SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Динамические плейбуки

Динамические плейбуки
21.02.2024


Анна Олейникова

Директор по продуктам Security Vision

 

Мы привыкли к стандартным планам реагирования, которые представляют собой либо развесистые алгоритмы действий, покрывающие большое количество ситуаций, либо много маленьких плейбуков, специализированных под конкретный тип инцидента. При этом инфраструктура предприятия – живой организм, который постоянно меняется: добавляются новый устройства, сегменты сети, меняются политики работы ноутбука важного босса, добавляются СЗИ. По этой причине в организациях с развитым уровнем ИБ регулярно проводятся аудит и инвентаризация, которые помогают актуализировать информационную модель предприятия, но меняются ли по результатам инвенторки плейбуки?

 

Следующий аспект, влияющий на эффективность защиты – переменчивость внешнего окружения. В текущих реалиях техники реализации атак эволюционируют, усложняются, затрагивают новые типы данных инфраструктуры, используют новые механизмы и способы посткомпрометации (например, программы-вымогатели ransomeware теперь не только шифруют данные организации и требуют оплату за восстановление доступа, но могут также воровать информацию организации, требуя дополнительную плату в обмен на неразглашение информации властям, конкурентам или общественности).

 

В силу постоянно меняющегося ландшафта угроз и способов их реализации наши плейбуки тоже должны изменяться, чтобы не устаревать на фоне меняющегося поведения злоумышленников.

 

Для решения первой задачи (изменчивости инфраструктуры) был разработан подход, который в зарубежном сообществе трактуется как CD/CR, или непрерывность обнаружения и реагирования.

 

Он заключается в применении лучших практик ООП к выстраиванию процессов информационной безопасности. Первыми об этой технологии как о перспективной разработке заявила корпорация Google. В разрезе их исследований предлагается разбить процессы и процедуры ИБ до атомарных функций, которые можно переиспользовать и которые являются по сути небольшими унифицированными процессами по выполнению операции. Атомарные унифицированные процессы хранятся в репозитории; функция выполняется единственным экземпляром рабочего процесса, который правится в одном месте разными заинтересантами (таким образом мы соблюдаем консистентность) и, когда возникает необходимость, этот процесс стандартным образом включается в плейбук за счет унифицированного input/ouput.

 

Примером унифицированного процесса может быть процедура сбора аутентификационных сессий с хоста. Она может быть выполнена разными способами и разными средствами в зависимости от типа хоста, политик использования хоста или закрывающего СЗИ. Но если все эти вариации обрабатываются в рамках одного универсального процесса сбора аутентификаций с одним стандартным input/ouput, то строить процессы ИБ становиться уже гораздо проще. Атомарный процесс, ко всему прочему, будет переиспользован в совершенно разных процессах ИБ: не только при построении динамических плебуков в инцидент менеджменте, но еще и в ассет менеджменте, IDM и т.д. Набор таких универсальных процессов дает нам возможность формировать кастомный подход к кастомной инфраструктуре.

 

Но мы рассмотрели способ решения лишь первой части проблемы – актуальности инфраструктуры. Также нам нужно решить проблему обфускации проведения атак, что по сути своей является уже дедуктивным расследованием, которое сложно покрыть корреляционным движком. В какой-то степени отклонения от поведения можно покрыть через анализ аномалий (UEBA) и все равно это не то, что нам нужно: поиск аномалий в поведении устройств/человека и отклонения в исполнении атак – это разные вещи. Зато, если подумать, какая специализация или область знаний занимается поиском признаков компрометаций устройств или уровня защищенности, то первое, что приходит на ум – технология thereat hunting (построение гипотез по поиску подозрительной активности). И действительно, контролирование изменчивости проведения техник атак через распространенные признаки компрометации устройств – одна из задач, решаемых аналитиками 3-ей линии, специализирующихся на поиске угроз.

 

Если использовать подходы threat hunting в применении к окрестностям инцидента, то мы можем найти дополнительные обьекты, которые были скомпрометированы, несмотря на то, что ранее техника проведения атаки их не поражала. Например, эксплуатация уязвимости не компрометировала уровень защищенности или вирус не подгружал какой-то хакерский tool set.

 

Подозрительная активность может быть совершенно разноплановой, поэтому ручной поиск угроз – настолько трудоемкая процедура, требующая навыков и знаний в совершенно разных предметных областях. В реализации одной угрозы используются слабости протокола, что требует знание сетевых технологий; другая угроза реализуется через кастомное шифрование – знание крипты. Разобраться в том, как работает rootkit, нам помогут знания программирования: индикаторы подозрительной активности могут быть столь разными, что бэкграунд у специалиста должен быть большой, как у врача-терапевта. Хорошая новость заключается в том, что часть этих задач можно автоматизировать, если использовать современные наработки поиска угроз с помощью sigma, microsoft threat detection, elastic security rules, аналитиз алертов IDS систем.

 

Вот что можно найти в окрестностях инцидента, если автоматизировать threat hunting:

·  Внутреннее сетевое сканирование и попытки эксплуатации уязвимостей внутри сети

·  Подозрительную сетевую активность системных утилит rundll32, regsvr32, mshta, certutil

·  Запуск командных интерпретаторов (powershell, cmd, wscript, cscript) офисными приложениями (word, excel)

·  Запись в ключи реестра, отвечающих за автозагрузку либо за изменение системных настроек ОС

·  Создание служб, задач планировщика с powershell, а также LOLbins утилитами

·  Запуск пользователем нерегламентированного ПО (утилиты администрирования, VPN кллиенты, TOR, torrent клиенты и т.д.).

 

Подозрительные процессы находятся по подозрительным родителям системных процессов:


  image002.png

 

В командной строке можно найти код powershell с пэйлоадом в base64, что означает обфускацию кода, а там уже может быть что угодно: архив в архиве, зашифрованные команды и т.д. Админы, естественно, скрывать свою деятельность не будут, и это явный признак подозрительной активности:

 

image004.jpg

 

Запуск admin tools из-под непривилегированного пользователя, подозрительное повышения привелегий до системной учетки и прочее, прочее... Этот подход может дать нам огромный набор дополнительной информации и новые пораженные объекты инцидента.

 

Если мы встраиваем поиск этих объектов в анализ инцидента, динамический плейбук будет базироваться на реальном актуальном контексте атаки, то есть на всех объектах из состава инцидента.

 

Итого, мы получим настоящую область поражения, по которой из репозитория процессов можно начать собирать объектно-ориентированное реагирование:

· выбираем множество возможных атомарных процессов реагирования для внутренних хостов

· выбираем набор процессов реагирования для скомпрометированного уровня защищенности

· или для ВПО, почты и многого другого.

 

Из них начинает выстраивается динамический плейбук: если этот тип объекта появился, процесс добавляется в процесс реагирования. Множество универсальных процессов реагирования на множестве объектов ограничивается рекомендациями по выполнению конкретных действий, в зависимости от техники атаки, определенной в процессе классификации инцидента. То есть динамика плейбука заключается в изменении состава действий, в зависимости от пораженных объектов и техники атаки. Этот подход позволяет создавать пайплайн действий, актуальный конкретной ситуации.

 

Еще один важный момент – это выстраивание цепочки атаки из отдельных инцидентов в связанную историю, отображающую ландшафт атаки, растянутой по периметру, времени и способам исполнения. В действительности атаки становятся все более комплексными и сложными, из инцидентов с различными техниками, которые еще и связаны между собой довольно неочевидными вещами (например, наличием в инцидентах одного и того же процесса, либо использование однотипного named pipes). Конечно же, подобные ситуации не покрыть стандартными планами реагирования, но если добавить в стандартные подходы динамическую составляющую, то мы можем связать инциденты по идентичным объектам и контексту: запуски аналогичных подозрительных процессов, сетевых аутентификаций, задействованных уровней защищенности. Одни и те же задействованные хосты в разных инцидентах, скорее всего, говорят о своей принадлежности к одному и тому же kill chain. При таком подходе наши инциденты становятся связанными, а динамические плейбуки выстраиваются в последовательность работы над атакой, то есть переходят на более высокий стратегический уровень планов реагирования.

 

Если проанализировать собранную информацию через классификацию по угрозам Mitre Att@ck или БДУ ФСТЭК, то этапы kill chain вообще преобразуются в последовательность тактик, применяемых нарушителем, на которые с нашей стороны динамически выстраивается контекстный ответ.

 

При текущей волатильности в ИБ, очень быстро меняющихся как поведении нарушителя, так и состоянии защищаемых инфраструктур, нужно применять соответствующие симметричные динамичные подходы.

 

СЗИ Угрозы ИБ UEBA MITRE ФСТЭК

Рекомендуем

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание

Рекомендуем

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы