS, DHCP-сервера. И то, насколько подробно специалисты SOC смогут проанализировать события, зависит от уровня журналирования, настроенного на целевой системе.
Для того чтобы детектировать события на конечных узлах пользователей и серверах в IT-инфраструктуре, также может быть использовано средство класса endpoint detection and response (EDR), которое не только имеет встроенные механизмы журналирования, но и детально анализирует происходящее на уровне операционной системы. В частности, EDR-система может выступать источником событий для SIEM-системы.
Важным источником событий для выявления инцидентов может быть сетевой трафик в IT-инфраструктуре. Для автоматизации сбора и анализа событий внутри трафика используются средства класса network traffic analysis (NTA). NTA-система может быть как отдельным средством со своими движками нормализации и корреляции, так и источником данных об инцидентах ИБ для SIEM-системы. Ключевое отличие от стандартных средств выявления сетевых атак (IDS) — то, что NTA-система оперирует большими объемами трафика. Это позволяет выявлять цепочку атаки целиком, а не срабатывание единичной сигнатуры. Также NTA-система сохраняет копию трафика для последующего анализа. На этой сохраненной копии могут быть проверены вновь появившиеся IOC. Кроме того, сохраненный трафик помогает проводить детальное расследование произошедшего киберинцидента. Также средство NTA может помочь в выявлении неизвестных угроз за счет поведенческого анализа трафика.
Исследовательская компания Gartner позиционирует связку SIEM + NTA + EDR в качестве набора необходимых технических средств, которые позволяют организовать максимально точный мониторинг IT-инфраструктуры и выявление инцидентов ИБ.
Также для детектирования неизвестных угроз может быть использован поведенческий анализ любого ПО, попавшего в IT-инфраструктуру — со съемного диска, из интернета или из внутренней сети. Для такого анализа используются средства класса sandbox (песочницы). Песочница может анализировать поведение объекта внутри специально подготовленной среды и выдавать вердикт, насколько объект опасен. Рекомендуется проверять все файлы внутри трафика, что возможно, если направлять поток файлов из трафика от NTA в песочницу. Найденные вердикты и индикаторы файлов можно затем использовать как в NTA-, так и в SIEM-системе.
Часто возникает такая проблема: при построении процесса управления инцидентами ИБ выясняется, что нам не хватает сведений об элементах IT-инфраструктуры и их уязвимостях. Для решения этой проблемы подойдут средства класса управления активами (asset management, AM) и управления уязвимостями (vulnerability management, VM). В качестве таких систем могут выступать, например, сканеры уязвимостей, которые за счет активного сетевого сканирования помогают составить списки активов в IT-инфраструктуре и зафиксировать их уязвимости. Это позволит корректно оценить возникающие угрозы и инциденты, оценить попытки взлома, которые видны в SIEM-системе, понять, опасны ли эти попытки для конкретной атакуемой системы.
Основной технической системой для SOC является SIEM-система, но эффективность ее работы напрямую зависит от тех данных, которые она получает от источников. Средства NTA, EDR, песочницы, AM- и VM-системы могут быть источниками для обогащения SIEM-системы, если они совместимы с ней.
В следующей статье мы рассмотрим персонал SOC и его основные задачи, этапы построения SOC и процессы его работы.
