Миллион алертов в день: как защитить инфраструктуру и не сойти с ума

В начале лета аналитическая компания Gartner опубликовала свое исследование тенденций в области кибербезопасности. И первым пунктом в нем стоит необходимость перехода от отдельных инструментов ИБ к высокоинтегрированным решениям, имеющим сквозной доступ ко всем элементам ИТ-инфраструктуры, включая сетевую среду. Вызовы нового времени не позволяют действовать в рамках прежней парадигмы, когда ИБ-эксперты в SoC (Security Operation Center) отслеживали события, поступающие по разным каналам, распределяя свое внимание между конечными устройствами, почтовыми сервисами, элементами сетевой инфраструктуры, вычислительными нагрузками и пр.

Столь однозначный вывод Gartner вполне объясним. Количество инцидентов кибербезопасности в мире продолжает расти. По данным Accenture, частота атак только с 2018 по 2019 год выросла на 11%. Если же сравнивать с отнюдь не спокойным 2014 годом, прирост составил целых 67%. И это лишь зарегистрированные случаи, в то время как значительная часть успешных атак остается вовсе незамеченной или «всплывает» спустя месяцы.

В 2020 ситуация еще больше осложнилась с приходом пандемии. Многие предприятия перевели сотрудников на удаленную работу, максимально растянув и истончив периметр безопасности своей ИТ-инфраструктуры благодаря массовому использованию средств удаленного доступа в корпоративную сеть. Плохо защищенные домашние компьютеры и мобильные устройства сотрудников превратились в прекрасные «точки входа» для злоумышленников всех мастей.

В это же время страх перед коронавирусом заставил множество людей лихорадочно искать любую информацию о нем самом и средствах защиты от него. Это вызвало огромный всплеск активности распространителей соответствующих фишинговых писем и поддельных сайтов. По данным Trend Micro, в первой половине 2020 года было зафиксировано почти 9 млн атак, таки или иначе эксплуатирующих тему COVID-19. В России за первую половину 2020 года зафиксировано более 655 млн атак с использованием электронной почты, в Украине и Казахстане — 167 млн и 56 млн соответственно. Тем временем, уже к апрелю этого года компания Google вынуждена была ежедневно блокировать 17 млн. почтовых отправлений, содержащих недостоверную информацию о пандемии, опасные ссылки и вложения. К сожалению, не у всех компаний корпоративная почта расположена у такого же ответственного провайдера.

Роль эффективного и своевременного обнаружения вторжений в охраняемую инфраструктуру в таких условиях сложно переоценить. Проблема лишь в том, что ни один центр реагирования на киберугрозы не в состоянии уследить за каждой «лазейкой». Обычно наибольшее внимание уделяется самому потенциально опасному направлению — конечным устройствам. В итоге мы получаем анекдотические случаи. Такие, например, как знаменитая кража базы данных VIP-клиентов американского казино. Злоумышленники взломали подключенный в WiFi-сети термостат одного из установленных в казино аквариумов. Через него они проникли во внутреннюю сеть предприятия и выкачали в общей сложности более 10 Гбайт весьма чувствительной информации.

Очевидно, что цунами киберугроз можно противопоставить только полный контроль над всей ИТ-инфраструктурой. Но как это сделать в условиях, когда по данным опроса 179 ИБ-специалистов, проведенного компанией Imperva, 55% экспертов получают свыше 10 тыс. уведомлений об угрозах в день? В 27% случаев эта цифра достигала миллиона!

Миллион уведомлений в день от десятков разных защитных инструментов. Понятно, что подразделения информационной безопасности по всему миру сталкиваются с одними и теми же современными вызовами:

— необходимость радикального снижения времени реагирования на инциденты;

— перегруженность уведомлениями;
— необходимость управлять не интегрированными между собой продуктами.

Ответ на эти вызовы приходится собирать из нескольких элементов. Во-первых, жизненно необходима система, способная отследить подозрительные события во всех элементах инфраструктуры, будь то почтовый сервер, виртуальная машина в облаке или сетевой коммутатор. Во-вторых, для обработки этого огромного потока информации требуется широкое внедрение в средства ИБ технологий «больших данных». В-третьих, обработка этих данных должна быть возложена на системы искусственного интеллекта, способные выявить не отдельные подозрительные события, а их корреляции, укладывающиеся в паттерны разных типов атак.

Одновременно ответить на все три вызова и призваны решения на базе технологии XDR —кроссуровневого обнаружения скрытых угроз и реакции на них. Кстати, XDR в своем отчете Gartner упоминает прямым текстом. Рассмотрим их подробнее.

На сегодняшний день аналитика информационной безопасности представляет собой очень непростую задачу. И в первую очередь это происходит из-за отсутствия возможности сквозной визуализации событий при проведении расследований.

Системы безопасности класса EDR обеспечивает визуализацию подозрительной активности на рабочих станциях. При этом анализ сетевого трафика осуществляется уже другими средствами. Минимальную прозрачность для средств ИБ обычно имеют и облачные решения вкупе с корпоративной почтой.

Каждая из этих сред генерирует отдельный поток событий, поступающих в систему SIEM (Security Information and Event Management). Проблема в том, что эти уведомления приходят без контекста и возможности сопоставить их с другими сетевыми событиями.

В таких условиях сложно создать эффективную систему приоретизации, позволяющую надежно отделять требующие немедленного вмешательства инциденты от множества не несущих угрозы незначительных изменений.

Развитие сложных атак подразумевает перемещение активности злоумышленников по инфраструктуре компании-жертвы, что усложняет восстановление целостно картины произошедшего.

Быстрое обнаружение вторжения и возможность оперативного реагирования на него предоставляет подход XDR (X Detection and Response), где X означает корпоративную среду в целом, а не какой-либо ее отдельный элемент, как в случае с EDR. Главным преимуществом XDR является возможность централизованного сбора не только событий безопасности, но и телеметрической информации с конечных точек, сетевого оборудования, почтовых сервисов и облачных структур. Результатом работы системы, созданной на основе принципов XDR, является полное и подробное описание каждой выявленной атаки с перечнем всех вовлеченных элементов сети.

Понятно, что обработать такой объем информации не по силам ни одному SOC, поэтому для реализации принципов XDR необходимо привлечение технологий обработки больших данных и искусственного интеллекта. Только так можно оперативно обнаружить в сети характерные для различных типов атак паттерны событий и принять контрмеры.

Системы XDR подразумевают глубокую интеграцию различными с защищающими сеть продуктами. Если в качестве характерного примера рассматривать решение Trend Micro XDR, то речь идет о продуктах Deep Discovery Inspector (сеть), Cloud App Security (почта), Apex One (рабочие станции) и Workload Security (вычислительные нагрузки и облачная инфраструктура).

Некоторые вендоры XDR предлагают использовать эту систему в качестве надстройки над отдельными продуктами других производителей, однако такой подход представляется менее эффективным, чем объединение единого стека решений, максимально глубоко интегрированных друг с другом еще на стадии разработки и согласования перекрестных форматов данных для обмена.

Каждый из вышеперечисленных продуктов выполняет роль сенсора для сбора телеметрии. И это не только уведомления об угрозах. Большое количество самой разной разнородной информации об активности поступает в «озеро данных» (Data Lake), после чего в рамках решения Trend Micro XDR производится ИИ-анализ этой информации и поиск возможных корреляций. При этом привлекаются сведения, полученные из глобальной базы данных об угрозах. Как только информацию о новой угрозе попадает в один из 15 исследовательских центров Trend Micro, каждый экземпляр XDR, где бы он не находился, автоматически проверяет вверенную ему есть на наличие характерных паттернов активности.

Здесь надо отметить, что XDR сама по себе не заменяет SIEM или SOAR (Security Orchestration, Automation and Response), но интегрируется с ними через программные интерфейсы (API), отправляя не постоянный поток уведомлений, а немногочисленные высокоточные сообщения, содержащие полную информацию об атаке.

Интерфейс Trend Micro XDR позволяет визуализировать атаку в виде наглядной схемы, состоящей из вовлеченных узлов и векторов между ними. Схема может быть детализирована вплоть до отдельных файлов, процессов, сетевых соединений и пр. Понимание ситуации облегчают наглядное цветокодирование и полный перечень произведенных злоумышленником манипуляций и использованных уязвимостей, собранный в отдельный список с инструментами навигации.

Панель управления позволяет начать борьбу с проникновением сразу же, на той самой вышеупомянутой схеме, закрывая соединения или блокируя процессы при помощи привычных контекстных меню.

Средства визуализации сетевых коммуникаций Trend Micro XDR позволяют не только увидеть задействованные в атаке каналы связи, но и «воспроизвести» в хронологическом порядке всю процедуру проникновения.

Cтремление снизить нагрузку на клиентские SOC побудило Trend Micro дополнительно предложить в качестве услуги еще и экспертизу собственных специалистов по ИБ. Эта услуга получила название Managed XDR и в ее рамках анализом поступивших от системы сообщений занимаются уже «безопасники» на стороне компании-поставщика. Работая в режиме 24x7, они могут использовать самые последние экспериментальные технологии, отфильтровывать ложные срабатывания и даже учитывать при анализе сведения об угрозах, которые не могут быть обнародованы публично.

Результатом усилий экспертов Trend Micro является не только детальный план атаки, но и механизм реакции на нее, решение о применении которого, конечно, принимает заказчик услуги.

В целом нельзя не согласиться с мнением аналитиков Gartner: будущее интеллектуальных систем информационной безопасности неизбежно будет строиться на принципах создания единой контролируемой среды, охватывающей все сетевые уровни, в которой разрозненные прежде инструменты сольются в общую «иммунную систему» ИТ-инфраструктуры, активно использующую средства искусственного интеллекта для снятия избыточной нагрузки со специалистов SOC и автоматического проведения предварительного расследования сложных атак.