06.09.2017

Ретроспективная безопасность: с чем ее едят?

Не секрет, что от того, насколько оперативно при расследовании инцидентов будут идентифицированы причины происходящего, точка входа инцидента, пострадавшие/задетые узлы и пользователи, зависит размер ущерб и возможности нивелировать негативные последствия от ИБ-инцидента.


Понятно, что решением данной задачи является анализ произошедших ранее событий безопасности, которые могут находиться в разных журналах регистрации или сетевом трафике (PCAP или NetFlow). Это типичная деятельность службы реагирования и (или) расследования инцидентов.

Однако у данного, лежащего на поверхности решения, есть и подводные камни. Логов накапливаются слишком много, а сетевой трафик и вовсе требует отдельного хранилища. В качестве примера приведу инфраструктуру Cisco, о которой я писал на Хабре. Ежедневно инспектируется 47 Тб трафика, а событий безопасности, которые нам приходится анализировать, ежедневно мы собираем 1,2 триллиона (!). Дополнительно в наш SOC попадает 14,7 миллионов событий NGIPS, 350 миллионов Web-транзакций и 28 миллиардов NetFlow. Вы представляете какой это колоссальный объем и как это все анализировать вручную?

Можно попробовать самостоятельно написать систему аналитики имеющихся данных. В книге "Security Intelligence" целый раздел посвящен именно этому вопросу. Но многие ли готовы заниматься этой интересной, но отнимающей много времени и требующей компетенций работой? Те, кто пишут системы защиты самостоятельно (Яндекс, Qiwi и др.), вполне способны это делать. Но что с остальными компаниями?



Можно попробовать задействовать различные инструменты системного и сетевого администрирования. Например, в системах анализа Netflow может быть подсистема визуализации информационных потоков. Так, например, выглядит функция root cause analysis в решении Scrutinizer компании Plixer.

Функция Flow Hopper в Plixer Scrutinizer
Полезный инструмент, но... он не заточен под функции безопасности. Он может показать информационные потоки, "бутылочные" горлошки, но не инциденты ИБ. Приходится снова тратить время, чтобы анализировать тысячи, десятки тысяч соединений и искать среди них аномальные и явно вредоносные. Нужен ИБ-контекст, накладывая на Netflow (или PCAPы) ИБ-алгоритмы, которые позволяют вычленять только важные для ИБ события, точку их отсчета, путь движения и т.п.

Cisco Stealthwatch
Вот так, например, выглядит функция Worm Propagation (распространение червей) в системе анализа сетевого трафика Stealthwatch компании Cisco.

Функция Worm Propagation в Cisco Stealthwatch
Стоит отметить, что такой функционал присутствует далеко не во всех решениях по анализу трафика. Они могут собирать подробную статистику по каждому соединению, узлу, пользователю, и даже выдавать соответствующую статистику и отчеты, но визуализировать взаимосвязи между событиями они могут далеко не всегда. Помимо анализа Netflow можно анализировать трафик и на лету с последующей его визуализацией. Вот так, например, выглядит функция "траектории файлов" в Cisco Firepower.



А можно ли проделать тоже самое не только на сетевом уровне, но и на отдельных узлах, визуализируя поведения вредоносного кода - запуск процессов, их инжектирование, обращение к файлам на диске, внешние коммуникации и т.п.? Да, это возможно и ряд вендоров предлагают такой функционал в своих продуктах, существенно сокращая время на расследование и последующее реагирование. Вот, например, так визуализируется последовательность действий на узле с помощью функции Root Cause Analysis в CylanceOPTICS.

Root Cause Analysis в CylanceOPTICS
А вот так аналогичная задача реализована в Cisco AMP for Endpoints:

Траектория устройства в Cisco AMP for Endpoints
У Sophos также реализована функция отслеживания источника проблемы (Root Cause Analysis):
 

А вот в Cyberbit это сделано, на мой взгляд, не очень наглядно:


Еще одним классом решений, визуализирующим последовательности событий для облегчения их анализа специалистами служб ИБ, являются песочницы. Например, в Cisco AMP Threat Grid вот так выглядит анализ процессов, с которыми работает анализируемый файл:


Вершиной пирамиды, объединяющей различные данные вместе (потоки, сетевой трафик и логи), являются различные SIEMы. Например, вот так выглядит визуализация различных, но связанных одним субъектом, событий из разных источников, отображенных на одном реляционном графе в решении Sift Security (NG SIEM для облачного мониторинга):


А вот это популярный в России ArcSight и его функция EventGraph (для мониторинга МСЭ):


Все это безусловно очень полезные инструменты, основное предназначение которых, ускорить реагирование на инциденты, не давая угрозам распространяться по сети или поворяться им через неидентифицированные точки входа. Но есть и обратная сторона медали, которая становится очевидной при практической работе с подсистемами так называемой ретроспективной безопасности. Речь идет о обогащенных данных. Дело в том, что обычно ретроспективная безопасность позволяет выстраивать цепочку однотипных событий - Netflow, логи МСЭ и сетевого оборудования, системные логи. Если же мы хотим объединить эти события вместе, а также обогатить их информацией Threat Intelligence, тут нас поджидает засада, а точнее несколько:
  • Информационная перегрузка - сложность отображения большого объема разрозненных данных.
  • Ограниченный охват - такого рода системы ретроспективной безопасности ограничены ИТ/ИБ-областью и им сложно выйти за эти рамки. С другой стороны системы ретроспективной безопасности и разработаны только для решения узкой задачи, с которой они справляются неплохо.
  • Отсутствие дружественного человеку интерфейса - пользователю приходится самостоятельно интерпретировать ряд собранных данных, что может привести к ошибкам или требует высокой квалификации персонала.
Средство визуализации разротипных данных в целях ИБ KeyLines
Решением этих проблем является применение выделенных специализированных продуктов класса Big Data Security Analytics или просто  Security Analytics, которые стали появляться на западном рынке в последние пару лет (особенно на RSAC). Но это уже высший пилотаж, доступный далеко не каждой компании, выстраивающей свои системы мониторинга ИБ; особенно в условиях импортозамещения. Поэтому остается использовать существующий функционал ретроспективной безопасности, присутствующий в решениях по ИБ, предлагаемых на российском рынке. Отечественные решения тоже подтягиваются, но пока не так быстро и их возможности пока уступают западным аналогам.

Визуализация событий в SIEM КОМРАД