Spis treści
SIEM jako główny system bezpieczeństwa w każdym SOC
SecOps ma wiele systemów monitorujących bezpieczeństwo w swoim arsenale, co przedstawiono na rysunku 1. Głównym systemem używanym przez Security Operations Center (SOC) jest system SIEM, który koreluje logi z wielu źródeł danych, takich jak systemy operacyjne, bazy danych, urządzenia sieciowe, aplikacje czy systemy bezpieczeństwa, w celu wykrycia potencjalnych zagrożeń i naruszeń polityki bezpieczeństwa.
Ze względu na to, że zebrane dane znajdują się w jednym miejscu, mogą być korelowane według charakterystycznych atrybutów w różnych kontekstach, co pozwala na skuteczne wykrywanie anomalii lub zagrożeń bezpieczeństwa. Jednak dla wielu organizacji zebranie wszystkich informacji ze „wszystkiego” jest niemal niemożliwe ze względu na politykę retencji i ograniczenia przestrzeni dyskowej na dane. W takich przypadkach warto rozważyć, czy zamiast przesyłać miliardy przepływów sieciowych bezpośrednio do SIEM, lepiej jest przetwarzać je w dedykowanym systemie NSM, np. Sycope, a następnie przesyłać do systemu SIEM tylko informacje o wykrytych anomaliach i nadużyciach, aby użyć ich w korelacjach między systemami.
Monitorowanie ruchu sieciowego
Mówiąc o monitorowaniu ruchu sieciowego, często mamy na myśli ruch z urządzeń sieciowych w postaci logów z zapór sieciowych i routerów, pakietów lub przepływów. Każde z nich ma inny poziom szczegółowości. Tabela 1 przedstawia porównanie przechwytywania pakietów (pcap) i kolekcji Netflow. Netflow to rodzaj metadanych sieciowych agregowanych według pięciokrotki: adresy IP (źródłowy i docelowy), porty (źródłowy i docelowy) i protokół.
Monitoring przepływów to bardzo ważna część projektowania możliwości obronnych
Systemy Network Security Monitoring (NSM) zwiększają widoczność podejrzanej aktywności w kontekście całej organizacji. Tylko na podstawie monitorowania przepływów sieciowych istnieje szansa wykrycia wielu czerwonych flag, które generują atakujący nawet podczas zaawansowanych ataków ukierunkowanych. Lista przykładów taktyk i technik MITRE ATT&CK, które można wykryć na podstawie przepływów sieciowych, została pokazana na rysunku 2.
Z punktu widzenia monitorowania tylko przepływów sieciowych istnieje szansa wykrycia nawet około 10% technik wykorzystywanych przez przeciwników zdefiniowanych w bazie wiedzy ATT&CK MITRE. To całkiem dużo, biorąc pod uwagę, że istnieje co najmniej 40 źródeł danych (rys. 3) używanych do wykrywania zagrożeń bezpieczeństwa.
Ślady dowodowe aktywności hakerskiej można zaobserwować dzięki odpowiedniemu monitorowaniu metadanych sieciowych, czyli przepływów sieciowych. Istnieje wiele scenariuszy działań przeciwnika, które obrońcy (Blue Teamy) mogą wykryć na podstawie tego źródła danych. Można praktycznie wykryć działania z każdej taktyki MITRE – od rozpoznania po wpływ. Przykłady takich wykryć zagrożeń wdrożonych w systemie Sycope w kontekście konkretnych taktyk przedstawiono na rysunku 4.
Korelacje między systemami
Aby skutecznie wykrywać zagrożenia bezpieczeństwa, nie wystarczy skupić się tylko na monitorowaniu ruchu sieciowego. Alerty z jednego źródła mogą czasami niejednoznacznie informować o wykrytym problemie. Z drugiej strony, zbyt ostro ustawione progi w regułach korelacji mogą spowodować pominięcie niektórych incydentów. Rozwiązaniem może być wdrożenie dokładniejszych reguł korelacji między systemami, wykrywających anomalie pochodzące z różnych źródeł danych występujące w określonej jednostce czasu. Dlatego korelacje między systemami są bardziej skuteczne, szczególnie podczas operacyjnej obsługi incydentów przez SOC, gdzie ważne jest ograniczenie liczby fałszywych alarmów. Alerty z korelacji między systemami można priorytetyzować do obsługi w SOC, ponieważ jeśli wykrywane są anomalie bezpieczeństwa w kontekście niektórych parametrów na podstawie różnych źródeł danych, istnieje ryzyko rzeczywistego incydentu bezpieczeństwa. Na przykład pojedynczy alert dotyczący ataku brute force na usługę WS-Management powinien mieć inny priorytet obsługi niż ten sam alert dodatkowo skorelowany z anomaliami wykrytymi na podstawie logów Sysmon (rys. 5).
Kolejny przykład pokazuje, jak dokładniej wykryć atak DDoS. Pomimo że wiele ataków tego typu, zwłaszcza wolumetrycznych, można wykryć na podstawie monitorowania Netflow, dodatkowe monitorowanie logów z aplikacji webowych wyraźnie potwierdza wystąpienie takiego ataku.
Ostatni przykład pokazuje, jakie artefakty sieciowe wykryte na poziomie przepływów sieciowych i logów Sysmon są pomocne w wykrywaniu tunelowania ruchu przy użyciu protokołu DNS.
Wnioski
Na podstawie powyższych przykładów widać, że monitorowanie przepływów sieciowych to niezwykle wartościowe źródło danych w procesie monitorowania bezpieczeństwa, ponieważ umożliwia wykrycie wielu technik ataku stosowanych przez cyberprzestępców. Ponadto korelując anomalie sieciowe na podstawie przepływów z innymi źródłami danych, otrzymujemy dodatkowe potwierdzenie wykrytego zagrożenia, co jednocześnie zmniejsza liczbę fałszywych alarmów. Monitorowanie przepływów sieciowych można przeprowadzać zarówno za pomocą dedykowanego systemu klasy Network Security Monitoring, np. Sycope, jak i bezpośrednio w systemie klasy SIEM. Pierwsza opcja pozwala na wysyłanie alertów generowanych przez system NSM do SIEM, a druga na analizę ruchu Netflow bezpośrednio w systemie SIEM. Wybierając drugą opcję, musimy dostosować środowisko SIEM do obsługi setek milionów przepływów na sekundę i często zakupić dodatkowe licencje. Niezależnie od wybranej ścieżki, należy dążyć do projektowania reguł bezpieczeństwa w oparciu o jak największą liczbę źródeł danych, tak aby liczba czerwonych flag pozostawionych przez atakujących była jak największa i zgodna z procesem obsługi incydentów bezpieczeństwa w organizacji. Należy również pamiętać, że bezpieczeństwo to proces ciągły, więc nie istnieje skończona liczba scenariuszy bezpieczeństwa, które można wdrożyć w dowolnym systemie monitorowania.
