Практика MaxPatrol SIEM: сложить косвенные улики и найти АРТ

Первый и самый очевидный ответ – деньги: лидирует по числу атак финансовый сектор – более 2 млрд руб. было похищено в ходе атак на российские банки в прошлом году. Однако результатом длительных целенаправленных атак могут стать похищение Know-How, кража стратегических планов и других конфиденциальных документов, которые могут быть использованы в конкурентной борьбе.

Cyber Kill Chain

Осуществляя целенаправленную атаку, хакеры редко идут напрямую к компьютерам и базам данных с интересующей их информацией, поскольку обычно сегменты с конфиденциальными данными серьезно защищены. Бытует мнение, что для выявления целевых атак необходимо использовать подход типа Cyber Kill Chain, который включает семь шагов: разведка, вооружение, доставка ВПО, исполнение эксплоита, установка ВПО, создание канала управления (C&C), достижение цели атаки. Эта модель весьма привлекательна: она понятна и однозначно трактует действия злоумышленников. Однако в жизни ожидаемых результатов не приносит, потому что, во-первых, увидеть большинство описанных действий в текущей инфраструктуре невозможно, а во-вторых, хакеры редко действуют в соответствии с прописанной последовательностью шагов. Варианты реализации АРТ множатся с каждым днем.

Для защиты от APT-атак сегодня существует целый класс средств защиты, в основном направленных на предотвращение попадания зловредного ПО внутрь периметра организации. Тем не менее обнаружение аномалий при скрытных действиях хакеров остается довольно сложной задачей, и средний срок жизни APT на сегодняшний день составляет до трех лет. При этом практика показывает, что признаки присутствия АРТ с достаточной эффективностью могут выявлять системы управления событиями и инцидентами информационной безопасности (SIEM).

Умение сопоставлять детали

Как правило, сеть для злоумышленника сразу после проникновения выглядит "черным ящиком". Чтобы получить информацию об инфраструктуре, он запускает утилиты для сканирования сети, которые обычно медленно и незаметно для устройств безопасности опрашивают узлы для построения карты сети. И вот эта-то сетевая активность внутри периметра, направленная на закрытый порт или узел с выключенными службами, – своего рода индикатор злонамеренной деятельности. Для ее обнаружения MaxPatrol SIEM может собрать информацию с помощью специального сетевого компонента Network Sensor либо воспользоваться данными, полученными в результате интеграции с направленным внутрь межсетевым экраном или другим оборудованием, отдающим информацию о сетевой активности (Netflow). Поскольку MaxPatrol SIEM постоянно аккумулирует информацию обо всех активах в ИТ-инфраструктуре, на нем можно настроить правило оповещения о попытках обращения к хосту с выключенными сервисами, закрытыми портами или не той операционной системы.

Еще один кладезь информации, позволяющей детектировать следы АРТ-групп, открывается при подключении к SIEM-системе средств антивирусной защиты. Этот сценарий по итогам внедрений и пилотирования MaxPatrol SIEM на протяжении последнего года неоднократно доказывал свою эффективность. Почему? Потому что первое, где можно обнаружить следы активности АРТ-групп при любом расследовании инцидента, – логи антивирусных центров. В большинстве случаев работа антивируса ограничивается блокировкой выявленного ВПО, но он никак не сигнализирует о том, что какой-то вирус обнаруживается на одном и том же компьютере ежемесячно уже в течение года, и не присылает сообщение о том, что, скажем, нашел следы той или иной АРТ-группы. Однако данные о блокировках, которые хранятся в антивирусных центрах в течение нескольких лет, позволяют выявить специфичные паттерны, которые сигнализируют о следах конкретных групп. А если вспомнить о средней продолжительности жизненного цикла АРТ-группы в инфраструктуре компании, порой исчисляющейся годами, то такая историческая глубина хранения данных иногда позволяет найти следы АРТ даже в тех компаниях, которые до этого были уверены, что не представляют интереса для организаторов целенаправленных атак.

Еще один способ выявления APT – подключение к SIEM журналов сетевого оборудования с последующей агрегацией и группировкой событий с сетевого оборудования, что позволяет увидеть ТОП-10 самых редких запущенных/созданных служб. Такие службы с высокой долей вероятности могут оказаться следами так называемых хак-тулзов, которые, в свою очередь, для SIEM-системы также являются индикатором целенаправленной атаки.

Злоумышленники, проникнув в сеть, нацелены остаться незамеченными как можно дольше и поэтому нередко тем или иным способом манипулируют с работоспособностью самих средств защиты и с настройками логирования. Для контроля операций такого типа MaxPatrol SIEM выделяет события в группы и оповещает о них ИБ-специалиста. В том числе можно буквально одним кликом получить данные по всем критичным операциям или настройкам, выполненным на всем сетевом оборудовании, вне зависимости от того, кем они были выполнены и каков масштаб инфраструктуры. Фильтры на критичные операции, выполняемые на том или ином оборудовании, являются в MaxPatrol SIEM автоматически преднастроенными. Такие операции, как зачистка логов, остановка или изменение уровня логирования на сетевом устройстве, сервере или рабочей станции, в числе прочего могут являть и признаками АРТ.

Нередко, кстати, оказывается, что попытки проникновения в корпоративные приложения напрямую отследить невозможно. Просто потому, что данные приложения играют роль "черного ящика" уже для самой SIEM-системы. Особенно это актуально для in-house-разработок, где логи нормализовать для SIEM часто не представляется возможным. Поэтому MaxPatrol SIEM может отслеживать и выявлять нелегитимную активность на таком бизнес-приложении за счет анализа логов "обвязки" приложения. Например, логов систем класса Web Application Firewall, позволяющих отслеживать, скажем, попытки логина в Web-приложениях, в том числе с использованием брутфорса. Подбор пароля все еще остается одним из самых успешных методов проникновения злоумышленника в инфраструктуру организации: согласно исследованиям Positive Technologies, 53% атак, в результате которых был получен доступ к ресурсам внутренней сети, приходится на использование словарных учетных данных, в 44% обследованных компаний словарные учетные данные использовались для доступа к общедоступным Web-приложениям.

Интеграция SIEM-системы со СКУД и активация учетной записи пользователя, в свою очередь, позволят выявлять подозрительные и противоречащие друг другу активности, которые также могут быть следствием хакерской активности. Например, если по данным СКУД сотрудник находится на территории организации, но при этом из-под его учетной записи имеется удаленное VPN-подключение. Или, скажем, если одна и та же учетная запись используется одновременно на нескольких компьютерах, то это может быть знаком, что она взломана и злоумышленник осуществляет проникновение через нее.

***

Успешное расследование инцидентов, обнаружение их взаимосвязей и следов злоумышленников в работе аналитика SIEM зачастую осложняет тот факт, что ИT-инфраструктура постоянно меняется и актуальная еще год назад картина может существенно отличаться от сегодняшней (а порой даже полностью противоречит). С учетом срока жизни зловреда в инфраструктуре такие изменения открывают киберпреступникам практически неограниченные возможности для ведения скрытой активности внутри сети. Поэтому при создании MaxPatrol SIEM были учтены недостатки существующих систем и применены новые подходы: внутри системы информация об инфраструктуре постоянно обогащается данными из новых событий, результатов сканирований, сетевого трафика и агентов на конечных точках, создавая полную ИT-модель предприятия в любой момент времени. Таким образом, именно глубокие знания о состоянии актива в настоящем и в прошлом являются основой для выявления аномалий и следов APT-групп.