Экосистема продуктов для ретроспективного анализа

Руслан Рахметов, Security Vision

Средства защиты, работающие в режиме реального времени, часто оказываются бессильны против уязвимостей нулевого дня (Zero-day), маломощных медленных атак (Low-and-Slow) и усовершенствованных постоянных угроз (Advanced Persistent Threats, APT). Ретроспективный анализ (о том, из чего он складывается, мы рассказывали ранее) является критически важным инструментом для устранения этого пробела в защите. В текущей статье мы расскажем подробнее про цели и результаты анализа данных и о том, какие инструменты помогают сотрудникам службы информационной безопасности в улучшении защищенности.

Основная стратегическая цель периодического проведения ретроспективного анализа — сокращение времени пребывания злоумышленника в инфраструктуре. Обнаруживая скрытые угрозы постфактум, организации могут предотвратить или значительно минимизировать ущерб от долгосрочных компрометаций, таких как APT-атаки, прежде чем злоумышленник получит полный контроль над критически важными ресурсами. Применение такого анализа преследует несколько взаимосвязанных целей, которые в совокупности усиливают общую защищенность организации:

   -  выявление вредоносного ПО, активности APT-группировок, инсайдерских и скрытых угроз, которые успешно обошли первоначальные рубежи обороны и не были зафиксированы системами мониторинга в реальном времени;

   -  восстановление полной хронологии и картины атаки, включая определение первоначального вектора проникновения, последовательности действий злоумышленника и полного перечня скомпрометированных систем и данных;

   -  выявление неэффективных средств защиты, слабых мест в системе мониторинга и пробелов в правилах корреляции, что позволяет разработать более надежные и актуальные контрмеры, настроить более строгие политики безопасности и усовершенствовать общую стратегию защиты;

   -  предоставление доказательств для проведения аудитов и подтверждения соответствия нормативным требованиям, чтобы точно продемонстрировать, к каким данным был получен доступ, какие данные были похищены или заблокированы в определенный период времени.

Этот подход также меняет восприятие данных об угрозах: индикатор компрометации или новое правило детектирования перестают быть ценными только для предотвращения будущих атак. Они приобретают новое измерение ценности, становясь ключом, который может «открыть» прошлое и выявить ранее невидимые компрометации: новые данные об угрозах инициируют ретроспективный поиск, который, в свою очередь, может генерировать уникальные, специфичные для организации данные об угрозах, еще больше обогащая базу знаний. Таким образом, как исторические данные, так и постоянный поток новой информации об угрозах становятся критически важными, взаимозависимыми активами.

Современные кибератаки часто разрабатываются с упором на скрытность и долгосрочное присутствие в инфраструктуре жертвы: злоумышленники могут оставаться незамеченными в сети на протяжении недель, месяцев или даже лет, в течение которых они занимаются разведкой, горизонтальным перемещением, повышением привилегий и поиском ценных данных. Поэтому для эффективного ретроспективного анализа все чаще выстраивают централизованную экосистему, чтобы искать данные из десятков систем было проще в едином интерфейсе. В основе этой экосистемы лежит концепция централизованного и доступного для поиска хранилища телеметрии безопасности, часто называемого «озером данных безопасности». Независимо от того, реализовано ли оно в рамках SIEM, XDR или SOAR, это унифицированное хранилище является обязательным условием для проведения ретроспективного анализа в промышленных масштабах.

SIEM (Security Information and Event Management)

Системы SIEM являются краеугольным камнем ретроспективного анализа. Их основная функция – агрегация, нормализация и долгосрочное хранение журналов событий со всей ИТ-инфраструктуры. Они предоставляют репозиторий данных и мощный механизм запросов, необходимые для поиска в исторических событиях. Так, например, построенный на основе no-code конструктор правил корреляции в платформе Security Vision позволяет определять последовательности и задавать различные условия с подсчетом «веса» каждого события. Этот механизм позволяет применять новые или обновленные правила корреляции ко всему архиву накопленных событий, чтобы выявить инциденты, которые были пропущены ранее из-за отсутствия соответствующих правил на момент их возникновения.

Представьте себе пульт охраны в большом жилом комплексе: на него стекаются данные со всех камер видеонаблюдения, датчиков движения, домофонов и систем контроля доступа. Охранник (алгоритм корреляций) сидит и наблюдает за всеми мониторами сразу и, если он видит, что кто-то пытается вскрыть замок, перелезть через забор или просто подозрительно долго стоит у двери соседа, он тут же отправляет патруль для проверки. SIEM делает то же самое, но в цифровом мире: «видит» все, что происходит в сети, и реагирует на аномалии.

EDR (Endpoint Detection and Response)

Решения класса EDR обеспечивают видимость активности на конечных точках (рабочих станциях и серверах), где часто и происходит выполнение вредоносного кода. Агенты EDR записывают телеметрию о создании процессов, доступе к файлам, сетевых подключениях и изменениях в реестре. Этот архив данных с конечных точек неоценим для отслеживания исполнения вредоносного ПО и его горизонтального перемещения по сети. Автоматическое логирование, выполняемое EDR, значительно упрощает реконструкцию цепочки атаки (kill chain). В решении Security Vision EDR является частью SOAR и представлен, как отдельный сервис коннекторов, установленный на ИТ-активе – это не отдельная программа, а часть крупной автоматизированной системы реагирования, аналог XDR (eXtended Detection and Response).

Это, как если бы у вас в каждой комнате был личный охранник-дворецкий, который точно знает, что вы обычно делаете в этой комнате. Если вдруг в гостиной кто-то посторонний начнет сверлить стену вашего сейфа, дворецкий не станет ждать звонка в общую охрану и немедленно обезвредит злоумышленника и закроет дверь в гостиную, чтобы тот не смог убежать в другие комнаты. Он не следит за всем домом сразу (как SIEM), а отвечает за безопасность конкретной комнаты-«конечной точки».

NDR/NTA (Network Detection and Response / Network Traffic Analysis)

Эти системы фокусируются на перехвате и анализе сетевого трафика: они могут хранить полные дампы пакетов или обогащенные метаданные о сетевых взаимодействиях. Эти данные являются крайне сложно подделать злоумышленнику, поэтому они предоставляют неопровержимые доказательства коммуникаций с командными центрами (C2), эксфильтрации данных и попыток горизонтального перемещения. Благодаря конструктору коннекторов в формате low-code и возможности сбора сырых данных напрямую в решения Security Vision, подобные данные становятся частью общей базы для работы аналитиков.

Это похоже на систему камер и датчиков, установленных на всех дорогах и перекрестках большого города. Система не знает, кто конкретно сидит в машине (в отличие от EDR-охранника в комнате), но видит весь транспортный поток: если замечает, что мусоровоз поехал по встречной полосе в сторону банка, или что одна и та же подозрительная машина без номеров кружит по одному и тому же кварталу уже третий час, она подает сигнал тревоги. NDR следит не за «комнатами», а за «дорогами» между ними.

DLP (Data Loss Prevention)

Эти системы создают исторический архив перемещений конфиденциальных данных внутри организации и за ее пределы. Подобный архив критически важен при расследовании инцидентов, связанных с утечкой информации.

Представьте, что на выходе из секретной библиотеки или архива стоит очень строгий охранник, который просит каждого показать содержимое сумки. Если он видит, что вы пытаетесь вынести уникальную старинную книгу или секретный чертеж, он вежливо, но настойчиво попросит вернуть ее на место и не позволит вам выйти. DLP-система – это тот самый цифровой охранник, который проверяет весь исходящий трафик на предмет утечки ценной информации.

Sandbox

Системы «песочниц» могут повторно анализировать ранее сохраненные файловые объекты с использованием новых сигнатур и поведенческих правил. Например, файл, который полгода назад был признан «чистым», может быть ретроспективно идентифицирован как вредоносный после появления новой сигнатуры для его семейства. Применение песочниц, например через интеграцию с VirusTotal, позволяет «прогнать» файл через множество алгоритмов для проверки надежности и безопасности.

Представьте, что вам принесли странную, тикающую посылку. Вы же не будете открывать ее прямо в гостиной? Разумным решением будет отнести ее в сарай или в специальную саперную лабораторию, где можно безопасно ее вскрыть. Если она взорвется, то ущерба вашему дому не будет. Песочница – это и есть такой безопасный «сарай» для проверки подозрительных цифровых посылок, где они не смогут навредить основной системе.

Мониторинг в реальном времени справляется с немедленными угрозами, в то время как ретроспективный анализ находит скрытые, которые были пропущены. Так устроен процесс: мониторинг всего, что происходит в различных системах и сервисах на одном экране, дополнительный дворецкий-охранник на важных узлах сети, изучение всех маршрутов перемещения данных и поиск в этих данных важной информации, а также безопасная лаборатория для проверки входящих файлов. Все это может работать вместе, если собрать общую экосистему. А если добавить в неё средства анализа угроз и индикаторов компрометации (например, модуль TIP), можно создать по-настоящему мощную систему для реактивного и проактивного анализа.