Методология
akravchenko.jpgАлександр Кравченко
vvoloshin.jpgВладимир Волошин
SBaranov.jpgСергей Баранов

Что такое мониторинг событий кибербезопасности

Мониторинг событий кибербезопасности представляет собой непрерывный процесс наблюдения и анализа результатов регистрации событий и иных данных из разных источников для выявления нарушений, угроз и уязвимостей.

На практике такой процесс представляет собой ручной или автоматизированный сбор событий, получаемых из разных источников (например, из средств защиты информации, журналов операционных систем, антивирусного ПО, сетевого оборудования), а также хранение событий и их последующий анализ. В процессе анализа специалисты по ИБ выявляют аномалии или нехарактерные события в работе информационных систем для своевременной реакции на них. Это позволяет оперативно среагировать на действия злоумышленника, то есть прекратить атаку.

Событие — это любое зафиксированное явление в системе или сети (например, подключение пользователя к файловому серверу, обработка веб-запроса сервером, отправка email-сообщения, блокирование сетевого соединения межсетевым экраном).

Источники, из которых будут анализироваться события, определяются экспертным путем специалистами информационной безопасности компании, в связи с чем приоритет подключения и список источников в каждой компании может различаться.

Для определения объектов мониторинга следует использовать доступные исходные данные по элементам IT-инфраструктуры компании:

  • актуальные данные инвентаризации IT-активов;
  • актуальные документацию и схемы на сети и информационные системы (в части сведений о составе и архитектуре, внешних и внутренних интерфейсах);
  • сведения об актуальных тактиках и техниках, которые используют нарушители в атаках (MITRE ATT&CK), о шаблонах компьютерных атак (CAPEC), наиболее опасных рисках информационной безопасности для веб-приложений (OWASP);
  • иные документы и сведения с учетом специфики деятельности компании, в том числе отраслевой.

Поскольку процессы и системы имеют свойство изменяться и дополняться, документацию на них следует поддерживать в актуальном состоянии.

Мониторинг в результативной кибербезопасности

Результативная кибербезопасность основана на исключении возможности реализации недопустимых событий. Понимая все нюансы и критерии реализации таких событий, можно обеспечить усиленную защиту наиболее значимых информационных систем и эффективный мониторинг событий, а также модернизировать бизнес-процессы таким образом, чтобы в случае кибератаки своевременно обнаружить и остановить преступника. В этом случае актуальные вопросы реализации мониторинга событий ИБ, в соответствии с принципами результативного подхода к построению кибербезопасности, будут звучать следующим образом:

  • Какие объекты IT-инфраструктуры следует установить на мониторинг, чтобы сделать невозможной реализацию недопустимых событий.
  • В каком порядке подключать на мониторинг источники событий, в том числе с учетом типовых точек проникновения в инфраструктуру компании и ключевых систем.
  • На основе какого контента и экспертизы следует выстраивать мониторинг.
  • Как достичь быстрого и одновременно значимого эффекта в реализации задачи мониторинга.
  • Какие средства могут повысить эффективность мониторинга.

Алгоритм выстраивания процесса мониторинга событий кибербезопасности

Процесс мониторинга событий кибербезопасности следует начать с анализа IT-инфраструктуры компании, чтобы определить информационные ресурсы и системы, которые могут являться точками проникновения злоумышленника. В определении таких ресурсов может помочь, как указано выше, инвентаризация IT-активов, проводимая экспертным методом или с использованием автоматизированных средств. Одними из самых распространенных точек проникновения в корпоративную сеть компании являются веб-приложения, серверы Microsoft Exchange и сетевое оборудование.

Кроме систем, являющихся точками проникновения, для достижения своей цели — реализации недопустимого события — злоумышленник будет атаковать ключевые системы компании. Ключевыми являются системы, которые обеспечивают функционирование целевых систем и в целом IT-инфраструктуры компании и которые могут быть использованы для упрощения или повышения эффективности атаки на целевые системы.

Системы, определенные как целевые, ключевые и точки проникновения, являются приоритетными для подключения к ручному или автоматизированному сбору информации о событиях кибербезопасности.

При выстраивании процесса мониторинга событий кибербезопасности следует учитывать методы, которые злоумышленники используют для проникновения в локальную сеть компании и развития атаки, например:

  • подбор учетных данных;
  • эксплуатация известной уязвимости ПО;
  • использование недостатков конфигурации;
  • эксплуатация уязвимости в коде веб-приложения;
  • социальная инженерия;
  • эксплуатация уязвимостей нулевого дня.

Кроме того, необходимо учитывать примеры успешных атак:

  • легитимные действия;
  • использование архитектурных особенностей ОС;
  • использование недостатков сетевой безопасности.

И примеры сценариев кибератак:

  • эксплуатацию уязвимости в веб-приложении на периметре компании;
  • проникновение в локальную сеть при помощи рассылки фишинговых писем с вредоносными вложениями;
  • легитимный удаленный доступ путем подбора учетных данных к доступным сервисам на периметре.

При выстраивании процесса мониторинга событий кибербезопасности также следует приоритизировать системы с точки зрения постановки на мониторинг новых источников событий и последующего расширения покрытия. Так, системы можно разделить на три группы:

  • Приоритет 1 — целевые, ключевые системы и точки проникновения.
  • Приоритет 2 — внешние сервисы, которые не являются точками проникновения, и важные для бизнес-процессов системы, не связанные с недопустимыми событиями.
  • Приоритет 3 — остальные системы (в зависимости от доступных в компании ресурсов).

Схема выстраивания процесса мониторинга событий кибербезопасности с учетом приоритезации информационных систем представлена на рисунке ниже.

Рисунок 1. Схема выстраивания процесса мониторинга событий кибербезопасности с учетом приоритезации информационных систем

Примеры приоритизации систем с точки зрения мониторинга событий кибербезопасности

Примеры типов систем, мониторинг которых следует обеспечить для противодействия возможности реализации недопустимых событий в компании (при наличии большого количества серверов в инфраструктуре к мониторингу сначала следует подключать серверы внешних сервисов, далее — внутренние серверы ключевых и целевых систем).

Приоритет 1

Тип системыСтатус системыВозможные цели воздействия нарушителя (примеры)Цели мониторинга
Рабочие станции критически важных пользователей Ключевая системаЗлоумышленник получает контроль над рабочей станицей пользователя, подключается к целевой системе, используя привилегии сотрудника.
Если рабочих станций много, то сперва следует подключить наиболее критически важные из них, например, рабочие станции:
- администраторов;
- высшего руководства;
- оператора АСУ ТП;
- сотрудников, отвечающих за финансы (бухгалтерия);
- сотрудников, обеспечивающих администрирование платежных систем и банкоматов
Выявление признаков компрометации и других тактик, техник и процедур атакующих.
Выявление горизонтальных перемещений и использования вредоносного ПО
Веб-серверыТочка проникновенияЭксплуатация уязвимостей в веб-приложении или его компонентах для получения полного контроля над сервером, включая последующее выполнение команд ОС. Поиск уязвимостей в веб-приложении, позволяющих:
- обойти аутентификацию и получить права, необходимые для модификации объектов;
- получить учетные данные.
Получение возможности развития атаки с сервера на ресурсы внутренних сетей или демилитаризованной зоны
Выявление признаков компрометации и других тактик, техник и процедур атакующих
Серверы инфраструктуры под управлением Windows и LinuxЦелевая система, ключевая системаПолучение доступа для совершения деструктивных действий (например, распространение вируса-шифровальщика).
Использование сервера в качестве отправной точки для перемещения по внутренней сети и развития атаки
Выявление признаков компрометации и других тактик, техник и процедур атакующих.
Выявление горизонтальных перемещений и использования вредоносного ПО
Сетевое оборудование (коммутаторы, маршрутизаторы, межсетевые экраны)Ключевая системаИзменение конфигурации сетевого оборудования таким образом, чтобы построить маршрут в нужный нарушителю сегмент сети; перемещение нарушителя внутри инфраструктурыРанее определение подозрительной активности, связанной с получением несанкционированного доступа к сетевому оборудованию

Приоритет 2

Тип системыВозможные цели воздействия нарушителя (примеры)Цели мониторинга
DNS-серверПередача вредоносного кода внутри туннеля, установленного с использованием протокола DNSОтслеживание использования туннелей между узлами. Нарушители могут создавать туннели для поддержания контроля над скомпрометированным узлом во внутренней сети.
Выявление взаимодействия с управляющим сервером нарушителя. Нарушители могут маскировать трафик до управляющих серверов под легитимный
Внутренние прокси-серверыИспользование текущих параметров или переконфигурирование параметров прокси-сервера таким образом, чтобы получить доступ из демилитаризованной зоны в другие сегменты внутренней сетиРаннее обнаружение нелегитимной подозрительной активности
Системы резервного копирования и восстановленияУдаление резервных копий данных для исключения возможности восстановить системы после кибератаки.
Получение информации из резервных копий для развития атаки на целевые и ключевые системы
Оперативное обнаружение и предотвращение деструктивных действий, нелегитимного доступа к резервных копиям

Приоритет 3

Третьим приоритетом стоит подключать остальные системы в зависимости от имеющихся ресурсов компании. Широкий охват систем, подключенных к мониторингу, позволяет получить более релевантную картину событий.