Synchronisierte Schwimmfähigkeiten oder Ausrichten von Überwachungs- und Reaktionsaufgaben
Wie Sie wissen, sollte das schnellste Tier der Welt ein Tausendfüßler sein: Es hat die meisten Beine. Aber das arme Tier wird wirklich durch die Notwendigkeit behindert, seine Schritte und Aktivitäten zu synchronisieren. Eine ähnliche Geschichte verfolgt oft das Leben des SOC (Security Operation Center). Analysten entwickeln Szenarien, runzeln die Stirn, entwickeln neue Methoden zur Erkennung von Angriffen, und das Reaktionsteam versteht häufig nicht, was mit diesen Vorfällen zu tun ist (und die Entfernung nimmt zu, wenn sich ein externer kommerzieller SOC in der ersten Barrikadenreihe befindet). Dieser Zustand führt normalerweise zu zwei extremen Situationen:
- SLA « , », , SOC, . , , - .
- – «» . , , . , , . - - , SOC , . , , .
Erinnern Sie sich an den weisen Yin Fu Wo, der seinen Schüler, der einen Sicherheitsscanner kaufte, fragte, was er dann mit den gefundenen Sicherheitslücken tun würde? Nach seinem Beispiel möchte ich dem Reaktionsteam wirklich eine Frage stellen: Was genau und vor allem wie schnell werden Sie mit den gefundenen Vorfällen umgehen?
Mit den Funktionen des Antwortprozesses können Sie die Liste der Vorfälle anhand ihrer internen Kritikalität „ausrichten“. Beispielsweise kann die Kommunikation über kritische Änderungen in Prozessen oder Angriffe im Web mit der sofortigen Erfassung eines Untersuchungsteams logisch in einen Telefonanrufmodus umgeschaltet werden. Um den Start von TeamViewer auf nicht kritischen Zweigstellencomputern zu handhaben, ist das Parsen für ein paar Stunden eine angemessene Option. Und es ist durchaus akzeptabel, einmal am Tag einen Bericht über die Statistik der Virusinfektionen einzureichen - bis zum Morgenkaffee und der Schließung von Problemen auf dem Teppich, wenn genau eine massive Behandlung von Viren, das Entfernen verbotener Software, das Aktualisieren des Betriebssystems, das Schließen von Sicherheitslücken usw. erfolgt. Dies wird dazu beitragen, das Tempo der Überwachung und Reaktion im Wesentlichen auszugleichen und nahtlose und komfortable Spielregeln während des gesamten Incident-Management-Prozesses zu erstellen.
Tipp 1. Legen Sie Ihre Prioritäten fest. Da Sie definitiv nicht in der Lage sein werden, alles auf einmal zu erledigen, bestimmen Sie, welche Arten von Vorfällen für das Geschäft Ihres Unternehmens wirklich kritisch sind, und legen Sie den erforderlichen Zeitrahmen für deren Lösung fest.
Analytics, Analytics, noch mehr Incident Analytics
Viele kommerzielle SOCs sowie Scripting-Teams sprechen sehr oft und ernsthaft über den unglaublichen Prozentsatz der Filterung von Fehlalarmen, aufgrund dessen Kunden angeblich nicht über den Verdacht von Vorfällen, sondern nur über Angriffe informiert werden (wie sie sagen: „In allem, was ich erreichen möchte das Wesen ").
Dies führt in regelmäßigen Abständen zu erstaunlichen Prozessen für die Analyse und Untersuchung von Vorfällen, z. B. den folgenden:
- Basierend auf der Analyse des Netzwerkverkehrs zeichnete der SOC den Start der Remote Admin Tools (RAT) auf dem Host auf.
- , . – , RAT ( ) , .
- « ». SIEM .
Lassen wir die Tatsache außer Acht, dass es bei einem Hackerangriff, gelinde gesagt, keine sehr absichtliche Aktion ist, eine Maschine nachträglich auf Protokollebene anzuschließen. Ein Angreifer hätte einfach alle erforderlichen Protokolle reiben können, und die Verbindung zu einem neu kompromittierten Computer unter einem Konto mit erheblichen Berechtigungen könnte zu weitaus schwerwiegenderen Konsequenzen führen als die Kompromittierung selbst (insbesondere für furchtlose Clients, die es satt haben, die Kontrollkästchen zu finden, um die richtigen bereitzustellen Rechte, geben Sie das Konto für SIEM-Domänenadministratorrechte an).
Die Hauptsache ist, dass aus Sicht des Ergebnisses dieser gesamte komplexe Prozess der Überprüfung durch den SOC und den Sicherheitsdienst einfach gleichbedeutend ist mit dem Abheben des Telefons und dem Anrufen eines bestimmten Benutzers mit der Frage, ob und aus welchem Grund er die RAT-Sitzung initiiert hat. Infolgedessen kann die Antwort selbst um ein Vielfaches schneller empfangen werden, und die Gesamtzeit, die für die Untersuchung des Vorfalls aufgewendet wird, wird erheblich reduziert. Angesichts der Tatsache, dass RAT 98% der Zeit auf einem lokalen Computer ausgeführt wird (was nur die verbleibenden 2% aussagekräftiger macht), ist dieser Reaktionsansatz viel effizienter.
2. , . , , « », , , .
, –
Es ist unmöglich, hier nicht auf ein Thema einzugehen, das häufig bei der Entwicklung von Überwachungs- und Reaktionsprozessen behandelt wird - die Frage der Bestandsaufnahme und der Bilanzierung von Vermögenswerten. Meistens sprechen sie über Assets, um Informationen zu bereichern: Um die Bedeutung eines Vorfalls zu verstehen, ist es wichtig zu wissen, um welche Art von Netzwerkknoten es sich handelt, wer sein Eigentümer ist und welche Software dort installiert ist. In Bezug auf die Entwicklung von Playbooks erhält diese Aufgabe jedoch eine zusätzliche Bedeutung: Der Prozess der Reaktion auf einen Vorfall hängt direkt davon ab, um welche Art von Knoten es sich handelt und in welchem Teil des Netzwerks er sich befindet.
Betrachten Sie einen ziemlich einfachen Vorfall - eine Infektion mit dem Wirtsvirus. Es hat ein völlig anderes Gewicht und eine andere Kritikalität, je nachdem, wo sich dieser Host befindet:
- – , ;
- VIP-, , – ;
- .
Die Reaktionsprozesse in Industrieunternehmen erfordern noch mehr Aufmerksamkeit. Der gleiche Vorfall mit dem Start von RAT auf einer Maschine erhält völlig andere Akzente und Kritikalität, wenn ein solches Dienstprogramm gestartet wird, wenn es nach der Logik nicht möglich ist - beispielsweise am Arbeitsplatz eines technologischen Prozessbetreibers. In diesem Fall besteht die Standardantwort darin, den Host herunterzufahren und zu isolieren, gefolgt von der Ermittlung der Gründe für den Start des Dienstprogramms und einer möglichen detaillierten Analyse des Hosts auf Anzeichen eines möglichen Kompromisses durch einen externen Angreifer.
Tipp 3. Führen Sie eine Bestandsaufnahme der Vermögenswerte durch. Verschiedene Klassen von Vorfällen in Netzwerksegmenten "überlagern". Somit erhalten Sie kein lineares Modell mehr, bei dem der Grad der Kritikalität eines Vorfalls ausschließlich durch seinen Typ bestimmt wird, sondern eine für Ihr Unternehmen angepasste Basismatrix, die im Laufe der Zeit verbessert und verfeinert werden kann.
Echte Antwort gegen perfekte Antwort
Die oben beschriebene Situation hebt die Schlüsselfrage hervor: Wie tief ist das interne Team bereit zu reagieren, um die Folgen und Ursachen des Vorfalls zu beseitigen? Kehren wir zum Beispiel der Infektion einer Malware-Maschine zurück. Der Antwortprozess sieht möglicherweise folgendermaßen aus:
- Analyse des Malware-Penetrationskanals (Mail / Web / Flash-Laufwerk)
- Abrufen von Informationen über die Malware selbst - welche Familie, mögliche Konsequenzen, das Vorhandensein verwandter Dienstprogramme
- Identifizieren von für eine bestimmte Malware typischen Kompromissindikatoren, Suchen nach Indikatoren auf benachbarten Computern (dies ist besonders wichtig, wenn Workstations und Server mit Virenschutz nicht vollständig abgedeckt sind und Malware erfolgreich in einen der nicht abgedeckten Hosts eindringen kann).
- Suchen Sie nach allen zugehörigen Dienstprogrammen in der Infrastruktur und zur Sanierung
Wenn dieser Ansatz jedoch für jeden der Viruskörper in der Infrastruktur und für jede Infektion angewendet wird, führt dies zu sehr hohen Arbeitskosten. Daher ist hier ein ausgewogener Reaktionsansatz erforderlich, der von verschiedenen externen Parametern abhängt:
- Das bereits erwähnte Modell von Vermögenswerten und deren Kritikalität
- Das Verhalten der böswilligen Familie - Würmer, insbesondere solche, die eine potenziell zerstörerische Last tragen, erfordern mehr Aufmerksamkeit
- "Alter" des Virus und sein Bewusstsein für Antivirenlabors
- Es gehört zum Gruppierungs-Toolkit, das für das Unternehmen oder die Branche relevant ist
Abhängig von all diesen Parametern kann eine Entscheidung getroffen werden - von der grundlegenden Entfernung von Malware aus einem normalen Auto oder dem erneuten Laden eines kritischen Hosts bis hin zu einem komplexeren Reaktionsverfahren, an dem spezialisierte Experten beteiligt sind.
Tipp 4. Seien Sie nicht faul, "die Axt zu schärfen". Zusätzliche Bedingungen ermöglichen es Ihnen, die Priorität und den Aktionsalgorithmus im Verlauf der Reaktion auf Vorfälle zu klären. Sie ermöglichen es nicht nur, alle notwendigen Arbeiten zur Lokalisierung des Vorfalls und zur Bekämpfung des Angriffs vollständiger auszuführen, sondern auch in einfacheren Fällen unnötige Bewegungen zu vermeiden.
Sag mir, wer dein Freund ist und ich werde dir sagen, wie du sein sollst
Und natürlich ist die Tiefe des Fachwissens des Reaktionsteams auch bei der Entwicklung von Spielbüchern wichtig. Zu Beginn unserer Arbeit als kommerzieller SOC wurde unsere gesamte Kommunikation durch eine engagierte Person im Informationssicherheitsdienst des Kunden aufgebaut. In diesem Fall sprachen wir über einen Mitarbeiter, sogar einen jungen Studenten mit einer speziellen Ausbildung, der von Zeit zu Zeit auf verschiedene Vorfälle reagiert, sein eigenes Fachwissen sammelt und seine Arbeit immer effizienter erledigt.
Wir können Playbooks bedingt in zwei Typen unterteilen - technische und geschäftliche. Der erste beschreibt den Prozessablauf bei der Behandlung eines Vorfalls und wird für ein Reaktionsteam eines seriösen Kunden erstellt. Und die zweite ist eine Beschreibung der Kette von Abteilungen, die an dem Vorfall beteiligt sind, und der Verbraucher ist eher das Linienmanagement. Dementsprechend ist es sehr wichtig, „Ihr Publikum zu kennen“, da sonst „Übersetzungsschwierigkeiten“ mit dem Verständnis und der Interpretation verbunden sind.
In letzter Zeit haben Kunden zunehmend IT-Abteilungen, Geschäftsbereiche, Technologen oder sogar Helpdesk direkt in den Antwortprozess einbezogen. Und das führt oft zu Zwischenfällen. Zu Beginn der Pandemie waren mehrere Kunden (wie das ganze Land) unerwartet gezwungen, ihre Benutzer massiv auf den Fernzugriff zu übertragen. Da der zweite Authentifizierungsfaktor nicht schnell implementiert werden konnte, wurde Folgendes als temporäres Schema vereinbart: Jede privilegierte Remoteverbindung wurde vom Helpdesk durch einen Telefonanruf überprüft. In Ermangelung eines Feedbacks wurde die Frage an den Geschäftsinhaber des Systems weitergeleitet, der entscheiden konnte, die Arbeit fortzusetzen oder das Konto zu sperren, bis die Umstände geklärt waren - bei Verdacht auf inkonsistente Aktivitäten.Im Playbook für den Helpdesk haben wir die Verfahren zum Anrufen und Suchen von Kontakten des Geschäftsinhabers so detailliert wie möglich beschrieben. Sie haben jedoch nicht geschrieben, was der Helpdesk-Mitarbeiter tun soll, wenn er einen Befehl zum Sperren des Kontos erhält (und der Dienst hatte solche Rechte). Und der allererste Testlauf des Vorfalls zeigte, dass der Helpdesk-Spezialist nach Erhalt eines Briefes mit der Meldung "unzulässig, blockierend" die Anwendung einfach geschlossen hat, ohne eine Blockierung durchzuführen.
Tipp 5. Halten Sie es einfach. Es ist äußerst wichtig, die Besonderheiten der Qualifikation und der "Fluidität" der Ressourcen im Reaktionsteam zu berücksichtigen und das Spielbuch von grundlegenden Anweisungen mit Freiheitsgraden für einen Spezialisten zu einem schrittweisen "Alphabet" für externe Dienste zu zerlegen.Die Entwicklung eines Reaktionsprozesses ist für jedes Unternehmen eine sehr kreative Sache. Es ist jedoch sehr nützlich, sowohl Ihre eigenen als auch die Erfahrungen anderer zu berücksichtigen. Und möge NIST bei dir sein.