2.8 Маневренность

Если у SOC и есть злейший враг, то можно сказать, что это APT-атаки (Advanced Persistent Threat — целевая кибератака). Противник стремительно действует, мгновенно реагирует и быстро меняет стратегию — этапы его версии цикла принятия решений (OODA) активно сменяют друг друга. Насколько оперативно крупные организации, например, правительственные органы или компании из списка Fortune 500, действуют в киберпространстве? Обычно не за секунды. Зачастую SOC нужно потратить все свои усилия только на то, чтобы поддерживать хотя бы тот же темп действий, что и противник, что осложняется постоянными изменениями внутри компании, которую он обслуживает. А чтобы превзойти возможности киберпреступника, SOC должен приложить еще больше усилий.

Давайте рассмотрим проблемы, с которыми приходится бороться SOCколлегиальное проектирование, контроль изменений, неоднозначные или противоречивые зоны ответственности, низкая производительность сети, децентрализованный контроль, сложные политики и процедуры. И чаще всего причина, по которой SOC не может выявлять и отражать атаки, кроется в недостатке скорости и свободы действий SOC, т.е. отсутствии маневренности.

Ключ к эффективному обеспечению защиты сетей кроется в наличии людей, процессов и технологий, которые позволяют SOC поддерживать паритет с противником.

Лучшие SOC выделяются по-разным признакам, но высокий темп действий (количество производимых операций в единицу времени) является одним из самых заметных факторов. Давайте сравним цикл принятия решений противника с темпом действий эффективного SOC, обслуживающего около 20 000 хостов и пользователей. В Таблице 3 в колонке «Атакующий» описаны действия современных APT-преступников в заданный временной диапазон — от нескольких лет до нескольких секунд. В столбце «Защитник» указывается, что должен сделать защитник для поддержания паритета с атакующим за те же промежутки времени. В столбце «Атакующий» содержится описание типовых действий, а в столбце «Защитник» приведены рекомендации, какие действия следует предпринять.

Таблица 3. Темп действий атакующего по сравнению с защитником

АтакующийЗащитник
ГодыРазвивает новые классы атак.Внедряет новые методы защиты.

Осуществляет финансирование, заключение договоров и развертывание технологий для нового SOC.

МесяцыСоздает команды начинающих хакеров, действующих по сценарию, или создает тысячи «ботов», способных атаковать несколько крупных предприятий.

Выполняет целую кампанию по вторжению против большой сложной цели, такой как компания из Fortune 500 или госорганизация.

Проводит технический конкурс среди нескольких конкурирующих продуктов.

Собирает данные с сенсоров в сети или на отдельных узлах.

Полностью оборудует центр обработки данных функцией мониторинга.

Нанимает ИТ-специалистов и обучает их в качестве аналитиков безопасности 1 уровня.

Проектирует, обобщает, дорабатывает и подписывает необходимые регламентирующие документы и разрешения.

НеделиПроводит подробную разведку в целевой организации.

С нуля разрабатывает локальные или удаленные эксплойты для приложений.

Скрыто выводит терабайты конфиденциальных данных.

Разрабатывает, развертывает и создает оперативные комплексные инструменты для обнаружения и анализа, такие как скрипты Perl и сценарии использования SIEM.

Пересматривает, обновляет и устанавливает базовый регламент работы SOC (SOP — standard operating procedure).

ДниПроникнув внутрь системы, тщательно просчитывает и захватывает под контроль все предприятие.

Преобразует релиз патча в вектор атаки.

Делает ежемесячный/ежеквартальный отзыв всех сигнатур, развернутых в наборе IDS, или контента, размещенного в SIEM.

Тестирует и устанавливает основной патч для предприятия.

Анализирует и документирует содержимое образа жесткого диска системы, связанной с серьезным инцидентом.

Оценивает действия, потенциальные мотивы и намерения противника, действующего в сетях клиентов.

ЧасыПроникнув внутрь системы организации, повышает свои привилегии от пользователя до администратора.Разрабатывает, загружает и разворачивает сигнатуры IDS на наборе сенсоров.

Определяет, анализирует и разрабатывает план реагирования на вторжение, затрагивающее несколько систем или учетных записей.

Проводит беглый анализ функциональной части для нового вида вредоносных программ.

Идентифицирует и восстанавливает неработающий сенсор или канал данных.

Собирает заинтересованные стороны и сообщает им подробности крупного инцидента.

МинутыПроводит фишинговую атаку на крупную группу пользователей организации.

Устанавливает скрытое непрерывное присутствие на хосте.

Скрыто выводит нужные конфиденциальные данные из ключевых активов.

Запрашивает данные журнала за месяц для любой системы на предприятии и собирает результаты.

Получает данные PCAP из онлайн-хранилища за неделю для заданного набора IP-адресов.

Распознает подозрительное событие и либо помечает его как безвредное, либо заполняет необходимые данные и переводит его на уровень 2.

Изолирует зараженный хост.

Связывается с администратором системы, вовлеченной в потенциальный инцидент.

Автоматически извлекает вложение электронной почты из сети, запускает его в «камере детонации» (detonation chamber) и анализирует его на предмет признаков вредоносной деятельности.

СекундыКомпрометирует хост через загрузочные файлы или удаленные эксплойты.

Переключается с одного IP- адреса или домена на другой, обходя списки блокировки IP.

Преобразует отдельные части кода атаки, тем самым обходя IDS на основе сигнатур.

Скрыто выводит несколько конфиденциальных документов с веб-сайта или сетевого ресурса.

Автоматически предотвращает атаку в сети или на хосте с помощью защитных инструментов, таких, как система обнаружения вторжений на узлах (HIPS).

Создает запись аудита и отправляет ее на консоль SIEM.

Запускает оповещение IDS и отправляет как предупреждение, так и связанный с ним пакет на консоль SIEM.

Посмотрите на знакомые вам организации. Могут ли они двигаться с такой скоростью? Даже если могут, все равно существует разрыв в скорости действий атакующего и выбора наилучшей ответной меры защитником (т.е. разница между тем, насколько быстро атакующий может перехватывать IP-адреса или домены и насколько быстро защитник может заблокировать их). Не забывайте про эту разницу в реакциях при чтении следующих разделов этой книги, где будет рассказываться о том, как люди, процессы и технологии помогают обеспечить эффективную защиту сети.

В следующих десяти разделах мы будем опираться на основополагающие вопросы, которые только что рассмотрели, подробно описывая десять стратегий высококлассного SOC.

Поделиться записью: