Мониторинг событий кибербезопасности представляет собой непрерывный процесс наблюдения и анализа результатов регистрации событий и иных данных из разных источников для выявления нарушений, угроз и уязвимостей.
На практике такой процесс представляет собой ручной или автоматизированный сбор событий, получаемых из разных источников (например, из средств защиты информации, журналов операционных систем, антивирусного ПО, сетевого оборудования), а также хранение событий и их последующий анализ. В процессе анализа специалисты по ИБ выявляют аномалии или нехарактерные события в работе информационных систем для своевременной реакции на них. Это позволяет оперативно среагировать на действия злоумышленника, то есть прекратить атаку.
Событие — это любое зафиксированное явление в системе или сети (например, подключение пользователя к файловому серверу, обработка веб-запроса сервером, отправка email-сообщения, блокирование сетевого соединения межсетевым экраном).
Источники, из которых будут анализироваться события, определяются экспертным путем специалистами информационной безопасности компании, в связи с чем приоритет подключения и список источников в каждой компании может различаться.
Для определения объектов мониторинга следует использовать доступные исходные данные по элементам IT-инфраструктуры компании:
актуальные данные инвентаризации IT-активов;
актуальные документацию и схемы на сети и информационные системы (в части сведений о составе и архитектуре, внешних и внутренних интерфейсах);
сведения об актуальных тактиках и техниках, которые используют нарушители в атаках (MITRE ATT&CK), о шаблонах компьютерных атак (CAPEC), наиболее опасных рисках информационной безопасности для веб-приложений (OWASP);
иные документы и сведения с учетом специфики деятельности компании, в том числе отраслевой.
Поскольку процессы и системы имеют свойство изменяться и дополняться, документацию на них следует поддерживать в актуальном состоянии.
Мониторинг в результативной кибербезопасности
Результативная кибербезопасность основана на исключении возможности реализации недопустимых событий. Понимая все нюансы и критерии реализации таких событий, можно обеспечить усиленную защиту наиболее значимых информационных систем и эффективный мониторинг событий, а также модернизировать бизнес-процессы таким образом, чтобы в случае кибератаки своевременно обнаружить и остановить преступника. В этом случае актуальные вопросы реализации мониторинга событий ИБ, в соответствии с принципами результативного подхода к построению кибербезопасности, будут звучать следующим образом:
Какие объекты IT-инфраструктуры следует установить на мониторинг, чтобы сделать невозможной реализацию недопустимых событий.
В каком порядке подключать на мониторинг источники событий, в том числе с учетом типовых точек проникновения в инфраструктуру компании и ключевых систем.
На основе какого контента и экспертизы следует выстраивать мониторинг.
Как достичь быстрого и одновременно значимого эффекта в реализации задачи мониторинга.
Какие средства могут повысить эффективность мониторинга.
Алгоритм выстраивания процесса мониторинга событий кибербезопасности
Процесс мониторинга событий кибербезопасности следует начать с анализа IT-инфраструктуры компании, чтобы определить информационные ресурсы и системы, которые могут являться точками проникновения злоумышленника. В определении таких ресурсов может помочь, как указано выше, инвентаризация IT-активов, проводимая экспертным методом или с использованием автоматизированных средств. Одними из самых распространенных точек проникновения в корпоративную сеть компании являются веб-приложения, серверы Microsoft Exchange и сетевое оборудование.
Кроме систем, являющихся точками проникновения, для достижения своей цели — реализации недопустимого события — злоумышленник будет атаковать ключевые системы компании. Ключевыми являются системы, которые обеспечивают функционирование целевых систем и в целом IT-инфраструктуры компании и которые могут быть использованы для упрощения или повышения эффективности атаки на целевые системы.
Системы, определенные как целевые, ключевые и точки проникновения, являются приоритетными для подключения к ручному или автоматизированному сбору информации о событиях кибербезопасности.
При выстраивании процесса мониторинга событий кибербезопасности следует учитывать методы, которые злоумышленники используют для проникновения в локальную сеть компании и развития атаки, например:
подбор учетных данных;
эксплуатация известной уязвимости ПО;
использование недостатков конфигурации;
эксплуатация уязвимости в коде веб-приложения;
социальная инженерия;
эксплуатация уязвимостей нулевого дня.
Кроме того, необходимо учитывать примерыуспешных атак:
легитимные действия;
использование архитектурных особенностей ОС;
использование недостатков сетевой безопасности.
И примерысценариев кибератак:
эксплуатацию уязвимости в веб-приложении на периметре компании;
проникновение в локальную сеть при помощи рассылки фишинговых писем с вредоносными вложениями;
легитимный удаленный доступ путем подбора учетных данных к доступным сервисам на периметре.
При выстраивании процесса мониторинга событий кибербезопасности также следует приоритизировать системы с точки зрения постановки на мониторинг новых источников событий и последующего расширения покрытия. Так, системы можно разделить на три группы:
Приоритет 1 — целевые, ключевые системы и точки проникновения.
Приоритет 2 — внешние сервисы, которые не являются точками проникновения, и важные для бизнес-процессов системы, не связанные с недопустимыми событиями.
Приоритет 3 — остальные системы (в зависимости от доступных в компании ресурсов).
Схема выстраивания процесса мониторинга событий кибербезопасности с учетом приоритезации информационных систем представлена на рисунке ниже.
Рисунок 1. Схема выстраивания процесса мониторинга событий кибербезопасности с учетом приоритезации информационных систем
Примеры приоритизации систем с точки зрения мониторинга событий кибербезопасности
Примеры типов систем, мониторинг которых следует обеспечить для противодействия возможности реализации недопустимых событий в компании (при наличии большого количества серверов в инфраструктуре к мониторингу сначала следует подключать серверы внешних сервисов, далее — внутренние серверы ключевых и целевых систем).
Приоритет 1
Тип системы
Статус системы
Возможные цели воздействия нарушителя (примеры)
Цели мониторинга
Рабочие станции критически важных пользователей
Ключевая система
Злоумышленник получает контроль над рабочей станицей пользователя, подключается к целевой системе, используя привилегии сотрудника. Если рабочих станций много, то сперва следует подключить наиболее критически важные из них, например, рабочие станции: - администраторов; - высшего руководства; - оператора АСУ ТП; - сотрудников, отвечающих за финансы (бухгалтерия); - сотрудников, обеспечивающих администрирование платежных систем и банкоматов
Выявление признаков компрометации и других тактик, техник и процедур атакующих. Выявление горизонтальных перемещений и использования вредоносного ПО
Веб-серверы
Точка проникновения
Эксплуатация уязвимостей в веб-приложении или его компонентах для получения полного контроля над сервером, включая последующее выполнение команд ОС. Поиск уязвимостей в веб-приложении, позволяющих: - обойти аутентификацию и получить права, необходимые для модификации объектов; - получить учетные данные. Получение возможности развития атаки с сервера на ресурсы внутренних сетей или демилитаризованной зоны
Выявление признаков компрометации и других тактик, техник и процедур атакующих
Серверы инфраструктуры под управлением Windows и Linux
Целевая система, ключевая система
Получение доступа для совершения деструктивных действий (например, распространение вируса-шифровальщика). Использование сервера в качестве отправной точки для перемещения по внутренней сети и развития атаки
Выявление признаков компрометации и других тактик, техник и процедур атакующих. Выявление горизонтальных перемещений и использования вредоносного ПО
Сетевое оборудование (коммутаторы, маршрутизаторы, межсетевые экраны)
Ключевая система
Изменение конфигурации сетевого оборудования таким образом, чтобы построить маршрут в нужный нарушителю сегмент сети; перемещение нарушителя внутри инфраструктуры
Ранее определение подозрительной активности, связанной с получением несанкционированного доступа к сетевому оборудованию
Приоритет 2
Тип системы
Возможные цели воздействия нарушителя (примеры)
Цели мониторинга
DNS-сервер
Передача вредоносного кода внутри туннеля, установленного с использованием протокола DNS
Отслеживание использования туннелей между узлами. Нарушители могут создавать туннели для поддержания контроля над скомпрометированным узлом во внутренней сети. Выявление взаимодействия с управляющим сервером нарушителя. Нарушители могут маскировать трафик до управляющих серверов под легитимный
Внутренние прокси-серверы
Использование текущих параметров или переконфигурирование параметров прокси-сервера таким образом, чтобы получить доступ из демилитаризованной зоны в другие сегменты внутренней сети
Раннее обнаружение нелегитимной подозрительной активности
Системы резервного копирования и восстановления
Удаление резервных копий данных для исключения возможности восстановить системы после кибератаки. Получение информации из резервных копий для развития атаки на целевые и ключевые системы
Оперативное обнаружение и предотвращение деструктивных действий, нелегитимного доступа к резервных копиям
Приоритет 3
Третьим приоритетом стоит подключать остальные системы в зависимости от имеющихся ресурсов компании. Широкий охват систем, подключенных к мониторингу, позволяет получить более релевантную картину событий.
Александр Кравченко
Владимир Волошин
Сергей Баранов
Рисунок 1. Схема выстраивания процесса мониторинга событий кибербезопасности с учетом приоритезации информационных систем