SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

IoCs / Индикаторы компрометации / Indicators of Compromise

IoCs / Индикаторы компрометации / Indicators of Compromise
04.11.2020

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |      



Руслан Рахметов, Security Vision

Друзья, в одной из предыдущих статей, посвященной IRP-системам реагирования на инциденты, мы упомянули такой термин, как «Индикаторы компрометации», или, в зарубежной литературе, Indicators of Compromise (IoCs). Давайте более подробно поговорим о применении и использовании данных индикаторов в контексте обеспечения информационной безопасности - как их собирать, обрабатывать и использовать. Вперед!


Для начала разберемся с терминологией. Само понятие индикаторов компрометации родилось не так давно. Причиной использования этого термина стал вошедший в обиход принцип Assumed Breach, который означает буквально: «Считайте, что вас уже взломали». Иными словами, предполагается, что в ИТ-инфраструктуре любой компании может находиться некое вредоносное ПО, которое уже сейчас осуществляет свою активность вне зависимости от того, были ли зафиксированы какие-либо последствия его вредоносных действий или результаты атаки пока не стали известны компании. Данные предположения небезосновательны - многие вендоры, занимающиеся расследованием киберинцидентов, предоставляли в отчетах свои данные о количестве дней, в течение которых вредоносы находились в инфраструктуре взломанных организаций до момента обнаружения; счет шел на десятки, а иногда и на сотни дней. Таким образом родились концепции Cyber Threat Hunting и Cyber Threat Intelligence.


Cyber Threat Hunting (поиск киберугроз) означает поиск угроз внутри сети: анализ потенциальных свидетельств атаки как известных, так и неизвестных вирусов, поиск следов деятельности киберпреступных групп, а также поиск признаков заражений, в том числе и на самом глубоком уровне, например, в firmware («прошивках») аппаратных устройств, а также в сообщениях от сторонних компаний (поиск признаков атак с IP-адресов защищаемой компании).


Cyber Threat Intelligence (киберразведка) – это поиск информации о потенциальных атакующих, в том числе о серьезных киберпреступных группах, которые называются APT-группировками, от Advanced Persistent Threat (усложненная устойчивая угроза или, коротко, целевая кибератака). Данные APT-группировки по сути представляют собой устойчивое киберпреступное сообщество, в котором роли и обязанности атакующих четко распределены: есть организаторы, есть программисты, есть специалисты в области социальной инженерии, есть дропы, занимающиеся обналичиванием выводимых денежных средств, есть даже своя техподдержка. Разные APT-группы «специализируются» на определенных отраслях экономики: кто-то атакует в основном банки и финансовые учреждения, кто-то - телеком, кто-то - научные и государственные организации и т.д. APT-группировки могут размещать в Даркнете «заказы» на поиск информации об организации для более эффективной последующей атаки, вербовать сотрудников атакуемой компании, приобретать или разрабатывать специализированные инструменты для взлома целевой инфраструктуры. При этом киберразведку можно условно разделить на стратегическую (поиск данных о потенциально опасных для защищаемой компании APT-группах, в том числе информации об их подготовке к совершению кибератаки), тактическую (поиск данных о тактиках, техниках и процедурах атакующих, сокращенно TTPs - Tactics, Techniques, Procedures), оперативную (поиск непосредственных признаков приготовления к атаке - специфических сетевых сканирований для анализа инфраструктуры и поиска уязвимостей, мошеннических входящих звонков и фишинговых писем).


Как видим, оба вида деятельности - и поиск киберугроз, и киберразведка - связаны тем, что нацелены на поиск признаков возможной компрометации ИТ-инфраструктуры, т.е. как уже совершенных кибератака, так и только готовящихся нападений. Вернувшись к теме сегодняшней статьи, дадим определение: индикатор компрометации (Indicator of Compromise, IoC) - это объект/артефакт, обнаруженный в ИТ-инфраструктуре компании, наличие которого с высокой долей вероятности может свидетельствовать о готовящейся, совершающейся или уже осуществленной компьютерной атаке. В качестве индикаторов компрометации (IoCs) могут быть использованы такие статические объекты, как хэш-суммы файлов и их имена и расположение, IP-адреса, DNS-имена серверов в сети Интернет или конкретные URL (например, ссылки на фишинговые страницы), названия веток и ключей реестра Windows, названия мьютексов (mutex, специализированный механизм синхронизации исполняемого программного кода). Кроме этого, могут быть использованы и динамические объекты, такие как определенная последовательность несанкционированных действий на атакуемой системе (это также называют индикатором атаки, Indicator of Attack (IoA)), необычное поведение учетных записей в системе (это может быть выявлено системами класса UEBA - User & Entity Behavior Analysis, системы анализа поведения пользователей и сущностей), несанкционированное появление новых учетных записей, особенно высокопривилегированных, а также рост числа подозрительных DNS-запросов, ICMP-трафика, иных видов ранее нехарактерной сетевой активности. При этом считается, что для точного обнаружения атаки менее подходят статические индикаторы (поскольку могут быть легко заменены/обновлены злоумышленником), а самыми надежными способами будут методы, использующие анализ TTPs (Tactics, Techniques, Procedures) злоумышленников - последовательности шагов, применяющихся атакующими, которые в том числе определяются динамическими индикаторами компрометации, например, последовательностью запуска определенных утилит и программ, доступом к памяти системных процессов, обращением к служебным сетевым ресурсам и т.д. Об анализе TTPs в интерпретации проекта MITRE ATT&CK мы говорили в одной из наших предыдущих статей.


Более подробно стоит обсудить такой индикатор атаки, как хэш-сумма файла. Как мы знаем, хэш-функция - это алгоритм одностороннего преобразования массива входных данных произвольной длины в строку фиксированной длины. Иными словами, если мы вычисляем значение хэш-функции от какого-то файла, то в результате получаем некий набор символов, из которого нельзя извлечь первоначальный файл и который однозначно характеризует данный файл и соответствует ему, т.е. невозможно подобрать два разных файла, у которых будет одинаковое значение хэш-функции или, как говорят, хэш-сумма.


Итак, хэш-сумма - это некая последовательность бит, которая является «отпечатком» файла. Известными и применимыми на текущий день хэш-функциями являются SHA-2, SHA-3, ГОСТ Р 34.11-2012 («Стрибог»). В некоторых случаях используют устаревшие ненадежные алгоритмы, например, MD5 или SHA-1, но их не рекомендуется применять по причине возможных т.н. «коллизий» (когда для двух разных файлов будет вычислена одна и та же хэш-сумма). Кроме использования вышеуказанных криптографических хэш-функций, можно применять специализированные функции, такие как SSDeep и Imphash. Алгоритм SSDeep основан на принципах нечеткого хэширования (fuzzy hashing) и позволяет обнаруживать незначительно отличающиеся друг от друга части файлов, таким образом показывая сходство уже известного вируса и минимально измененного аналога (прием, часто используемый хакерами для «обмана» средств защиты). Алгоритм Imphash вычисляет значение хэш-функции от списка и порядка импортируемых вирусом программных функций и библиотек (DLL-файлов Windows), что также может показать сходство между известным образцом вредоноса и его немного видоизмененным аналогом.


Кроме методов видоизменения вредоносных файлов, атакующие применяют другую технику скрытия вредоносной активности. Она называется DGA (Domain Generation Algorithm, алгоритм генерирования доменов) - техника непрерывного изменения DNS-имен серверов, которые используются хакерами для контроля над зараженными устройствами (так называемые C&C или C2-серверы, от Command & Control, управление и контроль). Для чего это нужно? Средства защиты могут достаточно быстро заблокировать один или несколько серверов атакующих, но если заранее неизвестно, к каким именно адресам будет обращаться зараженное устройство, то предотвратить такие подключения не удастся. Как правило, алгоритм генерирования DNS-имен заложен в исходном коде вредоносного ПО, а сами домены создаются с большой скоростью (несколько в секунду), что позволяет обходить средства защиты. Для противодействия подобным техникам могут быть использованы методы искусственного интеллекта, больших данных и машинного обучения: такое средство защиты «видит», что имя домена сгенерировано скорее всего не человеком (по именам вредоносных доменов это часто понятно, т.к. они представляют собой беспорядочный набор символов, например, svsd4fs[.]fowdmpd5fjs[.]xyz), а также на основе уже распознанных вредоносных доменов «понимает», по какому алгоритму они генерируются, и учится предугадывать, какие домены будут использоваться в дальнейшем, с тем, чтобы заблокировать заранее эти еще неизвестные домены.


Итак, обсудив возможные типы индикаторов компрометации, вернемся к их получению и обработке. Для обмена информацией об индикаторах компрометации (Indicators of Compromise, IoCs) используются Threat Intelligence фиды (TI feeds), т.е. источники получения данных киберразведки. Как правило, данная информация загружается в средства защиты автоматически несколько раз в день. Информация, которая поступает по TI-фидам, является чаще всего списком хэш-сумм вредоносных файлов, IP-адресов и DNS-имен хакерских доменов, URL-адресов подозрительных веб-ресурсов. Стандартами и протоколами, которые используются для получения данных киберразведки, являются, например, STIX/TAXII, OpenIOC, CybOX. Существуют коммерческие центры получения данных Threat Intelligence (например, IBM X-Force Exchange, Cisco Talos и т.д.), некоммерческие (AlienVault OTX, Anomali Limo и т.д.) и государственные (в РФ это ГосСОПКА (НКЦКИ) и ФинЦЕРТ (ЦБ РФ)).


Модуль Threat Intelligence Platform (TIP) платформы Security Vision, входящий в состав Security Vision Incident Response Platform (IRP/SOAR), обеспечивает автоматический сбор индикаторов компрометации (IoCs) из внешних источников, нормализацию полученных данных, обогащение дополнительной информацией, а также обработку полученной информации – добавление исключений в настройки средств защиты, выявление индикаторов в инфраструктуре Заказчика, оповещение заинтересованных лиц и дальнейшее распространение информации.


Получение индикаторов компрометации осуществляется посредством интеграции с сервисами – поставщиками с использованием механизмов универсальных коннекторов. Функционал коннекторов позволяет:

1. Получать информацию об индикаторах компрометации;

2. Производить обработку и нормализацию полученной информации;

3. Осуществлять фильтрацию полученной информации;

4. Обеспечивать дедупликацию полученной информации;

5. Создавать новую запись индикатора в базе индикаторов компрометации или обновлять информацию в существующем индикаторе на основании настраиваемых признаков.


Функционал модуля позволяет осуществлять обработку полученных индикаторов по настраиваемым рабочим процессам. Рабочий процесс обработки индикатора компрометации позволяет выполнять как автоматические, так и инициируемые пользователям действия в соответствии с утверждёнными в организации процессами. В рамках обработки производятся:

1. Обогащение индикатора дополнительными данными на основании внешних сервисов и информационных систем Заказчика.

2. Выявление индикатора компрометации в инфраструктуре Заказчика, как на основании ретроспективного анализа, так и в режиме реального времени.

3. Обновление конфигурации средств защиты информации с целью блокирования активностей, связанных с индикатором компрометации.

4. Оповещение ответственных сотрудников Заказчика о новых индикаторах и результатах их обработки.

5. Распространение информации о индикаторе компрометации.


Модуль TIP платформы Securtiy Vision поддерживает возможность аналитики полученных данных посредством применения различных внутренних и внешних моделей обработки данных, применяемых в процессах Заказчика.

ИБ для начинающих IRP ГосСОПКА Угрозы ИБ Практика ИБ SOAR Подкасты ИБ TIP НКЦКИ Финансы в ИБ Threat Hunting

Похожие статьи

Сканер уязвимостей
Сканер уязвимостей
Configuration-as-Code
Configuration-as-Code
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
SCA на языке безопасника
SCA на языке безопасника
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Пентесты
Пентесты

Похожие статьи

Сканер уязвимостей
Сканер уязвимостей
Configuration-as-Code
Configuration-as-Code
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
SCA на языке безопасника
SCA на языке безопасника
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Пентесты
Пентесты