Практика применения MaxPatrol SIEM для защиты от кибератак

При этом уже через 1–2 недели после проникновения найти все скомпрометированные системы, как правило, невозможно, поскольку злоумышленник получает возможность использовать легальные учетные записи и встроенные утилиты администрирования. То есть разрыв между сроком компрометации инфраструктуры и временем обнаружения атаки недопустимо велик. Ключевое средство выявления сложных атак и инцидентов ИБ – решения класса Security Information and Event Management (SIEM).

SIEM как бы есть, и его как бы нет

Тем не менее, на практике оказывается, что, с одной стороны, SIEM-системы используются большинством компаний из списка Fortune 500 и Global 2000, а с другой – сохраняется удручающая статистика по скорости выявления атак.

На самом деле причин столь низкой эффективности SIEM в сфере защиты от кибератак несколько. Здесь стоит отметить сложность и трудозатратность внедрения: нужны интеграция и обеспечение взаимодействия SIEM со множеством систем.

При этом невозможно выполнить все работы единоразово – это процесс, так как практически ежедневно в ИТ-инфраструктурах крупных компаний происходят конфигурационные изменения различного характера. SIEM-системы – это надстройка, зонтик над всей инфраструктурой, очень чувствительный к любым изменениям в ней. И именно в необходимости постоянной доработки ("дотюнивания") SIEM-систем (особенно если для этого требуется привлечение интегратора и запуск нового интеграционного проекта) кроется одна из причин того, почему уже буквально через 1–2 года после внедрения они просто "кладутся на полку".

Конечно, в основе работы системы лежит логменеджмент – сбор данных обо всем, что происходит в рамках инфраструктуры: это данные с каких-то систем ИБ, с коммутационного оборудования, операционных систем, бизнес-приложений (в том числе и собственной разработки). Поэтому нельзя обойти вниманием и вопрос подключения к SIEM источников информации в организации. Этот процесс занимает большой промежуток времени и является крайне трудо-затратным. В силу того хотя бы, что число типов источников в рамках одной организации может исчисляться десятками. Практически ни одна SIEM-система не обеспечивает достаточное покрытие источников "из коробки". И это тоже одна из причин слабой эффективности существующих решений. В этом смысле подключение всех существующих источников заказчика в рамках проекта внедрения, равно как и подключение новых в рамках последующей технической поддержки, без перекладывания этих задач на заказчика или целиком на интегратора, – в прямом смысле слова уникальная ситуация на рынке.

Каким должен быть SIEM

С самого начала работы над собственным продуктом мы ясно понимали, что SIEM, анализирующий только события, не сможет эффективно выявлять инциденты ИБ – требуется новый формат адаптации системы к постоянно изменяющейся инфраструктуре.

Моделирование виртуальной инфраструктуры

Необходимо собирать и использовать данные о конфигурации всей инфраструктуры (узлах, их настройках, установленном ПО), об уязвимостях, данных по сетевому трафику, запущенных процессах и т.д. И все это, включая события, нужно постоянно и в автоматическом режиме привязывать к существующим объектам инфраструктуры. Это позволит уйти от привязки системы к отдельным IP-адресам или именам хостов и оперировать более верхнеуровневыми понятиями – актив и конфигурация актива, критичность актива или группы активов. При этом под активом понимается любой элемент инфраструктуры, сетевой узел, идентифицируемый по различным признакам (например, одному или нескольким IP-адресам или именам).

Таким образом, в MaxPatrol SIEM все имеющиеся и получаемые данные – конфигурация узла, его настройки, установленное ПО, сетевая активность, логи – унифицируются и выстраиваются вокруг каждого из активов с учетом их расположения и взаимосвязей. Они постоянно обогащаются данными из новых событий, сканирований, сетевого трафика и от агентов на конечных точках, благодаря чему в MaxPatrol SIEM выстраивается полная виртуальная модель инфраструктуры предприятия, актуальная в каждый отдельный момент времени. И это позволяет системе автоматически подстраиваться под постоянно изменяющуюся инфраструктуру.

Передача исследовательской экспертизы

Наша концепция SIEM подразумевает, что система, в числе прочего, должна передавать заказчику экспертизу. Для этого мы внедряем базу знаний Positive Technologies Knowledge Base (PTKB), которая представляет собой высокоуровневый постоянно пополняемый набор данных, основанный на 15-летнем опыте проведения тестов на проникновение и аудитов защищенности нашего исследовательского центра (Positive Research).

MaxPatrol SIEM, установленный на площадке заказчика и связанный с базой знаний PTKB, позволит получать новые данные об известных моделях атак и паттернах поведения хакеров, учитывать новые уязвимости и эксплойты, автоматически обновлять правила корреляции. При этом новые правила корреляции, построенные на унифицированных активах, автоматически накладываются на инфраструктуру заказчика и не требуют ручной перенастройки. Поэтому для эффективной эксплуатации SIEM нет обязательного требования иметь обширную команду аналитиков Threat Intelligence Team и Offensive-специалистов в штате.

Тем не менее, все это является лишь частью будущей комплексной платформы обеспечения информационной безопасности платформы MaxPatrol 10, которая заменит множество решений (Asset Management, SIEM, Vulnarability Management, Compliance Management, Risk Management и др.).

Как это работает на практике

Использование MaxPatrol SIEM в реальных инфраструктурах отечественных компаний продемонстрировало высокий уровень эффективности системы, в том числе и в выявлении и предотвращении кибератак, фактов внутреннего мошенничества, несанкционированной деятельности пользователей с расширенными привилегиями (уровня администраторов) и др.

Например, анализ и сопоставление различных событий из логов антивирусов позволили выявить активность APT-групп в нескольких коммерческих и государственных структурах.

В одной из организаций, использующих MaxPatrol SIEM, подключение к нему системы документооборота позволило провести ретроспективный анализ ранее выявленного инцидента, связанного с нелегитимными манипуляциями с документами (внутренний нарушитель, пользуясь повышенными привилегиями и ошибками в реализации логики системы, снимал документы с назначения к исполнению и удалял их практически бесследно). Результаты анализа были экстраполированы на всю историю жизненного цикла документооборота и позволили выявить ряд аналогичных случаев, ранее неизвестных, а также то, что они продолжались практически и на момент расследования.

Есть в копилке MaxPatrol SIEM и опыт выявления внутреннего мошенничества на основе анализа сетевого взаимодействия между бизнес-подразделениями одной компании. В системе было реализовано правило, в соответствии с которым инцидентом признавалось любое взаимодействие между двумя большими подразделениями организации, логически привязанными к динамическим группам финансового департамента и отдела разработки. Зафиксированная аномальная активность между ними, которую ранее было сложно выявлять на уровне простого анализа сетевых активностей между подсетями, и последующее расследование позволили выявить квалифицированного внутреннего злоумышленника.

***

Таким образом, мы все больше убеждаемся, что для выявления инцидентов ИБ необходима не просто SIEM-система с классическим набором функциональных возможностей, а целая экосистема, включающая множество решений и обеспечивающая понимание актуальной модели инфраструктуры на любой момент времени, а также привносящая в продукт практическую экспертизу нашего исследовательского центра.