Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Фиды для SOC. Осведомлен – значит вооружен

Александр Пирожков, 18/12/20

Современный SOC для современной компании – это средство защиты от внешних угроз, сравнимое с армией для государства. Эффективность армии, как правило, зависит от ее оснащения и уровня подготовки. То же самое относится к центрам мониторинга и оперативного реагирования на инциденты ИБ. Им так же свойственны некоторые признаки плохо организованных или слишком затратных военных структур. Например, авианосец – эффективное оружие, но обходится очень дорого, сотни танков вдали от потенциального врага – звучит устрашающе, но бесполезно на практике, как и хорошо оснащенный спецназ, идущий на задание без грамотного командира.

Автор: Александр Пирожков, руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET

Давайте разберемся, какое же вооружение является наиболее эффективным, если говорить о SOC.

Достойно подготовленным к отражению киберугроз принято считать SOC, который укомплектован элементами управления информацией о безопасности и управления событиями безопасности (SIEM), системами анализа трафика на уровне внутренней сети (NTA), системой обнаружения угроз конечных точек и реагирования на них (EDR). Такой комплекс, как авиация, флот и сухопутные силы, позволяет обнаружить угрозу, в том числе на ранней стадии атаки, локализовать вредоносную активность и контролировать соблюдение регламентов ИБ. Но для стабильности и уверенности в завтрашнем дне также необходимо быть на шаг впереди злоумышленников в киберпространстве. Ведь без разведки и налаженного канала передачи критически важной информации любые вооруженные силы рискуют оказаться в затруднительном положении.

Разведка в сфере ИБ – это подключение потоков данных об угрозах. Рано или поздно каждый современный SOC осваивает данный инструмент. Все зависит от зрелости центра мониторинга и от его финансовых возможностей. При этом SOC может столкнуться с проблемой возросших трудозатрат, если каналов поставки индикаторов компрометации стало много и на их обработку уходит драгоценное время аналитиков.

В ESET мы решили сосредоточиться на наилучшем соотношении количества и качества собранных индикаторов угроз. Для потоков данных, или, другими словами, фидов, мы постоянно обновляем применяемые правила фильтрации.

Предварительно отсортированные данные являются самым удобным форматом получения информации об угрозах. Качество фидов обеспечено надежными и оперативными источниками сбора информации. В одной только Европе ESET сотрудничает с 46 национальными группами реагирования на чрезвычайные ситуации в киберпространстве, именуемыми CERT. Массив данных также формируется с помощью 110 млн собственных датчиков ESET, расположенных по всему миру, и системы трекера ботнетов LiveGrid.

Комплектуя фиды, мы задумываемся не только о том, какой вред может нанести необнаруженное вредоносное ПО, но и о головной боли, вызванной ложным срабатыванием (FP). Ошибочные решения, когда чистые объекты маркируются как вредоносные, могут стать причиной более масштабных сбоев в ИТ-инфраструктуре, чем заражение вирусом.

Приведу один из разрушительных сценариев: из-за FP решение безопасности заблокировало или удалило программное обеспечение производственной линии, что в свою очередь нарушило весь производственный цикл компании. Цена такой ошибки может исчисляться миллионами долларов. В непроизводственных организациях FP зачастую приводят к чрезмерной нагрузке на персонал по ИТ-безопасности, что впоследствии негативно сказывается на уровне готовности компании к инцидентам ИБ. Поэтому вместо поставки большого объема сырых данных мы делимся фидами с первоклассной категоризацией и предварительно отфильтрованной информацией для использования клиентами в соответствии с их предпочтениями, сферой деятельности и регионом работы.

О качестве телеметрии ESET свидетельствует наглядный тест компании Whalebone – провайдера сервиса фильтрации нежелательных ресурсов по их доменным именам (DNS). Whalebone ранее использовала индикаторы компрометации, полученные с помощью запуска в изолированной среде (песочнице), анализа сетевого трафика и на основе известных образцов вредоносного ПО. В рамках тестирования телеметрического сервиса компания дополнительно включила в данные обнаружения индикаторы компрометации от ESET. Общее число инцидентов в тесте DNS-фильтрации достигло 1,75 млн. Примерно половина инцидентов (866 тыс.) была обнаружена только на основе индикаторов компрометации, предоставленных ESET Threat Intelligence. Фактически без данных ESET 49,51% инцидентов остались бы незамеченными. При этом из 866 тыс. обнаруженных инцидентов ложной оказалась лишь одна блокировка домена. 50,02% инцидентов обнаружены Whalebone без помощи ESET. Всего 0,47% инцидентов потребовали для обнаружения одновременно данные и ESET, и Whalebone. Исследование Whalebone демонстрирует, что жесткая категоризация данных, имеющая первостепенное значение для ESET, способствует высокой точности обнаружения и близкому к нулю числу ложных срабатываний.

Какие фиды для SOC мы предоставляем?

Malicious file feed

Этот канал содержит хеши вредоносных исполняемых файлов и связанные с ними данные. Основной вариант использования – идентифицировать, какие хеши в настоящее время видны в киберпространстве, и потенциально заблокировать их во внутренней среде до того, как они там появятся. Или определить вредоносные хеши в системе и провести дальнейшее расследование в соответствии с дополнительными данными, если они уже причинили вред.

Domain feed

Канал использует вредоносный домен и связанные с ним данные. Определяется, какие вредоносные домены сейчас распространены. Блокируются домены с высокой степенью угрозы или выявляются домены с меньшей степенью угрозы.

URL feed

Такой канал передает вредоносные URL-адреса и связанные с ними данные. В нем есть URL-адреса, которые являются вредоносными, но весь домен не заблокирован. Поскольку у нас нет подробной информации по каждому конкретному URL-адресу, мы делимся подробностями – впервые детектированными и подсчитанными данными о доменах, на которых размещены URLадреса. Структура данных очень похожа на структуру фида домена. Основной вариант использования URL-канала – определить круг широко распространенных в настоящее время вредоносных URL-адресов, заблокировать адреса с высокой степенью серьезности, выявить адреса с меньшей степенью серьезности или провести дальнейшее расследование, если вред уже причинен.

Botnet feed

Этот канал содержит все данные ESET о сети ботнета. Данные собираются с использованием нашей запатентованной технологии LiveGrid. Она позволяет проникать внутрь сети ботнетов и фиксировать данные о целях кибератак, используемом вредоносном ПО, доменах и многом другом.

Помимо основной ленты ботнета, существуют специализированные каналы подачи копий (cc) и фид-целей (target), которые являются подмножеством основного канала и специализируются только на определенном аспекте общих данных. Первый позволяет блокировать недавно просмотренные URL, а второй содержит данные о конкретных целях ботнета.

Для корректной интеграции каналов данных необходимо соединение с сервером TAXII. TAXII – это бесплатный и открытый транспортный механизм, который стандартизирует автоматизированный обмен информацией о киберугрозах. В настоящее время ESET использует TAXII 1.1. Применяется модель совместного использования "источник/подписчик", где ESET является источником, а клиент – подписчиком. Поскольку сторонние приложения в значительной степени зависят от качества поставляемой информации, обычно клиентам предоставляется функционал, который помогает интегрировать формат STIX или JSON.

Наши каналы создаются следующим образом: как только мы поделимся индикатором компрометации (IoC), мы не будем делиться им повторно в течение следующих 24 часов. Процесс дедупликации избавляет подписчика от поступления большого объема одинаковых данных. Но в случае, если определенный IoC по-прежнему преобладает и через 24 часа, то мы повторно поделимся им.

Раньше у нас были общие каналы в форматах JSON и STIX 1.2. JSON удобен и понятен, легко читается и легко интегрируется в различные системы. Проблема с JSON в том, что он не стандартизирован и интегратору необходимо сопоставить каждое поле с соответствующим полем в своем стороннем решении. В свою очередь, STIX является отраслевым стандартом, который поддерживает большинство приложений SIEM/TIP и может читаться автоматически. Но версия 1.2 оказалась сложной в чтении и восприятии. Версия 2.0 дружелюбнее к пользователю. Именно поэтому мы решили предоставлять наши ленты именно в таком формате. К слову, и JSON, и STIX 2.0 используют одни и те же данные.

За 15 лет работы на рынке ИБ мы научились правильно оценивать потребности заказчиков, а заказчики, в свою очередь, положительно оценили наши решения. В России и на постсоветском пространстве у компании уже есть крупные успешные внедрения. А новый заказчик всегда имеет возможность взять триал на 90 дней и полноценно ознакомиться с существующими решениями по противодействию инцидентам в ИБ.

Темы:ESETSOCЖурнал "Информационная безопасность" №5, 2020ФидыIOC

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...