[SOC] Course: SECURITY OPERATION CENTER (SOC) FROM THE INSIDE Theme: 2 «Threat Intelligence» Lesson: 5 «Построение системы ЗИ» [SOC] Оглавление 1. Классы средств защиты информации и решаемые ими задачи. ................................. 3 1.1. Межсетевые экраны ............................................................................................................ 3 1.2. Системы обнаружения вторжений (атак) ...................................................................... 4 1.3. Системы класса NTA ........................................................................................................... 5 1.4. Песочницы .............................................................................................................................. 6 1.5. EDR-решения.......................................................................................................................... 6 1.6. Средства антивирусной защиты ...................................................................................... 7 1.7. Anti-APT / XDR решения ...................................................................................................... 8 1.8. DLP-системы .......................................................................................................................... 8 1.9. SIEM-системы ........................................................................................................................ 9 1.10. SOAR/IRP-системы ......................................................................................................... 10 2. Построение системы защиты информации ....................................................................... 11 3. Домашнее задание: ................................................................................................................... 17 [SOC] 1. Классы средств и решаемые ими задачи. защиты информации На предыдущем уроке, на примере организации «А» вы изучили, как строить актуальную для вашей организации матрицу угроз организации, используя данные TI. На данном уроке будет рассмотрен вопрос построения системы защиты информации (далее по тексту – ЗИ), позволяющей покрыть большую часть техник злоумышленников, актуальных для нашей организации. Естественно, если вы строите систему ЗИ с нуля, важно понимать, что необходимо развернуть в первую очередь, а что – второстепенно. Любая система по определению состоит из составных частей (элементов). В случае системы ЗИ, этими элементами являются средства защиты информации (далее по тексту – СЗИ). Система ЗИ должна предотвращать или существенно затруднять несанкционированное проникновение в обход правил разграничения доступа, реализованных штатными средствами. Рассмотрим классы СЗИ и решаемые ими задачи. 1.1. Межсетевые экраны Межсетевой экран (далее по тексту - МЭ) – программное или программно-аппаратное средство, осуществляющее контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами. Может быть как сетевым, так и хостовым СЗИ. [SOC] Наиболее распространённое место для установки межсетевых экранов – граница периметра сети организации для защиты внутренних хостов от КА извне. Однако атаки могут исходить и с внутренних узлов – в этом случае, если атакуемый хост расположен в той же сети, трафик не пересечёт границу сетевого периметра, и межсетевой экран не будет задействован. Поэтому в настоящее время межсетевые экраны размещают не только на границе, но и между различными сегментами сети, что обеспечивает дополнительный уровень безопасности. Ярким примером программного хостового МЭ является Брандмауэр, встроенный в ОС Windows. Последним витком развития МЭ являются решения класса NGFW. Обеспечивающие более подробную инспекцию трафика и позволяющих отражать более сложные атаки. Подробнее о NGFW почитайте в источнике (тут). Подробнее о МЭ почитайте в источниках (тут и тут). 1.2. Системы обнаружения вторжений (атак) Система обнаружения вторжений (далее по тексту – СОВ) (Intrusion Detection System (IDS)) – программный продукт или устройство, предназначенное для выявления несанкционированной и вредоносной активности в компьютерной сети или на отдельном хосте. Бывают также сетевые и хостовые СОВы. Они осуществляют инспекцию трафика на основе набора правил, но, в отличие от МЭ они не блокируют трафик, а генерируют срабатывания (события информационной безопасности, далее по тексту – СИБ), оповещая специалистов SOC о том, какое правило и где сработало. [SOC] Развитием СОВ являются СПВ – системы предотвращения вторжений. Они способны не только обнаруживать угрозы, но и блокировать нарушителей. На практике используются редко, так как СОВ могут срабатывать и на легитимный трафик. Случается это потому, что активность, которую детектируют некоторые правила является подозрительной, но в некоторых случаях она может быть частью рабочих процессов организации. Поэтому все СЗИ и СОВ в том числе нуждаются в настройке под конкретную рабочую среду. Яркими примерами свободно распространяемых СОВ являются Snort и Suricata (будет рассмотрена в разделе 7). 1.3. Системы класса NTA Анализаторы сетевого трафика (Network traffic analysis (NTA)) – это новая категория продуктов безопасности, которая используют сетевые коммуникации в качестве основного источника данных для обнаружения угроз безопасности, аномального или вредоносного поведения в сети. Они, как правило, содержат в своем составе СОВ и DPI (Deep Packet Inspection) системы, что позволяет им выполнять функции СОВ и предоставлять максимально подробный разбор всех сетевых соединений в контролируемой сети. Также могут осуществлять запись сетевого трафика и хранить ее столько времени, сколько позволяют параметры хранилища. Некоторые NTA-системы содержат эвристические анализаторы – программные решения, позволяющие формировать нормальный образ работы системы на основе продолжительного анализа трафика и улавливать отклонения от него, генерируя соответствующие СИБ. [SOC] Все это в совокупности делает NTA инструментом, заменяющим стандартные СОВ. NTA бывают только сетевыми. отличным Бесплатных, зарекомендовавших себя NTA-решений нет. На российском рынке выделяется (и авторы имеют опыт работы с ним) решение от Positive Technologies – PT NAD (Positive Technologies Network Attack Discovery). 1.4. Песочницы Песочница – это специальное программное обеспечение, предназначенное для исследования подозрительных файлов. Принцип действия песочниц следующий: файл запускается в отдельном изолированном окружении. Данное окружение строится как правило, на основе различных средств виртуализации. Во время выполнения файла отслеживается вся, порождаемая процессом его выполнения, активность (сетевая активность, системные вызовы, API-вызовы, обращение к журналам и т.д.), а также проводится автоматизированный анализ дампа оперативной памяти виртуальной машины, в которой файл исполняется. Они являются, как правило, сетевым решением. Самыми популярными песочницами являются: Cuckoo Sandbox, ANY.RUN, VirusTotal (при условии приобретения подписки функционал близок к песочнице). Песочницы будут рассмотрены подробно в разделе 7. 1.5. EDR-решения Endpoint Detection & Response (EDR) — класс решений для обнаружения и изучения вредоносной активности [SOC] на конечных точках: подключенных к сети рабочих станциях, серверах, устройствах Интернета вещей и так далее. В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом EDR-решения не могут полностью заменить антивирусы, поскольку эти две технологии решают разные задачи. EDR как правило состоит из агентов, устанавливаемых на конечные точки, и серверной части. Агент ведет мониторинг запущенных процессов, действий пользователя и сетевых коммуникаций и передает информацию на локальный сервер или в облако. Серверный компонент анализирует полученные данные при помощи технологий машинного обучения, сопоставляет их с базами индикаторов компрометации (IoC) и другой доступной информацией о сложных угрозах. Если EDR-система обнаруживает событие с признаками киберинцидента, она оповещает об этом сотрудников службы безопасности. Также EDR помогает проводить процессы Threat Hunting, которые будут рассмотрены в 4 разделе курса. EDR – это хостовое решение, так как главный источник информации все же хост. Примерами EDR являются: Kaspersky EDR (KEDR), также решение класса EDR собирается при помощи интеграции Sysmon и ELK. 1.6. Средства антивирусной защиты Средство антивирусной защиты (далее по тексту САВЗ) – специализированная программа для обнаружения [SOC] компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления заражённых (модифицированных) такими программами файлов и профилактики – предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. Большинство антивирусов построено на методе проверки файла на соответствие сигнатурам из баз вирусных сигнатур (далее по тексту – БВС). Думаю, что все когда-либо встречались с САВЗ, долго останавливаться на них не будем. Примерами российских САВЗ являются: Dr.Web Security Space, Kaspersky Endpoint Security. 1.7. Anti-APT / XDR решения Anti-APT / (Extended Detection and Response (XDR)) решение – это полный комплекс противодействия сложным целевым угрозам. Решение позволяет мгновенно обнаружить наличие злоумышленника в сети и воссоздать картину атаки для детального расследования. Данные решения как правило строятся на совокупности NTA, Sandbox и антивирусных решений. Такие решения для максимальной эффективности могут сопрягаться с EDR. Примером Anti-APT решения является Kaspersky Anti Targeted Attack (KATA), которая совместно с EDR-решением Kaspersky EDR (KEDR) составляет XDR-систему. Примером XDR- системы также является PT XDR от Positive Technologies. 1.8. DLP-системы [SOC] DLP (Data Leakage Prevention) система – специализированное программное обеспечение, предназначенное для защиты компании от утечек информации. DLP решения бывают как сетевыми так и хостовыми. Многие современные DLP совмещают оба способа контроля – так удается достичь высоких показателей их эффективности. DLP, в рамках контролируемой сети, по имеющимся правилам, отслеживает хранение (актуально только для хостовых), передачу и вывод на печать различных форматов документов и мультимедиа файлов. Как правило, DLP ищет определенные слова, словосочетания в текстовых и графических документах, а также изображениях. Ярким примером российской DLP-системы является InfoWatch Traffic Monitor от компании InfoWatch. 1.9. SIEM-системы SIEM (Security information and event management) – класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности. SIEM осуществляет сбор сведений о событиях ИБ с разных источников. Как напрямую с хостов (журналы событий ОС и сервисов) так и со средств ЗИ и с сетевого оборудования. Далее SIEM осуществляет их агрегирование, корреляцию на основе имеющихся правил и выделение из множества событий инцидентов. [SOC] К примеру, если вашу сеть сканируют, СОВ будет срабатывать на каждый пакет с признаками сканирования, что породит множество СИБ. Однако, инцидент по сути будет один: «Хост 1 просканировал Хост 2». SIEM автоматизирует работу по выделению инцидентов, требующих реагирования, из потока событий. Подробнее о SIEM будет рассказано в разделе 7 нашего курса. 1.10.SOAR/IRP-системы IRP/SOAR-система (Incident Response Platform / Security Orchestration, Automation and Response) – это программный продукт для автоматизации действий по реагированию на инциденты кибербезопасности. IRP система получает инциденты из SIEM системы, заводит для них карточки и предоставляет функционал по автоматизации реагирования. К примеру, может автоматизировать рутинные действия специалиста SOC за счет удаленного выполнения скриптов. Примерами российских IRP / SOAR систем являются: R-Vision, Security Vision, Innostage IRP. Подробнее о IRP будет рассказано в разделе 7 нашего курса. Общая схема взаимодействия представлена на рисунке 1. всех решений [SOC] Рисунок 1 – Взаимодействие компонентов системы ЗИ 2. Построение системы защиты информации Чем больше СЗИ разных классов вы имеете, тем лучше. Единственное, стоит детально изучать их возможности, чтобы избежать перекрытия одних СЗИ другими. С помощью свободно распространяемых решений, можно выстроить достаточно полную систему ЗИ. Но если вы единственный специалист по ЗИ в организации и не имеете должного опыта работы с конкретными СЗИ – вам будет проблематично их поддерживать. Плюсами платных решений в данном случае является автоматизация развертывания (зачастую это делают представители вендора, либо вам просто скинут скрипт, который все сделает за вас), наличие баз правил от вендора (вам не нужно будет самостоятельно проводить анализ заведенных правил, утопая в постоянных false-positive детектах) и некоторые гарантии работоспособности СЗИ на период действия лицензии (в случае отказов можно сразу [SOC] обратиться в поддержку, не теряя времени на поиск причины неполадки и ее устранение). Если подходить к построению системы ЗИ с точки зрения бюджета, то приоритет в закупке СЗИ следующий (в принципе, для свободно распространяемых СЗИ данный приоритет также актуален): 1. Необходимым минимумом является наличие средств антивирусной защиты и межсетевого экрана. Большинство злоумышленников в своих атаках используют то или иное ВПО, к тому же, многие пользователи по неосторожности, приносят ВПО в периметр органзиации. Межсетевой экран, в свою очередь, – это превентивное средство противодействия компьютерным атакам. Обнаружив КА, исходящую с внешнего источника – вы можете заблокировать его, написав правило на МЭ, установленном на периметре. Межсетевые экраны между внутренними сетями организации могут позволить изолировать некоторые узлы сети, воспрепятствовав перемещению злоумышленника внутри сети и снизить возможности внутренних злоумышленников. 2. Далее стоит установить СОВ (либо более многофункциональное решение (NTA, XDR, Anti-APT) в состав которого входит СОВ). СОВ позволит обнаруживать аномалии сетевого трафика, которые могут оказаться КА. 3. Следующим шагом будет установка EDR-решения. EDR позволит обнаруживать аномальную активность на отдельных хостах. На данном этапе вы получите полную картину активности вашей организации. 4. После стоит установить SIEM-систему. [SOC] SIEM обеспечит сбор, агрегирование, корреляцию, хранение всех СИБ. На этапе корреляции SIEM выделит (на основе базы правил) из совокупности СИБ, инциденты информационной безопасности. Таким образом, все события и сформированные на их основе инциденты, будут храниться в одном месте. Наличие SIEM системы обязательно как для SOC, так и для отдельных организаций, желающих подключиться к SOC. Установка других СЗИ и настройка уже озвученных, будут зависеть от вашей матрицы угроз, сформированной ранее на основе TI, и модели угроз (о которой пойдет речь в 4 разделе курса). Вернемся к разработанной нами ранее матрице. Рисунок 2 – Разработанная матрица угроз [SOC] Для того, чтобы найти способы закрытия угрозы – необходимо выяснить, какие СЗИ (или какие настройки встроенных средств защиты, ОС, сетевого оборудования) ее закрывают. Поможет нам в этом очередной проект компании MITRE – MITRE DEFEND. Это сайт, содержащий базу знаний о мерах защиты от техник, описанных в матрицах MITRE ATT&CK. Для некоторых угроз, которые невозможно как-либо закрыть, информации на этом сайте не будет. Рисунок 3 – MITRE DEFEND В строку «ATT&CK Lookup» введите индекс интересующей вас техники, к примеру T1190 «Exploit PublicFacing Application». После ввода индекса, кликните на появившееся полное название техники. Высветится схема связи выбранной техники злоумышленника (будет подсвечено красным цветом), техники защиты (будет подсвечено синим цветом) и артефактов (к ним относится все, что может содержать индикаторы компрометации или следы аномальной активности) [SOC] (подсвечены желтым цветом). Все элементы схемы кликабельны. На скриншоте будет плохо видно, поэтому лучше рассмотреть схему по ссылке. Нас будут интересовать техники защиты. На данном этапе ваша задача понять, какими СЗИ вы можете реализовать предложенные защитные техники. Изучите внимательно описание всех техник и подумайте, какими СЗИ какие защитные техники вы можете реализовать. Достаточно ли уже имеющегося у вас набора или стоит задуматься о том, чтобы установить что-то еще? Не стоит упускать из внимания механизмы безопасности, встроенные в ОС, оборудование и сервисы которые вы используете. К примеру, кликнем на защитную технику «Database Query String Analysis». Данная техника предполагает анализ запросов к базам данных на предмет недопустимых запросов. Действительно, как правило у каждого веб-приложения есть своя база данных. Пользователь приложения получает необходимую информацию по результатам выполнения запроса к базе данных, который, в свою очередь, основан на данных, введённых пользователем в форму на странице сайта. Злоумышленник может передать в форму ввода на сайте команды на языке SQL, тем самым, попытавшись заставить базу данных выполнить свой запрос, вместо того, который прописан разработчиками (SQL-инъекция). Существуют также средства автоматизации этого процесса. СЗИ, устраняющее рассмотренную угрозу – это решение класса NGFW. Зная слабые места своего веб-приложения, вы можете написать тонкие правила, которые сбросят опасные [SOC] соединения. Если злоумышленник просто решил вас просканировать на наличие уязвимостей – он также будет замечен, и вы сможете написать правило, запретив его адресу обращения к вашей сети. Таким образом, угроза устранена. В вашей будущей работе вы должны будете пройтись также по всей матрице и понять, какие угрозы уже устраняются вашей системой ЗИ и какие необходимо закрывать установкой новых. Некоторые из актуальных угроз устраняются просто проведением определенных мероприятий (к примеру, обновление ОС, ПО) и не требуют вообще использования СЗИ. Иногда, бывает дешевле перестроить бизнес-процесс, чем поставить новое решение для защиты. Вы должны в своей работе руководствоваться принципом: цена защиты не должна быть выше возможного ущерба от реализации угрозы. Некоторые риски стоит просто принять, так как их реализация может вообще не повлечь ущерба для организации. [SOC] 3. Домашнее задание: Повторите шаги, которые были отображены на видео. Выполните такую же работу для техники: Process Injection. Ответьте на вопрос: какое СЗИ может зафиксировать выполнение этой техники? Назовите просто класс СЗИ, без конкретных примеров.