Всё больше исследователей, с чьим мнением мы согласны, говорят о том, что меры защиты, применямые на сетевом периметре (такие как, например, системы предотвращения утечек данных — DLP) неэффективны — не помогают превентивно закрыть канал утечки, до того как она произойдёт.
Причинами упомянутой неэффективности являются как требования непрерывности бизнеса (у Российских компаний также есть исторически сложившаяся психологическая привязка, связанная как с нежеланием выбора модели сопровождения внедрений до того момента, когда ложные срабатывания будут сведены практически к нулю, так и с отставанием в прошлые годы технических средств, разрабатываемых на просторах СНГ, от зарубежных технологических лидеров, не позволяющая включать механизмы предотвращения утечки, останавливаясь на их обнаружении*), так и то, что обнаружение утечки происходит, зачастую, либо когда она уже произошла, постфактум или вовсе никогда, что ещё более ухудшит данную статистику (а обнаружение атак стандартными средствами не происходит быстрее, чем в течение часа и более с момента получения значимого события), либо в тот момент, когда данные вот-вот покинут пределы сети компании — и нет никакой возможности распознать подготовку данных к отправке наружу (неважно по сети, на физическом носителе или же в галерее фотоснимков гаджета).
Этап, на котором происходит утечка данных, в классификации, разработанной Lockheed Martin для определения стадий развивающихся или произошедших кибер-атак, называется Извлечением данных (Exfiltration).
Всего Lockheed Martin было указано и определено 8 различных типов угроз, распределённых по этапам их выполнения:
Reconnaisanse (Разведка), Intrusion (Проникновение), Exploitation (Эксплуатация привилегий/уязвимостей) Misconduct (Некорректное поведение)[данный этап включает в себя 4 типа угроз: Privilege escalation (Повышение уровня привилегий), Lateral movement (Перемещение фокуса или Поиск), Obfuscation («Заметание следов»), Denial of service (Отказ в обслуживании)], Exfiltration (Извлечение).
Важно отметить, что к каждому последующему этапу редко возможно перейти сразу, если не совпадут несколько факторов, благоприятствующих нарушителю. Примеры таких факторов: знание информации о структуре сети компании, доступ к административным привилегиям, открытый rdp-порт для доступа к какому-либо серверу на брандмауэре, незадокументированный специально оставленный vpn-канал – что характерно для инсайдеров, или хакеров, использующих полученную от них информацию.
Разумеется, «Заметание следов» может происходить как до, так и после осуществления отказа в обслуживании, или получения конфиденциальной информации, равно как и последние два пункта могут проводиться как параллельно, так и независимо друг от друга, в произвольном порядке. В каждом конкретном случае, цепочка может терять какое-либо из звеньев, или ограничиваться только одним из типов угроз, например, при действиях злонамеренного или просто неосторожного инсайдера.
Правда, было бы замечательно, если бы, без какой-либо конфигурации с Вашей стороны, используя предиктивные модели угроз, автоматически анализируя поведение сущностей (таких как учётные записи пользователей и компьютеров) во всей инфраструктуре компании, система защиты сама оповещала бы вас о потенциальных угрозах: от CryptoLocker-ов и скомпрометированных сервисных учётных записей до нелояльных пользователей? Всё это можно обнаруживать и уведомлять о всех отклонениях в поведении пользователей** на наблюдаемых ресурсах.
Используя накопленный опыт, мы уже сейчас можем избавить вас от постоянного «ручного» анализа журналов доступа к файлам, попыток изменения уровня привилегий, а также давать возможность понять кто нелегитимно читает чужую, возможно даже вашу, почту.
Таким образом, модели угроз, в нашем понимании – накопленные упорядоченные знания о различных этапах, типах и видах атак, и их можно использовать для быстрого реагирования на каждую из описанных угроз, без долгого предварительного анализа журналов доступа специалистами с обширным опытом работы в сфере кибербезопасности и последующей настройкой систем сбора событий на корреляцию по указанным данными специалистами критериям (что предлагают нам инструменты по сбору и корреляции событий информационой безопасности — SIEM).
* И хорошо, если у того механизма, который обнаруживает утечку данных, отсутствует фамилия, а имеется лишь название продукта и номер сборки
** Здесь и далее, под пользователями мы будем, в большинстве случаев, понимать сущности, такие как учётные записи пользователей и компьютеров
Модели угроз, использующие поведенческий анализ, дают возможность оперативно обнаруживать атаки на ранних стадиях развития<это стоит как-то выделить, но я не очень понимаю как именно> и предоставлять контекст для принятия более взвешенных решений, благодаря собранным метаданным и информации о том, что происходило ранее и происходит сейчас на Ваших файловых, почтовых серверах, SharePoint и в Active Directory или других LDAP-каталогах с участием конкретного пользователя и других, похожих на него по предшествующему поведению.
Наш продвинутый анализ поведенческих аномалий позволяет заметить подозрительную активность на каждом из этапов потенциальной утечки данных: от первичной разведки, до их извлечения.
Кроме этого, имеющиеся механизмы позволяют не только предупреждать об описанных выше угрозах, но также и в автоматическом, полуавтоматическом или ручном режиме предотвратить переход на дальнейшие этапы цепи развития атаки, не давая ей возможности дойти до финального этапа, без необходимости самостоятельно изучать каждую актуальную угрозу в отдельности, и строить для неё профили (возможно, не учитывая какие-либо неизвестные или принятые как незначимые факторы) в уже имеющихся механизмах регистрации и корреляции событий.
Вот некоторые из наших наиболее часто используемых клиентами моделей угроз:
Отклонение от нормального поведения: доступ к конфиденциальным данным
Извлечение: Может говорить о неавторизованной попытке получить доступ к активам, содержащим конфиденциальные данные. Действия пользователя сверяются с его поведенческим прфилем, и создаётся оповещение при обнаружении расхождения.
Отклонение от нормального поведения: нетипичный доступ к почтовым ящикам Exchange
Извлечение: Может говорить о неавторизованной попытке использовать привилегии сервиса для получения доступа к почтовым ящикам других пользователей. Действия пользователя сверяются с его поведенческим прфилем, и создаётся оповещение при обнаружении расхождения.
Активность криптовируса
Проникновение: Может говорить о наличии вируса-вымогателя.
Подозрительный доступ: доступ к файлам, содержащим информацию для доступа к системам, учётной записью не IT-персонала, отвечающего за эти системы
Повышение уровня привилегий: Может говорить о неавторизованной попытке получить данные для доступа к системам или вызвать отказ доступа к ним.
Модификация: Критические элементы Групповых политик
Эксплуатация привилегий/уязвимостей: Может говорить о неавторизованных попытках получить доступ, изменяя политики или используя привилегированные группы безопасности. Также может говорить о попытках предотвратить доступ пользователей к системам, особенно если срабатывание произошло при внесении изменений вне установленной политики по контролю за изменениями.
Обнаружено ПО, потенциально используемое для взлома
Эксплуатация привилегий/уязвимостей: Может говорить о попытках установки или использования известных хакерских инструментов.
Изменение членства: административные группы
Эксплуатация привилегий/уязвимостей: Может говорить о неавторизованной попытке получить доступ путём добавления учётной записи в привилегированные группы или предотвратить оперативные ответные действия администраторов во время атаки, особенно если изменение выполняется вне установленной политики по контролю за изменениями.
Отключение или удаление сервисной учётной записи или учётной записи администратора
Эксплуатация привилегий/уязвимостей: Может говорить о неавторизованной попытке нанести ущерб инфраструктуре, предотвратить доступ пользователей к системам, или замести следы после выполнения злонамеренных действий, особенно если и изменение выполняется вне установленной политики по контролю за изменениями.
Множественные открытия файлов, вероятно содержащих информацию для доступа к системам
Повышение уровня привилегий: Может говорить о неавторизованной попытке выгрузить данные для доступа к системам.
Обнаружено ПО, используемое для анализа сетевого окружения
Разведка: Может говорить о наличии неавторизованных инструментов, используемых для сканирования корпоративной сети, в том числе для поиска уязвимостей.
Причинами упомянутой неэффективности являются как требования непрерывности бизнеса (у Российских компаний также есть исторически сложившаяся психологическая привязка, связанная как с нежеланием выбора модели сопровождения внедрений до того момента, когда ложные срабатывания будут сведены практически к нулю, так и с отставанием в прошлые годы технических средств, разрабатываемых на просторах СНГ, от зарубежных технологических лидеров, не позволяющая включать механизмы предотвращения утечки, останавливаясь на их обнаружении*), так и то, что обнаружение утечки происходит, зачастую, либо когда она уже произошла, постфактум или вовсе никогда, что ещё более ухудшит данную статистику (а обнаружение атак стандартными средствами не происходит быстрее, чем в течение часа и более с момента получения значимого события), либо в тот момент, когда данные вот-вот покинут пределы сети компании — и нет никакой возможности распознать подготовку данных к отправке наружу (неважно по сети, на физическом носителе или же в галерее фотоснимков гаджета).
Этап, на котором происходит утечка данных, в классификации, разработанной Lockheed Martin для определения стадий развивающихся или произошедших кибер-атак, называется Извлечением данных (Exfiltration).
Всего Lockheed Martin было указано и определено 8 различных типов угроз, распределённых по этапам их выполнения:
Reconnaisanse (Разведка), Intrusion (Проникновение), Exploitation (Эксплуатация привилегий/уязвимостей) Misconduct (Некорректное поведение)[данный этап включает в себя 4 типа угроз: Privilege escalation (Повышение уровня привилегий), Lateral movement (Перемещение фокуса или Поиск), Obfuscation («Заметание следов»), Denial of service (Отказ в обслуживании)], Exfiltration (Извлечение).
Важно отметить, что к каждому последующему этапу редко возможно перейти сразу, если не совпадут несколько факторов, благоприятствующих нарушителю. Примеры таких факторов: знание информации о структуре сети компании, доступ к административным привилегиям, открытый rdp-порт для доступа к какому-либо серверу на брандмауэре, незадокументированный специально оставленный vpn-канал – что характерно для инсайдеров, или хакеров, использующих полученную от них информацию.
Разумеется, «Заметание следов» может происходить как до, так и после осуществления отказа в обслуживании, или получения конфиденциальной информации, равно как и последние два пункта могут проводиться как параллельно, так и независимо друг от друга, в произвольном порядке. В каждом конкретном случае, цепочка может терять какое-либо из звеньев, или ограничиваться только одним из типов угроз, например, при действиях злонамеренного или просто неосторожного инсайдера.
Что мы называем моделями угроз?
Правда, было бы замечательно, если бы, без какой-либо конфигурации с Вашей стороны, используя предиктивные модели угроз, автоматически анализируя поведение сущностей (таких как учётные записи пользователей и компьютеров) во всей инфраструктуре компании, система защиты сама оповещала бы вас о потенциальных угрозах: от CryptoLocker-ов и скомпрометированных сервисных учётных записей до нелояльных пользователей? Всё это можно обнаруживать и уведомлять о всех отклонениях в поведении пользователей** на наблюдаемых ресурсах.
Используя накопленный опыт, мы уже сейчас можем избавить вас от постоянного «ручного» анализа журналов доступа к файлам, попыток изменения уровня привилегий, а также давать возможность понять кто нелегитимно читает чужую, возможно даже вашу, почту.
Таким образом, модели угроз, в нашем понимании – накопленные упорядоченные знания о различных этапах, типах и видах атак, и их можно использовать для быстрого реагирования на каждую из описанных угроз, без долгого предварительного анализа журналов доступа специалистами с обширным опытом работы в сфере кибербезопасности и последующей настройкой систем сбора событий на корреляцию по указанным данными специалистами критериям (что предлагают нам инструменты по сбору и корреляции событий информационой безопасности — SIEM).
* И хорошо, если у того механизма, который обнаруживает утечку данных, отсутствует фамилия, а имеется лишь название продукта и номер сборки
** Здесь и далее, под пользователями мы будем, в большинстве случаев, понимать сущности, такие как учётные записи пользователей и компьютеров
Почему это важно?
Модели угроз, использующие поведенческий анализ, дают возможность оперативно обнаруживать атаки на ранних стадиях развития<это стоит как-то выделить, но я не очень понимаю как именно> и предоставлять контекст для принятия более взвешенных решений, благодаря собранным метаданным и информации о том, что происходило ранее и происходит сейчас на Ваших файловых, почтовых серверах, SharePoint и в Active Directory или других LDAP-каталогах с участием конкретного пользователя и других, похожих на него по предшествующему поведению.
Наш продвинутый анализ поведенческих аномалий позволяет заметить подозрительную активность на каждом из этапов потенциальной утечки данных: от первичной разведки, до их извлечения.
Кроме этого, имеющиеся механизмы позволяют не только предупреждать об описанных выше угрозах, но также и в автоматическом, полуавтоматическом или ручном режиме предотвратить переход на дальнейшие этапы цепи развития атаки, не давая ей возможности дойти до финального этапа, без необходимости самостоятельно изучать каждую актуальную угрозу в отдельности, и строить для неё профили (возможно, не учитывая какие-либо неизвестные или принятые как незначимые факторы) в уже имеющихся механизмах регистрации и корреляции событий.
Примеры
Вот некоторые из наших наиболее часто используемых клиентами моделей угроз:
Отклонение от нормального поведения: доступ к конфиденциальным данным
Извлечение: Может говорить о неавторизованной попытке получить доступ к активам, содержащим конфиденциальные данные. Действия пользователя сверяются с его поведенческим прфилем, и создаётся оповещение при обнаружении расхождения.
Отклонение от нормального поведения: нетипичный доступ к почтовым ящикам Exchange
Извлечение: Может говорить о неавторизованной попытке использовать привилегии сервиса для получения доступа к почтовым ящикам других пользователей. Действия пользователя сверяются с его поведенческим прфилем, и создаётся оповещение при обнаружении расхождения.
Активность криптовируса
Проникновение: Может говорить о наличии вируса-вымогателя.
Подозрительный доступ: доступ к файлам, содержащим информацию для доступа к системам, учётной записью не IT-персонала, отвечающего за эти системы
Повышение уровня привилегий: Может говорить о неавторизованной попытке получить данные для доступа к системам или вызвать отказ доступа к ним.
Модификация: Критические элементы Групповых политик
Эксплуатация привилегий/уязвимостей: Может говорить о неавторизованных попытках получить доступ, изменяя политики или используя привилегированные группы безопасности. Также может говорить о попытках предотвратить доступ пользователей к системам, особенно если срабатывание произошло при внесении изменений вне установленной политики по контролю за изменениями.
Обнаружено ПО, потенциально используемое для взлома
Эксплуатация привилегий/уязвимостей: Может говорить о попытках установки или использования известных хакерских инструментов.
Изменение членства: административные группы
Эксплуатация привилегий/уязвимостей: Может говорить о неавторизованной попытке получить доступ путём добавления учётной записи в привилегированные группы или предотвратить оперативные ответные действия администраторов во время атаки, особенно если изменение выполняется вне установленной политики по контролю за изменениями.
Отключение или удаление сервисной учётной записи или учётной записи администратора
Эксплуатация привилегий/уязвимостей: Может говорить о неавторизованной попытке нанести ущерб инфраструктуре, предотвратить доступ пользователей к системам, или замести следы после выполнения злонамеренных действий, особенно если и изменение выполняется вне установленной политики по контролю за изменениями.
Множественные открытия файлов, вероятно содержащих информацию для доступа к системам
Повышение уровня привилегий: Может говорить о неавторизованной попытке выгрузить данные для доступа к системам.
Обнаружено ПО, используемое для анализа сетевого окружения
Разведка: Может говорить о наличии неавторизованных инструментов, используемых для сканирования корпоративной сети, в том числе для поиска уязвимостей.
