Сегодня мы вынуждены констатировать ситуацию, что хакеры находят способы проникать в корпоративные сети. Например, они воруют логин и пароль сотрудника и заходят во внутреннюю сеть через наш VPN шлюз, и работают от имени легитимного пользователя и забирают данные компании легитимными утилитами. Так было во время взлома Uber и Cisco, и многих российских компаний, которые пожелали остаться неизвестными.
А как же двухфакторная аутентификация скажете вы? Почему не спасает MFA я уже описывал здесь (https://www.youtube.com/watch?v=j_nckY3gF6Q).
5 способов обхода MFA.
Поэтому задача команды SOC сегодня – как можно быстрее 🙈 обнаружить, что злоумышленник уже в сети.
Существует несколько вариантов получения сигналов в SIEM, SOAR, IRP (и SOC), о том, что злоумышленник уже в сети.
Самый быстрый эффект дают системы, использующие поведенческий анализ, профилирование действий и также ловушки (Deception), поскольку в них работают поведенческие алгоритмы. Если вредоносный код можно заново скомпилировать под компанию и скрыть его, то вредоносное поведение в сети изменить сложно. Именно на это нацелены эти классы решений. Рассмотрим эти варианты:
1. Сравнение типового поведения пользователей и выявления паттернов вредоносной деятельности в их действиях. Важно, что NDR работает как в корпоративной сети, так и ICS/SCADA, ведь пользователи и там и там буду использовать сеть:
- передача злонамеренных программ с хоста на хост – это модуль проверки передаваемых файлов в протоколах SMB, FTP, HTTP, SMTP, POP3, IMAP. В SMB и FTP часто можно увидеть передачу программ удаленного управления и криптолокеров; cистемы класса NDR позволяют своевременно остановить такое распространение и изолировать хост и аккаунт атакующего;
- lateral movement, когда злоумышленник с одного хоста пытается залогиниться на другой хост, к которому ему не нужен доступ по работе, или не было доступа ранее; Deception и NDR своевременно это обнаруживают и блокируют;
- скачивание аномального большого объема данных с серверов или отправка данных в Интернет на внешние ресуры;
- появление несанкционированных устройств, которые ранее не были зарегистрированы ИТ службой (Shadow IT);
- использование известных уязвимостей – выявляется модулем IDS встроенным в такие системы;
- использование Zero Day выявляется постфактум, во время разбора инцидента, поскольку система полностью записывает трафик;
- использование Zero Day в файлах минимизируется за счет интеграции с песочницей и проверкой всех новых файлов в компании на системах поведенческого анализа;
- контроль исходящих соединений из сети в Интернет на основе уже известных баз Threat Intelligence, проверки DNS запросов и также за счет работы обученных моделей Machine Learning.
- контроль трафика может происходить как на основе сбора сырых пакетов с сетевых брокеров и SPAN портов, так и с других систем сбора статистики NetFlow, уже имеющихся в компании;
- в ICS/SCADA будут выявлены аномальные команды, которые ранее не передавали в контроллеры;
- единая система управления позволяет увидеть все что происходит во всех уголках сети, поэтому защиту можно и нужно расширять и устанавливать дополнительные компоненты контроля в разных филиалах и подразделениях компании. Ведь филиалы - часто страдают от недостатка внимания - поставьте там сенсор NDR и/или Deception.
2. Ловушки (DDP, Deception), расставленные по сети, будут первыми выявлены злоумышленником, поскольку специально разработаны, чтобы приманка была то самое сладкое, что увидел злоумышленник на рабочей станции и в сети. И также системы класса Deception привлекут злоумышленника, как только он попытается перемещаться по сети (lateral movement) и изучать ее.
Используйте эти средства быстрого выявления злоумышленника. Не ждите, когда он сам объявится с просьбой заплатить выкуп.