Какие трудности переживает сейчас любой SOC

Какие трудности переживает сейчас любой SOC, включая ГосСОПКУ?

• мало сотрудников
• много событий
• мало времени на расследование и тем более Threat Hunting
• много утилит, что скорее плохо, чем хорошо, между ними нет интеграции.

По данным уже расследованных взломов обнаружение факта что вас взломали происходит через 2-6 месяцев после взлома и это при наличии в крупных компаний таких передовых продуктов, как EDR,  UEBA, NTA, SOAR и других.

Одновременно существует потребность находить ответ на простой вопрос "как так вышло, что компания была взломана". Ответом на этот вопрос является картинка причинно-следственной связи от начала взлома и до того момента как его обнаружили.

На рынке стали появляться продукты, которые сразу собирают нужные события, чтобы ответить на вопрос что произошло. Ведь после взлома все-равно тратится драгоценное время на поиск в имеющемся объеме информации имеющимися утилитами всех предыдущих шагов.

На диаграмме ниже показано как раскрывает причинно-следственную связь продукт XDR компании Palo Alto Networks. По сути он разворачивает последовательность действий, которые предшествовали обнаружению и блокированию атаки. Если вы увидели, например, событие что локальная защита заблокировала вирус и затем попросили продукт рассказать историю, то на экране появляется картинка что же было до того как случилось. И это можно сделать нажатием одной кнопки, а не блужданием по всем утилитам и логам, что есть в компании. В данном случае - человек получил фишинговое письмо и кликнул на ссылку в нем:

Но у всего есть цена. Такое быстрое расследование инцидентов возможно, если все события заранее собирались и заранее сопоставлялись друг с другом. Ведь по-сути на экране набор совершенно нормальных событий - работа браузера, работа архиватора, работа скриптов. И только в совокупности эти события представляют собой угрозу, а по отдельности - нет.

Сколько нужно места, чтобы хранить эту всю информацию до того момента как она понадобится. Вот что сказали сотрудники исследовательской лаборатории Palo Alto Networks, приехавшие из Тель-Авива: "Для хранения событий 200 рабочих станций выделяется 1 террабайт на 1 месяц в Cortex Data Lake". А поскольку компании сейчас гораздо крупнее и распределены по всему миру, то можно представить что места требуются уже даже не террабайты, а петабайты. 

Единственным адекватным решением, которое сегодня видят разработчики - использовать для хранения журналов и событий облачные хранилища, предоставляемые крупными провайдерами: Google Cloud, Microsoft Azure, Amazon AWS и другие. Компания Palo Alto Networks предоставляет такое хранилище для журналов NGFW, UEBA, NTA, EDR/AET, облачных приложений под торговой маркой Cortex Data Lake. И на основе этого хранилища можно реализовать различные аналитические решения, как например было реализовано решение Cortex XDR.

Особенностью аналитики XDR, является то, что события анализируются поведенческими правилами, созданными на основе опыта реальных сотрудников, которые много лет расследуют инциденты и они заложили в поведенческие индикаторы (BIOC) свой опыт, которые позволяет по косвенным признакам распознать, что начинается взлом компании. Также вы можете заложить и свой опыт создав такие правила в самом интерфейсе продукта. 

Одновременно в мире идет работа над способами обмена информацией о расследованных инцидентах и индикаторами атак, которые уже были совершены. Для этого компании составляют Playbook действий хакеров и делятся друг с другом, например, лаборатория UNIT42 компании Palo Alto Networks свои исследования выкладывает тут https://pan-unit42.github.io/playbook_viewer/

Методики работы атакующих записываются в специальных TTP, что означает Tactics, Techniques, Procedures. И даже по набору TTP можно различать этих атакующих и можно отличать даже что за кампанию они сейчас развернули и на кого она нацелена.

И одновременно продукты безопасности встраивают в себя алгоритмы обмена и проверки таких индикаторов атак. Примерами таких стандартов обмена являются:

• TAXII™ = Trusted Automated eXchange of Indicator Information
• STIX™ = Structured Threat Information eXpression
• СybOX™ = Cyber Observable eXpression

Существует глобальная база TTP - MITRE ATT&CK  и по ней ваши blue и read team могут проверять готовность компании противостоять описанным методикам и техникам взлома.

Недавно было проведено тестирование продуктов по безопасности, насколько эффективно они работают и по результатам всех опережает продукт TRAPS который обладает уникальными функциями защиты рабочих станций и одновременно является сенсором событий для Cortex XDR:

Доступна запись Palo Alto Networks Security Summit 2019 в Москве

27:00 "To Cloud or not to Cloud", Alexandre Delcayre 43:10 "Что является важным критерием в проектах ИБ", Александр Парамонов 44:30 "Ваши проекты 2019-2020 года: SDN, SD-WAN, SOAR, NG SOC, UEBA, XDR, HTTP 2.0, DNS Security, SSL Decrypt", Денис Батранков 1:24:38 Cсылки на прошлые вебинары Palo Alto Networks https://safebdv.blogspot.com/p/blog-page.html 1:28:10 Круглый стол по облакам с участием Ангара (Сергей Шерстобитов, Дмитрий Пудов), Сбербанка (Сергей Валуйских), Яндекс.Облако (Григорий Отребьев), Северсталь (Сергей Гусев) 2:23:40 "Arista и Palo Alto Networks - как улучшить безопасность ядра сети", Андрей Нуштаев 2:38:57 Опыт выбора NGFW в компании EPAM, Дмитрий Чернобай, ИТ директор EPAM Systems 2:50:00 Cortex XDR - English language 3:49:49 Cortex XDR - ответы на вопросы 4:59:17 "New Buzzwords, SOC, CSIRT, PSIRT, Next Gen SOC, Red/Blue Team, Shadow IT, Air GAP, Mimikatz, DFIR", Денис Батранков 5:11:10 "Интеграция Autofocus в SOC и автоматизация IoC через EDL и MineMeld", Денис Батранков 5:21:55 "Что такое TTP - Tactics, Techniques and Procedures", Денис Батранков 5:26:40 "Что делает бесплатная утилита MineMeld", Денис Батранков 5:30:18 Palo Alto Networks как источник аналитики в Big Data, Юрий Бутузов, ICL 5:52:40 "В фокусе пользователь, а не IP адрес" Игорь Булатенко, QIWI 6:19:38 RedLock и Aperture, Илья Осадчий, Tiger-Optics 6:44:50 Global Protect Cloud Service Palo Alto Networks и методики защиты удаленных офисов и мобильных устройств, Денис Батранков 7:35:35 SD-WAN, Сергей Козлов, Riverbed 8:06:10 Бесплатные утилиты SANS, Expedition, Migration Tool, UTD, Best Practice Assesment, SLR, Machine Learning для улучшения вашей безопасности, Денис Батранков 8:27:50 Награждение партнеров Palo Alto Networks, команда Palo Alto Networks

Какие события генерирует UEBA

Решения класса UEBA только появляются на рынке и заказчики только приступают их тестированию. Решение Palo Alto Networks в сегменте UEBA называется Magnifier. Отличительной особенностью этого продукта является то, что свой поведенческий анализ и профиль работы хостов в сети этот продукт строит на основе анализа журналов NGFW. 

Для понимания - продукту UEBA нужен 21 день после инсталляции, чтобы сделать профили поведения каждого хоста. Хотя, например, NGFW видит уже соединения с C&C или вредоносный код сразу после инсталляции. Однако UEBA позволяет увидеть то, что скрыто под потоком журналов. По статистике на на каждые 100 хостов решение UEBA выдает лишь 1 событие о подозрительной активности в день. Это удобно, потому что зайдя раз в день в систему можно успеть проанализировать событие, отреагировать на него - дать задание ИТ службе очистить компьютер от вируса или понять, что это ваша red team шалит и просто добавить в белый список действия сотрудника.

Для многих является загадкой какие же события выдает UEBA на основе анализа. Если кратко, то такой продукт показывает какой процесс на каком хосте от имени какого пользователя делал что-то необычное. Список таких необычных событий можно просто увидеть в документации Вот в виде картинки:

Понятно, что этот список будет еще расширяться по мере развития продукта, но уже здесь видно на что обращает внимание встроенный алгоритм или как сейчас принято называть Machine Learning.