Muchos de los que se han encontrado con SIEM están familiarizados con el desarrollo de reglas de correlación. Los fabricantes de soluciones SIEM, SOC comerciales, integradores, todos proponen sus propias reglas y afirman que son mejores que otros. ¿Es esto realmente así? ¿Cómo elegir un proveedor de reglas? ¿Qué es la experiencia SIEM? Pensemos en estos temas debajo del corte.



Como siempre, la conclusión contiene todos los puntos clave del artículo.

Cualquier especialista en seguridad de la información, tarde o temprano, comienza a utilizar sistemas SIEM o algunos elementos individuales de sistemas de esta clase.

Una parte importante de SIEM son las reglas de correlación: conocimiento que le permite resolver el problema de identificar incidentes de seguridad de la información. Pueden desarrollarse por sí mismos, delegarse al integrador o, si están conectados a un SOC comercial, utilizar el conocimiento de sus especialistas. Como puede ver, hay muchas fuentes de reglas de correlación en SIEM, por lo que la pregunta surge de manera natural. Esta tarea es especialmente relevante si su empresa no cuenta con especialistas dedicados para las tareas de SIEM. En este caso, usted o sus colegas deben administrar varias herramientas de seguridad a la vez y, además, SIEM.

Aproximadamente un mes después de la implementación de SIEM, se llega a comprender que esta clase de soluciones requiere costos laborales considerables. El arte de los ataques a los sistemas de información está en constante evolución. Lleva tiempo rastrear las tendencias modernas, analizarlas, evaluar la aplicabilidad a su infraestructura y también escribir reglas de correlación para identificar ataques. Como regla general, los especialistas no tienen suficiente tiempo para esto.

Ante tales problemas, las empresas deciden construir su SOC y atraer especialistas dedicados, o encontrar proveedores externos de reglas de correlación. A continuación, discutiremos cómo elegir un proveedor y si el cliente final solo necesita reglas de correlación.

Examen y sus propiedades.

Por experiencia nos referimos a un conjunto de reglas de correlación, conocimiento experto y datos que son mínimamente necesarios para identificar y responder a incidentes. La experiencia es proporcionada por el proveedor (el fabricante de la solución SIEM o SOC), y el cliente es su consumidor.

Los desarrolladores de SIEM, los proveedores de MSSP / SOC, los integradores y la comunidad pueden proporcionar reglas de correlación. Todos postulan que sus reglas de correlación son cualitativas. Es cierto que a menudo el concepto de calidad se reemplaza simplemente por el número de reglas disponibles. ¿Es la cantidad un indicador de calidad? En el caso general, esta es una declaración controvertida. El examen cualitativo tiene las siguientes propiedades:

1. Identifica con precisión las infracciones en una infraestructura específica del cliente.
2. Revela las amenazas actuales de clase mundial. Identifica amenazas específicas para un país específico y un cliente de la industria.
3. Tiene un componente reactivo y uno proactivo.
4. Explica al cliente los resultados de su conclusión lógica.
5. Proporciona aclaraciones sobre los próximos pasos para responder a un incidente identificado.

Algunas de estas propiedades imponen requisitos al desarrollador del examen, y otras al resultado de su trabajo: las reglas de correlación y los materiales relacionados.

Desarrollador de experiencia y sus competencias.

¿Con base en qué criterios elegir un proveedor? Hemos formulado seis propiedades básicas que caracterizan la experiencia de calidad. Para garantizarlos, el proveedor de reglas debe:

• Identificar las amenazas actuales de clase mundial . Estos pueden ser proveedores que tienen sus propios centros analíticos especializados en detectar y analizar ataques. Deben monitorear regularmente los últimos tipos de ataques y enfoques para violar la seguridad de la información de los sistemas.
• Identificar amenazas específicas para un país en particular y la industria del cliente . En cada país, el panorama de amenazas y la lista de tipos de ataque pueden tener sus propios detalles. Por lo tanto, al elegir un proveedor, es importante que su centro analítico tenga un enfoque claro en el seguimiento de las amenazas inherentes exactamente en el país en el que se encuentra la infraestructura de su empresa. Los especialistas del centro no solo deben comprender las características específicas de las amenazas en un país en particular, sino que también deben poder responder rápidamente a ellas. No debería ser que el proveedor responda a una nueva amenaza regional una semana después de su ocurrencia, solo porque su región no es una prioridad para él en términos de negocios.
• Tener un componente reactivo y uno proactivo . No es suficiente reclutar analistas de Pentester en el centro. Es importante que estos expertos no solo entiendan y sepan cómo descifrar los sistemas, sino que también sepan cómo detectar intentos de piratería y prevenirlos, o detenerlos en las primeras etapas. La práctica muestra que se presta poca atención a este aspecto: a menudo los centros analíticos se construyen a partir de expertos, ya sea solo en el campo de ataque o solo en el campo de defensa, lo que ciertamente afectará el nivel de experiencia que producen.
• Identifique con precisión las infracciones en una infraestructura específica del cliente . El proveedor debe tener una metodología para desarrollar reglas de correlación que puedan adaptarse a la infraestructura específica del cliente. Esto es necesario para minimizar el número de falsos positivos para las reglas. Una gran serie de artículos titulados "Reglas de correlación que funcionan fuera de la caja" se dedicó a este tema. Es importante recordar que el proceso de "desarrollo industrial" preciso de las reglas de correlación debe desarrollarse en el proveedor. De esto se desprende que:
  
  • las reglas deben ser probadas en sistemas vivos, no sintéticos;
  • durante el proceso de prueba, esos tipos de ataques deben reproducirse en vivo, para detectar a qué se dirige la regla de correlación probada;
  • Se deben realizar pruebas de carga y regresión para confirmar la compatibilidad de las reglas con SIEM;
  • el proveedor debe emitir actualizaciones para las reglas emitidas previamente si resulta que las reglas tienen una gran cantidad de falsos positivos;
  • SIEM y el propio proveedor deben tener canales para la entrega rápida de actualizaciones y nuevas reglas de correlación para los clientes finales.

El conjunto de requisitos es bastante amplio. Desafortunadamente, si seleccionamos a un especialista que pasará 2 horas al día en esta actividad para desarrollar reglas de correlación, esto no permitirá lograr la misma experiencia de alta calidad.

Reglas de correlación y su entorno.

Ahora veamos las reglas de correlación a través de los ojos del cliente. Quiere recibir reglas de calidad del proveedor y activarlas sin problemas en su SIEM. De hecho, no todo es tan simple.

Para que las reglas funcionen, debe conectar las fuentes necesarias a SIEM. Deben configurarse para generar los eventos necesarios para las reglas. Mirando la regla en sí, es importante que la lógica de su trabajo se entienda a partir de ella. Además, el cliente debe comprender cómo reaccionar si la regla funciona.

Las reglas de correlación por sí solas no son suficientes para llamarse experiencia. El examen son las reglas de correlación, junto con un entorno adicional, cuyos elementos están interconectados y pueden organizarse en un circuito cerrado: el denominado examen de circuito cerrado.


Experiencia en circuito cerrado

Considere cada eslabón en esta cadena:

1. Proveedor / Fabricante SIEM . El examen comienza con el hecho de que un proveedor con las competencias relevantes desarrolla reglas de correlación de acuerdo con el proceso tecnológico.
2. Lista y configuración de fuente . Las reglas de correlación desarrolladas se proporcionan con una descripción de esas fuentes en función de las cuales funciona la regla de correlación. El proveedor también describe en detalle cómo se debe configurar la fuente para que proporcione la generación de los tipos de eventos requeridos. Será una buena forma si el proveedor presenta una instancia de los eventos ellos mismos.
3. Descripción de la lógica de la regla . Para que el cliente entienda qué principios de activación se establecen en las reglas de correlación, el proveedor describe la lógica de cada regla en forma de diagramas de flujo o descripciones de texto.
4. Reglas de correlación . Las reglas de correlación en sí mismas y la metodología para priorizar los incidentes generados por ellas son directamente.
5. Planes de respuesta . La activación de una regla de correlación puede ser un incidente de seguridad de la información. Es importante que el cliente comprenda cómo responder a este incidente para minimizar su impacto en la infraestructura. Además, se deben incluir explicaciones en el plan, qué datos se deben recopilar adicionalmente en caso de un incidente. Sin lugar a dudas, el cliente debe adaptar las reglas de respuesta a los detalles de su empresa. Sin embargo, como parte de los planes de respuesta, el proveedor debe reflejar recomendaciones generales sobre las acciones del usuario en caso de un incidente causado por una regla específica. Por lo tanto, el cliente tendrá algo para impulsar, adaptando el proceso de respuesta general por sí mismo.
6. Telemetria Las reglas de correlación no funcionan en un vacío esférico, sino en las condiciones específicas de la empresa del cliente. El proveedor es responsable de la calidad de las normas proporcionadas y debe comprender cómo funcionan. Por lo tanto, las estadísticas sobre el funcionamiento de las reglas deben recopilarse en SIEM.
7. Proveedor / Fabricante SIEM . La telemetría recopilada en forma anónima debe enviarse de vuelta al proveedor. Las estadísticas lo ayudan a realizar cambios rápidos en las reglas, en caso de falsos positivos. También le permite identificar nuevas técnicas y tácticas de ataque y lanzar rápidamente nuevas reglas de correlación para su detección.

El conjunto de requisitos para el proveedor, así como todos los eslabones de la cadena anteriores, se denominan colectivamente experiencia. Como puede ver, la cadena está cerrada, por lo tanto, este enfoque se designa como "experiencia en circuito cerrado".

En la actualidad, este enfoque es utilizado por los principales líderes extranjeros del mercado SIEM: IBM QRadar, Micro focus ArcSight. En Rusia, se utiliza en nuestra empresa Positive Technologies en el producto MaxPatrol SIEM. Se está desarrollando un interesante proyecto independiente del proveedor dentro de la comunidad: la cobertura de amenazas atómicas , que promueve una ideología similar. A continuación, daré una descripción, tomada de la página del proyecto.

La cobertura de amenazas atómicas le permite generar automáticamente una base de datos analítica diseñada para contrarrestar las amenazas descritas en MITER ATT & CK desde la perspectiva de detección, respuesta, prevención y simulación de amenazas. Incluye:

1. Reglas de detección: Reglas de detección basadas en Sigma (correlación), un formato general para describir las reglas de correlación para los sistemas SIEM.
2. Datos necesarios : datos que deben recopilarse para detectar una amenaza específica.
3. Políticas de registro: configuración de registro que debe realizarse en el dispositivo para recopilar los datos necesarios para detectar una amenaza específica.
4. Enriquecimientos : se necesita la configuración de datos necesarios para implementar algunas de las reglas de detección.
5. Desencadenantes : secuencias de comandos de simulación de ataque basadas en el equipo Atomic Red : pruebas atómicas / escenarios de implementación de amenazas de MITER ATT & CK.
6. Acciones de respuesta: pasos de respuesta a incidentes atómicos.
7. Cuadernos de respuestas: escenarios de respuesta a incidentes generados durante la detección de una amenaza específica, basados ​​en acciones de respuesta.
8. Políticas de endurecimiento : configuraciones del sistema que le permiten nivelar una amenaza específica.
9. Sistemas de mitigación : sistemas y tecnologías que le permiten nivelar una amenaza específica.

Por separado, noto un momento que a menudo se pierde de vista de los clientes y proveedores. A veces ocurren incidentes complejos que los especialistas del cliente no pueden resolver. El proveedor no debe dejar al cliente cara a cara con su problema: "Le entregamos las reglas, funcionan, el resto no son nuestros problemas". En mi opinión, los proveedores serios de experiencia deberían tener servicios de investigación de incidentes en su cartera, que el cliente puede usar en cualquier momento 24/7 en caso de una situación crítica.

Conclusiones

Para resumir:

1. El cliente que compró SIEM a menudo no tiene la oportunidad de asignar especialistas individuales para trabajar con una solución del 100% del tiempo de trabajo. En este caso, SIEM deja de usarse después de un tiempo.
2. Las reglas de correlación por sí solas no son suficientes para garantizar que se identifiquen las amenazas de seguridad reales. A este respecto, las reglas de correlación por sí solas no pueden llamarse experiencia. Examen: un conjunto de reglas de correlación, conocimiento experto y datos que son mínimamente necesarios para identificar y responder a incidentes.
3. El examen debe tener las siguientes propiedades :
   
   • identifica con precisión las infracciones en la infraestructura específica del cliente;
   • identifica amenazas actuales de clase mundial, así como específicas para un país específico y un cliente de la industria;
   • tiene un componente reactivo y uno proactivo;
   • explica al cliente los resultados de su conclusión lógica;
   • Proporciona explicaciones sobre pasos adicionales para responder a un incidente identificado.
4. No es suficiente suministrar reglas de Sigma ya preparadas para ser considerado un proveedor experto. El proveedor de experiencia debe cumplir una serie de requisitos .
5. La experiencia entregada consta de los siguientes elementos interconectados:
   
   • lista y configuración de fuentes;
   • descripciones de lógica de reglas;
   • reglas de correlación;
   • planes de respuesta;
   • telemetría para activar reglas.
6. Los proveedores de exámenes deben tener en su cartera servicios de investigación que el cliente pueda usar si no tiene sus propias competencias para analizar un incidente complejo.