Журнал "Information Security/ Информационная безопасность" #5, 2024

Причем этот процесс должен быть непре- рывным, чтобы соответствовать посто- янно меняющимся условиям. В результате зоопарк из защитных решений и отсутствие контекста об угро- зах приводят к экономической неэффек- тивности как команд, так и самого про- цесса обеспечения кибербезопасности. Организации продолжают тратить значи- тельные средства на капитальные и опе- рационные расходы, но деньги сами по себе не могут предотвратить критиче- ские инциденты. Решение – XDR-центричный подход В Центре кибербезопасности F.A.C.C.T. применяется XDR-центрич- ный подход, при котором основой мони- торинга и реагирования является тех- нология XDR, а все остальные защит- ные решения, например SIEM, служат лишь источниками дополнительного контекста. Сегодня в продуктах XDR уже зало- жена корреляция событий для снижения количества ложных срабатываний и ускорения обнаружения самых акту- альных угроз. Этот детект является результатом работы большого количе- ства специалистов, которые ежедневно занимаются расследованием киберпре- ступлений, компьютерной криминали- стикой и исследованием угроз. В случае, если SOC располагает новым/свежим индикатором атаки, можно вручную добавить необходимое правило или написать сигнатуру. Однако это не должно становиться основным операционным процессом SOC, исполь- зующего XDR. Такой подход позволяет сместить фокус на оперативную реак- цию, расследование и нейтрализацию угроз. Умная приоритизация В рамках синергии собственных про- дуктов, используемых Центром кибер- безопасности F.A.C.C.T., помимо XDR, применяются и другие решения, напри- мер продукт класса ASM (Attack Surface Management), ориентированный на ана- лиз и оценку внешней поверхности атаки защищаемой инфраструктуры. Если ASM обнаруживает проблему, аналитики оперативно проводят ее вери- фикацию и направляют персонализиро- ванное уведомление клиенту. Однако, если на основе данных киберразведки известно, что некоторая атакующая груп- па из ландшафта угроз клиента исполь- зует выявленную уязвимость для полу- чения первоначального доступа, то кри- тичность инцидента возрастает. В рамках анализа запускается процедура рассле- дования: ретроспективно анализируется трафик на предмет коммуникаций, сви- детельствующих о попытках эксплуата- ции уязвимости. В случае установлен- ного EDR-агента на уязвимом устройстве проводится ретроспективная оценка его компрометации. В итоге, удостоверив- шись, что атака не состоялась, наш SOC берет это устройство на особый контроль до устранения уязвимости. XDR из коробки для SOC Правильно интегрированный в инфра- структуру XDR сразу предоставляет внешней команде SOC налаженные механизмы кросс-уровневой корреляции событий из различных источников. А совсем небольшой тюнинг правил на основе данных киберразведки позволит проводить поиск атакующих из персо- нального ландшафта угроз для каждого конкретного клиента. Сегодня на базе XDR успешно оказы- ваются услуги, которые реализуются тремя сервисами: круглосуточный мони- торинг, проактивный поиск угроз и реа- гирование на инциденты. 1. В рамках сервиса управляемого мониторинга (MD) компания F.A.C.C.T. берет на себя ответственность за непре- рывный анализ всех событий и алертов, генерируемых XDR, и оформлением на их основе конкретных инцидентов. Важ- ной задачей в этом процессе является предоставление клиентам контекста относительно каждого инцидента. При этом, мы не вмешиваемся в процесс реагирования, предполагая, что у кли- ента есть необходимые ресурсы для оперативных действий. Наша цель – дать ясные рекомендации: "Смотрите, вот атака, вот устройство, действуйте быстро, вот наши инструкции". Параллельно аналитики занимаются расследованием инцидента из консоли XDR, в процессе которого предостав- ляются дополнительные индикаторы атаки и инструкции, что с ними делать. После того, как аналитик получает от клиента информацию, что источник инцидента и/или вредоносный код ней- трализованы, запускается перепроверка событий на предмет вредоносной актив- ности, при отсутствии которой инцидент закрывается. 2. Мониторинг может быть расширен- ным, если он включает сервис проактив- ного поиска угроз (Threat Hunting / MTH). Основные усилия в этом случае направ- лены на поиск сложных, скрытых угроз на серверах, рабочих станциях и в сете- вом трафике, обнаружение которых выходит за рамки внедренных правил корреляции и детектирования. Обладая объемной телеметрией, собираемой XDR, мы ориентируемся на собственные CTI-данные и другие источники информации о киберугрозах с целью идентификации скрытых дей- ствий атакующих, происходящих после первоначального доступа. Процесс поиска построен вокруг предположения, что инфраструктура уже была ском- прометирована, и аналитику нужно найти следы злоумышленников, кото- рые остались незамеченными средства- ми защиты. Анализируя ландшафт угроз клиента, мы смотрим, какие группировки могут его атаковать с учетом с его профиля, затем извлекаем сведения о соответ- ствующих тактиках, методах и процеду- рах. Если в результате обнаруживаются подозрительные следы или вредоносная активность, запускается процесс инфор- мирования и реагирования. 3. В рамках сервиса управляемого реагирования (MR) специалисты Центра кибербезопасности F.A.C.C.T. не просто информируют об инциденте, но и само- стоятельно проводят все необходимые мероприятия по активному реагирова- нию. Чтобы локализовать инцидент, с помо- щью EDR-агента мы изолируем ском- прометированное устройство, отрезая его от внутренней сети и Интернета, оставляя только связь с XDR-консолью. К этому моменту уже проводятся меро- приятия по сбору криминалистически важных данных для расследования и оценке масштаба проблемы, иниции- рованные еще на этапах MD и MTH. После того, как собранные данные проанализированы и угроза купирована, инициируются мероприятия по нейтра- лизации этой угрозы. После обязатель- ного согласования с клиентом аналитики Центра кибербезопасности F.A.C.C.T. проводят зачистку следов работы ВПО или других инструментов, задейство- ванных атакующими. Это реализуется функционалом EDR-агента, в котором есть как уже встроенные сценарии вос- становления, так и возможность прове- сти мероприятия вручную через удален- ный терминальный доступ. По завершении клиент получает под- робный отчет с описанием инцидента, хронологией его развития и шагами по нейтрализации, а также базовые реко- мендации по снижению вероятности повторения инцидента. Заключение Система безопасности хороша, когда эшелонированный подход или много- уровневые ИБ-решения работают как единое целое, тем самым повышая эффективность как компонентов защиты инфраструктуры, так и самой SOC- команды. XDR-решения развиваются, следуя этому принципу. Переход Центра кибербезопасности F.A.C.C.T. к XDR-центричному подходу в рамках оказания классических услуг мониторинга открыл перед командой новые возможности развития сервиса, фокусирующегося на самостоятельной нейтрализации угроз внутри защищае- мых инфраструктур. Реагирование и про- активный поиск позволили снять с кли- ентов еще больше практических и кри- тических для обеспечения кибербезо- пасности задач, предоставив им воз- можность фокусироваться на более стра- тегических целях. l • 21 SOC + EDR www.itsec.ru Реклама