SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Сценарии нетиповых атак UEBA

Сценарии нетиповых атак UEBA
23.09.2024

Security Vision


В условиях современного цифрового мира кибербезопасность становится одной из приоритетных задач для организаций любого масштаба. Рост числа атак, усложнение их тактик и недостаток квалифицированных специалистов создают не тривиальные вызовы для обеспечения безопасности. Традиционные средства защиты, основанные на статических правилах и сигнатурах, часто оказываются недостаточно эффективными против новых, нетиповых угроз. В таких условиях на помощь приходят механизмы User Entity and Behavior Analytics (UEBA), которые используют поведенческую аналитику в совокупности с различными вспомогательными движками (правила корреляции, методы математической статистики) для обнаружения аномалий в действиях пользователей и множеств различных систем. В этой статье мы подробно рассмотрим, как UEBA помогает бороться с нетипичными атаками, а также приведем примеры реальных атак и сценарии их обнаружения на примере Security Vision UEBA.

 

рис 1.png


Рисунок 1 - Механизм работы UEBA


Основные возможности UEBA


UEBA основывается на анализе поведения пользователей и сущностей (таких как системы, устройства, приложения, учетные записи, процессы) с целью выявления аномалий. Используя машинное обучение и математические модели, такие системы формируют базовые профили нормального поведения и сравнивают их с текущими действиями, выявляя потенциальные угрозы.

 

рис 2.png


 

Рисунок 2 - Cхема взаимодействия моделей ML


Основные возможности UEBA включают:


1. Приоритизация инцидентовСистемы UEBA помогают разгрузить аналитиков безопасности, автоматически выделяя наиболее критичные инциденты, что позволяет сосредоточиться на самых значимых угрозах.

 

рис 3.png


Рисунок 3 - Приоритизация инцидентов



2. Обнаружение угроз: UEBA позволяет выявлять сложные и нетипичные атаки, включая компрометацию учетных данных, инсайдерские угрозы и внешние атаки.

 

рис 4.png


Рисунок 4 - Общая карточка инцидентов с накоплением событий



3. Расследование инцидентов: Объединяя данные о событиях с контекстной информацией, UEBA упрощает расследование инцидентов и ускоряет процесс реагирования.

 

рис 5.png


Рисунок 5 - Единый инструмент (Граф) расследования и реагирования



4. Реагирование на инциденты: Предоставляя детализированную информацию о затронутых областях, UEBA способствует оперативному и эффективному реагированию на атаки.

 

Сценарии использования UEBA для обнаружения атак


Компрометация учетных данных пользователей


Компрометация учетных данных является одной из наиболее распространенных угроз в современном киберпространстве. Атаки, такие как фишинг, техники pass-the-hash или брутфорс, направлены на захват учетных записей пользователей. Примером такой атаки может служить инцидент с компанией Uber в 2016 году, когда хакеры получили доступ к учетным данным, используя фишинг и применив полученные данные для несанкционированного входа в систему. UEBA способна обнаруживать такие действия, выявляя отклонения от обычного поведения пользователя, например, вход с необычного IP-адреса или попытки доступа к данным, которые пользователь ранее не запрашивал.

 

рис 6.png

 

 

Рисунок 6 - Сценарий Атаки - Нелегитимный вход на Linux сервер с корпоративной системой из гостевого сегмента


Атаки на привилегированных пользователей


Привилегированные учетные записи, такие как администраторы или операторы баз данных, являются привлекательной целью для злоумышленников из-за их высокого уровня доступа к критически важным системам. В 2021 году произошло несколько атак на компании, использующие SolarWinds, где злоумышленники смогли получить доступ к учетным данным привилегированных пользователей и использовать их для боковых перемещений внутри сети. UEBA помогает выявлять такие атаки, анализируя действия привилегированных пользователей и выявляя аномальные операции, например, попытки доступа к нехарактерным системам или выполнение необычных команд.


Атаки на активы руководителей


Руководители высшего звена, такие как генеральные директора и финансовые директора, часто становятся целью атак, направленных на кражу конфиденциальных данных или финансовые махинации. В 2018 году произошло несколько инцидентов, когда злоумышленники использовали фишинговые атаки, чтобы заставить руководителей одобрить крупные финансовые переводы. UEBA может выявлять подобные атаки, отслеживая активность активов руководителей и сигнализируя о подозрительных действиях, таких как доступ к системам в нерабочее время или попытки перевода крупных сумм на неизвестные счета.

 

рис 7.png

 

Рисунок 7 - Сценарий Атаки - Фишинг


Инсайдерские угрозы


Инсайдерские угрозы представляют собой одну из самых сложных для обнаружения категорий атак. В 2017 году сотрудник компании Bupa незаконно скопировал и продал личные данные клиентов, используя свои легитимные учетные данные. UEBA позволяет выявлять такие угрозы, анализируя поведение пользователей и обнаруживая действия, выходящие за рамки их обычной деятельности, например, массовое копирование данных или попытки передачи данных на внешние ресурсы.

 

Примеры использования UEBA для приоритизации и расследования инцидентов


Блокировка учетных записей


Блокировка учетных записей – это частый инцидент, который может быть вызван как ошибками пользователей, так и попытками взлома. В крупных организациях расследование причин блокировки может занимать значительное время. UEBA может автоматизировать этот процесс, быстро определяя, является ли блокировка результатом ошибки или же сигнализирует о компрометации учетных данных.


Создание новых учетных записей


Создание новых учетных записей может использоваться злоумышленниками для закрепления своих позиций в сети после первичного взлома. Например, в случае с атакой на Target в 2013 году, злоумышленники использовали компрометированный доступ для создания новых учетных записей и обеспечения долгосрочного доступа к сети компании. UEBA способна отслеживать такие события и выявлять аномалии в процессе создания учетных записей, сигнализируя о возможной атаке.


Совместное использование учетных записей


Совместное использование учетных данных между сотрудниками – это нарушение политики безопасности, которое может привести к утечке данных или другим инцидентам. Например, в случае с банком Capital One в 2019 году, несанкционированный доступ был получен через учетную запись, к которой имели доступ несколько сотрудников. UEBA помогает выявлять случаи совместного использования учетных данных и своевременно реагировать на подобные нарушения.

 

Примеры атак, обнаруживаемых с помощью UEBA


DLL Hijacking и DLL Sideloading


Эти техники атак включают замену легитимных библиотек DLL на вредоносные, что позволяет злоумышленникам получить контроль над системой. Одним из наиболее известных случаев применения этой техники был взлом компании Kaseya в 2021 году, когда шифровальщик REvil использовал DLL Sideloading для распространения вредоносного ПО. UEBA может помочь обнаружить такие атаки, отслеживая загрузку редких или необычных библиотек, особенно если они загружаются в системные процессы.


Горизонтальные перемещения (lateral movement) через named pipes


Злоумышленники часто используют named pipes для скрытного перемещения внутри сети и повышения привилегий. Примером такой атаки может служить использование инструмента Cobalt Strike, который активно применяет named pipes для горизонтального перемещения. UEBA позволяет обнаруживать такие атаки, выстраивая профили нормального поведения систем и выявляя отклонения, такие как создание редких или необычных named pipes.


Подозрительные обращения к внешним доменам


Злоумышленники часто используют легитимные веб-сервисы, такие как Pastebin или GitHub, для передачи команд и управления вредоносными программами. Примером такой активности может служить использование Pastebin для хранения команд C&C, которые затем загружаются на компрометированные системы. UEBA помогает выявлять подобные атаки, отслеживая обращения к редким или подозрительным доменам, особенно если они исходят от пользователей, которые обычно не обращаются к таким ресурсам.

 

Заключение


Технологии User Entity and Behavior Analytics (UEBA) предоставляют мощные инструменты для обнаружения, расследования и реагирования на современные киберугрозы, а на базе платформы Security Vision данный механизм получает турбо усиление в лице всех преимуществ SOAR системы. В отличие от традиционных методов защиты, основанных на правилах и сигнатурах, UEBA использует поведенческую аналитику для выявления аномалий, что позволяет более эффективно обнаруживать нетипичные атаки, такие как компрометация учетных данных, атаки на привилегированных пользователей и инсайдерские угрозы. Примеры реальных атак, таких как использование техник DLL Hijacking или латеральные перемещения через named pipes, демонстрируют важность и необходимость внедрения UEBA в современные системы безопасности. В условиях постоянно усложняющейся киберугрозы, UEBA становится ключевым элементом для обеспечения надежной защиты корпоративных сетей.

 

UEBA Практика ИБ Нарушители ИБ

Рекомендуем

Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Геймификация и управление персоналом
Геймификация и управление персоналом
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
False или не false?
False или не false?
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения

Рекомендуем

Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Геймификация и управление персоналом
Геймификация и управление персоналом
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
False или не false?
False или не false?
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения

Похожие статьи

Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Пентесты
Пентесты
Тестирование на проникновение
Тестирование на проникновение
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба

Похожие статьи

Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Пентесты
Пентесты
Тестирование на проникновение
Тестирование на проникновение
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба