Журнал "Information Security/ Информационная безопасность" #2, 2019

l определить категории данных событий в зависимости от производителя источ- ника событий, выполняемых действий и их результата; l обеспечить обогащение поступающих событий созданными категориями. Например, для кода события 4624, гово- рящего об успешной аутентификации в ОС Windows: l присваивается категория OS; l выполняемое действие: попытка аутен- тификации, присваивается категория Authentication; l успешный результат, присваивается категория Success. Результатом реализации уровня кате- горизации является наличие у всех собы- тий, участвующих в процессе выявления инцидентов, определенных категорий. Наличие данного уровня критически необходимо для функционирования всех последующих уровней. Реализация кате- горизации также позволит более тонко применять параметры агрегации, фильт- рации, оповещения и решить проблему, связанную с особенностями разбора событий от нестандартных источников. Аналитический уровень Аналитический уровень (Analytical level) производит сбор, обработку и монито- ринг с использованием элементов машинного обучения. Уровень является аналитическим движком модели выявле- ния инцидентов ИБ. На этом уровне модели производится работа только с категорированными событиями, полученными на предыду- щем уровне. Например, обнаружение попыток под- бора пароля на внешнем ресурсе ком- пании не является инцидентом, но нужно иметь механизмы выявления таких собы- тий для проведения дальнейшей анали- тики и возможности фиксации в составе цепочки атаки (Kill Chain). Аналитический уровень базируется на следующих операциях: l выполнить детализацию значимых действий на источнике событий для минимизации ложных срабатываний; l произвести анализ событий, которые могут являться источником инцидента ИБ при определенных условиях; l описать возможные действия предпо- лагаемого нарушителя по каждому из источников, исходя из настроенных пара- метров аудита. Неоспоримым плюсом данного уровня является возможность выявления значи- мых событий в инфраструктуре компании, которые могут быть использованы в реа- лизации процесса выявления инцидентов и целенаправленных атак на компанию. Данный уровень является неотъемле- мой частью и базой для следующих уровней модели. Уровень выявления инцидентов Этот уровень обеспечивает выявление инцидентов ИБ и их автоматическую классификацию. На данном уровне соз- даются механизмы (правила) выявления инцидентов, базирующиеся на резуль- татах работы предыдущих уровней. Например, событие удачной аутенти- фикации на внешнем ресурсе компании после обнаружения цепочки событий попыток подбора пароля будет являться инцидентом. Реализация данного уровня требует выполнения следующих задач: l наличие экспертной оценки в части определения актуальных угроз для ком- пании, методов их реализации, а также способов их выявления; l автоматическая классификация инци- дентов по разработанной заранее мат- рице; l наличие механизмов реагирования на инциденты ИБ. Очевидный плюс реализации данного уровня – прозрачность работы и простота администрирования для аналитиков ИБ, он является быстрым и эффективным инструментом для добавления и изме- нения условий, параметров исключений и т.д. Уровень выявления атак На данном уровне реализуются меха- низмы выявления связности обнаружен- ных инцидентов и значимых событий ИБ в цепочку атаки (Kill Chain). Уровень предполагает автоматическое определение и визуализацию стадии атаки и не должен быть привязан к конкретным техникам и методам проведения атак. Только при грамотной организации работы всех четырех предыдущих уров- ней открывается возможность создания механизма выявления сложных атак, в том числе растянутых во времени. Кроме того, появляется возможность проведе- ния ретроспективного анализа событий с целью определения атак, находящихся на той или иной стадии развития. Для реализации данного уровня пона- добится: l знание принципов реализации атак на любой из компонентов инфраструк- туры компании; l наличие red team для контроля и совер- шенствования работы уровня и адапта- ции модели под новые угрозы и методы атак; l наличие "песочницы" для отработки техник атак как по сложности, так и по времени; l разработка скоринговой модели; l разработка механизма визуализации векторов атак; l разработка решений для сбора и обра- ботки индикаторов компрометации (IoC); l создание механизма автоматического определения связанности выявленных инцидентов, на основе различных критериев и последующего аналитиче- ского объединения их в одну цепочку Kill Chain. Реализация данного уровня предоставляет механизмы выявления целенаправленных атак и злонамеренной деятельности на основе данных от всех уровней модели выявле- ния инцидентов ИБ. Уровень позволяет определять направ- ление развития атаки, а также класси- фицировать инциденты ИБ в составе проводимой атаки или злонамеренной деятельности, согласно общепринятым международным практикам (например, матрице MITRE ATT&CK). Пакет правил корреляции для ситуационного центра ИБ Существуют различные подходы к выявлению инцидентов информацион- ной безопасности, но множество из них так и остаются на бумагах. Сегодня рынок ИБ в России переполнен реклам- ными предложениями по "эффективно- му" выявлению инцидентов, которые очень далеки от практической реализа- ции. Основным подходом компании "ДиалогНаука" является внедрение толь- ко проверенных, инновационных меха- низмов борьбы с целенаправленными атаками в рамках SOC-решений на базе SIEM Micro Focus ArcSight. Нами был разработан и апробирован у ряда заказчиков пакет правил корреляции для ситуационного центра ИБ, который реализует описанную в статье модель на базе SIEM Micro Focus ArcSight в виде набора готовых правил корреляции и отчетов. Пакет создан на основе мно- голетнего опыта компании "ДиалогНаука" по внедрению и сопровождению ПО ArcSight в большом количестве компаний из различных отраслей. Пакет постоянно развивается, и в него добавляются новые виды правил корреляции, позволяющие обрабатывать информацию о компонен- тах компании, оценивать качество посту- пающих событий, эффективно выявлять инциденты и выявлять целенаправленные атаки различной сложности. Пакет правил корреляции для ситуа- ционного центра ИБ позволяет: l значительно повысить эффектив- ность существующей системы монито- ринга событий ИБ ArcSight; l сократить временные затраты на соз- дание новых правил корреляции за счет использования готовых сценариев выявления угроз; l реализовать многоуровневую обра- ботку событий и унифицировать подход к созданию новых сценариев; l выбрать готовые сценарии выявления инцидентов ИБ, исходя из актуальных угроз и существующих средств защиты; l подключать новые источники без необходимости изменения логики рабо- ты правил. l • 21 ТЕХНОЛОГИИ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ АО “ДИАЛОгНАукА” см. стр. 48 NM Реклама