Разработка сценариев выявления и реагирования на угрозы

Разработка сценариев выявления и реагирования на угрозы
0346b5666cd525ee21b1e5f0e6450f4a.jpg

Волна атак вымогательским ПО регулярно «проходится» по крупнейшим мировым корпорациям. Тактика вымогателей стандартная: кража конфиденциальных данных и последующий шантаж их раскрытия.

Злоумышленник получает доступ к определенным базам данных и информационным системам и, постепенно продвигаясь горизонтально в инфраструктуре, похищает конфиденциальную информацию со скомпрометированных ресурсов. Надо отметить, что время между компрометацией внутренних систем и непосредственно деструктивной атакой (шифрованием, кражей данных и т.д.) может быть довольно большим. Так, в случае с компанией Gyrodata (крупная международная энергетическая компания со штаб-квартирой в Хьюстоне), которая пострадала от вымогателя весной 2021 года, эксперты ИБ в своем расследовании убедились, что злоумышленники прибегали к периодическому неавторизованному доступу к системам начиная с января 2021 года (за 3 месяца до атаки!) для скачивания данных. Если бы ИБ-служба компании вовремя успела отработать инциденты безопасности, связанные с неавторизованным доступом во внутреннюю инфраструктуру, то масштабной утечки данных можно было бы избежать.

С другой стороны, с учетом скорости развития глобальной информатизации растет и поток событий ИБ, требующих оперативной аналитической обработки, для которой необходимо достаточное количество профессиональных ресурсов – как человеческих, так и информационных.
Поэтому, по данным CISO Benchmark Report 2020, ИБ-эксперты компаний вынуждены смещать внимание в сторону идентификации инцидента, а не активного ему противодействия и восстановления последствий.


Соотношение типов действий с инцидентом по годам:

Идентификация инцидента (Identify)

Детектирование (Detect)

Ответные действия (Respond)

Устранение последствий
(Recovery)

2019 г.

21%

20%

18%

17%

2020 г.

27%

18%

15%

14%

Другие исследования указывают на системную нехватку экспертного времени при работе с Центрами мониторинга событий:


  • С контролируемых источников лишь 93% событий и оповещений по технологическим причинам попадает в Pipeline SecOps.

  • Из них 44% остаются непроанализированными, зачастую в виду высокого FPR или недостаточного количества соответствующих кадров, их квалификации или качественно проработанной сценарной базы по выявлению и реагированию.

  • Таким образом, лишь 56% из 93% всех событий и оповещений анализируются аналитиками, а меры предпринимаются лишь в половине из проанализированных случаев.

С учетом данной ситуации компаниям необходимо осуществлять качественный выбор наиболее актуальных сценариев реализации угроз и соответствующих тактик / техник / процедур кибератак (далее – TTP), а также соответствующих сценариев их выявления и реагирования.

В условиях дефицита кадров ИБ обеспечить повышение операционной эффективности подразделений ИБ, отвечающих за направление мониторинга безопасности (Security Operations), можно только через регламентирование и максимальную автоматизацию данного процесса за счет разработки сценариев выявления и реагирования на угрозы.

Группа компаний Angara для оптимизации работы Центра мониторинга событий ИБ предлагает услугу «Разработка сценариев выявления и реагирования на угрозы».

«Услуга предлагает автоматизированную атрибуцию актуальных сценариев реализации угроз и соответствующих TTP, вероятностно наиболее подходящих под информационную инфраструктуру и сферу деятельности конкретно вашей компании, с последующей разработкой соответствующих сценариев их выявления, с наполнением внутренней базы знаний ИБ вашей компании и корректировкой существующих настроек аудита контролируемых информационных активов», –  рассказывает Тимур Зиннятуллин, директор Центра киберустойчивости ACRC.

В качестве матриц используются: MITRE ATT&CK®, БДУ ФСТЭК, MITRE SHIELD®. Дополнительно в случае, если полезная нагрузка от применения механизмов противодействия (mitigation) превышает полезную нагрузку от разработки сценариев выявления, выдаются соответствующие рекомендации по реализации компенсирующих мер.

Услуга актуальна для компании всех отраслей экономики, где требуется повышение операционной эффективности ИБ, в частности по направлению мониторинга событий. Эксперты Центра киберустойчивости ACRC разработают подходящие для конкретной ИТ-инфраструктуры и актуальных векторов угроз:


  • необходимые для реализации сценариев параметры и настройки аудита;

  • корреляционные правила для SIEM-систем и бумажные карты реагирования (runbooks);

  • статьи для внутренней базы знаний (xWiki, Confluence и т.д.);

  • автоматизированные карты реагирования (Playbooks) для IRP/SOAR-систем.
Alt text

Чем страшны "Алхимик", "Евангелие" и "Глубина мудрости”? Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей на нашем Youtube канале.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group