SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Сценарии нетиповых атак UEBA

Сценарии нетиповых атак UEBA
23.09.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Security Vision


В условиях современного цифрового мира кибербезопасность становится одной из приоритетных задач для организаций любого масштаба. Рост числа атак, усложнение их тактик и недостаток квалифицированных специалистов создают не тривиальные вызовы для обеспечения безопасности. Традиционные средства защиты, основанные на статических правилах и сигнатурах, часто оказываются недостаточно эффективными против новых, нетиповых угроз. В таких условиях на помощь приходят механизмы User Entity and Behavior Analytics (UEBA), которые используют поведенческую аналитику в совокупности с различными вспомогательными движками (правила корреляции, методы математической статистики) для обнаружения аномалий в действиях пользователей и множеств различных систем. В этой статье мы подробно рассмотрим, как UEBA помогает бороться с нетипичными атаками, а также приведем примеры реальных атак и сценарии их обнаружения на примере Security Vision UEBA.

 

рис 1.png


Рисунок 1 - Механизм работы UEBA


Основные возможности UEBA


UEBA основывается на анализе поведения пользователей и сущностей (таких как системы, устройства, приложения, учетные записи, процессы) с целью выявления аномалий. Используя машинное обучение и математические модели, такие системы формируют базовые профили нормального поведения и сравнивают их с текущими действиями, выявляя потенциальные угрозы.

 

рис 2.png


 

Рисунок 2 - Cхема взаимодействия моделей ML


Основные возможности UEBA включают:


1. Приоритизация инцидентовСистемы UEBA помогают разгрузить аналитиков безопасности, автоматически выделяя наиболее критичные инциденты, что позволяет сосредоточиться на самых значимых угрозах.

 

рис 3.png


Рисунок 3 - Приоритизация инцидентов



2. Обнаружение угроз: UEBA позволяет выявлять сложные и нетипичные атаки, включая компрометацию учетных данных, инсайдерские угрозы и внешние атаки.

 

рис 4.png


Рисунок 4 - Общая карточка инцидентов с накоплением событий



3. Расследование инцидентов: Объединяя данные о событиях с контекстной информацией, UEBA упрощает расследование инцидентов и ускоряет процесс реагирования.

 

рис 5.png


Рисунок 5 - Единый инструмент (Граф) расследования и реагирования



4. Реагирование на инциденты: Предоставляя детализированную информацию о затронутых областях, UEBA способствует оперативному и эффективному реагированию на атаки.

 

Сценарии использования UEBA для обнаружения атак


Компрометация учетных данных пользователей


Компрометация учетных данных является одной из наиболее распространенных угроз в современном киберпространстве. Атаки, такие как фишинг, техники pass-the-hash или брутфорс, направлены на захват учетных записей пользователей. Примером такой атаки может служить инцидент с компанией Uber в 2016 году, когда хакеры получили доступ к учетным данным, используя фишинг и применив полученные данные для несанкционированного входа в систему. UEBA способна обнаруживать такие действия, выявляя отклонения от обычного поведения пользователя, например, вход с необычного IP-адреса или попытки доступа к данным, которые пользователь ранее не запрашивал.

 

рис 6.png

 

 

Рисунок 6 - Сценарий Атаки - Нелегитимный вход на Linux сервер с корпоративной системой из гостевого сегмента


Атаки на привилегированных пользователей


Привилегированные учетные записи, такие как администраторы или операторы баз данных, являются привлекательной целью для злоумышленников из-за их высокого уровня доступа к критически важным системам. В 2021 году произошло несколько атак на компании, использующие SolarWinds, где злоумышленники смогли получить доступ к учетным данным привилегированных пользователей и использовать их для боковых перемещений внутри сети. UEBA помогает выявлять такие атаки, анализируя действия привилегированных пользователей и выявляя аномальные операции, например, попытки доступа к нехарактерным системам или выполнение необычных команд.


Атаки на активы руководителей


Руководители высшего звена, такие как генеральные директора и финансовые директора, часто становятся целью атак, направленных на кражу конфиденциальных данных или финансовые махинации. В 2018 году произошло несколько инцидентов, когда злоумышленники использовали фишинговые атаки, чтобы заставить руководителей одобрить крупные финансовые переводы. UEBA может выявлять подобные атаки, отслеживая активность активов руководителей и сигнализируя о подозрительных действиях, таких как доступ к системам в нерабочее время или попытки перевода крупных сумм на неизвестные счета.

 

рис 7.png

 

Рисунок 7 - Сценарий Атаки - Фишинг


Инсайдерские угрозы


Инсайдерские угрозы представляют собой одну из самых сложных для обнаружения категорий атак. В 2017 году сотрудник компании Bupa незаконно скопировал и продал личные данные клиентов, используя свои легитимные учетные данные. UEBA позволяет выявлять такие угрозы, анализируя поведение пользователей и обнаруживая действия, выходящие за рамки их обычной деятельности, например, массовое копирование данных или попытки передачи данных на внешние ресурсы.

 

Примеры использования UEBA для приоритизации и расследования инцидентов


Блокировка учетных записей


Блокировка учетных записей – это частый инцидент, который может быть вызван как ошибками пользователей, так и попытками взлома. В крупных организациях расследование причин блокировки может занимать значительное время. UEBA может автоматизировать этот процесс, быстро определяя, является ли блокировка результатом ошибки или же сигнализирует о компрометации учетных данных.


Создание новых учетных записей


Создание новых учетных записей может использоваться злоумышленниками для закрепления своих позиций в сети после первичного взлома. Например, в случае с атакой на Target в 2013 году, злоумышленники использовали компрометированный доступ для создания новых учетных записей и обеспечения долгосрочного доступа к сети компании. UEBA способна отслеживать такие события и выявлять аномалии в процессе создания учетных записей, сигнализируя о возможной атаке.


Совместное использование учетных записей


Совместное использование учетных данных между сотрудниками – это нарушение политики безопасности, которое может привести к утечке данных или другим инцидентам. Например, в случае с банком Capital One в 2019 году, несанкционированный доступ был получен через учетную запись, к которой имели доступ несколько сотрудников. UEBA помогает выявлять случаи совместного использования учетных данных и своевременно реагировать на подобные нарушения.

 

Примеры атак, обнаруживаемых с помощью UEBA


DLL Hijacking и DLL Sideloading


Эти техники атак включают замену легитимных библиотек DLL на вредоносные, что позволяет злоумышленникам получить контроль над системой. Одним из наиболее известных случаев применения этой техники был взлом компании Kaseya в 2021 году, когда шифровальщик REvil использовал DLL Sideloading для распространения вредоносного ПО. UEBA может помочь обнаружить такие атаки, отслеживая загрузку редких или необычных библиотек, особенно если они загружаются в системные процессы.


Горизонтальные перемещения (lateral movement) через named pipes


Злоумышленники часто используют named pipes для скрытного перемещения внутри сети и повышения привилегий. Примером такой атаки может служить использование инструмента Cobalt Strike, который активно применяет named pipes для горизонтального перемещения. UEBA позволяет обнаруживать такие атаки, выстраивая профили нормального поведения систем и выявляя отклонения, такие как создание редких или необычных named pipes.


Подозрительные обращения к внешним доменам


Злоумышленники часто используют легитимные веб-сервисы, такие как Pastebin или GitHub, для передачи команд и управления вредоносными программами. Примером такой активности может служить использование Pastebin для хранения команд C&C, которые затем загружаются на компрометированные системы. UEBA помогает выявлять подобные атаки, отслеживая обращения к редким или подозрительным доменам, особенно если они исходят от пользователей, которые обычно не обращаются к таким ресурсам.

 

Заключение


Технологии User Entity and Behavior Analytics (UEBA) предоставляют мощные инструменты для обнаружения, расследования и реагирования на современные киберугрозы, а на базе платформы Security Vision данный механизм получает турбо усиление в лице всех преимуществ SOAR системы. В отличие от традиционных методов защиты, основанных на правилах и сигнатурах, UEBA использует поведенческую аналитику для выявления аномалий, что позволяет более эффективно обнаруживать нетипичные атаки, такие как компрометация учетных данных, атаки на привилегированных пользователей и инсайдерские угрозы. Примеры реальных атак, таких как использование техник DLL Hijacking или латеральные перемещения через named pipes, демонстрируют важность и необходимость внедрения UEBA в современные системы безопасности. В условиях постоянно усложняющейся киберугрозы, UEBA становится ключевым элементом для обеспечения надежной защиты корпоративных сетей.

 

UEBA Практика ИБ Нарушители ИБ Подкасты ИБ

Похожие статьи

Configuration-as-Code
Configuration-as-Code
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика

Похожие статьи

Configuration-as-Code
Configuration-as-Code
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика