Оглавление
Обнаружение атак и повышение скорости реагирования на инциденты – основная задача команды по обеспечению информационной безопасности. В последнее время многие организации столкнулись с тем, что центры реагирования на киберугрозы (SOC) слишком загружены и не всегда успевают оперативно обрабатывать оповещения. Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.
Авторы:
Юрий Бережной, руководитель направления по развитию защиты конечных устройств, Positive Technologies
Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов, Positive Technologies
Александр Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры, Positive Technologies
Причины загруженности аналитиков SOC
Рост нагрузки на специалистов объясняется двумя причинами:
постоянно увеличивается число угроз, на которые необходимо реагировать;
количество событий безопасности в системе напрямую связано с цифровизацией, внедрением новых технологий, масштабированием сетей и усложнением средств защиты.
Согласно данным Swimlane [1], команды SOC в среднем получают 4484 оповещения от средств защиты ежедневно и тратят около трех часов на ручную сортировку. 78% специалистов более 10 минут обрабатывают каждое сообщение. Разберем подробнее, с чем ежедневно сталкиваются аналитики SOC, а также, из чего складывается их нагрузка.
Ландшафт угроз
Чтобы получить объективные данные, необходимо обратиться к исследованиям современных угроз, проанализировать поведение киберпреступников, инструментарий хакерских группировок и примеры успешных атак.
Как показывает исследование Positive Technologies [2], наиболее распространенный метод атак – использование вредоносного программного обеспечения (ВПО). Киберпреступники применяли его в 60% успешных нападений, а их основными целями были конечные устройства сотрудников, компьютеры и серверы организаций, а также виртуальные рабочие места.
Рис. 1. Динамика частоты использования злоумышленниками различных методов атак
Среди популярных семейств ВПО, чаще всего применяемых хакерами, – шифровальщики (57%), трояны удаленного доступа, они же RAT (23%), шпионское ПО и инфостилеры (21%), загрузчики и дропперы (12%), вайперы (2%). Если ранее вайперы в основном использовались идеологически мотивированными преступниками – хактивистами, то в последнее время этот вид ВПО стал инструментом атак на КИИ.
Наиболее распространенные способы, которыми преступники доставляют ВПО в систему, – фишинг, зараженные внешние носители, например загрузчики, эксплуатация уязвимостей и тщательно спланированные APT-атаки. Для атак на российские предприятия и организации злоумышленники ищут уязвимости в отечественных ОС на базе Linux и портируют ВПО на Go, Rust, Nim и другие языки программирования.
Чтобы бороться с киберпреступниками, уже недостаточно просто удалять вредоносные объекты по известным сигнатурам и индикаторам компрометации (IoC). Злоумышленники совершенствуют свои методы, тщательно изучают инфраструктуру организаций, обходят традиционные средства защиты и стараются заметать следы. Поэтому важно анализировать техники хакеров и обнаруживать цепочки подозрительных действий, которые могут свидетельствовать об атаке.
Методы злоумышленников
Статистика показывает, что самый распространенный сценарий в атаках на организации, – рассылка фишинговых писем с вредоносными вложениями. Именно так доставлялись вредоносы в 74% случаев.
После доставки ВПО злоумышленники обычно стараются скрыть свое присутствие в системе. Как правило, хакеры не начинают сразу шифровать данные, выводить узлы сети из строя, переводить деньги на свои счет и совершать другие незаконные действия. Чтобы избежать обнаружения средствами защиты, злоумышленники стремятся использовать скриптовые языки и скрытное ВПО, включая программы, работающие через оболочку PowerShell, а также эксплуатируют уязвимости операционных систем.
Для выявления потенциально опасных действий нужно опираться на множество событий, регистрируемых в журналах операционной системы, на инвентаризационные данные и контекст. В результате аналитики сталкиваются с огромным потоком информации, который нужно структурировать и обрабатывать в режиме реального времени. Задача команд SOC: выявлять среди всех оповещений цепочки действий, которые могут представлять собой признаки активности хакеров.
Вручную собирать и анализировать события, находя закономерности и подозрительные паттерны, практически невозможно, так как это требует большого количества ресурсов. Помочь SOC могут продукты класса EDR – Endpoint Detection and Response.
В MaxPatrol EDR используются технологии корреляции и поведенческого анализа, основанные на многолетнем опыте экспертов и реальных случаях отражения атак в сочетании с правилами YARA, проверками зловредных файлов и процессов по IoC и другими технологиями обнаружения ВПО. Автономность на конечном устройстве и возможность развертывать агенты позволяют оперативно начать собирать данные и производить реагирование даже за пределами корпоративной сети. Для сканирования и сбора данных не требуются привилегированные сервисные учетные записи, что упрощает диалог с ИТ-службой и сокращает время на подключение новых конечных устройств.
Рис. 2. Как работает MaxPatrol EDR
Рассмотрим более детально некоторые технологии и особенности EDR-систем, которые делают жизнь команд SOC легче.
Как EDR помогает аналитикам SOC быстрее реагировать на угрозы
Поддержка собственных правил корреляции и списков исключений
Аналитики SOC вынуждены ежедневно разбирать тысячи специфичных для их компании инцидентов. Чтобы упростить работу, EDR-решение можно настроить под нужды конкретной организации.
В процессе создания эффективной системы безопасности важно учитывать инфраструктуру клиента. Опираясь на многолетний опыт построения SOC на базе MaxPatrol SIEM по всей стране, крупные холдинги и государственные организации с распределенными сетями и с высокими требованиями к отказоустойчивости будут ждать соответствующих возможностей и для EDR-решения. Мы учитываем этот факт и в ближайшей новой версии MaxPatrol EDR предложим варианты развертывания управляющего сервера в отказоустойчивом кластере. Это позволит преодолевать сложности в будущих проектах для крупных клиентов и партнеров.
Помимо постоянно совершенствующихся механизмов обнаружения угроз и обновляемых правил корреляции в MaxPatrol EDR существует поддержка собственных экспертных правил, а также гибкая кастомизация на уровне модулей и политик мониторинга и реагирования. Это позволяет быстрее внедрить продукт и избежать большого количества ложноположительных срабатываний, чтобы аналитики могли сосредоточиться на борьбе с актуальными угрозами. Кроме того, в последних версиях мы уделяли особое внимание интерфейсу, чтобы оператор мог как можно быстрее решать рутинные задачи.
Модульная архитектура
Безопасность устройств обеспечивают агенты – так называют ПО, которое устанавливают на компьютеры сотрудников. Агенты MaxPatrol EDR содержат и используют функциональные модули, которые работают непосредственно на конечных устройствах. Это позволяет проводить статический или поведенческий анализ и реагировать на угрозы даже без доступа к управляющему серверу, внутренней сети или Интернету.
Кроме того, такая архитектура позволяет гибко использовать только часть модулей, чтобы кастомизировать нагрузку для различных типов узлов в инфраструктуре и исключить лишние ложноположительные срабатывания, влекущие за собой повышенное потребление ресурсов. Например, не вычисять хеш-сумму для каждого файла в легитимной активности на устройствах с высокой нагрузкой, а предоставить сотруднику службы ИБ возможность принимать решения с помощью другого продукта, MaxPatrol SIEM.
Отражение атак вне периметра организации
Устройства сотрудников – популярный вектор кибератак. Следовательно, они должны быть защищены даже если находятся вне периметра и не подключены к Сети – за это в нашем EDR-решении отвечает автономный корреляционный механизм, который вместе с модульной архитектурой помогает защитить устройства удаленных работников, находящиеся вне домена и не попадающие в поле зрения средств защиты в периметре компании.
Политики реагирования позволяют выбрать, какие действия MaxPatrol EDR будет предпринимать при обнаружении угроз разного типа. Например, при выявлении подозрительной активности система может остановить процесс, удалить файлы, изолировать устройство, отправить образец на анализ или перенаправить DNS-запросы на заданный сервер (sinkholing).
Возможность работать на серверах и рабочих станциях помогает отражать атаки на ранних стадиях и предотвращать продвижение злоумышленников внутри сети.
Вместо заключения: как MaxPatrol EDR помогает SOC на практике
В феврале 2024 г. в Казани прошел первый международный мультиспортивный турнир в концепции фиджитал-спорта «Игры будущего», где MaxPatrol EDR помогал [3] аналитикам SOC. На мероприятии продукт защищал инфраструктуру, которая включала несколько площадок в разных локациях и 2 тыс. ИТ-активов. Среди устройств были серверы под управлением Windows и Linux, компьютеры киберспортсменов и организаторов. Согласно требованиям SLA, система должна была подтвердить инцидент в течение 15 минут, еще несколько минут отводилось на локализацию угрозы.
Использование MaxPatrol EDR позволило аналитикам централизованно получать сообщения о системных событиях, инцидентах безопасности на конечных точках, а также их контекст. Модули реагирования усилили команду защиты и дали возможность оперативно и дистанционно устранять угрозы без привлечения коллег из ИТ-службы. В частности, нашим экспертам удалось изолировать компьютер с вредоносным ПО всего за одну минуту, не имея физического доступа к нему.
Другой пример связан с инцидентом на устройстве, которое находилось вне периметра и подключалось к инфраструктуре мероприятия через VPN. MaxPatrol EDR зафиксировал попытку подбора логинов и паролей учетных записей участников турнира, которую предприняла специально приглашенная команда белых хакеров, чьей задачей было проверить уровень защиты.
Кейс «Игр будущего» показывает, как продукты класса EDR помогают повысить скорость реагирования и точность выявления угроз в инфраструктуре. Основное преимущество в нашем примере – наличие гибкой настройки, экспертных политик, а также совместимость с различными устройствами и другими средствами защиты.
Системы класса EDR уже стали незаменимым инструментом для аналитиков SOC. Возможность автоматизировать рутинные задачи и централизованно получать данные об инциденте позволяет разгрузить сотрудников центра реагирования, чтобы они могли сосредоточиться на решении стратегических задач и отражении целевых атак.
https://swimlane.com/blog/top-soc-analyst-challenges/
https://www.ptsecurity.com/ru-ru/research/analytics/malware-behavior-and-distribution-channels/
https://safe.cnews.ru/articles/2024-09-05_1300_konechnyh_ustrojstv_pod_zashchitoj
ITSec_articles