В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Действительно, SOC является одним из ключевых компонентов подразделения информационной безопасности любой организации. В качестве базовой платформы для организации SOC, как правило, выступает система мониторинга событий ИБ (SIEM).
В настоящее время большинство SOC решают только задачи начального уровня:
Однако атаки с каждым годом становятся все более сложными и часто направленными на конкретную компанию. Обнаружение таких атак требует не только достаточного объема обрабатываемых событий ИБ, но и эффективного, понятного и управляемого инструмента их выявления.
Говоря о других проблемах SOC, не имеющих достаточно высокого уровня зрелости, хотелось бы отметить:
В данной статье описывается подход, включающий средства и методы, которые позволят эффективно построить модель выявления инцидентов ИБ при помощи SIEM собственными силами.
Реализация данной модели требует построения сложной, многоуровневой системы обработки событий ИБ. Каждый из уровней должен выполнять четко определенный перечень задач, что позволяет облегчить процесс эксплуатации, администрирования и обеспечивает прозрачность работы всей модели в целом. Все уровни должны быть взаимосвязаны и должны использовать в своей работе результаты выполнения предыдущих (или даже нескольких) задач.
Ниже приведены задачи, решаемые моделью в целом:
Уровень инвентаризации (Inventory level) выполняет интеллектуальную обработку поступающих событий, используя механизмы машинного обучения (Machine Learning), что позволяет проводить постоянное обучение и актуализацию информации о существующей ИТ-инфраструктуре. Одним из неоспоримых плюсов является возможность выявления компонентов инфраструктуры организации, которые могут быть даже не подключены к SIEM.
Так, например, анализ трафика в части используемых портов может сказать об источниках и сервисах, установленных на них, и т.д.
Уровень инвентаризации реализует следующие функции:
Результатом работы уровня инвентаризации является обеспечение достоверной информацией, "что, где и как" функционирует в компании в режиме реального времени и используется последующими уровнями модели выявления инцидентов ИБ.
Реализация уровня категоризации (Categorization level) позволяет описать любые события на любом источнике и обогатить их дополнительной информацией – категориями, однозначно говорящими о сути произошедшего события.
Например, события успешной аутентификации в операционных системах Windows и Unix дополнятся информацией, отвечающей на вопросы:
Необходимо выполнить следующие шаги для реализации данного уровня:
Например, для кода события 4624, говорящего об успешной аутентификации в ОС Windows:
Результатом реализации уровня категоризации является наличие у всех событий, участвующих в процессе выявления инцидентов, определенных категорий. Наличие данного уровня критически необходимо для функционирования всех последующих уровней. Реализация категоризации также позволит более тонко применять параметры агрегации, фильтрации, оповещения и решить проблему, связанную с особенностями разбора событий от нестандартных источников.
Аналитический уровень (Analytical level) производит сбор, обработку и мониторинг с использованием элементов машинного обучения. Уровень является аналитическим движком модели выявления инцидентов ИБ.
На этом уровне модели производится работа только с категорированными событиями, полученными на предыдущем уровне.
Например, обнаружение попыток подбора пароля на внешнем ресурсе компании не является инцидентом, но нужно иметь механизмы выявления таких событий для проведения дальнейшей аналитики и возможности фиксации в составе цепочки атаки (Kill Chain).
Аналитический уровень базируется на следующих операциях:
Неоспоримым плюсом данного уровня является возможность выявления значимых событий в инфраструктуре компании, которые могут быть использованы в реализации процесса выявления инцидентов и целенаправленных атак на компанию.
Данный уровень является неотъемлемой частью и базой для следующих уровней модели.
Этот уровень обеспечивает выявление инцидентов ИБ и их автоматическую классификацию. На данном уровне создаются механизмы (правила) выявления инцидентов, базирующиеся на результатах работы предыдущих уровней.
Например, событие удачной аутентификации на внешнем ресурсе компании после обнаружения цепочки событий попыток подбора пароля будет являться инцидентом.
Реализация данного уровня требует выполнения следующих задач:
Очевидный плюс реализации данного уровня – прозрачность работы и простота администрирования для аналитиков ИБ, он является быстрым и эффективным инструментом для добавления и изменения условий, параметров исключений и т.д.
На данном уровне реализуются механизмы выявления связности обнаруженных инцидентов и значимых событий ИБ в цепочку атаки (Kill Chain).
Уровень предполагает автоматическое определение и визуализацию стадии атаки и не должен быть привязан к конкретным техникам и методам проведения атак.
Только при грамотной организации работы всех четырех предыдущих уровней открывается возможность создания механизма выявления сложных атак, в том числе растянутых во времени. Кроме того, появляется возможность проведения ретроспективного анализа событий с целью определения атак, находящихся на той или иной стадии развития.
Для реализации данного уровня понадобится:
Реализация данного уровня предоставляет механизмы выявления целенаправленных атак и злонамеренной деятельности на основе данных от всех уровней модели выявления инцидентов ИБ.
Уровень позволяет определять направление развития атаки, а также классифицировать инциденты ИБ в составе проводимой атаки или злонамеренной деятельности, согласно общепринятым международным практикам (например, матрице MITRE ATT&CK).
Существуют различные подходы к выявлению инцидентов информационной безопасности, но множество из них так и остаются на бумагах. Сегодня рынок ИБ в России переполнен рекламными предложениями по "эффективному" выявлению инцидентов, которые очень далеки от практической реализации. Основным подходом компании "ДиалогНаука" является внедрение только проверенных, инновационных механизмов борьбы с целенаправленными атаками в рамках SOC-решений на базе SIEM Micro Focus ArcSight.
Нами был разработан и апробирован у ряда заказчиков пакет правил корреляции для ситуационного центра ИБ, который реализует описанную в статье модель на базе SIEM Micro Focus ArcSight в виде набора готовых правил корреляции и отчетов. Пакет создан на основе многолетнего опыта компании "ДиалогНаука" по внедрению и сопровождению ПО ArcSight в большом количестве компаний из различных отраслей. Пакет постоянно развивается, и в него добавляются новые виды правил корреляции, позволяющие обрабатывать информацию о компонентах компании, оценивать качество поступающих событий, эффективно выявлять инциденты и выявлять целенаправленные атаки различной сложности.
Пакет правил корреляции для ситуационного центра ИБ позволяет:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2019