Обзор средств информационной безопасности: данные и инциденты

Руслан Рахметов, Security Vision

Рис. 1 – Средства защиты информации и взаимосвязи

В первой части обзора средств защиты информации мы в основном рассматривали системы, нацеленные на пользователей и организацию их безопасной и эффективной работы. В этой статье мы разберем системы, которые фокусируются на самих данных и защите от случайных или умышленных действий с ними.

Рис. 2 - Data Leakage Prevention или Data Loss Protection (DLP) – защита от утечек конфиденциальных данных

Системы DLP находятся ближе всех остальных к самим данным, поскольку анализируют их содержимое на предмет наличия конфиденциальных данных. Чтобы организовать максимальный функционал, они включают компоненты на сетевом уровне (почтовый шлюз, сервер печати документов, proxy-сервер) и агентскую часть на ПК сотрудников (которая контролирует внешние устройства, клавиатурный ввод, отправку файлов в облачные сервисы и мессенджеры и другие каналы передачи данных).

Конечно, существуют чисто агентские или чисто сетевые DLP, например, в корпоративных облачных сервисах Google, но для максимальной защиты чаще всего используются именно on-premise решения, инсталлируемые в инфраструктуру или внутрь частного облака, если используется инфраструктура внешнего ЦОД.

Стоит отметить, что такие сложные средства защиты данных нуждаются в настройке: нужно определить перечень защищаемых данных и «научить» систему их распознавать, поэтому внедрение часто связано с результатами аудита ИБ и результатами работы консалтинга.

ЗАДАЧИ:   

    · Защита конфиденциальных данных от утечек
    · Контроль трафика внутри организации и передача за пределы защищаемого периметра
    · Логирование действий пользователей и проведение расследований ИБ и ЭБ.

Рис. 3 - Information Leakage Detection (ILD) – определение утечек и их источников

Системы подобного класса позволяют проводить расследований по уже произошедшим утечкам, от которых не могут защитить DLP-системы. Сами расследования проводят аналитики путём сравнения материалов об утечке с теми данными, к которым имели доступ сотрудники компании. Для организации сравнения каждому сотруднику предоставляется доступ к уникальной копии данных, которая путём добавления водяных знаков или афинных преобразований с высокой точностью позволяет определить того пользователя, который участвовал в инциденте.

Современные ILD-системы работают незаметно для пользователей и уже не используют водяные знаки. Афинные преобразования сдвигают части текста, буквы и строки, но делают это визуально незаметным для пользователей. Такие сложные системы также необходимо сначала настроить: определить данные и доступы к ним, файлы и директории (например, в СЭД или веб-сервисах наподобие CRM-систем), после чего исходные данные «подменяются» копией, которая маркирована без использования водяных знаков.

ЗАДАЧИ:   

     · Маркировка конфиденциальных данных
     · Организация централизованного доступа к документам и сервисам
     · Проведение расследований по произошедшим утечкам КИ путём визуального (автоматического) сравнения.

Рис. 4 - Static/Dynamic Application Security Testing (SAST/DAST) и IAST (Interactive Application Security Testing) – анализ исходного кода приложений и тестирование

Полезные данные могут содержаться не только в базах данных и документах, зачастую критичная информация находится в исходном коде разрабатываемых приложений. Также внутри кода могут быть размещены «закладки» и уязвимости, которые с внешней стороны периметра смогут эксплуатировать злоумышленники. Для анализа исходного кода приложений используется ряд технологий: статический и динамический анализ, а также их комбинирование и интерактивное взаимодействие.

При статическом анализе исходный код в виде текста загружается в анализатор, который читает его и сравнивает с базами известных уязвимостей, закладок и других «проблемных» элементов (например, наличие в коде напрямую прописанных логинов и паролей к информационным системам). Для динамического анализа используется другой подход, похожий на процесс пентеста (penetration testing): анализатор «простукивает» приложение безопасными атаками (например, GET-запросами с пустыми заголовками). Таким образом становится возможным обнаружение уязвимостей, которые пока не описаны в базах. При динамическом анализе используется уже скомпилированное приложение и нет привязки к языку, на котором написан его код.

Дальнейшая эволюция и комбинирование этих двух подходов позволили создать системы для интерактивного взаимодействия и выпуска патчей «на лету», которые позволяют закрывать уязвимости временными заглушками и повышают безопасность приложения до нового цикла обновления в рамках DevSecOps.

ЗАДАЧИ:

     · Повышение безопасности разрабатываемых приложений
     · Создание патчей и хотфиксов для решения проблем разработки
     · Автоматизация тестирования в рамках DevSecOps.

Рис. 5 - Security Information and Event Management (SIEM) – мониторинг и корреляция событий ИБ

В процессе эксплуатации различных информационных систем генерируются события, из которых необходимо вычленить инциденты для реагирования. Это можно сделать несколькими способами: первый - группировка и дедупликация событий как механизм работы SOAR-систем и второй - корреляция событий между собой, как математический инструмент SIEM-систем. В первом случае нужно анализировать поступающие логи и события и создавать правила самостоятельно, а при использовании SIEM-систем можно воспользоваться пакетами экспертизы, которые разрабатываются вендором и используются как готовые инструменты «из коробки».

В качестве примера можно рассмотреть неуспешные попытки авторизации в приложениях. С одной стороны, пользователь может забыть свой пароль и несколько раз пытаться его подобрать, но бывают случаи, когда хакер за периметром пытается автоматически перебирать пароли и в конечном итоге успешно авторизоваться в системе путём брутфорса, повысив свои привилегии. SIEM-система в таком случае собирает из журналов события ввода пароля и коррелирует их между собой, подсвечивая для сотрудника ИБ/ИТ соответствующие риски и сформировав из потока событий один инцидент с описанием возможных последствий.

ЗАДАЧИ:

     · Снижение числа ложноположительных срабатываний
     · Уменьшение количества инцидентов и их группировка для реагирования
     · Определение корреляции между отдельными событиями и анализ цепочки действий.

Рис. 6 - Threat Intelligence Platform (TIP) – сбор данных киберразведки и поиск индикаторов компрометации

В работе специалистов SOC сотрудникам часто приходится сталкиваться с новыми видами инцидентов. При этом все инциденты внутри компании могут быть скоррелированы при помощи SIEM-систем (см. выше), но дополнительно повысить эффективность позволяют фиды от сторонних поставщиков. TI-платформа позволяет агрегировать фиды как новостную рассылку и использовать опыт экспертов по всему миру, которые уже сталкивались с похожими инцидентами.

Сама работа TIP-систем складывается из нескольких этапов: сбор сведений (фидов) и индикаторов компрометации (IoC), дополнение тикетов обнаруженных инцидентов полезными данными от экспертов вне организации, создание новых сущностей для дальнейшего анализа SIEM и реагирования в SOAR‑платформах. Опираясь на объектно‑ориентированное реагирование, инцидент описывается через множество взаимосвязанных объектов и артефактов, а собственная разработка Security Vision - динамические плейбуки в IRP/SOAR‑решениях - выступают инструментом, реализующим эту методологию и использующим обогащённые данными TIP сущности для автоматической подстройки сценариев реагирования.

 Таким способом для реагирования на инциденты и киберугрозы создается своего рода Wikipedia с полезной информацией, только обогащение осуществляется автоматически, а для успешной защиты компании можно выйти за рамки существующей в ней экспертизы.

ЗАДАЧИ:

     ·  Поиск индикаторов компрометации в известных базах (фидах)
     ·  Использование мировой экспертизы и снижение требований к специалистам ИБ
     ·  Автоматическое обогащение инцидентов полезными данными и способами реагирования.