Почему в центрах оперативного реагирования должны быть внедрены системы анализа трафика?
TADетали
С началом массового появления центров оперативного реагирования (security operations centers, SOC) стало понятно, что данных, необходимых для мониторинга и выявления угроз, недостаточно. SIEM-системы выявляют некоторые виды атак только по косвенным признакам, от антивирусов легко спрятать вредоносное ПО, а решения по защите конечных точек (EDR) крайне непросто установить на все узлы. На помощь могут прийти системы анализа трафика. Попробуем разобраться, какие преимущества несут такие решения для SOC и почему их отсутствие негативно сказывается на защите инфраструктуры.
Авторы:
Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)
Наталия Казанькова, продуктовый маркетолог Positive Technologies
Содержание |
Почему традиционных защитных решений недостаточно для выявления угроз?
Что недоступно системам SIEM?
Надо понимать, что SIEM-системы могут многое, но, к сожалению, не все: эксплуатацию некоторых уязвимостей, использование инструментов и техник атак сложно выявить, опираясь исключительно на анализ событий. Во-первых, это актуально при необходимости детектировать использование хакерских инструментов, создающих огромное количество событий. Так, к примеру, чтобы обнаружить применение PowerView, инструмента для разведки в Active Directory, нужно включить журналирование события 1644 в Windows. Это событие показывает LDAP[1]-активность инструмента PowerView. Таких событий может генерироваться очень много, и «плохие» события могут затеряться. Что делать? Куда смотреть? Применение PowerView можно детектировать в трафике по LDAP-запросам.
Во-вторых, SIEM не поможет в случае такой атаки на Active Directory, как DCShadow, когда создается поддельный контроллер домена, который не отправляет события в SIEM-систему. Однако применение такой техники можно увидеть по трафику: в нем отчетливо видно добавление нового объекта в схему конфигурации типа «контроллер домена».
Как злоумышленники обходят антивирусы?
Нельзя надеяться на выявление актуальных угроз с помощью одних только антивирусных систем. Преступники давно научились их обходить, используя, набор специальных техник. В их числе и так называемый code signing, то есть подписывание вредоносного кода цифровым сертификатом реально существующей компании. Это позволяет выдать его за легитимное приложение.
Так, например, вредоносный архив с загрузчиком, подписанным корректным сертификатом, содержала одна из рассылок APT-группировки Silence. Данный сертификат использовался также группировкой Cobalt.
Применение различных нагрузок (скриптовых, in-memory) — другой классический способ обхода детектирования. Еще одна популярная техника — обфускация. Злоумышленники запутывают вредоносный код, что затрудняет его анализ антивирусными системами. Чтобы предотвратить деконструкцию вредоносных программ и затруднить анализ их поведения, создатели вредоносного ПО могут сжимать (упаковывать) свои вредоносные программы, сочетая это с шифрованием файлов.
Для обхода антивирусных решений используется также внедрение вредоносного кода в память другого процесса, запущенного в системе (process injection). А техника masquerading применяется в тех случаях, когда требуется создать новый сервис, который будет тщательно замаскирован под легитимный.
Каковы недостатки EDR-решений?
Решения для защиты конечных узлов EDR (endpoint detection and response) являются эволюционным продолжением антивирусов. Они разработаны для защиты не только от вирусных атак, но и от новых видов угроз (за счет поведенческого и эвристического анализа).
Основная проблема EDR — покрытие всех узлов в сети и выстраивание процесса контроля их работоспособности, централизованного управления и запрета появления узлов без установленных EDR-систем. Также всегда актуален вопрос совместимости с прикладным ПО и ОС, которые используются в организации. А значит, останутся «слепые зоны». Не все хотят внедрять EDR из-за существенного увеличения нагрузки на серверы и рабочие станции — особенно если в компании большая утилизация ресурсов или используется устаревший парк оборудования. В таком случае необходимо искать другие способы мониторинга безопасности.
Чем могут помочь системы NTA?
Системы анализа трафика (network traffic analysis, NTA) могут помочь EDR, SIEM и другим средствам мониторинга и защиты увидеть действия киберперступников в «слепых зонах». По мнению экспертов SANS Institute, NTA входит в топ технологий для выявления угроз, работой которых довольны в SOC. Перечислим причины, за которые стоит полюбить такие системы.
NTA как детектор атак
Решение класса NTA, установленное на периметре, сможет выявлять угрозы аналогично IDS, когда злоумышленник только пытается проникнуть в сеть. Но NTA особенно полезен, когда анализирует внутренний трафик: решение позволяет выявлять злоумышленника, когда он проник внутрь периметра, перемещается по сети и приближается к критически важным для бизнеса системам.
«Под капотом» такой системы функционируют различные механизмы для обнаружения угроз в инфраструктуре. Например, в PT Network Attack Discovery (PT NAD), системе класса NTA компании Positive Technologies, атаки выявляются с помощью машинного обучения, ретроспективного анализа, пяти тысяч правил детектирования и почти 20 000 индикаторов компрометации. Это позволяет NTA-решению покрыть большую часть техник из матрицы MITRE ATT&CK, которые применяются атакующими при первоначальном доступе (initial access), разведке (discovery), горизонтальном перемещении (lateral movement), взаимодействии с командным центром (command and control).
MITRE ATT&CK — это база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. Представляет собой структурированный в виде наглядной таблицы набор тактик атаки, для каждой из которых указан список возможных техник. Помогает специалистам по ИБ структурировать знания об APT-атаках, категоризировать действия злоумышленников и выбирать эффективную стратегию реагирования.
При работе NTA вместе с SIEM-системой покрытие техник матрицы ATT&CK возрастает. SIEM-системы сильнее в детектировании техник выполнения (execution), повышения привилегий (privilege escalation) и обхода защиты (defence evasion), а NTA — в техниках получения первоначального доступа (initial access) и взаимодействия с командным центром (command and control).
NTA для расследования инцидентов и threat hunting
Некоторые NTA-системы работают только с NetFlow, а другие умеют анализировать сырой трафик. Преимущество вторых систем в том, что они могут хранить копию трафика. Когда происходит инцидент, это помогает понять, что и как произошло. Например, PT NAD хранит сырой трафик и 1200 параметров сетевых сессий.
NTA как сетевой комплаенс
Нередко в организациях во внутреннем трафике можно увидеть учетные записи или почтовые сообщения в открытом виде. Подобные проблемы встречаются в 44% организаций, в которых специалисты Positive Technologies проводили анализ защищенности. Нарушения сетевой безопасности снижают эффективность используемых средств защиты и увеличивают шансы злоумышленников на быстрое и беспрепятственное развитие атаки.
PT NAD определяет более 50 распространенных протоколов и 30 из них разбирает на уровнях L2 — L7. Система видит и сетевые взаимодействия и может заметить передачу учетных записей и почтовых сообщений в открытом виде, использование утилит для удаленного доступа, инструментов сокрытия активности в сети и широковещательных протоколов. Метавселенная ВДНХ
В случае компрометации сети злоумышленник может в пассивном режиме перехватить учетные данные (что в числе прочего может позволить злоумышленнику повысить свои привилегии в той или иной системе атакуемой организации), закрепить свое присутствие в инфраструктуре и пр. Поэтому важно контролировать соблюдение элементарного сетевого комплаенса и оперативно устранять ошибки и нарушения.
Например, чтобы выявить учетные данные, передаваемые по сети в открытом виде, в PT NAD достаточно отфильтровать сетевые сессии по признаку передачи пароля. В карточке сессии есть информация, которая поможет в устранении ошибки: адреса узлов отправителей и получателей.
Каковы преимущества от взаимодействия NTA с другими решениями
NTA в связке с антивирусом и песочницей
Зловред, распространяющийся по сети, не всегда выявляется антивирусными средствами защиты. Для обнаружения такого ПО в передаваемых по сети файлах можно интегрировать NTA-систему с антивирусом и песочницей. Песочница запускает файлы в изолированной виртуальной среде и по поведению файла делает вывод о его вредоносности.
Пример на основе решений Positive Technologies: PT NAD умеет извлекать файлы из трафика и автоматически передавать их на проверку в систему защиты от вредоносных программ PT MultiScanner. PT MultiScanner проводит антивирусную проверку и анализ файлов в песочнице и выдает вердикты об их безопасности. В случае обнаружения вредоносной программы передачу файла можно заблокировать.
Использование песочницы также позволяет обезопасить электронную почту и файловые хранилища.
Совместная работа NTA и SIEM
NTA и SIEM — взаимодополняющие системы, которые совокупно покрывают бо́льшую часть известных техник атак и дают высокую видимость сети. Например, заметив подозрительную активность в NTA, в SIEM-системе можно узнать, что именно атакующие делали на конкретном узле, какие процессы при этом были задействованы, и проследить дальнейшие действия злоумышленников. Исследовательское агентство Gartner включило их вместе с EDR-решениями в триаду SOC, которые вместе значительно снижают шансы атакующих на достижение целей в вашей инфраструктуре.
Вывод
Системы анализа сетевого трафика автоматически обнаруживают попытки злоумышленников проникнуть в сеть, позволяют получить подробную картину активности в инфраструктуре и повысить эффективность работы SOC. Интеграция с другими защитными решениями помогает выстроить эффективную систему защиты - управлять инцидентами и выявлять вредоносный контент.
Польза NTA-систем подтверждается отзывами заказчиков и исследованиями, в которых отмечается, что такие инструменты позволили многим клиентам обнаружить подозрительную активность в трафике, пропущенную периметровыми средствами безопасности.