SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Расследование инцидентов и использование специализированных инструментов

Расследование инцидентов и использование специализированных инструментов
27.01.2025

Руслан Рахметов, Security Vision


В современных условиях агрессивного киберландшафта и множества киберугроз нельзя полагаться только на предупредительные, директивные и превентивные механизмы. Подход Assumed Breach («предполагаемое нарушение») далеко не нов, но актуален — ни одна компания не может быть на 100% уверена в своей кибербезопасности, поэтому логично уделять внимание детективным, сдерживающим, корректирующим, восстановительным, расследовательным мерам защиты. В случае, если атакующие всё же проникли в инфраструктуру, их не поздно остановить до момента, когда компании будет нанесен критичный ущерб. В этой статье мы обсудим методы управления инцидентами ИБ, способы расследования киберинцидентов и использование соответствующих специализированных инструментов.


Итак, в соответствии с положениями документа NIST SP 800-61 Computer Security Incident Handling Guide («Руководство по обработке инцидентов компьютерной безопасности»), управление инцидентами ИБ состоит из следующих этапов:

1. Подготовка;

2. Обнаружение;

3. Анализ;

4. Сдерживание;

5. Устранение;

6. Восстановление;

7. Пост-инцидентные действия.


Для выстраивания процесса управления киберинцидентами необходимо сформировать политику реагирования на инциденты ИБ, которая позволит корректно и бесшовно встроить процесс управления ИБ в общую структуру системы управления ИБ (СУИБ) в компании. Важно, чтобы в рамках этапов подготовки к реагированию на инциденты и пост-инцидентных действий выполнялись действия, которые повышают уровень киберзащищенности компании. Так, в рамках подготовки собираются и систематизируются сведения о защищаемой инфраструктуре (включая карту сети и схему информационных потоков), зависимостях бизнес-процессов и ответственных лицах, что, соответственно, приводит к выполнению работ по актуализации данной информации и к сопутствующему повышению прозрачности и контролируемости ИТ-инфраструктуры. Кроме того, в документе NIST SP 800-61 отдельно подчеркивается, что инцидент проще предотвратить, чем разбираться с его последствиями, поэтому знания и опыт аналитиков SOC-центра или членов команды реагирования можно и нужно применять для недопущения киберинцидентов и повышения киберустойчивости компании. Среди наиболее эффективных способов предотвращения киберинцидентов перечисляются такие, как комплексное управление киберрисками, обеспечение безопасности конечных точек (в том числе за счет управления уязвимостями, обновлениями, конфигурациями, журналирования событий ИБ и мониторинга состояния хостов), обеспечение сетевой безопасности (в том числе путем реализации принципа «Нулевого доверия» - Zero Trust), проведение Awareness-тренингов для работников компании. В рамках пост-инцидентных действий важно проанализировать причины возникновения инцидента, сформировать план устранения выявленных недостатков, использовать результаты анализа для перенастройки отдельных СЗИ, оптимизации элементов СУИБ, переоценки киберрисков, проведения дополнительного ИБ-обучения.


В рамках подготовки к реагированию на инциденты ИБ важно корректно настроить следующие СЗИ и функции безопасности, которые будут использоваться для выявления инцидентов и дальнейших действий по реагированию:


1. На конечных устройствах (серверах и ПК), на сетевых устройствах, в бизнес-приложениях, в средах виртуализации и контейнеризации должно быть настроено логирование событий ИБ. Список событий, которые целесообразно сохранять и затем передавать в SIEM-системы, для каждой системы может отличаться, поэтому разумно будет обратиться к лучшим практикам и документации, в которых эксперты и разработчики приводят рекомендуемые настройки журналирования. Также следует заранее продумать способы и инструменты удаленного запуска различных скриптов и команд на устройствах в рамках реагирования на инциденты (например, для получения списка текущих процессов, создания дампа памяти, поиска индикаторов компрометации, сетевой изоляции хоста). Такими инструментами могут быть утилита PsExec, технология PowerShell Remoting, удаленное подключение по SSH, запуск IoC-сканеров (таких как SPARK, THOR, Loki, rastrea2r и другие).


2. Системы управления событиями информационной безопасности (SIEM, Security Information and Event Management), которые используются для сбора событий ИБ, их парсинга, хранения и эффективного поиска по событиям ИБ, а также анализа, обогащения, корреляции событий ИБ и формирования инцидентов ИБ.


3. Платформы реагирования на инциденты ИБ (SOAR, Security Orchestration, Automation and Response) - они используются для автоматизации управления инцидентами ИБ, в них настраиваются сценарии реагирования и соответствующие действия, которые выполняются либо непосредственно SOAR, либо средствами защиты, которые интегрированы с SOAR-платформой и могут управляться ею.


4. Системы анализа трафика (NTA, Network Traffic Analysis), которые позволяют выявлять угрозы в сетевом трафике, а также вести запись копии сетевого трафика для последующего изучения, что может пригодиться при расследовании инцидента.


5. Системы для проведения компьютерных криминалистических исследований, которые могут представлять собой программные продукты или программно-аппаратные комплексы для проведения форензик-анализа атакованных устройств (оперативной памяти и накопителей) и сохранения их образов для дальнейшего использования в судебных компьютерно-технических экспертизах.


6. Можно задействовать и заранее подготовить платформу управления данными киберразведки (TIP, Threat Intelligence Platform) — она позволит обработать данные аналитики киберугроз и обогатить инциденты ИБ данными из внешних аналитических сервисов, что поможет при проведении расследования кибератак.


При обнаружении инцидента, в случае корректно настроенного журналирования и пересылки логов в SIEM, инцидент будет сформирован в соответствии с правилами корреляции, а затем передан в SOAR-систему. Далее обработка инцидента производится в соответствии с настроенными сценариями реагирования (плейбуками), но, как правило, сначала L1-аналитик SOC-центра должен будет решить, не является ли инцидент ложноположительным, а данные по инциденту будут автоматически обогащаться из внутренних и внешних источников (например, данные по устройству подтянутся из корпоративной ITAM-системы, информация по пользователю будет импортирована из HR-системы, а из TIP и внешних аналитических сервисов загрузятся данные по хэшам файлов, внешним IP-адресам и DNS-именам).


В рамках этапа анализа командой SOC-центра (прежде всего, аналитиками L2) выполняются действия по категорированию и приоритизации инцидента в зависимости от его свойств и характеристик атакованного актива, производится непосредственно расследование инцидента, а затем — коммуникация с ответственными лицами и эскалация в зависимости от критичности инцидента. При расследовании аналитик старается определить вектор атаки, точку входа злоумышленников («нулевого пациента»), предугадать маршрут дальнейшего передвижения атакующих в сети и возможные варианты действия. На этапе расследования нужно получить необходимый и достаточный минимум информации для того, чтобы оперативно локализовать и устранить угрозу до того, как компании будет нанесен ущерб (например, будут удалены или похищены данные). Глубокое расследование с форензик-анализом скомпрометированных устройств может затянуться на несколько дней, но если устройство заражено вирусом-шифровальщиком в результате фишинга, то важно как можно скорее отключить его от корпоративной сети для того, чтобы не допустить распространения вируса по всей инфраструктуре. Затем надо будет проверить, нет ли других получателей того же фишингового письма в компании, нет ли признаков компрометации других хостов, не успел ли атакующий горизонтально переместиться по сети. Уже после этого атакованный ПК можно будет детально исследовать, предварительно сняв образ жесткого диска и оперативной памяти. Специализированными инструментами для глубокого расследования и форензик-анализа являются такие решения, как FTK Imager, Belkasoft RAM Capturer, Autopsy / The Sleuth Kit, Volatility Framework, Rekall Framework, NetworkMiner, утилиты из набора Эрика Циммермана (Eric Zimmerman), дистрибутивы REMnux и SANS Investigative Forensic Toolkit, а также иные инструменты, неисчерпывающий список которых представлен на GitHub-странице проекта Awesome Forensics.


На этапах сдерживания и устранения важно использовать интеграционные возможности SOAR-решений для того, чтобы максимально быстро локализовать угрозу и привести инфраструктуру в безопасное состояние. Активными мерами противодействия могут быть сетевая изоляция атакованного устройства, блокирование скомпрометированной учетной записи, завершение подозрительного процесса, перенастройка межсетевого экрана, перемещение устройства в «карантинный» VLAN и т.д. На этапе восстановления помощь окажут системы резервного копирования и выполнение процедур обеспечения непрерывности бизнеса и восстановления деятельности. На этапе пост-инцидентных действий можно воспользоваться историей реагирования на инцидент, которая ведется в SOAR-системе – это поможет оценить корректность и своевременность выполненных действий, определить узкие места и запланировать оптимизацию процесса реагирования, а также предложить пути улучшения СУИБ и донастройки защитных мер для недопущения аналогичных инцидентов в будущем.

NIST TIP SIEM SOAR Управление инцидентами

Похожие статьи

Какие цели злоумышленники задают ВПО
Какие цели злоумышленники задают ВПО
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
SCA на языке безопасника
SCA на языке безопасника
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и его применение
Интернет вещей и его применение
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Уязвимости
Уязвимости

Похожие статьи

Какие цели злоумышленники задают ВПО
Какие цели злоумышленники задают ВПО
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
SCA на языке безопасника
SCA на языке безопасника
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и его применение
Интернет вещей и его применение
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Уязвимости
Уязвимости