Журнал "Information Security/ Информационная безопасность" #5, 2020

Достойно подготовленным к отраже- нию киберугроз принято считать SOC, который укомплектован элементами управления информацией о безопасно- сти и управления событиями безопасно- сти (SIEM), системами анализа трафика на уровне внутренней сети (NTA), систе- мой обнаружения угроз конечных точек и реагирования на них (EDR). Такой комплекс, как авиация, флот и сухопут- ные силы, позволяет обнаружить угрозу, в том числе на ранней стадии атаки, локализовать вредоносную активность и контролировать соблюдение регла- ментов ИБ. Но для стабильности и уве- ренности в завтрашнем дне также необходимо быть на шаг впереди зло- умышленников в киберпространстве. Ведь без разведки и налаженного канала передачи критически важной информа- ции любые вооруженные силы рискуют оказаться в затруднительном положе- нии. Разведка в сфере ИБ – это подключе- ние потоков данных об угрозах. Рано или поздно каждый современный SOC осваивает данный инструмент. Все зави- сит от зрелости центра мониторинга и от его финансовых возможностей. При этом SOC может столкнуться с пробле- мой возросших трудозатрат, если кана- лов поставки индикаторов компромета- ции стало много и на их обработку уходит драгоценное время аналитиков. В ESET мы решили сосредоточиться на наилучшем соотношении количества и качества собранных индикаторов угроз. Для потоков данных, или, другими словами, фидов, мы постоянно обнов- ляем применяемые правила фильтрации. Предварительно отсортированные дан- ные являются самым удобным форматом получения информации об угрозах. Каче- ство фидов обеспечено надежными и оперативными источниками сбора информации. В одной только Европе ESET сотрудничает с 46 национальными группами реагирования на чрезвычай- ные ситуации в киберпространстве, име- нуемыми CERT. Массив данных также формируется с помощью 110 млн собст- венных датчиков ESET, расположенных по всему миру, и системы трекера бот- нетов LiveGrid. Комплектуя фиды, мы задумываемся не только о том, какой вред может нанести необнаруженное вредоносное ПО, но и о головной боли, вызванной ложным срабатыванием (FP). Ошибоч- ные решения, когда чистые объекты маркируются как вредоносные, могут стать причиной более масштабных сбоев в ИТ-инфраструктуре, чем заражение вирусом. Приведу один из разрушительных сце- нариев: из-за FP решение безопасности заблокировало или удалило программ- ное обеспечение производственной линии, что в свою очередь нарушило весь производственный цикл компании. Цена такой ошибки может исчисляться миллионами долларов. В непроизвод- ственных организациях FP зачастую приводят к чрезмерной нагрузке на пер- сонал по ИТ-безопасности, что впослед- ствии негативно сказывается на уровне готовности компании к инцидентам ИБ. Поэтому вместо поставки большого объема сырых данных мы делимся фида- ми с первоклассной категоризацией и предварительно отфильтрованной информацией для использования кли- ентами в соответствии с их предпочте- ниями, сферой деятельности и регионом работы. О качестве телеметрии ESET свиде- тельствует наглядный тест компании Whalebone – провайдера сервиса фильт- рации нежелательных ресурсов по их доменным именам (DNS). Whalebone ранее использовала индикаторы ком- прометации, полученные с помощью запуска в изолированной среде (песоч- нице), анализа сетевого трафика и на основе известных образцов вредонос- ного ПО. В рамках тестирования теле- метрического сервиса компания допол- нительно включила в данные обнару- жения индикаторы компрометации от ESET. Общее число инцидентов в тесте DNS-фильтрации достигло 1,75 млн. Примерно половина инцидентов (866 тыс.) была обнаружена только на основе индикаторов компрометации, предостав- ленных ESET Threat Intelligence. Факти- чески без данных ESET 49,51% инци- дентов остались бы незамеченными. При этом из 866 тыс. обнаруженных инцидентов ложной оказалась лишь одна блокировка домена. 50,02% инци- дентов обнаружены Whalebone без помощи ESET. Всего 0,47% инцидентов потребовали для обнаружения одновре- менно данные и ESET, и Whalebone. Исследование Whalebone демонстриру- ет, что жесткая категоризация данных, имеющая первостепенное значение для ESET, способствует высокой точности обнаружения и близкому к нулю числу ложных срабатываний. 24 • СПЕЦПРОЕКТ Фиды для SOC. Осведомлен – значит вооружен овременный SOC для современной компании – это средство защиты от внешних угроз, сравнимое с армией для государства. Эффективность армии, как правило, зависит от ее оснащения и уровня подготовки. То же самое относится к центрам мониторинга и оперативного реагирования на инциденты ИБ. Им так же свойственны некоторые признаки плохо организованных или слишком затратных военных структур. Например, авианосец – эффективное оружие, но обходится очень дорого, сотни танков вдали от потенциального врага – звучит устрашающе, но бесполезно на практике, как и хорошо оснащенный спецназ, идущий на задание без грамотного командира. Давайте разберемся, какое же вооружение является наиболее эффективным, если говорить о SOC. С Александр Пирожков, руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET