SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Фантастический TI и где он обитает

Фантастический TI и где он обитает
25.04.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Михаил Пименов, аналитик Security Vision


В этой статье мы поговорим об аналитике угроз как о ещё одном источнике генерации и расследования инцидентов. Однако, прежде чем перейти к теме расследования и дополнительного потока данных, давайте определимся с тем, что же такое TI. Threat Intelligence (TI) — это информация об угрозах и злоумышленниках в кибер-пространстве.

Threat Intelligence

TI разделяют на несколько уровней данных. На самом нижнем уровне представлены технические индикаторы компрометации, такие как IP, Hash, URL, Domain, Email. Эти данные чаше всего ассоциируются с TI. Следующие два уровня — это операционные и тактические данные. Сюда входят данные по различным TTP злоумышленника (тактики, техники, процедуры, инструменты), описываемые поведенческими индикаторами, командные строки, ключи реестра, вредоносные сертификаты, именованные пайпы — то, что показывает вредоносную активность в динамике. Данный вид индикаторов описан в правилах обнаружения угроз Sigma.


Самый верхний уровень данных стратегической атрибуции рассказывает о злоумышленниках, ВПО, вредоносные кампании, и меняются эти данные крайне редко, в отличие от низкоуровневых данных, которые легко изменяются злоумышленником, чтобы скрыть следы своей деятельности. Такие данные не составляет труда найти в интернете в публичных источниках, они быстро идентифицируются в активах на хостах, но их не всегда хватает для полноценного анализа ситуации. Это как если бы Шерлок Холмс использовал только 3 приметы преступника, такие как цвет глаз, форма уха и размер ноги, и при этом полностью игнорировал весь остальной ландшафт данных, которые можно использовать в расследовании.

  Threat Intelligence

Проблематика использования технологии

Благодаря стратегической атрибуции формируется контекст конкретного индикатора. Это дает возможность расследовать инцидент информационной безопасности в более полном масштабе, но вместе с этим возникает ряд проблем. Дело в том, TI сегодня является довольно популярным направлением. Большое количество организаций заинтересовано в анализе собственных угроз и готово вкладывать в это направление значительные суммы денег. Однако бывают случаи, когда TIP используется неэффективно и, столкнувшись с громадным потоком данных, специалисты ИБ большую часть этой информации просто игнорируют. Это происходит потому, что перед внедрением не были четко сформулированы цели внедрения. Например, TIP может отслеживать кредитно-финансовые индикаторы, учитывать конкретный инфраструктурный стэк, локацию страны и конкретную модель угроз нарушителей. И в том случае если фиды не будут должным образом кастомизированы, организация может «захлебнуться» в потоке false positive или, напротив, TI не будет давать сработок по дорогостоящим фидам, что приведет к разочарованию в технологии (как произошло относительно недавно в зарубежном мире ИБ, когда TI попал в долину разочарования в соответствии с аналитикой по кривой Gartner).

 

  Проблематика использования технологии

 

Другой вопрос, что разнородность форматов данных, отсутствие стандартов и единого понятийного аппарата вкупе с огромным дефицитом квалифицированных кадров в области кибербезопасности не способствуют максимально эффективному использованию решения. Общепринятого стандарта по общепринятому описанию индикатора угрозы просто нет. Есть, конечно, распространенные и наиболее часто используемые форматы, такие как STIX и MISP, но даже там атрибутивный состав может сильно разниться от источника к источнику, а некоторые поставщики данных и вовсе предлагают свой проприетарный формат. Модель данных по технической, операционной и стратегической атрибуции часто у каждого вендора своя.


Как же решаются все эти проблемы? В первую очередь можно ограничить поток данных релевантным для вас ландшафтом угроз. Зная особенности собственной инфраструктуры, можно выстроить границы, исходя из актуальных именно для вас рисков, сосредоточиться на угрозах, которые наиболее актуальны именно для вас, отслеживать те вредоносные процессы, которые наиболее опасны именно для вашей инфраструктуры. Это позволит не утонуть в огромном количестве информации и наиболее эффективно использовать TIP как источник данных. Кроме этого, TI нужно внедрить в свои процессы, процедуры, плейбуки, планы реагирования. Это нужно сделать как для превентивного анализа, так и для расследования конкретных инцидентов.

«Плюшки» TI

Самое большое преимущество TI — это актуальность данных. Когда мы говорим про сигнатурный анализ, про базы решающих правил, про правила корреляции, мы понимаем, что новые данные приходят к нам в соответствии с некоторым релизным циклом (у разных вендоров по-разному: это может быть неделя или месяц). В промежутках между релизами мы наименее защищены для самых новых угроз. TIP может закрыть эту дыру в безопасности за счет информации, которую он может предоставить на следующий день после её возникновения в GitHub или даркнете. За счет сырых событий, которые мы храним, есть возможность ретроспективно проверить, не было ли новой угрозы в нашей инфраструктуре вчера. То есть, мы увидели новый C2 домен, получив его, например, из краулера, затем идем на свою инфраструктуру и проверяем, не было ли с наших хостов обращений к этому вредоносному домену вчера, когда мы ещё не знали о его вредоносности. Это обеспечивается быстрым подключением нового источника данных с плечом логистики не месяц-два, а сутки или вовсе несколько часов.

Кейсы использования TI: обнаружения IOC и ситуационная осведомленность

Мы рассмотрели Threat Intelligence как источник индикаторов компрометации, но есть ещё один массив данных, нуждающихся в обработке, — это наши сырые события. Для наиболее эффективного поиска признаков вредоносной активности сырые события должны покрывать максимальное количество объектов инфраструктуры: сетевой, хостовой и почтовый трафик, с учетом отрасли и области; отраслевых протоколов, легитимных и нелегитимных приложений на вашем периметре.


Наличие этих двух источников данных дает нам два ключевых кейса использования TI-платформы. Первый кейс — это ситуационная осведомленность. Допустим, у нас есть какой-то домен, мы получили эту информацию из SIEM в рамках инцидента обращения к вредоносному домену. Что мы можем с этим сделать? Можем открыть TIP и выяснить, какие IP-адреса стояли за этим доменом в течение последней недели. Даже если IP меняются быстро, мы можем увидеть весь пул адресов и проверить их наличие в своей инфраструктуре. Можем увидеть связанные с вредоносным доменом хеши файлов, на основании этого можно выполнить действия по расследованию инцидента. Можем узнать, какой злоумышленник стоит за этим доменом и какое вредоносное ПО он использует. Этот кейс наиболее актуален для небольших SOC на 1-2 человека — для такой небольшой команды ещё один источник инцидентов был бы избыточен: это увеличение потока данных, который будет просто некому обрабатывать.


Для зрелой и большой команды SOC в дополнение к ситуационной осведомленности может быть добавлена функция обнаружения инцидентов. Ранее я упоминал две базы данных — хранилище индикаторов и исторические сырые события. Они объединяются в TIP для выполнения обнаружений. TIP мониторит сырые события (чаще всего в связке с SIEM) и syslog, в результате обработки события выбирается 5-6 ключевых параметров, таких как IP-исходный, IP-назначения, сетевой порт-назначения, домен, хеш, url, почтовый адрес. Далее производится поиск совпадений с базой данных индикаторов компрометации. Если происходит обнаружение, TIP автоматически генерирует инцидент. При следующем обнаружении происходит проверка на наличие открытого инцидента с одним из этих параметров. Если такой инцидент находится, происходит автоматическая агрегация, в результате чего SOC не заваливается большим количеством однотипных инцидентов.

 

  «Плюшки» TI

 

Следующий параллельный поток данных — аномальная активность. Это касается machine learning, эвристики, отклонений от стандартного поведения, взвешенных цепей Маркова, random forrest, dga. По результату анализа этих данных может быть выявлена потенциальная вредоносная активность и создан инцидент.


Ещё один поток данных — это ретро-анализ, причем здесь нет повторения функционала SIEM. В TIP в оптимизированном виде хранятся упомянутые ранее 5-6 ключевых показателей. При получении новых индикаторов производится проверка на взаимодействие с индикаторами компрометации в прошлом, когда об этих индикаторах было ещё ничего не известно. Каждая организация сама определяет, за какой период хранить данные для эффективного анализа.

Пример из жизни


  «Пример из жизни

 

Давайте рассмотрим этот процесс на конкретном примере.

 

В SIEM при помощи корреляции обнаруживается инцидент, ключевым параметром в нашем случае выступает хеш из антивируса. Что с этим можно сделать? В TIP анализируется контекст индикатора, делаются проверки на наличие связей с другими индикаторами. Если замечено наличие индикатора, то автоматически создается инцидент, где мы можем проследить все связи этого хеша: например, какой злоумышленник ассоциируется с этим хешом, какие уязвимости и вредоносное программное обеспечение использует этот злоумышленник и связанные с этим вредоносным программным обеспечением ip-адреса. Таким образом, мы поняли, что у нас есть потенциально вредоносные ip-адреса, которые надо проверить. После этого логичным ходом будет выполнить ретро поиск, чтобы проверить, не было ли обращений с нашей инфраструктуры на ip-адреса, связанные со злоумышленником.


Предположим, что мы нашли с десяток обращений на часть этих адресов, и это уже потенциальный ландшафт атаки. Следующим шагом мы выполняем обогащение. Из аналитических сервисов, которым мы доверяем (VirusTotal, ANY.RUN, Kaspersky и пр.), автоматически собирается информация о связанных TTP. В результате мы получили ещё ряд индикаторов, но на этот раз поведенческих. Далее мы в своей инфраструктуре ищем индикаторы атак, т.е. проверяем, не обнаружатся ли вредоносные процессы на хостах, не контактировавших с C2-сервером, которые свидетельствовали бы о принадлежности к этой атаке. После того как мы нашли ещё 3-5 активов, затронутых этой угрозой, можно говорить том, что мы сформировали полноценный ландшафт атаки. Особо подчеркну, что большая часть этой аналитики может быть выполнена автоматически, если это позволяют возможности вашей TIP.

 

  «Пример из жизни

 

После того как расследование проведено, как правило, происходит стандартная операционная деятельность, в рамках которой блокируются вредоносные ip-адреса, какие-то активы выводятся в карантин, запускаются антивирусные проверки хостов, выполняется блокировка скомпрометированных учетных записей и т.п. Когда атака купирована и устранены её последствия, приходит время для постинцидентной обработки. В первую очередь это hardening активов, которые потенциально могут быть подвержены атаке. На основе сработавших индикаторов можно настроить правила корреляции, а также сигнатурные правила IDS/IPS, причем индикаторы могут автоматически перемещаться в табличные списки или в актив-листы SIEM, для того чтобы могли отработать корреляции. Также можно актуализировать модель угроз.

Заключение

Таким образом, мы видим, что TIP (при грамотном подходе к кастомизации в процессе внедрения решения) эффективно проявляет себя в разных процессах информационной безопасности и должен быть сквозным образом интегрирован во многие процедуры SOC-центра или департамента ИБ. Ну и, конечно, не стоит забывать, что платформа позволяет сформировать и поддерживать в актуальном состоянии модель угроз и нарушителей.

TIP SOC SIEM Подкасты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2