Вендоры SIEM-систем поставляют правила корреляции, которые могут работать сразу «из коробки». И количество этих правил у всех разное. Это неизбежно приводит к законному вопросу — сколько же нужно правил для эффективной работы SIEM? Очевидно, это не такой простой вопрос. И количество правил, создаваемых вендорами, — вовсе не основной критерий для ответа на него.
Насколько эффективны правила «из коробки»?
Если бы мы жили в мире с универсальными информационными инфраструктурами, то типовые правила отлично справлялись бы со всеми задачами. К сожалению, в реальности все значительно сложнее — многое зависит от объекта защиты: важно, какие используются операционные системы, какие приложения необходимы для обеспечения рабочих процессов, какие средства защиты уже внедрены и какой аудит настроен. Кроме того, следует учитывать, что новые уязвимости выявляются с завидной регулярностью, а иногда злоумышленники и вовсе изобретают новые векторы атак.
Не стоит расценивать SIEM как систему, которую можно включить и сразу начать использовать. Вам в любом случае придется создавать новые детектирующие правила или серьезно дорабатывать те, что поставляются «из коробки». Все, кто начинают работать с базовым набором правил, очень быстро понимают, что большую их часть придется отключить — просто потому, что при сомнительной эффективности они создают значительную нагрузку на SIEM-систему. А остальные правила придется перерабатывать для лучшего соответствия реалиям вашей инфраструктуры.
То есть правила «из коробки» правильнее рассматривать не как готовый к использованию инструмент, а как источник идей. И по большому счету важно не то, сколько их поставляется разработчиком решения, а то, насколько они эффективны и насколько трудоемкой будет их адаптация под ваши нужды. А для облегчения адаптации, например, критичны наличие описания логики работы правил и их структуризация — в соответствии с источниками событий или MITRE ATT&CK.
Так что оценивать правила для SIEM простым подсчетом точно не стоит.
Как оценить качество детектирующих правил
Сразу после установки SIEM оценить качество поставляемых вендором правил не получится. Для этого придется посмотреть, как они показывают себя в действии. Стоит сформировать отчет по статистике работы правил и выполнять их регулярную оценку с помощью данного отчета.
Понять, насколько эффективны правила корреляции, можно по следующим критериям:
- актуальность в современном мире, то есть соответствие детектирующей логики наиболее часто встречающимся техникам атак;
- релевантность с точки зрения источников событий;
- точность, которая заключается в отношении количества реальных инцидентов ко всем сработавшим алертам, — точность = true positive / (true positive + false positive);
- полнота, которая выражается в отношении количества задетектированных атак к количеству всех случаев вредоносной активности, — полнота = true positive / (true positive + false negative).
Хорошо, пусть не из коробки. Но как понять, что правил хватит?
Не стоит ожидать, что в какой-то момент вы создадите последнее правило и поймете, что теперь можете спать спокойно. Завершить процесс разработки новых детектирующих правил или улучшения существующих не получится. Это постоянный процесс: процедуру пересмотра аналитики требуется проводить регулярно по нескольким причинам.
Прежде всего, необходимо понимать, что стопроцентное выявление инцидентов гарантировать невозможно: всегда есть пространство для развития. Инфраструктура компании постоянно изменяется — вы внедряете новые системы, обновляете старые, а порой полностью выводите их из эксплуатации. Кроме того, в организации часто создаются новые учетные записи, а также ранее предоставленные пользователям права и привилегии изменяются. Это не значит, что постоянно придется создавать новые правила — в некоторых случаях эффективнее потратить время на доработку существующего правила, нежели внедрить новое, которое может добавить ложных срабатываний. Начав работу, завершить процесс разработки новых правил не получится.
Как понять, что именно следует дорабатывать
Первым делом следует разработать регламент по непрерывному улучшению детектирующей логики, с целью закрытия пробелов. При этом в процессе исследования актуальных угроз и разработки новых правил потребуется как-то отслеживать прогресс, чтобы понимать, насколько лучше SIEM-система стала видеть подозрительные действия пользователей. Для этого можно использовать, например, матрицу MITRE ATT&CK, отслеживая по ней как уже покрытые с помощью внедренных сценариев обнаружения техники, так и те, которые только предстоит реализовать. Чтобы подойти к этому вопросу системно, необходимо разработать комплекс мер, который будет включать в себя и процесс по управлению изменениями, и анализ внешних источников данных об угрозах.
Для оптимизации существующих и формирования новых правил можно использовать open source потоки данных threat intelligence, а также информацию, содержащуюся в описаниях техник матрицы MITRE ATT&CK: они основаны на отчетах о реальных киберинцидентах. Компании со зрелыми ИБ-процессами должны использовать сведения, поступающие от команды, занимающейся активным поиском угроз (threat hunting), а также сторонних данных threat intelligence (отчетов, данных о релевантных APT).
С чего начать доработку правил
При обнаружении пробелов в покрытии сценариями техник, часто используемых злоумышленниками и актуальных для вашей организации, не стоит сразу пытаться закрыть их корреляционными правилами любой ценой. Вполне возможно, что часть векторов атак получится закрыть изменением групповой политики, настроек программного обеспечения или средств защиты. Для корректной расстановки приоритетов нужно руководствоваться принципом внедрения в первую очередь самых простых правил, которые принесут наибольшую ценность.
Дело в том, что одно и то же действие атакующего может обнаруживаться десятками разных способов. Если посмотреть на ту же матрицу MITRE ATT&CK, то в ней описаны чуть больше десятка тактик, сотни техник, а процедур — уже тысячи. И злоумышленники постоянно находят новые способы реализации каждой из них. А детектируем мы именно конкретные способы реализации, так что и правил на одну технику может быть очень много.
- мониторинг запуска процессов, позволяющий отслеживать их имена и ключевые слова в командной строке, например запуск procdump.exe или taskmgr.exe;
- мониторинг дочерних процессов: lsass.exe обычно не порождает новых процессов, за исключением conhost.exe;
- мониторинг загрузки библиотек, таких как comsvcs.dll, dbghelp.dll и dbgcore.dll;
- мониторинг вызова API функций MiniDump или MiniDumpWriteDump;
- мониторинг создания новых файлов с расширением .dmp или файлов в конкретных директориях c определенным названием, которое характерно для утилит, служащих для дампа памяти процессов, например pwdump или fgdump-log;
- мониторинг доступа одного процесса к другому. При этом стоит исключить все легитимные случаи обращения к процессу lsass.exe, которых может быть довольно много.
Если начать разбираться в том, как реализовать каждое из этих правил, то выяснится, что необходимо внедрить EDR, настроить аудит файловой системы, разработать парсеры (нормализаторы), а затем для каждого из правил произвести профилирование и исключить ложные срабатывания. На первой итерации можно ограничиться мониторингом запускаемых процессов средствами windows event log.
После каждой итерации по пересмотру детектирующих правил имеет смысл провести оценку результата. В этом случае, помимо оценки покрытия матрицы MITRE ATT&CK, могут помочь команда red team или средства автоматизированной эмуляции атак с помощью последовательного выполнения действий, напоминающих действия злоумышленников. Также с целью организации наиболее эффективного взаимодействия подразделений стоит рассмотреть возможность организации команды purple team, состоящей из представителей blue и red team.
В результате оценки покрытия детектирующей логики должен получиться план по разработке новых правил.
Подход «Лаборатории Касперского»
Мы придерживаемся идеи многоуровневой, эшелонированной системы защиты и экосистемы кибербезопасности, в которой компоненты дополняют и усиливают друг друга. В частности, мы считаем, что компаниям следует применять специализированные технологии для защиты отдельных элементов сети, использовать данные по внешним угрозам и объединять это все с помощью платформы безопасности. В качестве такой платформы может выступать система класса SIEM, SOAR или же платформа XDR.
То есть при разработке правил для SIEM не нужно фокусироваться на детектировании угроз, которые должны отрабатываться системами endpoint detection and response (EDR) или network traffic analysis (NTA). SIEM-система может рассматриваться как последний эшелон для обнаружения инцидентов, но она не должна подменять функции решений для защиты рабочих станций или сети. Кроме того, обнаружение угрозы — не самоцель, после него потребуется реагирование, для чего также нужны соответствующие продукты.
В случае же, когда используется комплексная система, угрозу можно обнаружить на более ранних этапах атаки, а отреагировать быстрее и точнее. Таким образом получится быстрее остановить и устранить последствия инцидента, а следовательно, снизить ущерб.
Практическая реализация нашего подхода
Основа для практического воплощения нашего подхода — это использование Kaspersky Unified Monitoring and Analysis Platform и всей экосистемы защитных решений, объединяемых в Symphony XDR. На данный момент с KUMA поставляется более 350 базовых правил корреляции, и это количество постоянно растет. При разработке этих правил мы применяем опыт экспертов и оперативную информацию об угрозах, получаемую из разных источников.
Во-первых, мы используем данные из Kaspersky Security Network (KSN), сети, агрегирующей обезличенную информацию о новых угрозах во всем мире. Она позволяет определять, какие техники атак сейчас встречаются чаще всего, и анализировать современные тенденции. Кроме того, наличие больших данных телеметрии дает возможность увеличить точность детектирования за счет уменьшения ложноположительных срабатываний (за счет исключения активности работающего у заказчиков легитимного ПО, которая может попадать под логику детектирования корреляционных правил).
Во-вторых, наши эксперты Глобального центра исследований и анализа угроз (GREAT) и команды Threat Research постоянно ищут и анализируют новые векторы таргетированных атак, благодаря чему мы получаем практические знания об инструментах и методах работы злоумышленников в современном мире на примере реальных случаев компрометации инфраструктуры.
Еще одна команда, опыт которой позволяет оценивать и постоянно улучшать качество детектирующей логики, это сотрудники нашего внутреннего SOC. Эти специалисты, обеспечивающие постоянный мониторинг информационной безопасности заказчиков в рамках сервиса MDR, имеют возможность совершенствовать правила корреляции в живой инфраструктуре.
Применяя полученный опыт, мы делаем акцент на выборе самых ценных с точки зрения безопасности сценариев обнаружения. Разработанные сценарии будут полезны не только заказчикам, которые имеют недостаточное количество ресурсов и экспертных навыков для самостоятельной разработки правил, но и довольно зрелым центрам безопасности. Они смогут использовать наработки для улучшения собственной аналитики или применить правила в более сложных сценариях, таких как подсчет риска и профилирование пользователей и хостов на основании сработавших правил.
Объединяя эти технологии, команды экспертов и накопленные знания, мы можем максимально эффективно использовать их для защиты инфраструктуры клиентов. Кроме того, в экосистему продуктов, объединяемых в Symphony XDR, входят:
- Kaspersky Endpoint Security — EPP-решение, способное предотвратить большинство атак до того, как они нанесут хоть какой-то ущерб.
- Kaspersky Endpoint Detection and Response (EDR) — решение, расширяющее возможности детектирования за счет дополнительной телеметрии и сотен встроенных правил, а также ускоряющее процессы расследования и реагирования, дополняя картину атаки необходимой информацией.
- Интегрированные знания об угрозах, накопленные за 25 лет работы «Лаборатории Касперского», глубоко встроенные в систему как TI-фиды и облачный репутационный сервис. Они позволяют обнаруживать подозрительные индикаторы в собираемых SIEM событиях безопасности без долгой и трудоемкой адаптации правил под инфраструктуру клиента, тем самым упрощая и ускоряя запуск процессов мониторинга безопасности и реагирования на угрозы на основе индикаторов компрометации.
Таким образом, используя KUMA SIEM с правилами корреляции, грамотно адаптированными к конкретной инфраструктуре, в совокупности с другими защитными решениями в составе нашего XDR, заказчик получает максимальный уровень защиты от всех типов киберугроз.