SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

IPS / IDS системы. Обнаружение и предотвращение вторжений

IPS / IDS системы. Обнаружение и предотвращение вторжений
20.03.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, SecurityVision


В рамках текущей статьи мы расскажем про обнаружение вторжений в периметр компании и меры защиты. Для решения такой задачи можно использовать отдельные продукты в разных «зонах» компании: на периметре активировать брандмауэр, на хостах – развернуть систему XDR, а для проникнувших внутрь злоумышленников расставить ловушки и приманки по всей инфраструктуре. Из общего потока событий найти явно инциденты или просто аномальные (для отработки аналитическим центром). Инциденты в дальнейшем собираются вместе, а другие средства защиты настраиваются чтобы предотвращать проникновения в будущем. Общий подход сохраняется, какой бы путь вы ни выбрали: можно использовать комбинированные средства, о которых пойдет речь в этом текста, можно сформировать из разрозненных продуктов экосистему с единым интерфейсом или просто использовать СЗИ по отдельности.


Начать стоит с фазы обнаружения вторжений: системы, которые могут определять поведение злоумышленников, бывают общие (система обнаружения вторжений, Intrusion Detection System, или IDS), направленные на реагирование (EDR/XDR и IRP/SOAR, которые мы уже разбирали ранее) или просто аналитические, когда при помощи машинного обучения в большом потоке событий можно обнаружить атаку.


Далее идет фаза предотвращения вторжений (соответствующие системы объединены под названием Intrusion Prevention System, IPS), задачи которой могут выполняться локально, как описано выше, или в рамках единого продукта.


Существуют отдельные продукты, которые решают только одну задачу, но в своём развитии современные системы позволяют пользователям закрыть весь цикл, автоматизируя, например, взаимодействие с NGFW или спам-фильтрами и выполняя тем самым блокировку вредоносной активности.


Рис. 1 – Эволюция систем обнаружения вторжений


Если вы читали наш обзор решений XDR, то в подходах можно провести аналогии: иногда применение отдельных решений несет больше точности и пользы, но единый интерфейс просто удобнее и быстрее для человека. По сравнению с традиционными средствами защиты (анти-спам, антивирус, межсетевой экран и др.) IDS/IPS обеспечивают гораздо более высокий уровень защиты сети, в то время как отдельные средства защиты обычно решают свои задачи качественнее. Единое решение можно сравнить со швейцарским ножом, когда сразу можно открыть банку с консервами, бутылку вина и порезать хлеб.


Такой инструмент компактен, быстр в использовании, его легко поместить в карман рюкзака. В инфраструктуре так же – когда продукт един, его удобнее установить на сервер и поддерживать в рабочем состоянии.


С другой стороны, всегда будут более продвинутые отдельные решения, вроде автомата по открытию банок, электрического штопора и т.д., когда возможности отдельных продуктов выходят на новый уровень. В поиске баланса системы IPS достигли синергии – именно за счет скорости реагирования и внутренней автоматизации, которую с применением классических средств можно обеспечить SOAR-продуктами или собственными разработками.


Еще большего эффекта можно достичь, применяя различные технологии для поиска инцидентов и различные способы инсталляции, для фокусирования на конкретных уязвимых местах:

· Первый способ установки IPS-системы – разворачивание на периметре (Perimeter Intrusion Detection Systems, PIDS), когда трафик собирается с конкретного участка сети. При такой установке системой защиты от вторжений может быть решение класса NGFW. Только если брандмауэр разрешает и запрещает соединение по заданным правилам, для обнаружения вторжений дополнительно применяется машинное обучение для поиска аномалий. Отдельные способы защиты мы рассмотрим далее, пока сосредоточившись на каналах.

· Отдельный класс решений для защиты приложений появился среди NGFW решений (WAF), поэтому для защиты от вторжений также можно сосредоточиться на анализе пакетов, передаваемых по протоколу приложения (Application Protocol-based Intrusion Detection System, APIDS).


Такие два способа разворачивания можно сравнить с установкой турникета или на входе на станции метро (защищаемый периметр), или при входе в вагон, как на поездах дальнего следования. В первом случае подозрительный трафик можно обнаружить в большом потоке событий, а во втором – в открытом пользователям в сети интерфейсе, например, при попытке получения доступа к базе данных через приложение.


Распространённые сейчас способы установки носят еще более общий характер:

· Если система разворачивается на уровне сети (Network Intrusion Detection System, NIDS) и анализирует весь трафик (не только на периметре, но и внутри), можно обнаружить намного больше необычных взаимодействий между сервисами и повысить защиту. Основная нагрузка в таких системах зависит от пропускной способности и скорости анализатора. Чем больше офисов и объектов, связанных по сети, тем более сложной будет инсталляция и более дорогостоящим – оборудование.

· Некоторые задачи анализа и перехвата трафика можно решать сразу на рабочий станциях пользователей и серверов. Так работают инсталляции хостового типа (Host-based Intrusion Detection System, HIDS).


Эти два подхода хорошо прослеживаются и в других системах, решающих подобные задачи. В нашем обзоре DLP-систем мы уже разбирали две таких архитектуры. Только вместо поиска злоумышленников и вектора атаки там решается задача защиты данных, а вместо анализа взаимодействий – анализируется содержимое файлов.


Существуют и другие, более точечные системы, часть из которых нацелена на работу в среде виртуализации (Virtual Machine-based Intrusion Detection Systems, VMIDS). Из-за особенностей архитектуры систем виртуализации можно сочетать точность и скорость HIDS, вместе с пониженными системными требованиями. И, конечно, для максимального охвата появились гибридные системы, реализующие несколько подходов сразу (Hybrid Intrusion Detection System, HyIDS).


Чтобы максимально эффективно использовать IDS/IPS, можно реализовать два сценария:

1. Развернуть систему на уровне, близком к защищаемому объекту. Так можно сэкономить трафик и ограничиться, например, определенной подсетью или приложением. Если сравнивать с общественным транспортом, мы получим систему, в которой меньше турникетов, а значит, она дешевле, проще и удобнее в работе.

2. Адаптировать типичные настройки стоит под свою инфраструктуру. Сделать это проще, когда сначала трафик просто читается, без блокировок и непосредственной защиты. Это своего рода мониторинг, например, проходимости различных зон города, улиц или целых регионов для оптимизации транспортной системы.


Рис. 2 – Способы реализации защиты от вторжений


Традиционная система защиты от вторжений состоит из датчиков, которые «ловят» трафик и передают его на анализ. Далее разные механизмы определяют суть собранных данных и ищут инциденты.


Различные способы инсталляции позволяют собрать максимум данных для дальнейшего анализа. Чтобы понять содержимое трафика, можно использовать режим Man in the Middle (передачу трафика до его шифрования) и технологию глубокого инспектирования пакетов данных (Deep Packet Inspection, DPI).


Для анализа применяется несколько технологий. Самые первые системы использовали для организации защиты простые политики. Например, при превышении количества данных передача останавливается или нуждается в подтверждении.


Анализ сигнатур позволил сравнивать собранные данные с существующими базами угроз (обычно отдельные у разных вендоров). При этом базы желательно обновлять постоянно, поскольку угроза может появиться чаще чем раз в день, а последствия могут привести к большим потерям. Работа анализатора сигнатуры похожа на работу хостес на входе в ресторан – всех гостей, которые бронировали столик, нужно пропустить и провести на место, а маргинальные личности лучше не пропускать. Чем более полный у хостес список гостей, чем тщательнее он обновляется – тем меньше будет ошибок и недовольства.


Анализ аномалий позволяет без заранее созданных списков и баз данных вычислить любые необычные действия, которые могут оказаться угрозами. Например, поведенческий анализ определит аномалии различных категорий. Для HIDS-систем это отклонения от статистических метрик и количества действий, PIDS или NIDS смогут найти аномалии в самом трафике или протоколах связи. В таком случае искусственный интеллект сначала обучается на статистике вашей компании, а потом ищет отличия в похожие периоды времени. Например, увеличение запросов к интернет-магазину в период праздников – нормальное явление, но, если сравнивать с тем же периодом прошлых лет, можно заметить отличия и обнаружить угрозу. Без машинного обучения инцидент мог быть обнаружен и в обычной активности, когда просто заранее не продумано количество запросов от настоящих пользователей.


Попытки вторжений в инфраструктуру можно обнаружить по-разному: в сетевом трафике, активности портов, данным, передаваемым по отслеживаемым протоколам и даже на конечных устройствах. В зависимости от способа инсталляции и технологий анализа системы IDS могут детектировать (а IPS – предотвращать) действия вредоносного ПО, применение бот-сетей для атаки, различные попытки доступа к данным и нарушения политик безопасности и правил, заданных на средствах сетевой защиты. За счет управления из единого интерфейса достигается задача, схожая с применением отдельных СЗИ, объединенных средством оркестрации. Тем не менее, такие продукты не стали панацеей – чем больше систем удастся собрать в общую экосистему, тем лучше, поскольку самые сложные и хитрые атаки реализуются на стыке отдельных продуктов.



* IDS (Intrusion Detection Systems) - что это такое.

Системы обнаружения вторжений (Intrusion Detection Systems, IDS) - это специализированные программные или аппаратные устройства, разработанные для мониторинга и анализа сетевого трафика с целью выявления попыток несанкционированного доступа или вторжения в компьютерные системы и сети. Их главная задача - раннее обнаружение потенциальных угроз безопасности, что позволяет оперативно реагировать и предотвращать серьезные инциденты.

Как работают IDS?

IDS функционируют на основе заранее определенных правил и сигнатур, которые описывают нормальное поведение сети и потенциально опасные действия. Когда IDS обнаруживает отклонение от установленных норм, он срабатывает и генерирует предупреждение или автоматические действия, например, блокировку доступа для потенциального злоумышленника.


Существует два основных типа систем обнаружения вторжений:

1. Системы обнаружения вторжений в реальном времени (Network-based IDS, NIDS): Эти IDS анализируют трафик в реальном времени и ищут аномалии в сетевой активности. Они могут обнаруживать различные виды атак, такие как сканирование портов, внедрение в сеть и атаки на уровне приложений.

2. Системы обнаружения вторжений на хосте (Host-based IDS, HIDS): Эти IDS устанавливаются непосредственно на компьютере или сервере и мониторят активность этого конкретного устройства. Они способны обнаруживать несанкционированный доступ к файлам и приложениям на хосте.


Почему IDS важны?

IDS играют ключевую роль в обеспечении безопасности информации по нескольким причинам:

1. Раннее обнаружение угроз: IDS позволяют выявлять попытки вторжения на самых ранних стадиях, что уменьшает риск успешных атак.

2. Защита от разнообразных атак: IDS способны обнаруживать различные виды атак, включая известные и новые угрозы.

3. Мониторинг сети: IDS предоставляют ценную информацию о том, как используется сеть и какие угрозы на нее могут воздействовать.

4. Соответствие стандартам безопасности: Множество регуляторных органов и стандартов требуют использования IDS для обеспечения безопасности данных и сетей. 

 

* IPS (Intrusion Prevention Systems) - что это такое.

Система предотвращения вторжений (IPS) - это комплексное программное или аппаратное решение, спроектированное для обнаружения и блокирования несанкционированной активности в компьютерных сетях и системах. Она работает на уровне пакетов данных, анализируя весь сетевой трафик с целью выявления подозрительных действий или атак.


Как работают системы предотвращения вторжений?

Системы предотвращения вторжений в основном основаны на сигнатурном и аномальном анализе трафика. Давайте рассмотрим оба метода подробнее:

1. Сигнатурный анализ: Этот метод использует базу данных известных атак и угроз. IPS сравнивает текущий сетевой трафик с этой базой данных и блокирует пакеты данных, соответствующие заранее определенным сигнатурам. Это позволяет обнаруживать и блокировать известные атаки, такие как вирусы, черви и DDoS-атаки.

2. Аномальный анализ: Этот метод анализирует нормальное поведение сети и выявляет аномалии или необычные паттерны. Если IPS обнаруживает несанкционированную активность, которая не соответствует нормальному поведению сети, она срабатывает и блокирует эту активность. Этот метод полезен для выявления новых и неизвестных атак.


Преимущества систем предотвращения вторжений

· Автоматизация защиты: IPS способна автоматически блокировать атаки, минимизируя риск человеческой ошибки и ускоряя реакцию на угрозы.

· Обнаружение неизвестных угроз: Благодаря аномальному анализу, IPS может выявлять новые и неизвестные атаки, что делает его эффективным инструментом для борьбы с нулевыми днями.

· Сокращение риска для бизнеса: Защита сетей и данных от кибератак помогает снизить потенциальные финансовые потери и сохранить репутацию компании.

IRP SOAR Управление ИБ Управление уязвимостями Подкасты ИБ

Рекомендуем

Что за зверь Security Champion?
Что за зверь Security Champion?
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»

Рекомендуем

Что за зверь Security Champion?
Что за зверь Security Champion?
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»

Похожие статьи

Применение стандарта ISO 31000
Применение стандарта ISO 31000
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»

Похожие статьи

Применение стандарта ISO 31000
Применение стандарта ISO 31000
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»