سيبدأ غدًا منتدى V SOC ، وهو أكبر حدث حول ممارسة الكشف عن الحوادث وتحليلها في روسيا. أنا متأكد من أن العديد من قراء هذا المركز سيكونون هناك وسماع الكثير من التقارير المهنية في هذا المجال من أمن المعلومات. ولكن بالإضافة إلى المصطلحات والتعاريف والممارسة المعمول بها ، والتي يتم تغطيتها في منتدى SOC ، في الواقع ، ربما سمع كل واحد منكم الكثير من الآراء المختلفة حول عمل SOC ، والحماية من هجمات APT ، إلخ. اليوم سنناقش العديد من الأساطير والأساطير الشائعة.
نحن مهتمون برأيك في كل منها ، لذلك نحن في انتظار تعليقاتك. مرحبا بكم في القط.
الأسطورة 1 - SOC على سلسلة واحدة ، أو سحر تحليل حركة مرور الشبكة
في كثير من الأحيان ، عندما نناقش مع العميل حماية شاملة ضد المتسللين الخارجيين ، نسمع: "ولدينا الأجهزة A ، يتم إثراؤها بخبرة البائع ومعلومات حول التهديدات الجديدة ، وهو يحميننا تمامًا من الهجمات الخارجية." حسنًا ، إذا تم عرض حل مضاد متعدد APT لوحدات متعددة بعد هذه الكلمات - فستكون هناك أسئلة ، ولكن سيكون هناك القليل منها. في معظم الأحيان ، يوجد وراء هذا "الجهاز العالمي" معرفات عادية ، مع وظائف أساسية في بعض الأحيان لتحليل حركة مرور https. نحن لا نشكك في خبرة البائعين في مجال الأمن السيبراني ومعرفتهم بأنشطة المتسللين ، وكذلك فائدة تسجيل وتحليل حركة مرور الشبكة (سيتم بالتأكيد طرح هذا الموضوع مرارًا وتكرارًا في المنتدى) ، لكننا نريد مع ذلك التركيز على حدود النهج ، الذي يركز SOC فقط على أحداث الشبكة.
- لنبدأ بالقاعدة وبعضهم تعرضوا بالفعل للضرب. منذ عام 2013 ، نلاحظ هجمات القراصنة التي تتم دون استخدام البرامج الضارة على هذا النحو ، وعلى الأقل ، بدون وحدة للتفاعل مع خادم الإدارة. بالنسبة للمهاجمين ، تأتي أدوات الإدارة عن بُعد الشرعية ، والتي من خلال ملف التكوين الصحيح ، لا يمكن تمييزها عن المستخدمين الذين يرغبون في العمل من المنزل ، أو عمل المسؤولين عن بُعد في الشركات ذات المستوى المنخفض من نضج تكنولوجيا المعلومات. على مستوى أحداث الشبكة ، من المستحيل التمييز بين جلسة واحدة عن الأخرى ، وللتحليل الكامل لطريقة وأسباب بدء الجلسة ، هناك حاجة إلى معلومات من الأنظمة النهائية.
- إذا كانت فكرة RAT مثيرة للاشمئزاز للمهاجمين أو كانت غير قابلة للتطبيق في حالة هجوم معينة ، فإن بروتوكول https يأتي في عملية الإنقاذ كوسيلة للتفاعل. في نسخة من حركة المرور ، لا يمكن فك تشفير البروتوكول ، لذلك يجب أن يكون المستشعر محتويًا فقط بمعلومات حول رؤوس الحزمة. هذا مفيد فقط عندما يكون مركز التحكم في منطقة معينة ويمكن حسابه عن طريق IP. ولكن في كثير من الأحيان نتحدث عن خدمات الاستضافة الكبيرة أو الخدمات العامة (كتبنا عن اختراق صفحات وورد في وقت سابق ) ، وهو ما لا يسمح لنا بتحديد مكان الاتصال الشرعي ومكان تواجدها.
- على الرغم من فائدتها ، تسجل اتصالات الشبكة (ونتحدث عادةً عن قطعة من الحديد في المنطقة المحيطة) فقط العلاقة بين مركز التحكم والسلسلة العليا من عملاء الروبوت. غالبًا ما يستخدم المهاجمون الحاليون سلسلة من خوادم C&C الوكيل (المستوى الأول من التقاط البنية التحتية) للتواصل مع عملاء الروبوت الداخليين. في هذه المرحلة ، لا تكشف القيود المفروضة على موقع الجهاز بالكامل عن الهجوم.
- مع كل مجموعة متنوعة من تصرفات المهاجم ، فإنه لا يحتاج دوريًا إلى أن يأتي من الإنترنت على الإطلاق. من الممكن تسوية حساب الوصول عن بُعد ، ثم العمل وفقًا للحقوق الشرعية لمسؤول أو مستخدم. على نحو متزايد ، تستخدم المجموعات منهجية سلسلة التوريد ، حيث تبدأ هجومًا عن طريق اختراق أحد المقاولين ، الذي غالبًا ما يكون لديه قناة ثابتة وغير متحكم فيها بشكل سيء للبنية التحتية وجميع الحسابات المميزة نفسها. هناك المزيد والمزيد من المتجهات كل عام ، وهي أبعد وأبعد عن العلاجات الكلاسيكية.
- بشكل عام ، SOC ليس فقط عن مكافحة المتسللين. يعد المهاجمون الداخليون ، أو انتهاك سياسات IS أو الاحتيال ، أو تنزيل بيانات العميل أو المساس بها ، وغير ذلك الكثير ، جزءًا من نهج SOC الشامل. ويتطلب تقنيات وأدوات أكثر تعقيدًا في عملها.
الأسطورة 2 - SOC دون الساقين ، أو العمل دون السطر الأول
واحدة من الأساطير المفضلة لدينا. نكت عن شركة نفط الجنوب ، حيث يعمل شخص واحد فقط ، لذلك فهو خط الدعم الأول والثاني والثالث القليل ، وقد غمر الإنترنت بالفعل. لكن الكثير من العملاء ، بعد سماعهم الكثير من التقارير المختلفة وقراءة المقالات ، بدأوا يتحدثون عن الحاجة إلى قطعة سحرية من الحديد / الإجراء / التكنولوجيا (تسطير حسب الضرورة) من شأنها أتمتة وحل جميع مشكلات السطر الأول. ونظرًا لأن السطر الأول في كثير من الأحيان في رأس العميل يعادل وضع التشغيل 24 * 7 (تعمل جميع الخطوط الأخرى ، كقاعدة عامة ، وفقًا للجدول الزمني القياسي) ، فإن هذا يخلق تلقائيًا شعورًا بتخفيض كبير في تكاليف الموظفين ويولد محادثات في السطر الأول. إذا لزم الأمر ، فلنبدأ البناء فورًا مع الثانية. "
المشكلة الأساسية في هذه الأسطورة ، في رأينا ، هي الالتباس في المصطلحات. غالبًا ، عندما يتحدث المتحدث عن الخط الأول ، يسترشد بممارسات ITIL ، حيث تقع المهام الذرية في أيدي المشغلين:
- استقبال المهمة
- تصنيف
- إضافة السياق (نظام الأصول أو المعلومات)
- تحديد الأولويات أو تحديد الأولويات
- تعيين الشخص المسؤول عن النظام / الفحص / قائمة الانتظار.
عندما يتعلق الأمر بهذا النوع من المهام ، بالطبع ، ليست هناك حاجة إلى السطر الأول المخصص: هذه العمليات ، على الرغم من أنها ليست سهلة ، مؤتمتة بالكامل. ما نعنيه في السطر الأول ، لقد كتبنا بالفعل عدة مرات - على سبيل المثال
هنا ). ومع ذلك ، فإن السطر الأول ليس بديلاً عن الأتمتة ، ولا حتى فريق يعمل حصريًا على playbook. هؤلاء الموظفون فضوليون ويبحثون ، على الرغم من أن لديهم مهارات أساسية فقط في تحليل الأحداث والتحقيق في الحوادث. في مصطلحات ITIL ، سيطلق على مثل هذا الخط 2nd ، والذي يزيل على الفور جميع الأسئلة والتناقضات.
لا أريد تجاهل الأسئلة 24 * 7. حول تنظيم هذا التحول ، وكفاءة المشغلين والمحللين في الليل ، والعمى النفسي عند مشاهدة الأحداث ، قيل الكثير. الاستنتاجات الأساسية هي نفسها تقريبًا - يصبح خط SOC الأول والتحول على مدار الساعة غير فعالين وغير ضروريين. من جانبنا ، لسنوات عديدة ، جربنا أيضًا طرقًا مختلفة ، وفي الوقت الحالي ، يسمح لنا المستوى الفدرالي لـ SOC بتقليل مخاطر الإرهاق المتخصص خلال نوبة العمل الليلية (يتم إرسال حادث حرج ببساطة إلى منطقة زمنية مختلفة) ، ومع ذلك ، أود الإشارة إلى بضع نقاط.
- يعد تقليل أوقات التحول للمشغل فكرة جيدة جدًا. العمل على مبدأ واجب تكنولوجيا المعلومات لمدة يوم أو ثلاثة في أمن المعلومات أمر مستحيل إلى حد ما. ومع ذلك ، الحفاظ على التركيز على الحوادث مهم جدا ...
- ولكن ... لا يجلس مشغل الخط الأول ، مثل المشغل من فيلم "المصفوفة" ، حيث ينظر إلى مجموعة الأحداث الأولية بحثًا عن الحالات الشاذة. على الأقل في أي شركة نفط الجنوب المعروفة لنا قد واجهنا مثل هذا النهج. تتمثل مهمته في تحليل التقارير والصيد المنتظم ، أو وضع سيناريوهات لتحديد الحوادث. في هذا النمط من تبديل الانتباه وأنواع النشاط (مع التوازن الصحيح للأرقام على الخط) ، تبدو مخاطر العمى النفسي السريع بالنسبة لنا ضئيلة.
وفي الختام - بغض النظر عن المسافة التي قطعتها الأتمتة ، من المعتاد ترك اختصاصي يراقب الوضع باستخدام الآلات والروبوتات في أي موقع إنتاج حرج. وإذا كانت مفترق طرقك في هذه الحالة "يمكن أن تساعدني الأتمتة على عدم تخصيص 5-6 أسعار لتحول التحول" ، فإن إجابتنا لا لبس فيها: لا يمكن ذلك.
الأسطورة 3 - شركة نفط الجنوب الكمال دون انقطاع واحد ، أو نعمل دون ايجابيات كاذبة
كلما قمت بإنشاء SOC أو العمل مع موفر MSSP / MDR ، كلما كنت تريد المثالية. الآن ، مر الكثير من العملاء بإطلاق النار ، وأنابيب المياه والنحاس من أول الأساليب المستقلة للقذيفة أو الطيارين / العقود مع الموردين الخارجيين ، والجميع يحاولون بطريقة أو بأخرى السعي لتحقيق المثل الأعلى. وعادة ما يتم التعبير عن المثالية في نظر الرأس / الشخص المسؤول عن الخدمة الخارجية بعبارة "كل حالة تأهب هي حادثة مؤكدة" أو "نحن لا نراقب الشكوك - نحن نسجل الهجمات". وفيما يتعلق بالجوانب الرئيسية للكفاءة ، من الصعب المجادلة بهذا البيان. ولكن ، كما هو الحال دائما ، الشيطان هو في التفاصيل.
وتهدف معظم شركات نفط الجنوب إلى إجراء تحليل عميق وفعال للحادث قدر الإمكان على جميع المعلومات المتاحة. وهم يقتربون أكثر فأكثر من الكمال ، عندما تتاح لهم الفرصة لتلقي سجلات
قذائف لها. دعنا ندرس مثالًا على حادثة تتعلق بحقائق تشغيل مؤشرات شبكة برنامج الفيروسات (عنوان الاتصال بمركز التحكم) - للتعرف عليها ، تحتاج فقط إلى بعض المعلومات حول تدفقات الشبكة إلى الإنترنت ، على سبيل المثال ، سجلات جدار الحماية ، ولكنها غالباً ما تعطي نتيجة خاطئة. يكفي للمهاجم إخفاء خادم إدارة البرامج الضارة الخاص به على الاستضافة ، وسنواجه تلقائيًا عددًا كبيرًا من الإيجابيات الخاطئة. من أجل التصفية والتحليل الفعالين للحادث ، من الضروري توطين النشاط على المضيف البادئ (العمليات المشغلة ، المقابس المفتوحة ، إلخ). وهذا يقودنا إلى الحاجة إلى ربط الأحداث من جميع المضيفين على الشبكة.
المجموع: لكي تقترب شركة SOC من إمكانية اكتشاف الهجمات حصريًا ، دون إيجابيات خاطئة ، نحتاج إلى ضمان أقصى تغطية للمراقبة للبنية التحتية - من الناحية المثالية ، نجمع جميع السجلات من جميع الكائنات.
هذا يقودنا إلى العديد من المشاكل في وقت واحد.
- معارضة فعلية من أقسام تكنولوجيا المعلومات لرفع مستوى التدقيق أو تثبيت أنظمة إضافية للتجميع (لتجنب الشر ، لن نتطرق حتى إلى موضوع توصيل شرائح ACS وفنيي التكنولوجيا). اختبارات التوافق ، زيادة غير متوقعة في الحمل على الأنظمة والعوامل الأخرى التي يمكن أن تؤثر على الإتاحة الكلية للبنية التحتية ، هي المحفز للجولة التالية من الحرب بين تكنولوجيا المعلومات وأمن المعلومات. وغالبًا ما يتركون نقاط بيضاء كبيرة على خريطة مراقبة البنية التحتية من SOC.
- الحفاظ على التغطية الكاملة. لا يمكن جمع كل السجلات من جميع الخوادم. على سبيل المثال ، في الأنظمة الجديدة ، قد لا يتم تضمين السجلات ببساطة. غالبًا في عملية تغيير الخوادم ، يتم فقد إعدادات التدقيق في محطات العمل وقيود الوصول جزئيًا أو كليًا. بالإضافة إلى ذلك ، يجب تحديث الإعدادات عند ظهور متجهات هجوم جديدة. كل هذا يخلق تكاليف تشغيلية لتوفير تغطية كاملة ، أعلى بكثير في كثير من الأحيان من مخاطر المراجعة غير المكتملة عن طريق المراقبة ، وبالتأكيد أعلى من تكاليف الاستجابة الإيجابية الخاطئة المحتملة.
- المشكلة الثالثة تقودنا إلى لعبة DOOM القديمة. لأنه ، من بين أشياء أخرى ، تتطلب التغطية الكاملة منك إدخال الرموز.
أ. IDKFA - ذخيرة كاملة في شكل قدرات خادم لا حصر لها لجمع وتخزين الأحداث و ، وهو أمر محزن للغاية من الناحية الاقتصادية ، - تراخيص لا نهاية لها ل SIEM وأدوات SOC الأخرى.
ب. IDDQD هو فريق SOC الضخم والخلود والذي سيكون في كل حادث قادرًا على تحليل جميع ميزاته الواضحة وغير المباشرة.
يعتبر تزامن هذه العوامل والمهام ومقدار ميزانيات أمن المعلومات حالة لاجتماع الفيل الأخضر ، وبالتالي لا يعتبر موقفًا نموذجيًا في حياة شركة نفط الجنوب. لذا ، فإن تحديد الهجمات المؤكدة فقط (مع كل الرغبة في التحليل بأعمق قدر ممكن باستخدام الأدوات التلقائية) هو حلم رائع قليلاً لحراس الأمن الحديثين.
بدلا من الكلمة الأخيرة
حاولنا فقط مناقشة الأساطير الأكثر شيوعًا في صناعة بناء SOC. لذلك ، في المناطق الخلفية المعقدة لبدء عمليات مراقبة الحوادث والرد عليها ، ننصحك بأن تكون متشككًا في المعلومات الواردة والتحقق منها في مصادر مختلفة وتعظيم الخوف من
تزوير الأحكام غير المؤكدة.
وقد تكون القوة معك ؛).