Эволюция SOC: как профессиональные хакеры заставили поменять подход к ИБ-защите

Автор: Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар»

В основе этой модели лежали три ключевых задачи SOC:

• выявление актуальных угроз и киберрисков (контроль защищенности инфраструктуры);
• анализ внешней обстановки и понимание уровня квалификации злоумышленника;
• сам мониторинг.

Каждая из них ассоциировалась с определенным блоком технологий или процессов. Под контролем защищенности все понимали управление уязвимостями (Vulnerability Management, VM). Анализ внешней обстановки свелся к Threat Intelligence в виде фидов или индикаторов компрометации, которые возникают при разборе вредоносного ПО. А когда говорили про мониторинг, думали о SIEM. В целом такой подход позволял вовремя обнаружить угрозу и на нее среагировать.

Но высококвалифицированные злоумышленники становились все активнее. Когда-то каждая их атака становилась «инцидентом года», а сегодня мы ежедневно сталкиваемся с хакерами всех уровней квалификации. И, конечно, изменение техник и тактик атакующих существенно влияет на требования к инструментам SOC, к квалификации персонала и качеству процессов.

Как изменился SOC?

Контроль защищенности

Надо признать, что битву за уязвимости ИБ-сообщество проиграло. Еще несколько лет назад казалось, что патч-менеджмент и пентесты приведут к победе над киберпреступниками. Но сегодня эта иллюзия развенчана. В 2017 году произошли утечки архивов Vault 7 и Vault 8, к которым сегодня атрибутируют множество критических уязвимостей. Тот же 2017 год принес нам фундаментальную уязвимость протокола SMB – Eternal Blue. А новогодние праздники 2018 года – уязвимости виртуализации Spectre/Meltrdown. В 2019 году всех кошмарило сетевое оборудование, а после этого появились уязвимости в реализации протокола RDP, системе работы принтеров и так далее.

Динамика каждый год нарастает: сегодня в месяц появляется уже около 400 новых эксплойтов (если смотреть базу vulners.com). Сами уязвимости становятся проще в эксплуатации и влекут более критичные последствия для компаний – вплоть до «летальных». Регулярный патч-менеджмент уже не исправит все ошибки в инфраструктуре. В лучшем случае – закроет критические уязвимости и приведет ИТ-периметр в приемлемое состояние.

Невозможность закрыть все уязвимости далеко не единственная проблема. Откровенно говоря, злоумышленники сегодня намного реже входят во внутреннюю сеть через взлом периметра. Они переключили внимание на пользователей. Все чаще хакеры используют утекшие пароли, незакрытые доступы (чему способствовала удаленка), слабые парольные политики и т. д.

Конечно, поиск слабых мест в инфраструктуре остаётся базовым запросом. Но в то же время нарастает актуальность корректной настройки политик средств защиты. Например, при проведении внутренних пентестов эксперты «Ростелеком-Солар» иногда сталкиваются с отсутствием пароля на антивирусном ПО. Это позволяет отключить антивирус на рабочей станции и в дальнейшем беспрепятственно выполнять атаки – например, использовать автоматизированные инструменты или обращаться к защищаемым областям памяти и реестра. Или в исключения антивируса бывает добавлено большое количество директорий. Скорее всего, вирусное ПО профессиональной группировки будет встраиваться в эти самые каталоги и использовать их для атаки.

Но защищенность периметра – это не только технологии, но и люди. Насколько устойчивы к фишингу и социальной инженерии сотрудники компании? Насколько профессиональны и внимательны те, кто обеспечивает безопасность и кому необходимо из миллиона аномалий и подозрений на инцидент выявить настоящую атаку? Ну, и вообще насколько выстроены процессы информационной безопасности, которые позволяют не только выявить кибератаку, но и своевременно на нее отреагировать.

В итоге устойчивость к новым атакам собирается из нескольких компонентов: инфраструктура, средства защиты, квалификация ИБ-специалистов, киберграмотность сотрудников и процессы информационной безопасности. И отсутствие хотя бы одного из этих «кирпичиков» делает попытки выстроить другие практически бессмысленными. Поэтому контроль защищенности сегодня – это более широкая задача, чем несколько лет назад.

Threat Intelligence

Классические индикаторы компрометации становятся менее актуальными. Дело в том, что злоумышленники все чаще атакуют без вирусного ПО, используя легитимные утилиты. В 2020 году, например, команда «Ростелеком-Солар» выявила новую кибергруппировку TinyScouts . Хакеры не использовали привычные всем Mimikatz или другие способы сбора паролей. Вместо этого с помощью скрипта они запускали утилиту Nirsoft, которая создана для сбора паролей из браузеров и почтовых клиентов.

Кроме того, индикаторы очень быстро теряют свою актуальность, так как группировки научились легко менять практически все базовые триггеры. Например, IP-адрес, с которого работает центр управления ВПО, меняется в течение двух дней. ВПО TinyScouts вообще не использовало статические IP-адреса, а взаимодействовало с управляемыми узлами. Подробнее об этом мы писали здесь .

В итоге задача по анализу внешней обстановки вышла за рамки классического TI и сделала более актуальным Threat Hunting, как проактивный подход к борьбе с угрозами. Мы говорим уже не о четких сработках и выявленных инцидентах, а о детектировании аномалий, которые возникают в инфраструктуре и которые необходимо анализировать. Разработка хантингового контента требует еще большей квалификации от экспертов SOC.

Мониторинг

Конечно, отказаться от SIEM-системы мы не предлагаем, но ей нужны «помощники». Даже правильный контент и аналитика могут выявить только 60-70% угроз. Профессиональные злоумышленники научились обходить базовый контент и попадать в диапазон между сбором логов системы.

Чего же не хватает SIEM? Базовое ограничение системы – технологическое. Во-первых, в журналы попадают не все события. Много активностей ведется на уровне сетевого трафика, и перемещение злоумышленника идет практически без журнальных событий. Во-вторых, часть событий ИБ происходит на рабочих станциях, и никакого базового аудита операционной системы и даже Sysmon не хватит, чтобы увидеть развитие атаки. Когда речь идет про АСУ ТП или бизнес-системы, то SIEM покрывает их только на 15-20% из-за низкого уровня журналирования и сложностей с согласованием настроек на промышленном сегменте сети.

Поэтому мониторинг инцидентов и SIEM уже давно не синонимы. Мониторинг SOC даже выходит за пределы треугольника Gartner: SIEM + NTA + EDR. При противодействии современным атакам надо более детально следить за сетевым трафиком, внимательно мониторить рабочие станции, чтобы выявлять бестелесное ПО или повышение привилегий на безвирусной основе. Также нельзя упускать из вида бизнес-системы (например, CRM или ДБО) и технологические процессы, потому что атаки на них могут практически не оставляют следов в базовых логах и решениях класса NTA/EDR, то есть проходят не отмеченными ни на уровне инфраструктуры, ни на уровне сети, ни на уровне рабочих станций. Также злоумышленники все чаще используют технологии атаки через подрядчиков: за прошлый год количество подобных инцидентов в отношении объектов критической информационной инфраструктуры увеличилось в два раза .

Реагирование

Среди ИБ-сообщества многие говорят: «Какая разница, сколько атак мы выявляем, если мы не можем на них реагировать». И они правы. Поэтому подходы к реагированию тоже меняются. Еще лет 5 назад по выявляемым SOC событиям ИБ-служба компании получала 5-6 уведомлений в день. И их вполне мог обработать один человек со средней квалификацией. Сейчас же поток событий на порядок выше.

Вопрос тут даже не в качестве детектирования или запущенных сценариев (хотя это тоже влияет), а в том, как изменилась наша жизнь. Все более динамично развиваются инфраструктуры, а организации из разных отраслей постепенно превращаются в IT-компании. Все чаще безопасники дают больше слабины в плане политик защиты, разрешая выходить в интернет напрямую, облегчать политики антивирусной защиты для работы приложений и даже пользоваться TOR-сетями, потому что это нужно для бизнеса.

Все типовые потоковые инциденты должны решаться быстро и автоматизировано с минимальным вовлечением человека. Они могут напрямую поступать в ИТ-службы, минуя команду реагирования, или обрабатываться с помощью каких-то типовых плейбуков с минимальными экспертными ресурсами.

Атаки более сложные, но попадающие в профиль киберкриминала, требуют очень быстрого и типизированного реагирования. Цели таких группировок понятны: монетизация через шифрование, майнинг, быстрый вывод денежных средств. Возможные последствия атаки тоже очевидны. Главное - оперативно локализовать угрозу и понять, каким образом от нее защититься.

Потребность в более глубокой экспертизе возникает, когда мы говорим про профессиональные атаки. Такие инциденты невозможно выявить ни по логам, ни по трафику, и детектирование происходит исключительно благодаря «хлебным крошкам»: некоторым паттернам, неочевидным аномалиям, нечетким срабатываниям. Это уже сфера Digital Forensic и Malware Analysis. Такой подход предполагает детальную проработку каждой атаки и точечную проверку инфраструктуры. Более того, если хакеры проникли далеко в инфраструктуру, контролируют ее и могут увидеть «слежку», то уже расследователям приходится маскироваться, скрывая свои действия. Как показывают наши исследования, в 15% случаев профессиональные злоумышленники организуют именно такие сложные атаки.

Вывод

Итак, современный SOC значительно отличается от того, каким мы его представляли 5-6 лет назад. Он эволюционирует вместе с тем, как меняется ландшафт ИБ-угроз. Но радует то, что нам не нужно строить киберзащиту с нуля. Cозданный в 2017 и даже в 2015 году SOC по-прежнему может отбить атаки. Но теперь в его фокусе внимания базовые группировки, киберхулиганы и киберкриминал. А более профессиональные хакеры уже давно научились обходить такие «преграды». Поэтому для борьбы с ними нужно развивать технологии мониторинга, повышать квалификацию собственного персонала и совершенно по-новому работать с данными TI, все больше сил вкладывая в Threat Hunting.