Мониторинг событий кибербезопасности

Что такое мониторинг событий кибербезопасности

Мониторинг событий кибербезопасности представляет собой непрерывный процесс наблюдения и анализа результатов регистрации событий и иных данных из разных источников для выявления нарушений, угроз и уязвимостей.

На практике такой процесс представляет собой ручной или автоматизированный сбор событий, получаемых из разных источников (например, из средств защиты информации, журналов операционных систем, антивирусного ПО, сетевого оборудования), а также хранение событий и их последующий анализ. В процессе анализа специалисты по ИБ выявляют аномалии или нехарактерные события в работе информационных систем для своевременной реакции на них. Это позволяет оперативно среагировать на действия злоумышленника, то есть прекратить атаку.

Событие — это любое зафиксированное явление в системе или сети (например, подключение пользователя к файловому серверу, обработка веб-запроса сервером, отправка email-сообщения, блокирование сетевого соединения межсетевым экраном).

Источники, из которых будут анализироваться события, определяются экспертным путем специалистами информационной безопасности компании, в связи с чем приоритет подключения и список источников в каждой компании может различаться.

Для определения объектов мониторинга следует использовать доступные исходные данные по элементам IT-инфраструктуры компании:

актуальные данные инвентаризации IT-активов;
актуальные документацию и схемы на сети и информационные системы (в части сведений о составе и архитектуре, внешних и внутренних интерфейсах);
сведения об актуальных тактиках и техниках, которые используют нарушители в атаках (MITRE ATT&CK), о шаблонах компьютерных атак (CAPEC), наиболее опасных рисках информационной безопасности для веб-приложений (OWASP);
иные документы и сведения с учетом специфики деятельности компании, в том числе отраслевой.

Поскольку процессы и системы имеют свойство изменяться и дополняться, документацию на них следует поддерживать в актуальном состоянии.

Мониторинг в результативной кибербезопасности

Результативная кибербезопасность основана на исключении возможности реализации недопустимых событий. Понимая все нюансы и критерии реализации таких событий, можно обеспечить усиленную защиту наиболее значимых информационных систем и эффективный мониторинг событий, а также модернизировать бизнес-процессы таким образом, чтобы в случае кибератаки своевременно обнаружить и остановить преступника. В этом случае актуальные вопросы реализации мониторинга событий ИБ, в соответствии с принципами результативного подхода к построению кибербезопасности, будут звучать следующим образом:

Какие объекты IT-инфраструктуры следует установить на мониторинг, чтобы сделать невозможной реализацию недопустимых событий.
В каком порядке подключать на мониторинг источники событий, в том числе с учетом типовых точек проникновения в инфраструктуру компании и ключевых систем.
На основе какого контента и экспертизы следует выстраивать мониторинг.
Как достичь быстрого и одновременно значимого эффекта в реализации задачи мониторинга.
Какие средства могут повысить эффективность мониторинга.

Алгоритм выстраивания процесса мониторинга событий кибербезопасности

Процесс мониторинга событий кибербезопасности следует начать с анализа IT-инфраструктуры компании, чтобы определить информационные ресурсы и системы, которые могут являться точками проникновения злоумышленника. В определении таких ресурсов может помочь, как указано выше, инвентаризация IT-активов, проводимая экспертным методом или с использованием автоматизированных средств. Одними из самых распространенных точек проникновения в корпоративную сеть компании являются веб-приложения, серверы Microsoft Exchange и сетевое оборудование.

Кроме систем, являющихся точками проникновения, для достижения своей цели — реализации недопустимого события — злоумышленник будет атаковать ключевые системы компании. Ключевыми являются системы, которые обеспечивают функционирование целевых систем и в целом IT-инфраструктуры компании и которые могут быть использованы для упрощения или повышения эффективности атаки на целевые системы.

Системы, определенные как целевые, ключевые и точки проникновения, являются приоритетными для подключения к ручному или автоматизированному сбору информации о событиях кибербезопасности.

При выстраивании процесса мониторинга событий кибербезопасности следует учитывать методы, которые злоумышленники используют для проникновения в локальную сеть компании и развития атаки, например:

подбор учетных данных;
эксплуатация известной уязвимости ПО;
использование недостатков конфигурации;
эксплуатация уязвимости в коде веб-приложения;
социальная инженерия;
эксплуатация уязвимостей нулевого дня.

Кроме того, необходимо учитывать примеры успешных атак:

легитимные действия;
использование архитектурных особенностей ОС;
использование недостатков сетевой безопасности.

И примеры сценариев кибератак:

эксплуатацию уязвимости в веб-приложении на периметре компании;
проникновение в локальную сеть при помощи рассылки фишинговых писем с вредоносными вложениями;
легитимный удаленный доступ путем подбора учетных данных к доступным сервисам на периметре.

При выстраивании процесса мониторинга событий кибербезопасности также следует приоритизировать системы с точки зрения постановки на мониторинг новых источников событий и последующего расширения покрытия. Так, системы можно разделить на три группы:

Приоритет 1 — целевые, ключевые системы и точки проникновения.
Приоритет 2 — внешние сервисы, которые не являются точками проникновения, и важные для бизнес-процессов системы, не связанные с недопустимыми событиями.
Приоритет 3 — остальные системы (в зависимости от доступных в компании ресурсов).

Схема выстраивания процесса мониторинга событий кибербезопасности с учетом приоритезации информационных систем представлена на рисунке ниже.

Схема выстраивания процесса мониторинга событий кибербезопасности с учетом приоритезации информационных систем Рисунок 1. Схема выстраивания процесса мониторинга событий кибербезопасности с учетом приоритезации информационных систем

Примеры приоритизации систем с точки зрения мониторинга событий кибербезопасности

Примеры типов систем, мониторинг которых следует обеспечить для противодействия возможности реализации недопустимых событий в компании (при наличии большого количества серверов в инфраструктуре к мониторингу сначала следует подключать серверы внешних сервисов, далее — внутренние серверы ключевых и целевых систем).

Приоритет 1

Тип системы	Статус системы	Возможные цели воздействия нарушителя (примеры)	Цели мониторинга
Рабочие станции критически важных пользователей	Ключевая система	Злоумышленник получает контроль над рабочей станицей пользователя, подключается к целевой системе, используя привилегии сотрудника. Если рабочих станций много, то сперва следует подключить наиболее критически важные из них, например, рабочие станции: - администраторов; - высшего руководства; - оператора АСУ ТП; - сотрудников, отвечающих за финансы (бухгалтерия); - сотрудников, обеспечивающих администрирование платежных систем и банкоматов	Выявление признаков компрометации и других тактик, техник и процедур атакующих. Выявление горизонтальных перемещений и использования вредоносного ПО
Веб-серверы	Точка проникновения	Эксплуатация уязвимостей в веб-приложении или его компонентах для получения полного контроля над сервером, включая последующее выполнение команд ОС. Поиск уязвимостей в веб-приложении, позволяющих: - обойти аутентификацию и получить права, необходимые для модификации объектов; - получить учетные данные. Получение возможности развития атаки с сервера на ресурсы внутренних сетей или демилитаризованной зоны	Выявление признаков компрометации и других тактик, техник и процедур атакующих
Серверы инфраструктуры под управлением Windows и Linux	Целевая система, ключевая система	Получение доступа для совершения деструктивных действий (например, распространение вируса-шифровальщика). Использование сервера в качестве отправной точки для перемещения по внутренней сети и развития атаки	Выявление признаков компрометации и других тактик, техник и процедур атакующих. Выявление горизонтальных перемещений и использования вредоносного ПО
Сетевое оборудование (коммутаторы, маршрутизаторы, межсетевые экраны)	Ключевая система	Изменение конфигурации сетевого оборудования таким образом, чтобы построить маршрут в нужный нарушителю сегмент сети; перемещение нарушителя внутри инфраструктуры	Ранее определение подозрительной активности, связанной с получением несанкционированного доступа к сетевому оборудованию

Приоритет 2

Тип системы	Возможные цели воздействия нарушителя (примеры)	Цели мониторинга
DNS-сервер	Передача вредоносного кода внутри туннеля, установленного с использованием протокола DNS	Отслеживание использования туннелей между узлами. Нарушители могут создавать туннели для поддержания контроля над скомпрометированным узлом во внутренней сети. Выявление взаимодействия с управляющим сервером нарушителя. Нарушители могут маскировать трафик до управляющих серверов под легитимный
Внутренние прокси-серверы	Использование текущих параметров или переконфигурирование параметров прокси-сервера таким образом, чтобы получить доступ из демилитаризованной зоны в другие сегменты внутренней сети	Раннее обнаружение нелегитимной подозрительной активности
Системы резервного копирования и восстановления	Удаление резервных копий данных для исключения возможности восстановить системы после кибератаки. Получение информации из резервных копий для развития атаки на целевые и ключевые системы	Оперативное обнаружение и предотвращение деструктивных действий, нелегитимного доступа к резервных копиям

Приоритет 3

Третьим приоритетом стоит подключать остальные системы в зависимости от имеющихся ресурсов компании. Широкий охват систем, подключенных к мониторингу, позволяет получить более релевантную картину событий.