Какие проблемы возникают при детектировании и реагировании на угрозы ?

Большое количество различных детектов часто основаны только на правилах из базы известных сетевых угроз IDS, они требуют значительных трудозатрат на расследования и не позволяют увидеть полноценную картину происходящего в сети, из-за чего невозможно контролировать происходящее в сети и обеспечить покрытие всей инфраструктуры.

Часто в сети рассредоточено множество конечных устройств и специфических операционных систем, которые не поддерживают установку агентов, но нуждаются в защите.

При этом у аналитика SOC может не быть инструментов, единого окна, где бы он смог понять, что происходит с этими устройствами, и во время детектировать атаку.

Согласно статистике ЦМУ ССОП, защиты периметра недостаточно, более 90% организаций не защищены от внешних атак. От 1 часа до 5 дней в среднем тратят злоумышленники, чтобы проникнуть во внутреннюю сеть организации.

Согласно исследованию Vectra AI:

• Почти три четверти (71%) специалистов SOC каждую неделю беспокоятся, что пропустят настоящую атаку, погребенную под потоком оповещений.
• 62% специалистов SOC утверждают, что поставщики услуг безопасности заваливают их бессмысленными оповещениями, чтобы избежать ответственности за нарушение.
• 50% специалистов SOC считают, что они не могут успеть за растущим числом угроз безопасности.
• 55% говорят, что более эффективные инструменты безопасности помогут облегчить их рабочую нагрузку в SOC.

Согласно отчету ESG, 45% респондентов неоднократно подвергались атакам посредством зашифрованного трафика. Таким образом злоумышленники чаще всего проводят эксфильтрации данных, коммуникации с C&C, внедрение вредоносного ПО.

У 32% опрошенных представителей ИБ-специалистов возникают проблемы с детектированием и блокированием соединений с C&C.

Причем здесь NDR и что это такое?

Принцип работы NDR согласно KuppingerCole:

Очень кратко NDR (Network Detection and Response) можно описать как развитие концепции NTA (Network Traffic Analysis) - детектирование неизвестных угроз в сетевом трафике через отклонение в поведении. NDR расширяет технологии детектирования, контроля сети, управления инцидентами и активного реагирования на потенциальные угрозы.

NDR позволяет детектировать продвинутые угрозы, автоматизировать реагирование, предоставить инструменты для проактивного поиска угроз и расследований, помогающие службам безопасности сократить время расследовать инциденты и минимизировать угрозы.

На наш взгляд, именно уникальные задачи, решаемые продуктом, определяют NDR как класс решений.

Какие задачи решает NDR

Согласно KuppingerCole:

• Защита от направленных атак, APT, 0-day атак в реальном или близком к реальному времени;
• Снижение времени на детектирование вторжений в сеть и компрометации инфраструктуры;
• Детектирование угроз в зашифрованном трафике;
• Видимость всего, происходящего в сети;
• Обогащение детектов с помощью сопоставления подозрительной сетевой активности с актуальными IoC и техниками TTP, используемыми злоумышленниками;
• Активный поиск угроз, детальный анализ событий и нахождение связей между событиями;
• Детектирование угроз, проникающих в сети организаций через устройства сотрудников (BYOD);
• Защита от уязвимостей EPP - отсутствие настройки или последних обновлений;
• Обеспечение безопасности специфических или устаревших ОС, которые не поддерживают агентов, или агенты слишком сильно нагружают ОС;
• Защита устройств IoT и IIoT, устройств промышленного сегмента, не поддерживающих агентов.

Какие еще задачи может решать NDR:

• Детектирование shadow it - нарушение политик ИБ, туннели, несанкционированный доступ к ресурсам, использование запрещенного ПО и другое;
• Обход периметровых СЗИ - уязвимости в конфигурации/ACL, не обновленные базы угроз;
• Предоставление аналитику возможности проведения расследований по всей сети в едином окне;
• Детектирование неконтролируемых точек доступа в сеть организации.

Детектируемые NDR угрозы

Кратко опишем кейсы детектирования NDR:

• Горизонтальное перемещение;
• Внедрение вредоносного ПО;
• Изучение Active Directory (Active Directory Enumeration);
• Направленные атаки APT-группировок, 0-day атаки;
• Различные аномальные отклонения от прогнозируемого нормального поведения, созданные на базе реального трафика организации;
• DNS-туннелирование (по частоте коммуникаций и объему);
• Command and Control-трафик (C2-трафик) (по частоте и объему коммуникаций);
• Активность ботнетов;
• Эксфильтрация данных;
• Необычные заголовки HTTP и сертификаты SSL/TLS;
• Использование DGA;
• Сканирование портов и другие техники разведки;
• DDoS-атаки;
• Использование паролей в открытом виде
• Использование уязвимых протоколов и понижение версии шифрования ;
• Атаки на учетные записи протоколов - AD, SSH, RDP, HTTP, FTP, SQL и другие;
• Подозрительный RDP-трафик и/или удаленное исполнение файлов;
• Крипто-майнинг;
• Атаки типа Honeypot Buster

Как реализовано активное реагирование в NDR?

Согласно Market Guide for Network Detection and Response 2020 от Gartner, активное реагирование в NDR может быть реализовано различными методами в зависимости от интеграций с другими системами защиты:

• с NGFW - отправка команд для блокирования подозрительного трафика;
• с NAC - отправка команд для отключения доступа к сети NAC;
• с SOAR - отправка событий для инициации плейбуков реагирования;
• с EDR - сдерживание коммуникаций скомпрометированных эндпоинтов.

Ручное активное реагирование может быть реализовано с помощью расширенных функций threat hunting (проактивного поиска угроз) и реагирования на инциденты, например, NDR-системы позволяют приоритизировать события безопасности, на которые нужно отреагировать в первую очередь.

Согласно Market Guide for Network Detection and Response 2024, активное реагирование поддерживает изоляцию хоста или блокирование трафика, напрямую или через интеграции.

Согласно KuppingerCole Report LEADERSHIP COMPASS“ 2024 реагирование может быть реализовано посредством:

• Взаимодействия через API для интеграции с системами SOAR (security orchestration, automation, and response);
• Автоматического реагирования/плейбуков для разрыва сессий, сетевой изоляции хоста/подсети, блокировки IP.

Какие требования предъявляют к NDR?

Согласно Market Guide for Network Detection and Response 2024 и KuppingerCole Report LEADERSHIP COMPASS“ 2024 аналитики мировых агентств предъявляют следующие требования к системам класса NDR:

Network Traffic Analysis (NTA)

Анализ сетевого трафика или телеметрии в реальном или близком к реальному времени позволяет не только проводить расследования инцидентов, но также оперативно детектировать угрозы и использовать реагирование. При анализе происходит ассоциация пользователей и приложений с сетевым трафиком. Системы NTA способны строить модели нормального поведения пользователей и детектировать отклонения от них.

Частота коммуникаций и ассоциация трафика с приложениями позволяют более тонко настраивать профили на уязвимые протоколы приложений. Идентификация пользователей помогает при анализе и реагировании.

Определение направления сетевого потока очень важно как для детектирования угроз, так и для проведения расследований и восстановления картины произошедшего инцидента, например:

• детектирования связи с командными центрами ботнетов (C&C) - отстуки из сети организации в интернет;
• эксфильтрация данных - выкачивание их из сети организации в интернет;
• медленные сканирования - сканирования сетевых ресурсов внутри сети организации.

Поддержка сетевой телеметрии (Netflow) позволяет обеспечить защиту тех сегментов, в которых очень сложно или невозможно подать сетевой трафик для анализа.

Поддержка различных типов инсталляций, таких как облачные среды, физические и виртуальные аплайнсы, удаленные филиалы, ЦОДы

Не менее важна поддержка различных типов инсталляций, таких как различные облачные среды, on-premise, удаленные филиалы, ЦОДы. Здесь все достаточно понятно: необходимо поддерживать анализ трафика со всех типов инфраструктуры, а не только отдельных сегментов. С точки зрения российской реальности, сегмент NDR для облачных сред пока отсутствует ввиду не слишком глубокого проникновения СЗИ в публичные облачные сервисы. Именно поддержка всей инфраструктуры позволяет контролировать всю сеть.

Очень важный аспект, не указанный явно, подразумевает поддержку NDR-системой различной и территориальной распределенной инфраструктуры. Решение должно предоставить возможности для работы с сетевым трафиком такой инфраструктуры, то есть поддерживать централизованное детектирование, реагирование.

Использование единой консоли для управления детектированием, проактивного поиска угроз и расследований позволяет существенно снизить нагрузку на персонал и увеличить скорость обработки инцидентов.

Детектирование угроз в зашифрованном трафике

К задаче детектирования угроз в зашифрованном трафике есть несколько подходов, самый очевидный - его расшифровка (decryption). В случае инсталляции системы NDR “в разрыв” каналов, возникает вопрос отказоустойчивости, производительности и возможности покрытия необходимой инфраструктуры. Раскрытие TLS 1.3 несет определенные работоспособности приложений использующих этот протокол.

Не все решения NDR могут устанавливаться “в разрыв”. В данном случае расшифровка трафика требует достаточно сложной схемы инсталляции, при которой decryptor расположен “сбоку”, и NDR с помощью пакетного брокера (NPB) получает расшифрованный трафик по запросу, а не весь поток по умолчанию. При таком сценарии узким местом становится поддержка передачи трафика по требованию на стороне NPB.

Какие альтернативные подходы к детектированию угроз в зашифрованном трафике предлагают производители:

• Анализ декодированных данных по протоколу ICAP с прокси-сервера. Этот вариант может не обеспечивать покрытие всего зашифрованного трафика, также есть нюансы при обработке ICAP. Однако этот подход не требует существенных изменений в инфраструктуре.
• ETA (Encrypted Traffic Analysis) - поиск вредоносных коммуникаций в зашифрованном трафике без его раскрытия:
• SSLBL (SSL Blacklist) - черные списки SSL, подозрительных сертификатов, JA/JA3 - цифровые отпечатки вредоносного ПО и командных центров ботнетов. CA (Certificate Authorities) - сертификаты, которые чаще всего используют злоумышленники.
• HASHH - цифровые отпечатки SSH-соединений, по которым можно определить приложение, использующее SSH. Применяться они могут как для детектирования IoT-устройств, так и компонентов потенциально опасных фреймворков, например, Metasploit.
• ML (machine learning) - машинное обучение для детектирование признаков вредоносного контента или ПО в зашифрованном трафике.
• Анализ других видов цифровых отпечатков.
• Анализ иных данных при установлении подключения.
• Поведенческие модели, устойчивые к шифрованию. Данный подход часто используется в NDR, он позволяет обеспечить детектирование угроз только на базе сетевой телеметрии, без использования полной копии трафика.

Обогащение метаданными во время сбора или анализа событий

Обогащение метаданными - крайне важный функционал для проактивного поиска угроз (Threat Hunting) и проведения расследований. Например, при анализе инцидента, рассматривая сетевую сессию, вы можете увидеть в одном окне данные по сессии или запросу фильтра:

• используемые протоколы;
• объем и длительность сессий;
• IP/MAC-порты;
• пользователи;
• DNS-имена;
• сетевые флаги, команды прикладных протоколов;
• направление сетевого потока: в интернет/сеть организации либо через внутренние подсети;
• детекты отклонений от профилей, сигнатур, потоков СTI (Cyber ​​Threat Intelligence ), DGA доменов;
• версию TLS;
• алгоритмы шифрования;
• гео-принадлежность;
• URL, почтовые адреса;
• логины и пароли;
• туннели, Vlan и другие данные.

Использование искусственного интеллекта/машинного обучения (AI/ML) для детектирования аномалий в поведении и вредоносной активности

NDR должен уметь детектировать угрозы, которые отсутствуют в базе известных угроз IDS, таких как 0-day, APT, направленные атаки на основе определения аномалий и отклонений от нормального поведения в трафике. Это реализуется с помощью таких инструментов как машинное обучение, поведенческие модели, продвинутая аналитика с поддержкой тонкой фильтрации трафика. Система NDR, анализируя сетевой трафик, получает значительно больше метаданных, чем SIEM, которая получает те же данные в формате логов. Трафик, в отличие от логов, гораздо сложнее заблокировать, и сам факт увеличения “битого” трафика уже будет инцидентом.

Более подробно об использовании машинного обучения и его видах расскажем в одной из следующих статей.

Система управления для агрегации алертов в инциденты,тонкой настройки дашбордов, расследований, проактивного поиска угроз, обеспечения работы SOC и команд реагирования на инциденты

Возможность агрегации алертов в инциденты - это основополагающая функциональность для решений класса NDR. Она необходима для успешной работы SOC и команд реагирования. Агрегация позволяет превратить сто одинаковых типовых событий в пять инцидентов в рамках пары отправитель/получатель/порт/аномалия и т.п., что существенно облегчает работу аналитиков ИБ.

Drill-down-функциональность позволяет пользователям быстро переходить от инцидента к детекту и затем к связанному с ним сырому трафику. Это упрощает процесс анализа и помогает специалистам ИБ идентифицировать источник угроз и оценивать их влияние на сеть. Системы NDR предлагают гибкие настройки исключений, что помогает настраивать как глобальные, так и специфические исключения для определенных аномалий, таких, например, как необычное поведение конкретного IP-адреса. Это позволяет сосредоточиться на действительно критичных угрозах. Маппинг детектируемых атак на MITRE ATT&CK и LM Cyber Kill Chain дает эксплуатирующим командам понимание, на каком этапе атаки находится злоумышленник. Системы NDR должны содержать в себе инструменты временных шкал (timeline), поддерживать регулярные выражения (regexp) и тонкую фильтрацию при формировании поисковых запросов. Они необходимы аналитикам, чтобы глубже исследовать инциденты, выявлять паттерны поведения и аномалии в сетевом трафике. Тонкая настройка дашбордов, виджетов/диаграмм для различных команд (например, для команд реагирования или аналитиков SOC) обеспечивает удобный доступ к необходимой информации и дает возможность адаптировать систему NDR под конкретные задачи. Ролевая модель позволяет разграничивать права доступа для различных инсталляций и данных, минимизирует риски утечки данных и нарушения политик ИБ.

Поддержка Cyber Threat Intelligence или обогащение детектов с помощью Cyber Threat Intelligence из внешних источников

При детектировании аномалии в поведении важно обогащение данными Cyber Threat Intelligence (CTI). Оно может послужить дополнительным подтверждением правильности детекта и ускорить анализ инцидента. Использование нескольких источников CTI увеличивает точность и подтверждение несигнатурных детектов.

Автоматическое активное реагирование через плейбуки или политики безопасности для обогащения (отправки инцидентов)в SOAR-системы или блокирования

Неотъемлемая часть любого решения NDR - автоматическое активное реагирование. Оно осуществляется с помощью плейбуков (playbook) или политик для обогащения SOAR или блокирования через NGFW, NAC, EDR или другие СЗИ. Реагирование позволяет не только узнать об инциденте, но и своевременно блокировать самые критичные атаки, пока они не нанесли серьезного ущерба.

В случае работы в inline-режиме, NDR может разорвать сессию и заблокировать запросы атакующего.

В случае работы на копии трафика или сетевой телеметрии, на мой взгляд, оптимальный способ - использование NDR в тандеме с решениями NAC и EDR. NAC позволяет наиболее безопасно для инфраструктуры провести блокирование доступа к сети или изоляцию конкретного хоста, без потенциально негативного влияния на всю сеть. EDR поможет заблокировать прием сетевых запросов от инфицированных хостов.

Автоматическое блокирование атак через NGFW - достаточно рискованный сценарий, более того, в крупных организациях абсолютно невозможный, так как каждое изменение правил NGFW требует тщательной проверки и согласования. Однако этот сценарий можно автоматизировать, если настроить в NDR генерацию ACL-правил (Access Control Lists) для NGFW и направлять их вместе с метаданными инцидента эксплуатирующему персоналу.

Также возможно автоматическое реагирование посредством перехвата файлов внутри сети и передачи их в Sandbox (песочницу) для анализа, в случае попадания во внутреннюю сеть в обход Sandbox.

Низкое количество ложных срабатываний после первоначальной настройки необходимо для использования автоматического активного реагирования

Отдельно хочется обратить внимание на условия для блокирования. Для обеспечения достаточного качества требуется тонкая настройка ML-моделей и понимание работы инфраструктуры. Кроме того, для внедрения автоматического реагирования необходимо понимание модели угроз информационной безопасности организации и оценки рисков. Gartner уделил внимание точности детекта только в Market Guide for Network Detection and Response 2024, хотя сама функция блокирования была заявлена в 2020 году в https://www.gartner.com/en/documents/3986225. Необходимость тонкой настройки и адаптации к конкретной инфраструктуре это ключевой момент для успешного внедрения автоматических блокировок, и очень странно, что главный популяризатор аббревиатуры NDR уделил этому внимание только спустя 4 года после заявления им этого класса продуктов.

В этой статье кратко рассказали о том, что такое NDR. В следующих статья более детально расскажем о применении машинного обучения, использовании активного реагирования и использовании NDR в связке с XDR.