Привет, Хабр! Сегодня поговорим о «больших данных» в кибербезопасности, а точнее, о том насколько легко - или сложно - обойти защиту, использующую Big Data. Иначе говоря, как надурить и объегорить передовые системы обнаружения угроз, мимо всевидящего ока которых, как утверждают маркетологи, лишний байт не проскочит.
О чём, собственно говоря, речь? О системах идентификации кибератак, использующих анализ «больших данных» в качестве одного из основных инструментов выявления подозрительной активности, - системы SIEM и XDR. Такие платформы в принципе ориентированы на средний и крупный бизнес, крупные сети и облачную инфраструктуру, в которой происходят миллионы событий ежечасно. Естественно, и речи не может идти о том, чтобы анализировать их «вручную», всё это осуществляется с интенсивным использованием технических средств, хотя наличие квалифицированных специалистов - и в области «больших данных», и в области кибербезопасности, - абсолютно необходимая составляющая.
Что делают такие системы? Позволяют идентифицировать в огромных (Big, очень Big) массивах структурированных и неструктурированных данных признаки несанкционированной активности. Иначе говоря, кибератак. Учитывая, что в средних размеров сети, насчитывающей 20 тысяч конечных точек, за сутки транслируется около 50 терабайт данных, задача «прошерстить» всё это становится очень неординарной.
Для этого существуют множественные алгоритмы. Основным критерием качества платформ обнаружения угроз - в частности, XDR, является точность обнаружения аномалий в системах, которые они защищают. XDR-решения, как правило, включают в себя и SIEM-платформы, отвечающие за сбор и обработку событий, и EDR - обнаружение и реагирование на аномалии, и UBA/UEBA - системы, которые собирают (большие) массивы данных о действиях пользователей и/или конечных точек, серверов и сетевого оборудования, а затем с помощью алгоритмов машинного обучения выстраивают модели поведения и пытаются выявить отклонения от них.
Самый простой пример такого отклонения, - это, например, когда среди ночи какой-либо сервер вдруг начинает активно «общаться» с удалённым хостом, прежде в логах не мелькавшим. Изредка и не очень регулярно, но сам по себе факт уже несколько подозрителен. Или вдруг с офисного устройства, закреплённого за отдельно взятым сотрудником, куда-то в «не очень понятном направлении» раз в три-четыре дня уходят по несколько десятков мегабайт данных; а сотрудника, судя по информации от пропускной системы, в это время на месте нет.
Приведённые примеры, в целом, весьма очевидны. Случаются и гораздо менее регулярные события, связь между которыми не очевидна вовсе... Но машина всё видит!
Или не всё?
В «Дюне» Фрэнка Герберта песчаные черви уничтожают (путём недружественного поглощения) всё, что издаёт ритмичный звук. Будь то люди или механизмы - например, сборщики Пряности. Слух у них весьма тонкий, габаритами не обижены, свою территорию защищают ревниво. Поэтому сборщикам пряности только и надежды, что воздушный транспорт успеет их подобрать, прежде чем раздастся громкое «ам». Ну, а людям остаётся лишь пытаться добежать до скал, если они рядом есть.
Впрочем, обитатели пустыни («фремены», «вольнаибы») научились обманывать бдительных тварей - особой неравномерной походкой, имитирующей природные шумы пустыни. Ну, а для пущей надёжности они выставляют специальные отвлекающие устройства - в русских переводах именуемые либо «манками», либо «билами» (в оригинале - thumper), которые при активации начинают издавать громкий ритмический стук. Шаи-Хулуды как угорелые бросаются на этот звук, оставляя людям время для того, чтобы попасть куда им нужно.
Аналогии не вполне случайны. На самом деле киберзлоумышленникам, которым замстилось обойти защиту, использующую аналитику «больших данных», придётся потратить очень много времени и усилий. Это хорошая новость. Плохая состоит в том, что слабые места рано или поздно находятся везде.
Основу вышеописанных систем безопасности составляет своего рода база знаний, которая представляет собой комбинацию из сведений о потенциальных угрозах - типичных и не очень - и о структуре и функционировании защищаемых ресурсов. На основе этой базы знаний определяется, что считать нормальным ходом событий, а что аномалией; и ранжируется степень потенциальной угрозы от такой аномалии (т.е. насколько вероятно, что аномалия является индикатором происходящей кибератаки, а не сбоя, который не имеет искусственной природы).
Системы аналитики «больших данных» могут работать по разным принципам. Например, Как описывается в уже довольно старой статье ENISA, Hadoop можно запрограммировать на детектирование любых входящих в сеть и исходящих из неё данных; так можно выявить подозрительные коммуникации между заражёнными ПК или серверами и хостами под управлением злоумышленников; можно настроить также мониторинг системных логов. Платформа «раннего предупреждения» может собирать и накапливать данные изнутри защищаемой инфраструктуры, устанавливает, что считать нормальным поведением для процессов внутри неё, а также собирает данные о потенциальных угрозах и рисках извне и использует аналитику Big Data для определения, не наблюдается ли что-то сходное за её защитным периметром.
Естественно, киберзлоумышленники знают, как такие системы работают. Что они могут предпринять?
Прежде всего, операторы целевых атак будут долгое время заниматься разведкой. Объектом разведки будут не только аппаратные системы и ПО целевой инфраструктуры, но и её операторы - люди. Чем больше работник выкладывает информации о себе, тем легче будет провести фишинговую атаку - против него самого или его коллег. А как раз с фишинга если не большинство, то очень значительное количество успешных атак и начинаются.
Дальнейшая задача атакующих - «шуршать песочком по-фременовски»: минимизировать свою заметность для системы предупреждения. Вариантов тут несколько: например, передвигаться по атакованной сети, используя исключительно легитимные опенсорсные инструменты, которые уже присутствуют в целевой инфраструктуре. Например, PowerShell, каких-либо административных инструментов; кроме того, существуют варианты компрометации системных инструментов с помощью бесфайлового вредоносного ПО; если оно не обнаружено и не перехвачено, злоумышленникам обеспечивается возможность незаметного перемещения по атакуемой сети. Однако если они будут слишком активно и слишком регулярно производить «разведывательные действия», система детектирования может среагировать, а значит, хакерам придётся действовать как можно медленнее и без регулярных интервалов.
Например, если раз в неделю, а то и в месяц производится сканирование только одной-двух машин в целевой инфраструктуре, вероятность того, что «шаи-хулуд» что-то заподозрит, невелика. Если с такими же несистематичными интервалами будут производиться и другие действия, то вполне вероятно, что атака останется незаметной до самого завершения.
Если необходимые злоумышленникам данные собирает не один скомпрометированный аккаунт, а десяток-другой, и если выводятся они не на какой-то один удалённый сервер, а сразу на множество (и уже где-то ещё потом комбинируются во что-то осмысленное), вполне может оказаться, что модель угрозы, на основе которой работает система детектирования, не сработает.
Есть, конечно, и совсем плохой вариант: работник оставил компьютер включённым, а в порт воткнул на ночь флэшку. А вечером следующего дня с этой флэшкой вышел с территории, прошёл несколько кварталов, и выкинул в урну мусор из карманов, в том числе «случайно» затесавшуюся в него флэшку. А потом подобрал около своего дома пакет, в котором оказались денежные купюры. От инсайдерских угроз защищаться особенно непросто.
Описанные сценарии - скорее умозрительные и теоретические, - в принципе реализуемы. Особенно если атаку производят профессионалы, которые носят костюмы или военную форму, и у которых нет вопросов с мотивацией.
Ещё один аспект, на который стоит обратить внимание, это что «коробочные» системы детектирования поставляются «надрессированными» на ряд типовых сценариев, и проходит какое-то время, прежде чем они - если такая возможность у них вообще есть - получат дополнительные сведения о потенциальных угрозах от других подобных систем (так называемые, threat feeds) и адаптируют их к своей модели.
В теории, если злоумышленники успевают придумать какой-то не очень типичный сценарий атаки, есть шанс успеть реализовать его до того, как система детектирования сработает... Но - лишь при соблюдении огромного количества «если».
Существует, конечно, и вариант классической диверсии (или выставление манка на Шаи-Хулуда) - когда при наличии нескольких точек входа в инфраструктуру злоумышленники устраивают какое-то «яркое событие», например, DDoS-атаку или заведомо обнаруживаемую попытку выкачать какие-то данные на удалённый хост; на деле это лишь «дымовая завеса», которая отвлекает внимание от реальной атаки, которая производится тихой сапой где-то совсем в другом сегменте.
Но надо понимать, что и в департаменте информационной безопасности сидят, скорее всего, не песчаные черви, а люди - неглупые и компетентные, и они быстро заподозрят, что все эти фейерверки использовались для отвлечения. Так что злоумышленникам никакой выгоды с этого может и не получиться.
В любой системе можно найти уязвимые места и придумать сценарии для их эксплуатации. Предусмотреть вообще всё невозможно - ни человеческому интеллекту, ни искусственному, но можно максимально затруднить потенциальным злоумышленникам задачу. Можно - и нужно - обеспечить корпоративную инфраструктуру всеми доступными-передовыми средствами защиты.
Сейчас идёт своего рода гонка вооружений между киберзлоумышленниками и системами XDR: первые ищут слабые места, задача вторых - свести количество таких мест к минимальным значениям. Технологии и инструменты на базе Big Data, доступные крупным компаниям, злоумышленникам как правило не по зубам и не по карману, так что значительные атаки и утечки данных происходят существенно реже, чем раньше (и, кстати, ровно поэтому каждая такая утечка становится громким событием). В большинстве случаев киберинциденты сегодня начинаются с целевых атак на конкретных пользователей.
Что это означает? Прежде всего, необходимость, помимо применения передовых технических средств защиты, подготовку конечных пользователей к возможным фишинговым атакам, тренинги по противодействию социальной инженерии и другим уловкам. То есть, все сотрудники любой компании должны иметь как минимум базовое представление о том, как обеспечивать собственную информационную безопасность и на рабочем месте, и за его пределами, - сейчас ввиду массового перехода на «удалёнку» это особенно актуально.
Кроме того, необходимо минимизировать количество возможных точек входа, - таковыми могут стать любые устройства, подключённые к корпоративной сети и доступные извне, т.е. через интернет. Неправильно настроенные накопители, давно забытые, снятые с поддержки, но всё ещё функционирующие роутеры, какие-то другие IoT-устройства, - всё это может быть использовано злоумышленниками для вторжения. В качестве страховки стоит использовать инструменты для выявления уязвимого оборудования в корпоративных сетях, например IoT Inspector или его аналоги. Они не заменят XDR-систему, но послужат дополнительным слоем защиты.
Особая благодарность Анастасии Мельниковой и Дмитрию Кирюхину, экспертам по информационной безопасности компании SEC Consult Services, за помощь в подготовке материала.
