вторник, 6 августа 2024 г.

Detection, Deception and Response - как NDR и DDP ускоряют Time to Detect.


Сегодня мы вынуждены констатировать ситуацию, что хакеры находят способы проникать в корпоративные сети. Например, они воруют логин и пароль сотрудника и заходят во внутреннюю сеть через наш VPN шлюз, и работают от имени легитимного пользователя и забирают данные компании легитимными утилитами. Так было во время взлома Uber и Cisco, и многих российских компаний, которые пожелали остаться неизвестными. 

А как же двухфакторная аутентификация скажете вы? Почему не спасает MFA я уже описывал здесь (https://www.youtube.com/watch?v=j_nckY3gF6Q).


5 способов обхода MFA.

Поэтому задача команды SOC сегодня – как можно быстрее 🙈 обнаружить, что злоумышленник уже в сети.

Существует несколько вариантов получения сигналов в SIEM, SOAR, IRP (и SOC), о том, что злоумышленник уже в сети. 

Самый быстрый эффект дают системы, использующие поведенческий анализ, профилирование действий и также ловушки (Deception), поскольку в них работают поведенческие алгоритмы. Если вредоносный код можно заново скомпилировать под компанию и скрыть его, то вредоносное поведение в сети изменить сложно. Именно на это нацелены эти классы решений. Рассмотрим эти варианты:

1. Сравнение типового поведения пользователей и выявления паттернов вредоносной деятельности в их действиях. Важно, что NDR работает как в корпоративной сети, так и ICS/SCADA, ведь пользователи и там и там буду использовать сеть:

  • передача злонамеренных программ с хоста на хост – это модуль проверки передаваемых файлов в протоколах SMB, FTP, HTTP, SMTP, POP3, IMAP. В SMB и FTP часто можно увидеть передачу программ удаленного управления и криптолокеров; cистемы класса NDR позволяют своевременно остановить такое распространение и изолировать хост и аккаунт атакующего;
  • lateral movement, когда злоумышленник с одного хоста пытается залогиниться на другой хост, к которому ему не нужен доступ по работе, или не было доступа ранее; Deception и NDR своевременно это обнаруживают и блокируют;
  • скачивание аномального большого объема данных с серверов или отправка данных в Интернет на внешние ресуры;
  • появление несанкционированных устройств, которые ранее не были зарегистрированы ИТ службой (Shadow IT);
  • использование известных уязвимостей – выявляется модулем IDS встроенным в такие системы;
  • использование Zero Day выявляется постфактум, во время разбора инцидента, поскольку система полностью записывает трафик;
  • использование Zero Day в файлах минимизируется за счет интеграции с песочницей и проверкой всех новых файлов в компании на системах поведенческого анализа;
  • контроль исходящих соединений из сети в Интернет на основе уже известных баз Threat Intelligence, проверки DNS запросов и также за счет работы обученных моделей Machine Learning.
  • контроль трафика может происходить как на основе сбора сырых пакетов с сетевых брокеров и SPAN портов, так и с других систем сбора статистики NetFlow, уже имеющихся в компании;
  • в ICS/SCADA будут выявлены аномальные команды, которые ранее не передавали в контроллеры;
  • единая система управления позволяет увидеть все что происходит во всех уголках сети, поэтому защиту можно и нужно расширять и устанавливать дополнительные компоненты контроля в разных филиалах и подразделениях компании. Ведь филиалы - часто страдают от недостатка внимания - поставьте там сенсор NDR и/или Deception.


19 способов проникновения и как NDR их отслеживает.

2. Ловушки (DDP, Deception), расставленные по сети, будут первыми выявлены злоумышленником, поскольку специально разработаны, чтобы приманка была то самое сладкое, что увидел злоумышленник на рабочей станции и в сети. И также системы класса Deception привлекут злоумышленника, как только он попытается перемещаться по сети (lateral movement) и изучать ее. 

От чего защищают Deception (DDP) продукты или как обнаружить злоумышленника в сети компании.

Используйте эти средства быстрого выявления злоумышленника. Не ждите, когда он сам объявится с просьбой заплатить выкуп.