2.6. Наводки об инцидентах

Задача номер один для SOC — поиск инцидентов безопасности и реагирование на них. Сообщения о потенциальных инцидентах или наводки могут поступать из разных источников, в том числе от:

  • Клиентов с обычным непривилегированным доступом к системе;
  • Системных администраторов и администраторов сетей клиента;
  • Служб технической поддержки клиента;
  • От менеджеров и руководителей систем информационной безопасности клиента — ISSO (Information Systems Security Officer) и ISSM (Information System Security Manager);
  • Юрисконсультов или аудиторов;
  • Других SOC (того же уровня или подчиненных, координирующих или национальных);
  • Правоохранительных органов или других следственных подразделений;
  • Других организаций, так или иначе причастных к инциденту;

Эти данные могут быть получены различными способами включая:

  • Сообщения электронной почты;
  • Телефонные звонки;
  • Отчеты при личном общении;
  • Заполнение формы об инциденте на веб-сайте SOC;
  • Информацию от других SOC.

Инциденты, выявленные с помощью этих средств, следует рассматривать как наиболее ценные, особенно по сравнению с неподтвержденными сообщениями от IDS. Поскольку они оценивались с точки зрения собственных задач и систем сообщивших об инциденте сторон, они почти наверняка заслуживают внимания. Тем не менее, необходимо тщательно проанализировать эти инциденты, опираясь на доступные SOC данные, чтобы оценить, требуются ли дальнейшие шаги. Инциденты, данные о которых поступили из внешних источников — лишь часть всего объема работы SOC-центра. Некоторые, если не большинство, инцидентов обнаруживаются и проходят через внутренние средства, которые более подробно рассматриваются в разделе 8:

  1. Сетевая система обнаружения/предотвращения вторжений (NIDS/NIPS);
  2. Система обнаружения/предотвращения вторжений на хостах (HIDS/HIPS);
  3. Сбор и анализ сетевого трафика (NetFlow);
  4. Журналы ОС, приложений и сетевых устройств, такие как журналы веб-сервера, журналы веб-прокси, журналы DNS и предупреждения антивируса (AV);
  5. Инструменты лог-менеджмента/анализа и SIEM, которые собирают, анализируют, сопоставляют и информируют об этих логах;
  6. Песочницы и системы наблюдения, начиная от «камер детонации» для вредоносов и заканчивая ханипотами (honeypots — ресурсы, служащие приманкой для злоумышленника);
  7. Криминалистический анализ образцов вредоносных программ и носителей, например жестких дисков;
  8. Системы автоматического сбора и оповещения о данных киберразведки;
  9. Полный анализ сеанса сетевых данных (PCAP).

SOC полагается на обнаружение с помощью этих инструментов и данных, но зачастую они оказываются дороги в эксплуатации и обслуживании. Как правило, обучение клиентов является самым дешевым способом получения полезной информации. Небольшие и не очень зрелые SOC могут в большой степени полагаться на данные от сотрудников клиента и доступные источники логов. Более крупные SOC, имеющие больше ресурсов, могут использовать методы для самостоятельного обнаружения инцидентов, например, с помощью сетевых датчиков или датчиков на хостах, а также SIEM систем. Но даже при наличии хорошо обученного клиента SOC всё равно потребуется развитая инфраструктура для сбора дополнительных данных, анализа и реагирования.

В идеале, SOC должен обнаружить инцидент до того, как будет нанесен значительный ущерб. Исторически так сложилось, что SOC концентрируется на работе по идеальному сценарию: выявление инцидента во время разведки противником или во время фактической атаки, когда доступ в систему осуществляется через эксплуатацию уязвимости.

Cyber kill chain
Рис. 3. Cyber kill chain

Учитывая все большую сложность и скрытость атак, SOC необходимо принимать во внимание весь «жизненный цикл кибератаки»[1] (Рисунок 3), также называемый “cyber kill chain”.  Используя этот подход, SOC должен стремиться обнаруживать атаки и реагировать на них не только в момент поражения цели, но и на любой стадии жизненного цикла — от разведки до масштабного присутствия в скомпрометированных системах.

Таблица 2 иллюстрирует каждый этап жизненного цикла кибератаки.

Знания о жизненном цикле кибератаки позволяют применять более целостный подход к выявлению и анализу инцидентов. Например, датчики в сетях и узлах клиента должны не только распознавать признаки разведки и активности эксплойтов, но также выявлять наличие инструментов удаленного доступа (RAT), используемых на этапах подготовки и реализации атаки. Кроме того, выявить наличие эксплойта может быть крайне трудно, учитывая, что он может быть еще неизвестен (атаки нулевого дня) или не отображаться в сети. Так, типичная задача по выявлению утечки конфиденциальной информации иногда решается только при обнаружении аномально больших объемов данных, передаваемых из организации. Наконец, многие инциденты происходят из-за того, что доверенные стороны используют законные привилегии для незаконных целей (например, промышленного шпионажа). В результате, некоторые этапы жизненного цикла атаки могут быть пропущены.

Фаза жизненного цикла кибератакиОписаниеПример
РазведкаПротивник идентифицирует и исследует цели атакиИнтеллектуальный анализ данных (web mining) корпоративных веб-сайтов и списков участников онлайн-конференций.
ВооружениеПодготовка и упаковка набора инструментов атаки для доставки и развертывания на компьютере или в сети жертвы.Противник создает зараженный PDF -файл, содержащий его инструменты атаки.
ДоставкаУпакованные инструменты атаки доставляются до целиАтакующий отправляет жертве фишинговое письмо с зараженным PDF-файлом.
ЭксплойтВыполнение первого этапа атакиЖертва открывает вредоносный файл и инициирует выполнение вредоносной программы.
Получение управленияАтакующий начинает управлять системой жертвы для выполнения определенных действийПротивник устанавливает дополнительные инструменты в систему жертвы.
Выполнение действийПротивник начинает выполнять свои задачиПротивник начинает собирать необходимые данные, зачастую используя систему жертвы в качестве стартовой точки для получения дополнительного доступа к внутренним системам и сетям.
ПоддержкаДостижение долгосрочного доступаПротивник устанавливает скрытые бэкдоры в сети жертвы, чтобы обеспечить себе регулярный доступ.

Таблица 2. Жизненный цикл кибератаки

SOC имеет наилучшие шансы поймать противника, если предоставит клиенту инструменты, охватывающие весь жизненный цикл атаки.

Наконец, SOC должен понимать, что признаки атаки могут возникать одновременно в нескольких местах: в сетевом трафике, BIOS-е хоста,  прошивке, на жестком диске, съемных носителях, ПО, системных ПО и приложениях в памяти, и менее привилегированных пользовательских приложениях в памяти. Осознание этой информации влияет на выбор датчиков для установки и понимание операторами того, когда и как можно эти датчики обойти, нейтрализовать или отключить.

В контексте мониторинга и реагирования на инциденты применима мантра «глубокой обороны» [53]. Чтобы охватить весь жизненный цикл кибератаки, SOC должен обладать различными средствами выявления любых атак, начиная от взлома программно-аппаратных средств и заканчивая атаками, проходящими через интернет-шлюзы.


[1] — На рисунке и в таблице описана версия cyber kill chain, предложенная Lockheed Martin [317].

Поделиться записью: