В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
При этом уже через 1–2 недели после проникновения найти все скомпрометированные системы, как правило, невозможно, поскольку злоумышленник получает возможность использовать легальные учетные записи и встроенные утилиты администрирования. То есть разрыв между сроком компрометации инфраструктуры и временем обнаружения атаки недопустимо велик. Ключевое средство выявления сложных атак и инцидентов ИБ – решения класса Security Information and Event Management (SIEM).
Тем не менее, на практике оказывается, что, с одной стороны, SIEM-системы используются большинством компаний из списка Fortune 500 и Global 2000, а с другой – сохраняется удручающая статистика по скорости выявления атак.
На самом деле причин столь низкой эффективности SIEM в сфере защиты от кибератак несколько. Здесь стоит отметить сложность и трудозатратность внедрения: нужны интеграция и обеспечение взаимодействия SIEM со множеством систем.
При этом невозможно выполнить все работы единоразово – это процесс, так как практически ежедневно в ИТ-инфраструктурах крупных компаний происходят конфигурационные изменения различного характера. SIEM-системы – это надстройка, зонтик над всей инфраструктурой, очень чувствительный к любым изменениям в ней. И именно в необходимости постоянной доработки ("дотюнивания") SIEM-систем (особенно если для этого требуется привлечение интегратора и запуск нового интеграционного проекта) кроется одна из причин того, почему уже буквально через 1–2 года после внедрения они просто "кладутся на полку".
Конечно, в основе работы системы лежит логменеджмент – сбор данных обо всем, что происходит в рамках инфраструктуры: это данные с каких-то систем ИБ, с коммутационного оборудования, операционных систем, бизнес-приложений (в том числе и собственной разработки). Поэтому нельзя обойти вниманием и вопрос подключения к SIEM источников информации в организации. Этот процесс занимает большой промежуток времени и является крайне трудо-затратным. В силу того хотя бы, что число типов источников в рамках одной организации может исчисляться десятками. Практически ни одна SIEM-система не обеспечивает достаточное покрытие источников "из коробки". И это тоже одна из причин слабой эффективности существующих решений. В этом смысле подключение всех существующих источников заказчика в рамках проекта внедрения, равно как и подключение новых в рамках последующей технической поддержки, без перекладывания этих задач на заказчика или целиком на интегратора, – в прямом смысле слова уникальная ситуация на рынке.
С самого начала работы над собственным продуктом мы ясно понимали, что SIEM, анализирующий только события, не сможет эффективно выявлять инциденты ИБ – требуется новый формат адаптации системы к постоянно изменяющейся инфраструктуре.
Необходимо собирать и использовать данные о конфигурации всей инфраструктуры (узлах, их настройках, установленном ПО), об уязвимостях, данных по сетевому трафику, запущенных процессах и т.д. И все это, включая события, нужно постоянно и в автоматическом режиме привязывать к существующим объектам инфраструктуры. Это позволит уйти от привязки системы к отдельным IP-адресам или именам хостов и оперировать более верхнеуровневыми понятиями – актив и конфигурация актива, критичность актива или группы активов. При этом под активом понимается любой элемент инфраструктуры, сетевой узел, идентифицируемый по различным признакам (например, одному или нескольким IP-адресам или именам).
Таким образом, в MaxPatrol SIEM все имеющиеся и получаемые данные – конфигурация узла, его настройки, установленное ПО, сетевая активность, логи – унифицируются и выстраиваются вокруг каждого из активов с учетом их расположения и взаимосвязей. Они постоянно обогащаются данными из новых событий, сканирований, сетевого трафика и от агентов на конечных точках, благодаря чему в MaxPatrol SIEM выстраивается полная виртуальная модель инфраструктуры предприятия, актуальная в каждый отдельный момент времени. И это позволяет системе автоматически подстраиваться под постоянно изменяющуюся инфраструктуру.
Наша концепция SIEM подразумевает, что система, в числе прочего, должна передавать заказчику экспертизу. Для этого мы внедряем базу знаний Positive Technologies Knowledge Base (PTKB), которая представляет собой высокоуровневый постоянно пополняемый набор данных, основанный на 15-летнем опыте проведения тестов на проникновение и аудитов защищенности нашего исследовательского центра (Positive Research).
MaxPatrol SIEM, установленный на площадке заказчика и связанный с базой знаний PTKB, позволит получать новые данные об известных моделях атак и паттернах поведения хакеров, учитывать новые уязвимости и эксплойты, автоматически обновлять правила корреляции. При этом новые правила корреляции, построенные на унифицированных активах, автоматически накладываются на инфраструктуру заказчика и не требуют ручной перенастройки. Поэтому для эффективной эксплуатации SIEM нет обязательного требования иметь обширную команду аналитиков Threat Intelligence Team и Offensive-специалистов в штате.
Тем не менее, все это является лишь частью будущей комплексной платформы обеспечения информационной безопасности платформы MaxPatrol 10, которая заменит множество решений (Asset Management, SIEM, Vulnarability Management, Compliance Management, Risk Management и др.).
Использование MaxPatrol SIEM в реальных инфраструктурах отечественных компаний продемонстрировало высокий уровень эффективности системы, в том числе и в выявлении и предотвращении кибератак, фактов внутреннего мошенничества, несанкционированной деятельности пользователей с расширенными привилегиями (уровня администраторов) и др.
Например, анализ и сопоставление различных событий из логов антивирусов позволили выявить активность APT-групп в нескольких коммерческих и государственных структурах.
В одной из организаций, использующих MaxPatrol SIEM, подключение к нему системы документооборота позволило провести ретроспективный анализ ранее выявленного инцидента, связанного с нелегитимными манипуляциями с документами (внутренний нарушитель, пользуясь повышенными привилегиями и ошибками в реализации логики системы, снимал документы с назначения к исполнению и удалял их практически бесследно). Результаты анализа были экстраполированы на всю историю жизненного цикла документооборота и позволили выявить ряд аналогичных случаев, ранее неизвестных, а также то, что они продолжались практически и на момент расследования.
Есть в копилке MaxPatrol SIEM и опыт выявления внутреннего мошенничества на основе анализа сетевого взаимодействия между бизнес-подразделениями одной компании. В системе было реализовано правило, в соответствии с которым инцидентом признавалось любое взаимодействие между двумя большими подразделениями организации, логически привязанными к динамическим группам финансового департамента и отдела разработки. Зафиксированная аномальная активность между ними, которую ранее было сложно выявлять на уровне простого анализа сетевых активностей между подсетями, и последующее расследование позволили выявить квалифицированного внутреннего злоумышленника.
***
Таким образом, мы все больше убеждаемся, что для выявления инцидентов ИБ необходима не просто SIEM-система с классическим набором функциональных возможностей, а целая экосистема, включающая множество решений и обеспечивающая понимание актуальной модели инфраструктуры на любой момент времени, а также привносящая в продукт практическую экспертизу нашего исследовательского центра.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2016