Покрытие мониторингом ИТ-инфраструктуры: как выбрать оптимальный уровень

Компания BI.ZONE совместно с журналом “Информационная безопасность” запускает цикл публикаций о ключевых аспектах функционирования SOC. И при строительстве собственного центра мониторинга, и при взаимодействии с внешним провайдером (MSSP) организации могут допустить ошибки, которые повлияют на эффективность защиты. Эксперты подробно разберут семь направлений работы SOC, а также расскажут о распространенных проблемах, с которыми сталкиваются компании.

Автор: Марсель Айсин, руководитель BI.ZONE SOC Consulting

Первая статья цикла посвящена покрытию мониторингом ИТ-инфраструктуры. В обоих случаях, о которых речь пойдет ниже, компании решили строить внутренний SOC: за мониторинг и реагирование на киберинциденты отвечали собственные сотрудники, а к услугам внешнего провайдера прибегали только при проведении расследований.

Кейс 1. Мониторинг только критически важных активов

В первом случае компания исходила из того, что защищать нужно только критически важные активы. Поэтому к мониторингу были подключены лишь отдельные приложения, серверы и рабочие станции, которые имели принципиальное значение для бизнес-процессов. Еще одним аргументом в пользу такого подхода стало желание снизить расходы, связанные с покупкой лицензий на СЗИ, хранением данных и т. д. Причем у критически важных активов оставалось прямое сопряжение с другими ресурсами компании.

В ходе мониторинга на одном из активов благодаря EDR-решению была выявлена попытка удаленного исполнения кода – использовались скрипты из фреймворка Impacket. Как правило, он применяется для горизонтального перемещения в скомпрометированной сети и свидетельствует об активности злоумышленника (или действиях специалиста по анализу защищенности). То есть, SOC обнаружил инцидент, когда атакующие уже достигли критически важного актива, так как его дельта-окрестность (элементы, окружающие актив) не была подключена к мониторингу. Расследование с привлечением внешних экспертов показало, что она была скомпрометирована.

Проблема заключается еще и в том, что при таком подходе аналитики могут неправильно оценить серьезность ситуации и предпринять ошибочные действия: заблокировать учетную запись, изолировать хост и т. д. При этом в отсутствие событий от других источников не получится глубоко проанализировать первопричины инцидента. Каким образом вредоносное ПО вроде Impacket попало на сервер? Почему злоумышленник обладает действительной учетной записью? Ответы на эти и другие вопросы помогли бы правильно нейтрализовать вектор проникновения. Если действовать ошибочно, киберпреступник поймет, что обнаружен, быстро перестроится, выберет другой способ атаки либо, например, зашифрует важные данные для последующего шантажа. Шансы на реагирование без последствий в такой ситуации резко уменьшатся.

Поэтому важно расширять зону мониторинга – включать в нее не только критические активы, но и их дельта-окрестность. Такой подход позволяет:

• увеличить число точек выявления;
• повысить вероятность обнаружения угроз на начальной стадии;
• создать запас времени, чтобы выбрать оптимальный метод реагирования.

Кейс 2. Подключение максимального количества источников

Другая компания, напротив, подключила к SIEM-системе все возможные источники событий и установила EDR-агенты на все серверы и рабочие станции, на которых это было возможно. Таким образом, центр мониторинга собирал максимальное количество событий.

Однако такой подход привел к пропуску важного инцидента среди огромного потока незначимых событий.

Выяснилось, что источники подключали к мониторингу без анализа целесообразности подключения. Компания также не оценивала, какие именно типы событий важно собирать, какие задачи мониторинга они позволяют решать. Все это привело не только к пропуску инцидента, но и к необоснованному росту расходов на содержание SOC.

Избежать этого можно, если оценивать подключение каждого источника в контексте решаемых задач. То есть нужно понимать, какие правила обнаружения могут быть реализованы по событиям от конкретного источника. Это позволит разделить источники на обязательные для подключения и те, полезность подключения которых под вопросом.

Источники, обязательные для подключения, характеризуются:

• широкой зона охвата инфраструктурных событий;
• простотой и скоростью подключения;
• покрытием значительной части матрицы MITRE ATT&CK.

А признаками источников с низкой практической ценностью, напротив, являются:

• невозможность эффективного обнаружения ключевых техник MITRE ATT&CK;
• возможность реализации сценариев обнаружения исключительно в специфичном бизнес-контексте;
• отсутствие реального влияния на динамику текущих событий в системе.

Рациональный подход

Важно понимать, что оценка уровня покрытия инфраструктуры не должна восприниматься как единоразовая задача. Это непрерывный процесс, который должен включать как минимум регулярные проверки следующих показателей:

• количество подключенных к SIEM источников;
• покрытие конечных устройств EDR-агентами (например, с помощью BI.ZONE EDR);
• охват сетевого пространства и точек сопряжения средствами анализа трафика;
• уровень покрытия других элементов инфраструктуры.

Чтобы автоматизировать процесс идентификации объектов, которые не покрыты мониторингом, применяются специализированные решения, такие как IRP или SOAR (например, BI.ZONE SOAR). Подобные платформы собирают сведения обо всех активах и сопоставляют их с реально подключенными к SOC источниками. Полученные данные помогают аналитикам сформировать исчерпывающее представление об инциденте и предпринять точные и эффективные действия для реагирования.

Реклама.: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjbyi4eJ

Самооценка зрелости центров мониторинга

Бесплатно проверьте текущее состояние SOC и определите векторы его развития. Это займет примерно 15 минут