Здравствуйте, друзья! Меня зовут Алексей Потапов, и я представляю экспертный центр безопасности Positive Technologies.
Использование разрабатываемых решений для безопасности в условиях, максимально приближенных к реальным, — лучший способ проверить их эффективность. Я уже рассказывал про модуль MaxPatrol BAD (Behavioral Anomaly Detection). Он работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенную оценку риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах. Фишка BAD в том, что он снижает когнитивную нагрузку аналитика системы SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности. Мы постоянно испытываем наш модуль в таких сценариях.
Чтобы проверить, как MaхPatrol BAD справляется с обнаружением сложных и неизвестных атак, мы тестируем его в условиях киберучений. В этих учениях традиционно участвует наша red team — команда, имитирующая действия реальных злоумышленников. О том, какие результаты показывает модуль, какие атаки удается выявлять и какие выводы мы сделали, расскажу далее.
Хотите посмотреть, как наши SIEM и BAD на практике ловят одну из таких хакерских атак? Включайте ролик:
Зачем нужны киберучения
Нашей целью было тестирование возможностей MaxPatrol BAD по обнаружению реальных атак в боевых условиях. Мы вложили немало усилий в разработку моделей машинного обучения, поведенческого анализа и алгоритмов, чтобы система могла выявлять среди прочего и сложные угрозы — действия злоумышленников, которые можно спутать с легитимными. Первоначальная задача заключалась в проверке того, насколько модуль BAD способен обнаруживать атаки. Следующей задачей было тестирование интеграции модуля с нашей системой MaxPatrol SIEM и метапродуктом MaxPatrol O2.
Правильный поведенческий анализ помогает обнаруживать сложные и скрытые угрозы, которых не замечают классические средства защиты. Сегодня на рынке ощущается нехватка подобных решений, и мы видим, что поведенческий анализ — это недостающее звено.
Наша цель — дать клиентам и партнерам инструмент, эффективно дополняющий современные SIEM-решения в части обнаружения неизвестных атак и аномалий и снижающий количество рутинных операций для операторов SOC.
Для этого мы открыто демонстрируем работу своих продуктов в сценариях, приближенных к боевым, не ограничиваясь теорией и лабораторными тестами, и публикуем практические кейсы, чтобы показать, как BAD справляется с обнаружением атак в реальной среде. Такой подход не только доказывает эффективность конкретных технологий, но и в целом, по моему мнению, формирует доверие к поведенческому анализу как необходимому инструменту кибербезопасности.
Как это было
Участниками киберучений стали три ключевые команды: red team, имитировавшая атаки, blue team, занимавшаяся мониторингом, и представители клиента, занимавшиеся реагированием на инциденты и харденингом инфраструктуры.
Учения длились 30 дней, в течение которых red team пыталась реализовать недопустимые события. Для этого команда проводила:
фишинговые атаки для компрометации учетных записей сотрудников и их рабочих станций;
эксплуатацию уязвимостей в веб-приложениях и внутренних сервисах;
lateral movement, перемещение внутри периметра — попытки проникновения в критически значимые сегменты сети;
повышение привилегий для получения контроля над ключевыми системами.
Сценарии моделировались таким образом, чтобы включать реализацию недопустимых событий, которые определил для себя заказчик.
В ходе киберучений MaxPatrol BAD обнаружил все основные действия red team. Давайте разберем самые любопытные сценарии — на примере получения первоначального доступа в инфраструктуру и перемещения внутри периметра.
На рис. 2 представлена статистика, демонстрирующая, как MaxPatrol BAD дополняет традиционные методы обнаружения, помогая выявлять скрытые угрозы.
В течение указанного периода, когда я обнаруживал хакерскую активность в модуле, я добавлял эти события в табличный список, отмечая их как подтвержденные атаки. В этот список вносились UUID нормализованных событий, связанных с зафиксированной активностью. После этого вся собранная информация была выгружена и сопоставлена с правилами корреляции, сработавшими в SIEM-системе за тот же период. Мы проверили, какие из событий, помеченных в BAD как атаки, также присутствовали в корреляционных событиях в виде subevent. Результаты показали, что 85% атак, которые были помечены в BAD, не были обнаружены традиционными правилами корреляции.
Это подтверждает, что MaxPatrol BAD усиливает обнаружение, помогая выявлять атаки, которые могут оставаться незамеченными при классическом подходе. MaxPatrol BAD усиливает обнаружение, потому что атакующие не стоят на месте — они постоянно адаптируют тактики и используют новые техники обхода защитных механизмов. Дело не в том, что корреляционные правила «плохие», а в их природе: они опираются на заранее заданные сценарии атак, основанные на известных индикаторах компрометации (IoC) и тактик, техник, процедур (TTPs).
Итак, поведенческий анализ позволяет выявлять сложные техники атак, которые не подпадают под заранее заданные индикаторы. А интеграция BAD с MaxPatrol SIEM и корреляционными механизмами может значительно повысить точность обнаружения угроз, объединяя разные подходы. Поведенческий анализ критически важен для выявления современных атак, особенно таргетированных, которые редко осуществляются «в лоб», а направлены на обход традиционных механизмов мониторинга.
Реальные примеры обнаруженных атак
Как я уже упоминал, работа BAD контролировалась исключительно командой экспертов, занимавшихся его разработкой. Я не отслеживал ни действия red team, ни работу средств защиты в режиме реального времени. Моя задача заключалась в том, чтобы через определенные промежутки времени заходить в MaxPatrol BAD, выполнять специальные запросы, применять фильтры — и анализировать результаты.
Основной критерий эффективности заключался в том, насколько точно результаты фильтрации и обработки данных от BAD позволяли обнаружить следы атакующих, если они действительно были. Такой метод проверки позволял объективно оценить, насколько быстро и точно можно идентифицировать хакерскую активность, используя исключительно детекты поведенческих аномалий — без постоянного ручного контроля и не зная заранее сценарии атак.
Воркфлоу поиска аномальной активности
Для выявления атакующих мне нужно было периодически анализировать базу данных MaxPatrol BAD, выполняя определенные запросы за заданный промежуток времени. Основной подход заключался в том, чтобы искать аномалии, значительно превышающие «среднюю температуру» происходящего в инфраструктуре клиента, опираясь на значение нормализованного risk score. Для этого я применял фильтрацию по значению ненормализованного risk score, отсеивая события с низкими значениями и концентрируясь на активностях, превышающих пороговое значение 65. Значение ненормализованного risk score, которое соответствовало бы нормализованному от 65, было 14.
Этот метод позволял сузить зону поиска и сфокусироваться на действительно значимых отклонениях, которые могли свидетельствовать о скрытых действиях red team. Далее, анализируя ключевые параметры событий — фичи, на которые сработали модели и которые описывают те или иные действия, совершенные процессом, — можно было определить, какие из них соответствуют возможным атакам. Такой подход позволил мне выявлять вредоносные активности без необходимости отслеживать всю активность в инфраструктуре вручную, используя только собранные MaxPatrol BAD индикаторы поведения.
Воркфлоу работы с правилами корреляции
Практически каждое правило корреляции в SIEM-системе обогащается оценкой риска BAD. Это позволяет учитывать поведенческий анализ при обработке корреляционных событий. Особенно это актуально для тех корреляционных правил, которые содержат информацию о процессах, так как именно процессный анализ часто позволяет выявлять сложные и скрытые атаки.
В рамках анализа я заходил в SIEM-систему через определенные промежутки времени, выполнял фильтрацию событий по установленным запросам, ориентируясь на чаще всего срабатывавшие правила корреляции, в которых уровень риска превышал порог 65. Это позволяло быстро отсечь «неинтересные» с точки зрения BAD сработавшие правила корреляции и сфокусироваться на реально значимых срабатываниях, где наблюдались подозрительные процессы.
На рис. 4 перед вами все сработавшие правила корреляции за указанный период. Как мы видим, их немало, и среди них сложно сразу выделить что-то действительно важное. Однако, отфильтровав события с уровнем риска от BAD выше 90, можно мгновенно выделить наиболее аномальные срабатывания, которые были частью хакерской активности (рис. 5). В таких случаях правило корреляции обнаруживает тактики, техники и процедуры злоумышленников на логическом уровне, а BAD подтверждает атаку с точки зрения поведенческих отклонений, что значительно повышает достоверность.
Давайте сравним логику правил корреляций и индикаторы поведения MaxPatrol BAD на примере сработки правила корреляции Internal Monologue Attack (рис. 5). Это правило построено на одном атомарном нормализованном событии — доступе к определенной ветке реестра, который сам по себе может являться индикатором атаки. Однако BAD не ограничивается анализом одного события, а рассматривает всю активность, связанную с процессом, который инициировал этот доступ.
BAD выполняет комплексную проверку всего контекста активности процесса. В данном случае, помимо базового события, система оценила множество параметров, на основе которых работают модели поведенческого анализа. Все эти данные были проанализированы в совокупности, и, используя десятки работающих моделей, BAD сформировал финальную оценку риска, которая была высокой — 100. Такой глубинный анализ позволил обнаружить аномалии при проведении атаки Internal Monologue через анализ поведения и подтвердить высокой оценкой данную атаку, которая также была обнаружена при помощи правила корреляции Internal Monologue Attack, что усилило точность обнаружения.
Хронология атаки: взлом внешнего сервера Bitrix и атака на доменную инфраструктуру
Одним из ключевых этапов атаки стала компрометация внешнего сервера Bitrix с незакрытой, но известной уязвимостью, который атакующие использовали как точку входа в инфраструктуру. Однако этот сервер не находился на основном конвейере обработки событий MaxPatrol BAD, поэтому его активность не попадала в анализ. Если бы события с сервера поступали в BAD, мы бы зафиксировали факт его компрометации и могли бы оперативно выявить атаку на раннем этапе.
Несмотря на это, мы зафиксировали аномалии, исходящие от сервера Bitrix, когда он начал взаимодействовать с внутренней инфраструктурой. В этот момент BAD обнаруживал подозрительную активность: срабатывали поведенческие модели, связанные с аномальным доступом. В частности, были выявлены аномальные соединения с named pipes и административными ресурсами удаленных узлов. Эти сигналы указывали на то, что сервер Bitrix, ранее не проявлявший подобной активности, внезапно начал вести себя нетипично (рис. 6).
Важно отметить, что на момент киберучений в BAD еще не была загружена модель, которая анализирует аномальный источник на основе частоты генерации аномальных событий на удаленных узлах (войдет в релиз 27.x). Если бы эта модель работала, система смогла бы еще точнее выделить сервер Bitrix как потенциальный источник угрозы, основываясь на масштабе его аномального поведения в сети.
На рис. 7 показан пример корреляционного правила, сработавшего на доступ к именованному каналу ATSVC. В карточке события видно, что MaxPatrol BAD также зафиксировал аномалию — доступ к новому именованному каналу с неизвестного IP-адреса, что подтверждает подозрительность активности.
На рис. 8 представлена цепочка событий из MaxPatrol O2, где зафиксировано соединение с узла Bitrix. В данном случае процесс HTTP-сервера Bitrix устанавливает соединение с удаленным именованным каналом, что уже выглядит нетипично. Дополнительно на этом же скриншоте видна обогащенная информация от модуля, которая обнаруживает аномальный доступ, что усиливает уверенность в том, что активность требует внимания.
Хронология атаки: развитие атаки на серверы
Одно из подтверждений успешного выявления атакующей активности — на скриншоте из интерфейса MaxPatrol O2 (рис. 9), который был интегрирован с модулем MaxPatrol BAD. На данном примере мы видим, как система построила цепочку атаки, собрав воедино последовательность действий злоумышленника. Важным элементом анализа стало то, что каждый из этих ресурсов был обогащен данными от MaxPatrol BAD, который присвоил им оценку риска. Это позволило системе подсветить ключевые этапы атаки, выявив, что данная активность выходит за рамки стандартного поведения и может быть частью сложной кибератаки.
На следующем скриншоте представлена работа модуля в связке с MaxPatrol SIEM, куда модуль поведенческого анализа отправляет собственные сработки (рис. 10). Эти события можно сгруппировать и отфильтровать по уровню риска, что позволяет быстро сосредоточиться на наиболее аномальных и потенциально опасных активностях. Такой подход значительно упрощает анализ и помогает операторам SOC быстрее реагировать на подозрительные события.
Важно отметить, что такие системы, как MaxPatrol O2 и MaxPatrol SIEM, в первую очередь работают с уже известными индикаторами атак (IoA), индикаторами компрометации (IoC), используя правила корреляции. Однако в реальных условиях атакующие часто применяют уникальные техники, которые никогда ранее не фиксировались и не попали в базы известных индикаторов. Это создает риск, что традиционные системы мониторинга могут пропустить такие атаки.
На рис. 11 пример поиска в MaxPatrol O2 активности с высоким уровнем риска процесса по его идентификатору. Как видно на скриншоте, поиск не увенчался успехом, потому что на эту активность не отработало ни одно из правил корреляции в MaxPatrol SIEM. Однако на рис. 12 мы видим, что BAD отправил индикаторы поведения этой активности в MaxPatrol SIEM и присвоил им высокую оценку риска.
Именно здесь BAD играет критически важную роль. Он работает по поведенческим моделям и алгоритмам машинного обучения, оценивает уровень риска на основе целого спектра факторов. Это позволяет обнаруживать нетипичную активность — даже если она не содержит сигнатур атак.
На рис. 13 видно, что BAD выявил аномалии высокого уровня риска, некоторые из которых (ввиду другой логики работы — анализа по уже известным индикаторами атак, индикаторам компрометации, работы правил корреляции) не были обнаружены другими системами. Это еще раз подтверждает, что поведенческий анализ является незаменимым инструментом современного SOC, позволяя находить сложные и скрытые атаки, которые не попадают в традиционные механизмы обнаружения.
Рассмотрим еще один случай. На рис. 13 представлен сценарий выявления подозрительной активности. В ходе атаки один из вредоносных файлов, запущенных red team, осуществлял связь с командным сервером через API Telegram, используя его как канал управления.
В этом случае сработало корреляционное правило, фиксирующее прямое подключение к API Telegram (рис. 14). Это правило построено на жесткой логике, в которой детектируется факт соединения с заранее известным сетевым индикатором — и соединение помечается как потенциально подозрительное. Однако BAD анализировал ситуацию глубже, не ограничиваясь фиксированными правилами, а оценивая поведенческую активность всего процесса.
Помимо самого факта сетевого соединения, BAD также зафиксировал событие DNS-запроса к API Telegram. При этом система не просто отметила этот DNS-запрос, а проанализировала весь контекст активности процесса, который инициировал обращение.
Основной вывод здесь следующий: корреляционное правило сработало потому, что вредоносное ПО напрямую подключалось к API Telegram. Однако если бы злоумышленник использовал альтернативный маршрут, это правило могло не сработать. BAD, в отличие от жестких логик, фиксированных индикаторов и заранее известных IP-адресов, анализирует всю совокупность событий и аномальные DNS-запросы, даже если атака задействует новые, ранее неизвестные механизмы.
На рис. 15 представлена ситуация, когда BAD зафиксировал активность процесса с высоким уровнем риска, который проявил аномальное поведение. Примечательно, что через этот процесс осуществлялось перемещение внутри периметра (lateral movement) на другие системы клиента, что является ключевым индикатором атаки.
Этот случай совпадает с моделью поведенческого анализа, которая выявляет аномальные процессы, выполняющие нетипичную аутентификацию на удаленных узлах. В нормальной инфраструктуре подобные действия характерны для ограниченного числа системных процессов и администраторов, а здесь мы увидели отклонение от стандартных сценариев.
Эти случаи еще раз подчеркивают уникальную роль поведенческого анализа в обнаружении сложных угроз, которые традиционные механизмы мониторинга могут пропустить.
Выводы и перспективы развития поведенческого анализа
Результаты киберучений показали, что MaxPatrol BAD успешно справляется с выявлением сложных и скрытых атак, которые традиционные методы обнаружения могут не фиксировать. В ходе тестирования система продемонстрировала способность анализировать поведенческие аномалии, которые выходят за рамки стандартных сценариев работы пользователей.
Одним из ключевых выводов стало то, что модуль BAD и классические системы обнаружения, такие как SIEM-система и корреляционные механизмы, не конкурируют, а эффективно дополняют друг друга. Корреляционные правила позволяют оперативно детектировать известные техники атак, но их ограничение заключается в жесткой логике и зависимости от заранее заданных индикаторов. В свою очередь, BAD выявляет неизвестные атаки, опираясь на анализ аномалий, что делает его особенно эффективным против методов обхода традиционной защиты и против новых техник, не попавших в базы данных угроз.
Переход к risk-based alerts
Используя данные поведенческого анализа от BAD в сочетании с корреляционными правилами, мы создаем risk-based alert. Такой подход позволяет объединять в одном событии:
обнаружение известных техник атак через правила корреляции;
анализ поведенческих аномалий, выявленных MaxPatrol BAD;
комплексную оценку риска, которая помогает расставлять приоритеты и снижать шум от ложных срабатываний.
Risk-based alerts позволяют сократить объем событий, требующих ручного анализа, и повысить точность обнаружения атак, выявляя только критически опасные инциденты. Такой подход значительно ускоряет реакцию SOC-команд, обеспечивая гибкость в обнаружении угроз.
Еще одно важное преимущество BAD перед классическими средствами обнаружения — это способность работать на основе долговременных и сложных для обхода моделей поведенческого анализа. В отличие от традиционных механизмов, завязанных на жесткие правила корреляции и статические индикаторы компрометации, BAD опирается на комплексную систему построения risk score, которая делает обход логики значительно сложнее для атакующих.
Индикаторы поведения и алгоритмы BAD не требуют частого рефакторинга или постоянного обновления контента. После периода обучения система начинает автоматически адаптироваться к инфраструктуре, выявляя отклонения от нормы без необходимости ручной корректировки. Это означает:
минимальные затраты человеческих ресурсов на поддержку и настройку; • отсутствие необходимости регулярно редактировать правила, как это требуется в традиционных SIEM-системах;
гибкость и устойчивость к изменениям инфраструктуры.
Таким образом, MaxPatrol BAD формирует новый уровень обнаружения угроз, выходя за рамки классических сигнатурных и корреляционных методов и обеспечивая обнаружение атак в реальном времени на основе поведенческих аномалий. Это делает его важным элементом современной стратегии кибербезопасности, позволяя организациям находить угрозы раньше, реагировать быстрее и снижать риски скрытых атак. Более того, MaxPatrol BAD — это не просто инструмент для обнаружения угроз, а интеллектуальная система, которая учится на данных, выявляет нетипичное поведение и требует минимального участия аналитиков для своей настройки и обслуживания. Это делает поведенческий анализ не только мощным, но и практичным решением для снижения оперативной нагрузки на SOC-команды и повышения эффективности защиты инфраструктуры.