О том, чем руководствоваться при выборе тех или иных источников данных, на какие поля обращать внимание, откуда черпать вдохновение при написании правил, рассказывают руководитель отдела развития продукта Security Vision Данила Луцив и генеральный директор компании Руслан Рахметов.
Долгое время информационная безопасность больше напоминала гадание, нежели научное знание. На чем основываются гипотезы аналитиков Центра мониторинга и реагирования на киберугрозы (Security Operation Center, SOC)? В основном на личных предположениях. Иногда они были точным попаданием, но чаще всего создавали большое количество ложных срабатываний и не детектировали реальных вторжений.
Одной из самых знаковых статей в информационной безопасности за последние годы стал материал Гитхабификация Информационной Безопасности Джона Ламберта. Можно по-разному относиться к информационной базе данных Mitre ATT&CK, говоря о ее неполноте и других недостатках. Но хотим мы того или нет, ATT&CK стала общим языком, на котором могут общаться все специалисты информационной безопасности, когда речь идет о процессе управления инцидентами. В результате важен даже не ATT&CK-фреймворк как таковой, а машиночитаемые описания на хостинге Mitre GitHub, включая модели данных и другие свободно распространяемые проекты вроде Caldera, которые строятся на единой методологии.
Руководитель отдела развития продукта Security Vision Данила Луцив и генеральный директор компании Руслан РахметовСообщество быстро подхватило такой подход, и сейчас уже сложно представить проекты в цифровой криминалистике и реагирования на инциденты (Digital Forensics and Incident Response, DFIR), в которых не упоминалась бы атрибуция. Отчеты о проникновении, правила корреляции, дата-сеты событий, воспроизводящие записи действий атакующего, скрипты, эмулирующие вредоносную активность и ноутбуки хантов для поиска сложных атак - все это уже имеет соответствующие тэги и позволяет сформировать комплексное представление о том, как именно происходит атака, а также какие источники и правила нужны для ее детектирования. Наконец в сферу ИБ приходит истинно научный подход, обладающий свойством воспроизводимости экспериментов.
Что же могут вынести рядовые специалисты по информационной безопасности из подобных проектов? Давайте попробуем за несколько статей разобраться в том, что интересного происходит в сообществе в области DFIR.
Часть 1. Сбор событий
Каждая компания, которая сталкивается с необходимостью мониторинга событий безопасности, решает одни и те же задачи: каким источникам данных уделить внимание в первую очередь, какие политики логирования выбрать, какие инструменты сбора логов использовать. Немало SIEM-внедрений потерпели неудачу уже на этом этапе, утилизировав всю доступную лицензию дорогостоящего инструмента на малозначительные для поставленных целей данные. Попробуем найти ответ на эти вопросы на просторах интернет.
Twitter был и остается одной из самых главных соцсетей для обмена знаниями cyber-комьюнити. С него мы и начнем. Эксперт по кибербезопасности Флориан Рот (Florian Roth), автор IoC-сканера Loki и множества других DFIR-проектов, предлагает такую методологию приоритизации источников:
Источник: Twitter эксперта по кибербезопасности Флориана Рота (Florian Roth), перевод - Данила Луцив, Security VisionБезусловно, таблица имеет потенциал для критики. Однако многие практики ИБ подтверждают, что компании часто пренебрегают должной обработкой первой тройки, уделяя излишнее внимание таким тяжеловесным источникам, как логи межсетевых экранов. Мы же не будем повторять этих ошибок и отдадим приоритет в рассмотрении «лидерам» таблицы.
Главная миссия DevOps: сначала вытащи логи, а потом... просто вытащи логиЛоги подключений прокси-сервера несут множество полезной информации для расследования инцидентов, данный источник прост в подключении и не требует фильтрации. Стоит разве что отметить важность такого поля, как User Agent - по нему можно идентифицировать обращения в интернет целого ряда вредоносного ПО. Аналитика по антивирусам от уже известного нам Флориана Рота приведена на сайте Nextron Systems, и разобраться в ней не составит труда. А вот журналы событий Microsoft Windows все еще представляют сложность для многих специалистов по кибербезопасности. Попробуем разобраться, что именно и как стоит мониторить.
Для того, чтобы получить события Windows, первым делом необходимо активировать их запись через групповую политику. Для систематизации подхода к логированию подойдет проект Atomic Threat Coverage (ATC), а точнее его разделы Logging Policies и Data Needed. На этих ресурсах, а также на репозитории проекта, собраны различные политики логирования, способы их активации, ID событий и те их свойства, которые понадобятся аналитику. Проект позволяет полностью выстроить логическую цепочку из политик логирования, данных из событий безопасности, Sigma-правил детектирования атак и скриптов эмуляции атомарных действий атакующих.
Говоря о журналах безопасности Windows, нельзя не сказать об одном из самых известных проектов в этой области - Windows Security Log Encyclopedia. На ресурсе содержится, пожалуй, самое подробное описание практически всех возможных событий безопасности, снабженное примерами, описаниями значений полей и расшифровками ряда внутренних идентификаторов.
На вопросы «Что?» и «Как?» в сфере сбора событий безопасности отвечает в своих материалах Джессика Пейн (Jessica Payne). Ее статья Monitoring what matters, несмотря на то, что была написана в 2015 году, не теряет своей актуальности. Многие компании пренебрегают механизмомом Windows Event Forwarding (WEF), хотя он позволяет штатными средствами решить проблему централизованного сбора событий безопасности, имеет механизм фильтрации, легко масштабируется и обладает множеством других полезных функций.
Продолжает тему централизованного сбора событий через WEF проект Windows Event Forwarding Guidance специалистов по информационной безопасности американской компании Palantir. В нем содержатся не только групповые политики, позволяющие настроить централизованный сбор событий, но и программная библиотека, значительно расширяющая возможности данного механизма. Стоит также обратить внимание на Event Forwarding Guidance, взявший за основу рекомендации по мониторингу от Агентства национальной безопасности США (АНБ).
Вполне резонный вопрос, почему в такой чувствительной материи, как информационная безопасность, стоит доверять АНБ и Palantir - организациям не самым открытым и дружелюбным. Понять применимость тех или иных политик мониторинга помогают датасеты (сохраненные события безопасности, записанные в процессе реальных действий атакующего).
Наиболее интересными с точки зрения объема датасета и атрибуции являются Evtx Attack Samples и Security Datasets (ex. Mordor). Датасеты могут быть с легкостью загружены в SIEM систему для проверки существующих правил корреляции, использоваться для написания новых правил или быть частью базы знаний SOC подразделения.
Вендеро-специфичным, но не менее любопытными для исследования являются датасеты, созданные компанией Splunk.
Буквально за несколько минут воспроизвести на своем компьютере инфраструктуру, настроенную SIEM-систему, инструменты эмуляции атак и загрузить датасеты позволяет проект Detection Lab. Лабораторный стенд использует свободное и открытое ПО Vargant, что позволяет ему работать практически с любой средой виртуализации, либо развернуть среду в облачной инфраструктуре.
Как обойтись без утилиты Sysmon компании Microsoft в статье про события безопасности? Является ли данный инструмент панацеей для детектирования любых атак - безусловно нет. Однако он довольно сильно расширяет возможности штатного детектирования. Внедрять его первым делом, еще до того, как вы начали собирать ID 4688 с логированием командной строки, конечно же не стоит. Но те хосты, которые подвержены серьезному риску компрометации, стоит добавить в группу дополнительного мониторинга, в том числе с использованием sysmon. Например, компьютеры HR отдела, обрабатывающие большое количество файлов, поступающих извне.
Помочь разобраться с файлами конфигураций и применить атрибуцию Mitre ATT&CK сразу на этапе детектирования позволяет проект Olafhartong/sysmon-modular. Если это ваше первое знакомство с sysmon, то стоит начать с цикла статей Olaf Hartong о Sysmon. В нем автор подробно рассказывает о типах собираемых данных, способах массового развертывания, атрибуции и многом другом.
И последним, но далеко не по значению, упомянем сам репозиторий Mitre ATT&CK. В нем собраны не только сам Attack-navigator и Python скрипты для работы с контентом mitreattack-python, но и Cyber Analytics Repository - база аналитики, позволяющая выстроить правила детектирования на основе ATT&CK (правила, правда, в основном написаны на Splunk-ориентированном языке SPL). Также стоит отметить, что сама Mitre в дорожной карте развития своего фреймворка решила уделить больше внимания именно источникам данных. Так на свет появился Attack Datasources. Не просто техники и тактики, но и источники, модели данных и взаимосвязи между объектами - все это создает полный жизненный цикл аналитики событий информационной безопасности.
Встроить любые модели и средства обогащения, включая созданные в рамках ATT&CK-сообщества, в процесс обработки инцидентов информационной безопасности поможет платформа Security Vision IRP/SOAR. Обширная база знаний, снабженная датасетами событий атак, механизм атрибуции инцидентов, а также инструментарий оценки зрелости детектирования и возможности запуска атомарных скриптов генерации атрибутированных событий. Они уже доступны в Security Vision.
В следующих статьях мы рассмотрим инструменты обнаружения и корреляции инцидентов, обогащения информации, исследования потенциально скомпрометированных систем, работы с Threat Intelligence источникам, статистическими и ML-моделями, а также Threat Hunting гипотезами.