Сегодня возможности большинства SOC по выявлению инцидентов
в организациях не соответствуют степени опасности угроз.
Обычно мы обнаруживаем угрозы не на пути проникновения в организацию
или когда они в сети, а уже после реализации эксплойта и утечки данных.

Дин Вебер, главный директор по технологиям кибербезопасности в CSC

Традиционно под Security operation center (SOC) понимается некая система, построенная на базе продуктов класса SIEM (Security Information and Event Management), предназначенных для сбора и хранения лог-файлов устройств и приложений с целью их анализа и выявления инцидентов. Потребность организаций в таких решениях возникла, когда администраторы и операторы информационной безопасности перестали справляться с возрастающим объемом данных и усложнением ИТ-инфраструктуры: объем генерируемых логов стал превышать возможности человека вручную все это проанализировать. Кроме того, применение решений от разных производителей в ИT-инфраструктуре потребовало множества отдельных систем мониторинга (по одной для продукта каждого вендора), и администраторы зачастую должны были отслеживать инциденты в десятках консолей. В итоге назрела необходимость в сборе и хранении лог-файлов в одном месте для их централизованного анализа, корреляции и выявления инцидентов. Результатом стало активное внедрение SOC на базе SIEM-решений.

Что могут и чего не могут SOC

Сегодня SOC на основе SIEM-продуктов помогают решать следующие ключевые задачи:

  • собирать и хранить лог-файлы в едином централизованном хранилище, где их можно использовать для дальнейшего анализа;
  • предоставлять специализированные отчеты аудиторам для выполнения требований законодательства и соответствия отраслевым стандартам;
  • отвечать на вопрос, какое устройство (или ПО) когда и какое именно событие сгенерировало;
  • задавать некую «базовую линию» сетевой активности организации, превышение которой может свидетельствовать о разного рода атаках;
  • выполнять корреляцию событий между различными источниками, что позволяет обнаружить сложные атаки.

Однако угрозы и атаки с каждым годом становятся все более сложными, сфокусированными и зачастую направленными против определенной группы организаций (например, средств массовой информации) или же конкретной компании. Очевидно, что такие атаки организуются квалифицированными людьми, и поэтому подобные целенаправленные действия чрезвычайно сложно обнаружить стандартными средствами защиты (антивирус, IPS). К примеру, для несанкционированного доступа к ресурсам определенной организации может быть разработан специальный код, отсутствующий в антивирусной базе, или проведена атака, сигнатура которой отсутствует в базе IPS.

Чтобы выявить подобные действия, нужен максимально возможный объем данных для анализа. И в идеальном варианте следует анализировать не только логи, но и весь трафик с целью выявления аномальной активности и определения степени ущерба, причиненного компании. Иными словами, для получения достоверной картины происходящего в сети теперь уже недостаточно одних только лог-файлов с устройств и приложений. В современных реалиях аналитику для выявления инцидентов может потребоваться провести перекрестную проверку, а значит, понадобятся другие типы данных, например, должностные обязанности владельца ноутбука, подключенного к критическому серверу, для определения правомочности такого подключения.

При использовании существующих SIEM-систем аналитики ИБ попали в непростую ситуацию: с одной стороны, они не обладают всей полнотой информации, необходимой для выявления инцидентов и получения всеобъемлющей картины, с другой стороны, они не могут получить недостающие данные вследствие ограничения производительности SIEM-устройств. К примеру, аналитик легко может обнаружить, что сработала сигнатура на IPS, однако определить результат ее воздействия уже гораздо сложнее.

Таким образом, SOC на базе традиционных SIEM-решений продолжает оставаться необходимым звеном в системе информационной безопасности компании, но уже недостаточно эффективным.

Новое поколение – новые возможности

Решить существующие проблемы призваны SIEM-системы нового поколения, использующие технологии глубокого анализа пакетов (Deep Packet Inspection) и работающие с «большими данными» -- информацией, объем которой на несколько порядков превышает объемы анализируемых и хранимых в настоящее время данных, а также более разнообразной и более динамичной по сравнению с теми данными, что собираются сегодня. Такие системы обеспечивают полную запись всех сетевых пакетов в организации, и это в сочетании с логами и другими источниками данных позволяет проводить более глубокий анализ. Новый подход при поиске аномалий и инцидентов в этих системах можно сформулировать так: последовательно удалять из стога сено (хорошо известные факторы), пока не останутся одни иголки (негативные факторы). Традиционный же подход заключался в поиске иголок в стоге сена (данных), т.е. в обнаружении известных аномалий по конкретным правилам, установленным аналитиками ИБ.

Новые SIEM-системы, собирающие и анализирующие значительно большее количество информации, позволяют существенно расширить возможности получения данных в ряде областей.

Выявление вредоносных программ. С каждым годом обнаружить атаки становится все сложнее, поскольку они маскируются под легитимный трафик и остаются незамеченными. Использование технологии записи всех сетевых пакетов (а не только лог-файлов) позволяет собирать и восстанавливать файлы, а затем автоматизировать большую часть анализа, требуемого для выявления явных признаков злонамеренных действий.

Обнаружение следов активности атакующего в ИТ-инфраструктуре. Оказавшись в сети организации, злоумышленники зачастую перемещаются между узлами с целью сбора сведений, необходимых для развития атаки. Поскольку конечные узлы часто не входят в зону мониторинга, полная запись всех сетевых пакетов становится одним из важнейших средств для обнаружения передвижения нападающих, а также степени их воздействия на ИТ-ресурсы компании.

Предоставление доказательств незаконной активности. SIEM-системы, способные к захвату сетевых пакетов и записи сессий, способны восстановить полную активность злоумышленника и определить утечку данных. Поскольку многие современные атаки остаются незамеченными до непосредственного нанесения ущерба, то аналитикам ИБ требуется метод для его оценки, и восстановление атаки часто является наиболее эффективным способом проведения расследования и подсчета ущерба.

Добавление функционала захвата пакетов и восстановления сессий в следующем поколении SIEM-решений важно для аналитиков, поскольку позволяет перейти на совершенно новый уровень изучения и приоритизации угроз. К примеру, традиционные SIEM-системы могут сообщить аналитику, что было зафиксировано соединение некоего компьютера с сервером злоумышленника, но не смогут ответить на вопрос, что было при этом передано. Захват пакетов и воспроизведение сессий в сочетании со сбором лог-файлов и другой информацией может дать аналитикам понимание того, какие данные были обнаружены и скомпрометированы злоумышленником. Таким образом, аналитики помимо самого факта проникновения могут оценить степень воздействия на бизнес и репутацию компании.

Сбор такого огромного количества данных требует от нового поколения SIEM–решений кардинального увеличения скорости обработки и объемов хранимой информации. Это достигается за счет применения распределенной многоуровневой архитектуры хранения и анализа данных, позволяющей нормализовать и обрабатывать большие неструктурированные наборы данных на очень высокой скорости.

* * *

В заключение отметим, что SOC, построенный на традиционных SIEM-системах, продолжает оставаться эффективным средством обнаружения аномалий по конкретным правилам, установленным сотрудниками службы ИБ. Однако на смену ему начинают приходить новые поколения SIEM-решений, оперирующие со значительно большими объемами информации, что позволяет аналитикам найти угрозы и аномалии, о которых они даже не подозревали. Таким образом организациям обеспечивается осведомленность и поддержка в принятии решений, необходимые для нейтрализации современных угроз.