Не секрет, что от того, насколько оперативно при расследовании инцидентов будут идентифицированы причины происходящего, точка входа инцидента, пострадавшие/задетые узлы и пользователи, зависит размер ущерб и возможности нивелировать негативные последствия от ИБ-инцидента.
Понятно, что решением данной задачи является анализ произошедших ранее событий безопасности, которые могут находиться в разных журналах регистрации или сетевом трафике (PCAP или NetFlow). Это типичная деятельность службы реагирования и (или) расследования инцидентов.
Однако у данного, лежащего на поверхности решения, есть и подводные камни. Логов накапливаются слишком много, а сетевой трафик и вовсе требует отдельного хранилища. В качестве примера приведу инфраструктуру Cisco, о которой я писал на Хабре. Ежедневно инспектируется 47 Тб трафика, а событий безопасности, которые нам приходится анализировать, ежедневно мы собираем 1,2 триллиона (!). Дополнительно в наш SOC попадает 14,7 миллионов событий NGIPS, 350 миллионов Web-транзакций и 28 миллиардов NetFlow. Вы представляете какой это колоссальный объем и как это все анализировать вручную?
Можно попробовать самостоятельно написать систему аналитики имеющихся данных. В книге "Security Intelligence" целый раздел посвящен именно этому вопросу. Но многие ли готовы заниматься этой интересной, но отнимающей много времени и требующей компетенций работой? Те, кто пишут системы защиты самостоятельно (Яндекс, Qiwi и др.), вполне способны это делать. Но что с остальными компаниями?
Можно попробовать задействовать различные инструменты системного и сетевого администрирования. Например, в системах анализа Netflow может быть подсистема визуализации информационных потоков. Так, например, выглядит функция root cause analysis в решении Scrutinizer компании Plixer.
Функция Flow Hopper в Plixer Scrutinizer |
Cisco Stealthwatch |
Функция Worm Propagation в Cisco Stealthwatch |
А можно ли проделать тоже самое не только на сетевом уровне, но и на отдельных узлах, визуализируя поведения вредоносного кода - запуск процессов, их инжектирование, обращение к файлам на диске, внешние коммуникации и т.п.? Да, это возможно и ряд вендоров предлагают такой функционал в своих продуктах, существенно сокращая время на расследование и последующее реагирование. Вот, например, так визуализируется последовательность действий на узле с помощью функции Root Cause Analysis в CylanceOPTICS.
Root Cause Analysis в CylanceOPTICS |
Траектория устройства в Cisco AMP for Endpoints |
У Sophos также реализована функция отслеживания источника проблемы (Root Cause Analysis):
А вот в Cyberbit это сделано, на мой взгляд, не очень наглядно:
Еще одним классом решений, визуализирующим последовательности событий для облегчения их анализа специалистами служб ИБ, являются песочницы. Например, в Cisco AMP Threat Grid вот так выглядит анализ процессов, с которыми работает анализируемый файл:
Вершиной пирамиды, объединяющей различные данные вместе (потоки, сетевой трафик и логи), являются различные SIEMы. Например, вот так выглядит визуализация различных, но связанных одним субъектом, событий из разных источников, отображенных на одном реляционном графе в решении Sift Security (NG SIEM для облачного мониторинга):
А вот это популярный в России ArcSight и его функция EventGraph (для мониторинга МСЭ):
Все это безусловно очень полезные инструменты, основное предназначение которых, ускорить реагирование на инциденты, не давая угрозам распространяться по сети или поворяться им через неидентифицированные точки входа. Но есть и обратная сторона медали, которая становится очевидной при практической работе с подсистемами так называемой ретроспективной безопасности. Речь идет о обогащенных данных. Дело в том, что обычно ретроспективная безопасность позволяет выстраивать цепочку однотипных событий - Netflow, логи МСЭ и сетевого оборудования, системные логи. Если же мы хотим объединить эти события вместе, а также обогатить их информацией Threat Intelligence, тут нас поджидает засада, а точнее несколько:
- Информационная перегрузка - сложность отображения большого объема разрозненных данных.
- Ограниченный охват - такого рода системы ретроспективной безопасности ограничены ИТ/ИБ-областью и им сложно выйти за эти рамки. С другой стороны системы ретроспективной безопасности и разработаны только для решения узкой задачи, с которой они справляются неплохо.
- Отсутствие дружественного человеку интерфейса - пользователю приходится самостоятельно интерпретировать ряд собранных данных, что может привести к ошибкам или требует высокой квалификации персонала.
Средство визуализации разротипных данных в целях ИБ KeyLines |
Решением этих проблем является применение выделенных специализированных продуктов класса Big Data Security Analytics или просто Security Analytics, которые стали появляться на западном рынке в последние пару лет (особенно на RSAC). Но это уже высший пилотаж, доступный далеко не каждой компании, выстраивающей свои системы мониторинга ИБ; особенно в условиях импортозамещения. Поэтому остается использовать существующий функционал ретроспективной безопасности, присутствующий в решениях по ИБ, предлагаемых на российском рынке. Отечественные решения тоже подтягиваются, но пока не так быстро и их возможности пока уступают западным аналогам.
Визуализация событий в SIEM КОМРАД |