Автор: Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
Обычно SOC занимается мониторингом угроз, его задача – обнаружить инцидент, информация о котором затем отправляется клиенту для принятия решения о дальнейших действиях.
Но посмотрим на примеры. Сейчас шифровальщику достаточно 15 минут, чтобы зашифровать инфраструктуру: прилетело вредоносное письмо, нажата ссылка, компьютер скомпрометирован. А буквально через несколько минут сегмент сети может оказаться полностью зашифрованным. Пока группа мониторинга это обнаружит, эскалирует, согласует действия команды реагирования, пройдет слишком много времени и реагировать поздно, уже надо бороться с последствиями.
Важно быстро принимать и реализовывать решение о реагировании в ручном или автоматическом режиме. Так работает Cyber Defense Center (CDC) – новый этап развития идеи SOC.
В 2011 г. Центр реагирования на инциденты информационной безопасности СERT-GIB стал первым частным СERT в России. Благодаря тому, что СERT-GIB получил полномочия по оперативной блокировке сайтов, распространяющих вредоносные программы, а также мошеннических и фишинговых ресурсов, удалось сократить до минимума использование национальных доменных имен .RU, .РФ во вредоносных целях, сделав их непривлекательными для киберпреступников.
В 2014 г. после разработки и внедрения собственного программно-аппаратного комплекса, предназначенного для обнаружения сложных киберугроз в инфраструктуре организаций, внутри СERT-GIB появилось новое для компании направление SOC. С тех пор команда накопила огромный опыт и экспертизу в непрерывном мониторинге, построении эффективных процессов обнаружения инцидентов и взаимодействия с клиентами по сдерживанию угроз.
А в 2023 г. был создан CDC – круглосуточный Центр кибербезопасности, ЦК F.A.С.С.T. Его цель – непрерывное реагирование в режиме 24/7 на сложные кибератаки, а также проактивное обнаружение угроз.
В ЦК F.A.С.С.T. структурно выделены две линии.
Важным элементом перехода концепции SOC в концепцию CDС является технологический стек, который лежит в основе сервиса.
Распространено мнение, что ядром SOC должна быть SIEM-система, но такой подход во многом устарел. Компания F.A.C.C.T. предоставляет сервисы непрерывного мониторинга и реагирования в парадигме Cyber Defense Center на базе своего продукта Managed XDR (MXDR), который позволяет предотвращать, обнаруживать и останавливать сложные неизвестные киберугрозы.
Managed XDR как раз и дает возможность экспертам CDC получать полную информацию об уровне защищенности защищаемой инфраструктуры и получать события, происходящие на хостах, серверах, в электронной почте, сетевом трафике и облачных хранилищах. Безусловно, использование Managed XDR предполагает высокий уровень доверия между заказчиками и командой CDC. Но практика показывает, что оно того стоит:
Managed XDR состоит из устанавливаемых в инфраструктуру заказчика модулей, а все данные собираются в Data Lake, коррелируются на основе правил и сценариев выявления вредоносного поведения и доступны экспертам ЦК.
В отличие от схемы классического мониторинга угроз, если команда ЦК выявила инцидент, то сама, без подключения специалистов заказчика, проводит его верификацию: с помощью базовой криминалистики в рамках продукта MXDR анализирует цифровые артефакты и исследует инцидент.
Для поиска и верификации алертов ЦК использует собственную киберразведку компании F.A.C.C.T., а не обращается за данными к вендорам TI, как часто делает классический SOC. За счет этого для заказчика пропадает необходимость самостоятельно приобретать данные киберразведки.
На основе TI эксперты ЦК знают, как работают киберпреступники, какие техники и тактики они применяют. Если киберразведка узнаёт про атаку какойлибо иностранной прогосударственной группировки на российскую компанию, вся информация поступает в ЦК еще до момента, когда эти данные опубликуются на платформе TI.
Но эксперты ЦК не просто ждут инцидента, а сами проактивно ищут угрозы в защищаемой сети (Managed Threat Hunting). Есть достаточно большое количество современных угроз, для которых невозможно написать сигнатуры: таковы сложные целевые атаки, где злоумышленники применяют в том числе и легитимные инструменты. В процессе Managed Threat Hunting анализируется телеметрия EDR-модулей и в инфраструктуре заказчика вручную ищутся следы того, что автоматически не детектируется или не классифицируется как опасное и вредоносное.
Для каждой тактики с помощью Managed XDR можно проверить наличие ее следов в сети. Специалисты проверяют индивидуальные для клиента гипотезы: каким образом та или иная преступная группа может атаковать инфраструктуру, какие векторы атак и инструменты могут быть для этого использованы.
Эксперты ЦК самостоятельно принимают решение о реагировании, изоляции скомпрометированных хостов и локализации инцидента, удалении вредоносного кода на основании предварительной договоренности с заказчиком. Если инцидент требует незамедлительных действий, эксперты ЦК не ждут подтверждения, а действуют, пока ситуация не усугубилась.
Сегодня, по различным оценкам, условному классическому SOC требуются в среднем сутки с момента обнаружения инцидента до активации мер реагирования, причем заметная доля этого времени уходит на согласования. В то же время ЦК F.A.C.C.T. в рамках своего SLA гарантирует для изоляции хоста 30 минут, включая обнаружение инцидента, его исследование, принятие решения об изоляции со стороны аналитика и собственно изоляцию. Это время, которое сегодня отвечает на вызовы современных угроз.
Более того, если защищаемая инфраструктура достаточно зрелая и заказчик имеет желание, большая часть действий со стороны ЦК может происходить в автоматизированном режиме, еще сильнее улучшая временные показатели эффективности. Впрочем, в ситуациях, когда система не может стопроцентно определить вредоносное поведение, например в случае, когда злоумышленники используют ПО двойного назначения, решение о реагировании все так же принимают эксперты, чтобы избежать ложноположительных срабатываний.
За первые шесть месяцев 2023 г. эксперты F.A.C.C.T. зафиксировали 114 утечек из российских коммерческих компаний и госорганизаций. Рост проведенных реагирований на киберинциденты в январе – мае составил 43% (9 из 10 атак были связаны с программами-вымогателями). Приведем кейсы, как на таком фоне показывает себя ЦК.
Из сети клиента была получена информация о массовой фишинговой атаке, цель которой заключалась в хищении доменных учетных данных сотрудников компании.
В ходе исследования инцидента с помощью системы MXDR аналитиками ЦК были определены сотрудники, которые открывали данные письма и переходили по фишинговым ссылкам. Далее аналитики ЦК оперативно провели криминалистический анализ данных веб-браузеров и установили, какие учетные записи оказались скомпрометироваными. Оперативная реакция ЦК позволила точечно заблокировать учетные записи, не позволив атакующим ими воспользоваться.
В рамках пилота системой MXDR была выявлена активность вредоносного ПО из семейства стилеров сразу на нескольких хостах заказчика. Аналитиками ЦК была оперативно инициирована изоляция хостов и проведено криминалистическое исследование. Оно установило, что в компании при настройке новых рабочих стаций использовался "золотой" образ ОС, уже содержащий в себе стилер, а функциональность ВПО активировалась при первой же пользовательской сессии.
В рамках мониторинга киберугроз аналитики ЦК F.A.C.C.T. обратили внимание на схожие вредоносные архивы, обнаруженные решением MXDR сразу у нескольких пользователей в течение небольшого отрезка времени.
Автоматический анализ оперативно выдал результат о майнинговой активности и заблокировал запуск исполняемых файлов, находящихся в загруженных архивах. На рабочих станциях аналитиками ЦК была запущена встроенная в MXDR функция сбора артефактов, и их анализ позволил восстановить хронологию, а главное – вектор майнинг-атаки.
Оказалось, что пользователь искал в поиске словарь для подбора синонимов, но, перейдя по ссылке из поисковой выдачи, оказался на взломанном ресурсе: автоматически начиналась загрузка вредоносного архива, якобы содержащего необходимое обновление для браузера.
В результате работы системы MXDR атака была предотвращена, заказчику был предоставлен подробный отчет об инциденте.
В рамках проактивного поиска угроз аналитиками ЦК на хостах были обнаружены отложенные задачи с именами, схожими с легитимным ПО Veeam Software. Было установлено, что такие имена ранее уже использовались для запуска вредоносного ПО с функционалом бэкдора в других сетях, но средства защиты клиента такую активность пропустили.
Криминалистический анализ данных, собранных системой MXDR, позволил установить хронологию инцидента. По применяемым техникам и инструментам, задействованным на разных этапах атаки, активность была атрибутирована как деятельность хакерской APT-группы, спонсируемой китайским государством.
Практика показывает, что российскими компаниями уже востребованы не только услуги непрерывного мониторинга, но и оперативная реакция на обнаруживаемые атаки, причем независимо от масштаба и индустрии. Создавать подобную экспертизу, конечно, можно и самостоятельно, но на это уйдут годы и значительные ресурсы.
Cегодня на российском рынке ИБ почти нет команд, которые работают по модели MSSP, оказывая качественные услуги реагирования в рамках обнаруживаемых ими угроз. Компания F.A.C.C.T. может очень эффективно обнаруживать угрозы и реагировать на них в инфраструктуре клиента, где установлен продукт Managed XDR.
Разделение ответственности происходит таким образом, что команда на стороне заказчика занимается настройкой и совершенствованием эшелонированной обороны, а эксперты ЦК отрабатывают те инциденты, которые все-таки прошли через эту эшелонированную оборону.
ЦК F.A.C.C.T. полностью избавляет штатных сотрудников заказчика от вопросов мониторинга и реагирования: при желании они могут наблюдать, контролировать и отвечать, если потребуется, на дополнительные запросы.