С октября 2015-го по март 2016 года FinCERT зафиксировал 21 атаку. Банкам удалось «отбить» у злоумышленников только 1,6 из 2,87 млрд рублей. Схема краж была такова: по электронной почте отправлялось «невидимое» для антивирусов вредоносное ПО. Далее с помощью SMB-запросов сканировалась локальная сеть для заражения других машин, на которые потом загружался ботнет-клиент с функцией удаленного управления. Что можно противопоставить такой атаке?

Система класса SIEM (Security Information and Event Management), например, с помощью дополнительных средств может отметить, что несколько сотрудников получили одинаковые вложения. Если с их компьютеров одновременно начнут уходить SMB-запросы (протокол для доступа к сетевым ресурсам в Windows), то это вызовет подозрения. Сопоставление этих событий могло бы помочь детектировать атаку. Но можно подождать и загрузки ботов на зараженные ПК. Сам факт того, что с нескольких компьютеров по HTTP кто-то «отстучался» одинаковыми запросами, а содержимое веб-страницы, куда заходили боты, было нехарактерно для конкретного человека, позволяет поднять тревогу. Вспомним историю банка «Кузнецкий», когда злоумышленники от имени сотрудника, ответственного за отмену транзакций, в автоматическом режиме отменили около 3 тыс. операций. Сумма ущерба составила порядка 470 млн рублей. Даже если SIEM-система пропустила бы все шаги злоумышленников при входе в инфраструктуру Банка, то количество операций по отмене транзакции (это редкая и не самая элементарная операция и не может выполняться ежесекундно) — явная аномалия. И сигнал тревоги поступил бы уже после первых из них.

Для идентификации подобных событий в банке должны быть системы обнаружения, такие как IDS или средства анализа трафика, но только SIEM на ранней стадии сможет связать все эти события в единую цепочку. При этом не нужно объяснять необходимость SIEM-системы: инциденты ИБ, как бы мы ни желали обратного, происходят, их необходимо расследовать, и нужные данные мы сможем найти только в системах класса SIEM — не говоря уже о многочисленных требованиях регуляторов и стандартов (как зарубежных, так и отечественных), в рамках которых SIEM необходима.

Почему SIEM кладут на полку

Большинство крупных организаций, в том числе и банков, сегодня оснащено обширным списком средств защиты. Но массовость атак и их успешность свидетельствуют о том, что SIEM-системы оказываются неэффективными. По статистике Mandiant средний период между компрометацией инфраструктуры и обнаружением злоумышленника составляет 146 дней, а максимальный срок, зафиксированный нами, — семь лет. Получается, что разрыв между сроком компрометации инфраструктуры и временем обнаружения атаки недопустимо велик. Почему же все так плохо? Причин этому несколько.

Во-первых, надо понимать, что целенаправленные атаки (APT) не обнаруживаются средствами защиты сходу. Они выявляются только через множество разрозненных некритичных событий, выстраиваемых в цепочку. А в случае с классическими SIEM-системами ее приходится выстраивать для каждой отдельной системы и инфраструктуры. Это колоссальные затраты на создание и поддержку правил в актуальном состоянии.

Во-вторых, типичный SIEM отличается сложностью и трудозатратностью внедрения: нужны интеграция и обеспечение взаимодействия со множеством систем. SIEM часто напоминает автомобиль, половину времени простаивающий в сервисе: его надо постоянно «дотюнивать» вслед за конфигурационными изменениями (едва ли не ежедневными) в IT-инфраструктурах. В этом кроется одна из причин того, почему буквально через один-два года после внедрения они просто «кладутся на полку».

Работа системы основана на сборе данных обо всем, что происходит в рамках инфраструктуры. Поэтому нельзя обойти вниманием вопрос подключения источников информации, а их число может исчисляться десятками. Этот длительный и крайне трудозатратный процесс. Практически ни одна SIEM-система не обеспечивает достаточное покрытие источников «из коробки». И это тоже одна из причин их слабой эффективности. Подключение всех существующих источников заказчика в рамках проекта внедрения, как и подключение новых в рамках последующей технической поддержки, без перекладывания этих задач на заказчика или на интегратора — уникальная ситуация.

Мы все поменяли

Систему MaxPatrol SIEM отличают гибкость и адаптивность к изменяющейся инфраструктуре: все имеющиеся и получаемые данные — конфигурация узла и его настройки, установленное ПО, сетевая активность, логи — унифицируются и выстраиваются вокруг каждого из активов с учетом их расположения и взаимосвязей (актив — любой элемент инфраструктуры, сетевой узел, идентифицируемый по различным признакам). Система постоянно обогащается данными из новых событий, сканирований, сетевого трафика и от агентов на конечных точках, благодаря чему в MaxPatrol SIEM выстраивается виртуальная модель инфраструктуры предприятия, актуальная в любой момент времени. MaxPatrol SIEM «понимает» любую инфраструктуру, автоматически подстраиваясь под изменения, а все эти данные используются в правилах корреляции.

Концепция MaxPatrol SIEM предусматривает возможность передачи экспертизы заказчику. Для этого мы внедряем базу знаний Positive Technologies Knowledge Base (PTKB) — высокоуровневый постоянно пополняемый набор данных, основанный на нашем 15-летнем опыте проведения тестов на проникновение и аудитов защищенности. Связка системы с PTKB позволит получать новые данные об известных моделях атак и паттернах поведения хакеров, учитывать новые уязвимости и эксплойты, автоматически обновлять правила корреляции. При этом новые правила корреляции, построенные на унифицированных активах, автоматически накладываются на инфраструктуру заказчика, не требуя ручной настройки.

В результате для эффективной эксплуатации SIEM компании не обязательно иметь в штате обширную команду аналитиков, а управление из единого интерфейса позволяет решать типовые задачи силами даже одного эксперта.

Реклама