SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

IPS / IDS системы. Обнаружение и предотвращение вторжений

IPS / IDS системы. Обнаружение и предотвращение вторжений
20.03.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, SecurityVision


В рамках текущей статьи мы расскажем про обнаружение вторжений в периметр компании и меры защиты. Для решения такой задачи можно использовать отдельные продукты в разных «зонах» компании: на периметре активировать брандмауэр, на хостах – развернуть систему XDR, а для проникнувших внутрь злоумышленников расставить ловушки и приманки по всей инфраструктуре. Из общего потока событий найти явно инциденты или просто аномальные (для отработки аналитическим центром). Инциденты в дальнейшем собираются вместе, а другие средства защиты настраиваются чтобы предотвращать проникновения в будущем. Общий подход сохраняется, какой бы путь вы ни выбрали: можно использовать комбинированные средства, о которых пойдет речь в этом текста, можно сформировать из разрозненных продуктов экосистему с единым интерфейсом или просто использовать СЗИ по отдельности.


Начать стоит с фазы обнаружения вторжений: системы, которые могут определять поведение злоумышленников, бывают общие (система обнаружения вторжений, Intrusion Detection System, или IDS), направленные на реагирование (EDR/XDR и IRP/SOAR, которые мы уже разбирали ранее) или просто аналитические, когда при помощи машинного обучения в большом потоке событий можно обнаружить атаку.


Далее идет фаза предотвращения вторжений (соответствующие системы объединены под названием Intrusion Prevention System, IPS), задачи которой могут выполняться локально, как описано выше, или в рамках единого продукта.


Существуют отдельные продукты, которые решают только одну задачу, но в своём развитии современные системы позволяют пользователям закрыть весь цикл, автоматизируя, например, взаимодействие с NGFW или спам-фильтрами и выполняя тем самым блокировку вредоносной активности.


Рис. 1 – Эволюция систем обнаружения вторжений


Если вы читали наш обзор решений XDR, то в подходах можно провести аналогии: иногда применение отдельных решений несет больше точности и пользы, но единый интерфейс просто удобнее и быстрее для человека. По сравнению с традиционными средствами защиты (анти-спам, антивирус, межсетевой экран и др.) IDS/IPS обеспечивают гораздо более высокий уровень защиты сети, в то время как отдельные средства защиты обычно решают свои задачи качественнее. Единое решение можно сравнить со швейцарским ножом, когда сразу можно открыть банку с консервами, бутылку вина и порезать хлеб.


Такой инструмент компактен, быстр в использовании, его легко поместить в карман рюкзака. В инфраструктуре так же – когда продукт един, его удобнее установить на сервер и поддерживать в рабочем состоянии.


С другой стороны, всегда будут более продвинутые отдельные решения, вроде автомата по открытию банок, электрического штопора и т.д., когда возможности отдельных продуктов выходят на новый уровень. В поиске баланса системы IPS достигли синергии – именно за счет скорости реагирования и внутренней автоматизации, которую с применением классических средств можно обеспечить SOAR-продуктами или собственными разработками.


Еще большего эффекта можно достичь, применяя различные технологии для поиска инцидентов и различные способы инсталляции, для фокусирования на конкретных уязвимых местах:

· Первый способ установки IPS-системы – разворачивание на периметре (Perimeter Intrusion Detection Systems, PIDS), когда трафик собирается с конкретного участка сети. При такой установке системой защиты от вторжений может быть решение класса NGFW. Только если брандмауэр разрешает и запрещает соединение по заданным правилам, для обнаружения вторжений дополнительно применяется машинное обучение для поиска аномалий. Отдельные способы защиты мы рассмотрим далее, пока сосредоточившись на каналах.

· Отдельный класс решений для защиты приложений появился среди NGFW решений (WAF), поэтому для защиты от вторжений также можно сосредоточиться на анализе пакетов, передаваемых по протоколу приложения (Application Protocol-based Intrusion Detection System, APIDS).


Такие два способа разворачивания можно сравнить с установкой турникета или на входе на станции метро (защищаемый периметр), или при входе в вагон, как на поездах дальнего следования. В первом случае подозрительный трафик можно обнаружить в большом потоке событий, а во втором – в открытом пользователям в сети интерфейсе, например, при попытке получения доступа к базе данных через приложение.


Распространённые сейчас способы установки носят еще более общий характер:

· Если система разворачивается на уровне сети (Network Intrusion Detection System, NIDS) и анализирует весь трафик (не только на периметре, но и внутри), можно обнаружить намного больше необычных взаимодействий между сервисами и повысить защиту. Основная нагрузка в таких системах зависит от пропускной способности и скорости анализатора. Чем больше офисов и объектов, связанных по сети, тем более сложной будет инсталляция и более дорогостоящим – оборудование.

· Некоторые задачи анализа и перехвата трафика можно решать сразу на рабочий станциях пользователей и серверов. Так работают инсталляции хостового типа (Host-based Intrusion Detection System, HIDS).


Эти два подхода хорошо прослеживаются и в других системах, решающих подобные задачи. В нашем обзоре DLP-систем мы уже разбирали две таких архитектуры. Только вместо поиска злоумышленников и вектора атаки там решается задача защиты данных, а вместо анализа взаимодействий – анализируется содержимое файлов.


Существуют и другие, более точечные системы, часть из которых нацелена на работу в среде виртуализации (Virtual Machine-based Intrusion Detection Systems, VMIDS). Из-за особенностей архитектуры систем виртуализации можно сочетать точность и скорость HIDS, вместе с пониженными системными требованиями. И, конечно, для максимального охвата появились гибридные системы, реализующие несколько подходов сразу (Hybrid Intrusion Detection System, HyIDS).


Чтобы максимально эффективно использовать IDS/IPS, можно реализовать два сценария:

1. Развернуть систему на уровне, близком к защищаемому объекту. Так можно сэкономить трафик и ограничиться, например, определенной подсетью или приложением. Если сравнивать с общественным транспортом, мы получим систему, в которой меньше турникетов, а значит, она дешевле, проще и удобнее в работе.

2. Адаптировать типичные настройки стоит под свою инфраструктуру. Сделать это проще, когда сначала трафик просто читается, без блокировок и непосредственной защиты. Это своего рода мониторинг, например, проходимости различных зон города, улиц или целых регионов для оптимизации транспортной системы.


Рис. 2 – Способы реализации защиты от вторжений


Традиционная система защиты от вторжений состоит из датчиков, которые «ловят» трафик и передают его на анализ. Далее разные механизмы определяют суть собранных данных и ищут инциденты.


Различные способы инсталляции позволяют собрать максимум данных для дальнейшего анализа. Чтобы понять содержимое трафика, можно использовать режим Man in the Middle (передачу трафика до его шифрования) и технологию глубокого инспектирования пакетов данных (Deep Packet Inspection, DPI).


Для анализа применяется несколько технологий. Самые первые системы использовали для организации защиты простые политики. Например, при превышении количества данных передача останавливается или нуждается в подтверждении.


Анализ сигнатур позволил сравнивать собранные данные с существующими базами угроз (обычно отдельные у разных вендоров). При этом базы желательно обновлять постоянно, поскольку угроза может появиться чаще чем раз в день, а последствия могут привести к большим потерям. Работа анализатора сигнатуры похожа на работу хостес на входе в ресторан – всех гостей, которые бронировали столик, нужно пропустить и провести на место, а маргинальные личности лучше не пропускать. Чем более полный у хостес список гостей, чем тщательнее он обновляется – тем меньше будет ошибок и недовольства.


Анализ аномалий позволяет без заранее созданных списков и баз данных вычислить любые необычные действия, которые могут оказаться угрозами. Например, поведенческий анализ определит аномалии различных категорий. Для HIDS-систем это отклонения от статистических метрик и количества действий, PIDS или NIDS смогут найти аномалии в самом трафике или протоколах связи. В таком случае искусственный интеллект сначала обучается на статистике вашей компании, а потом ищет отличия в похожие периоды времени. Например, увеличение запросов к интернет-магазину в период праздников – нормальное явление, но, если сравнивать с тем же периодом прошлых лет, можно заметить отличия и обнаружить угрозу. Без машинного обучения инцидент мог быть обнаружен и в обычной активности, когда просто заранее не продумано количество запросов от настоящих пользователей.


Попытки вторжений в инфраструктуру можно обнаружить по-разному: в сетевом трафике, активности портов, данным, передаваемым по отслеживаемым протоколам и даже на конечных устройствах. В зависимости от способа инсталляции и технологий анализа системы IDS могут детектировать (а IPS – предотвращать) действия вредоносного ПО, применение бот-сетей для атаки, различные попытки доступа к данным и нарушения политик безопасности и правил, заданных на средствах сетевой защиты. За счет управления из единого интерфейса достигается задача, схожая с применением отдельных СЗИ, объединенных средством оркестрации. Тем не менее, такие продукты не стали панацеей – чем больше систем удастся собрать в общую экосистему, тем лучше, поскольку самые сложные и хитрые атаки реализуются на стыке отдельных продуктов.



* IDS (Intrusion Detection Systems) - что это такое.

Системы обнаружения вторжений (Intrusion Detection Systems, IDS) - это специализированные программные или аппаратные устройства, разработанные для мониторинга и анализа сетевого трафика с целью выявления попыток несанкционированного доступа или вторжения в компьютерные системы и сети. Их главная задача - раннее обнаружение потенциальных угроз безопасности, что позволяет оперативно реагировать и предотвращать серьезные инциденты.

Как работают IDS?

IDS функционируют на основе заранее определенных правил и сигнатур, которые описывают нормальное поведение сети и потенциально опасные действия. Когда IDS обнаруживает отклонение от установленных норм, он срабатывает и генерирует предупреждение или автоматические действия, например, блокировку доступа для потенциального злоумышленника.


Существует два основных типа систем обнаружения вторжений:

1. Системы обнаружения вторжений в реальном времени (Network-based IDS, NIDS): Эти IDS анализируют трафик в реальном времени и ищут аномалии в сетевой активности. Они могут обнаруживать различные виды атак, такие как сканирование портов, внедрение в сеть и атаки на уровне приложений.

2. Системы обнаружения вторжений на хосте (Host-based IDS, HIDS): Эти IDS устанавливаются непосредственно на компьютере или сервере и мониторят активность этого конкретного устройства. Они способны обнаруживать несанкционированный доступ к файлам и приложениям на хосте.


Почему IDS важны?

IDS играют ключевую роль в обеспечении безопасности информации по нескольким причинам:

1. Раннее обнаружение угроз: IDS позволяют выявлять попытки вторжения на самых ранних стадиях, что уменьшает риск успешных атак.

2. Защита от разнообразных атак: IDS способны обнаруживать различные виды атак, включая известные и новые угрозы.

3. Мониторинг сети: IDS предоставляют ценную информацию о том, как используется сеть и какие угрозы на нее могут воздействовать.

4. Соответствие стандартам безопасности: Множество регуляторных органов и стандартов требуют использования IDS для обеспечения безопасности данных и сетей. 

 

* IPS (Intrusion Prevention Systems) - что это такое.

Система предотвращения вторжений (IPS) - это комплексное программное или аппаратное решение, спроектированное для обнаружения и блокирования несанкционированной активности в компьютерных сетях и системах. Она работает на уровне пакетов данных, анализируя весь сетевой трафик с целью выявления подозрительных действий или атак.


Как работают системы предотвращения вторжений?

Системы предотвращения вторжений в основном основаны на сигнатурном и аномальном анализе трафика. Давайте рассмотрим оба метода подробнее:

1. Сигнатурный анализ: Этот метод использует базу данных известных атак и угроз. IPS сравнивает текущий сетевой трафик с этой базой данных и блокирует пакеты данных, соответствующие заранее определенным сигнатурам. Это позволяет обнаруживать и блокировать известные атаки, такие как вирусы, черви и DDoS-атаки.

2. Аномальный анализ: Этот метод анализирует нормальное поведение сети и выявляет аномалии или необычные паттерны. Если IPS обнаруживает несанкционированную активность, которая не соответствует нормальному поведению сети, она срабатывает и блокирует эту активность. Этот метод полезен для выявления новых и неизвестных атак.


Преимущества систем предотвращения вторжений

· Автоматизация защиты: IPS способна автоматически блокировать атаки, минимизируя риск человеческой ошибки и ускоряя реакцию на угрозы.

· Обнаружение неизвестных угроз: Благодаря аномальному анализу, IPS может выявлять новые и неизвестные атаки, что делает его эффективным инструментом для борьбы с нулевыми днями.

· Сокращение риска для бизнеса: Защита сетей и данных от кибератак помогает снизить потенциальные финансовые потери и сохранить репутацию компании.

IRP SOAR Управление ИБ Управление уязвимостями Подкасты ИБ

Рекомендуем

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Разработка без кода
Разработка без кода
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC

Рекомендуем

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Разработка без кода
Разработка без кода
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы