Журнал "Information Security/ Информационная безопасность" #6, 2019

Одним из кейсов, кото- рые можно реализовать на базе недекларированной возможности, является запуск сторонних или внеш- них скриптов. Одним из инструментов, которые можно использо- вать для централизованного запуска скриптов, является Ansible. Можно заранее настроить сценарии выпол- нения команд и действий для их более качественного и бесперебойного исполне- ния. В данной статье мы постараемся подтолк- нуть специалистов к исследованию допол- нительных свойств SIEM- систем, которые могут быть использованы без необходи- мости закупки и расширения существующих лицензий. К основным таким недекла- рированным возможностям относятся: l запуск внешних скриптов и программ; l использование скоринговой модели; l применение нейросетей для выявления инцидентов ИБ. Запуск внешних скриптов и программ Одним из кейсов, которые можно реализовать на базе недекларированной возможно- сти, является запуск сторонних или внешних скриптов, напри- мер для: l сканирования хоста, на кото- ром произошел инцидент информационной безопасности; l записи в сторонние средства и системы информации об инци- денте; l исполнения команд на уда- ленной системе для произведе- ния действий над пользовате- лем или узлом, фигурирующим в инциденте ИБ. Остановимся несколько под- робнее на первом пункте (ска- нирование хоста) и рассмотрим ситуацию, при которой происхо- дит инцидент, связанный с попытками нелегитимных дей- ствий в части очистки журнала аудита и/или создание админи- стративной группы на Linux- системе. При выявлении прави- лом данного события запускает- ся скрипт сбора с узла дополни- тельных сведений, связанных с данным пользователем или груп- пой. Результаты работы скрипта направляются обратно в SIEM- систему для фиксации всей полученной информации о поль- зователе или группе. При такой реализации работа правила становится максималь- но продуктивной. Но стоит учи- тывать тот факт, что все прави- ла, которые производят запуски внешних команд, должны прой- ти этапы тестирования и отлад- ки для минимизации ложных срабатываний и оптимизации загрузки системы. Для этого в SIEM-системе создаются меха- низмы автоматической провер- ки корректности работы правил и частоты их срабатываний. Вернемся к кейсу сканирования хоста. Если данный инцидент при- водит к его заведению в системе управления инцидентами (Case Manager), то оператору и анали- тику будет гораздо проще принять решение о критичности данного инцидента/кейса и необходимо- сти его эскалации, если в кейсе будут дополнительные признаки инцидента. Использование скоринговой модели В обиходе словосочетание "скоринговая модель" ассоции- руется с антифрод-системами и борьбой с финансовыми мошенниками. Но реализация скоринговой модели в инфор- мационной безопасности и в SIEM-системе уже является той необходимостью, без которой полнота картины выявления инцидентов ИБ не будет доста- точно исчерпывающей. Для использования более сложных корреляционных логик и выявления более сложных цепочек инцидентов необходи- мо реализовывать скоринговую модель для подсчета баллов по 30 • УПРАВЛЕНИЕ Недекларированные возможности SIEM чень многие заказчики используют SIEM-системы для выявления инцидентов информационной безопасности разной степени сложности и зачастую даже не представляют себе все возможности собственной системы мониторинга. Это связано с тем, что из-за довольно большой загрузки отдела информационной безопасности его сотрудникам не приходится задумываться о дополнительных функциях и возможностях, хотя эти знания могли бы существенно помочь в автоматизации целого ряда процессов в отделе ИБ или всей компании в целом. О Иван Лопатин, технический эксперт АО “ДиалогНаука” Кейс: сканирование хоста Для принятия решения о критичности данного инцидента оператору или аналитику значительно поможет следующая информация в кейсе: 1. ID пользователя в Linux-системе, который выполняет злонамеренные действия; 2. Список неудачных входов (команда #lastb), IP-адрес, время события. Данная информация полезна в случае недостижения порога "неуспешных входов" для срабатывания инцидента Brute Force (попытка несанкционированного доступа методом перебора паролей): support ssh:notty 103.138.109.76 Wed Dec 4 12:20 – 12:20 (00:00) tom ssh:notty 140.207.46.136 Wed Dec 4 12:51 – 12:51 (00:00) ubnt ssh:notty 185.43.209.8 Wed Dec 4 11:17 – 11:17 (00:00) user ssh:notty 185.43.209.8 Wed Dec 4 11:17 – 11:17 (00:00) admin ssh:notty 185.43.209.8 Wed Dec 4 11:17 – 11:17 (00:00) ftpuser ssh:notty 5.238.245.53 Thu Dec 5 06:00 – 06:00 (00:00) 3. Список запущенных процессов (команда: #ps -eo pid, lstart, cmd) 4547 15:48:23 /bin/bash /tmp/<name>.py 4. Другие команды, необходимые для более эффективного расследования инцидентов ИБ в Linux-системах, такие как запуск сканеров, антивирусов, блокировка пользователей и процессов (в случае необходимости).