Viele derjenigen, die auf SIEM gestoßen sind, sind mit der Entwicklung von Korrelationsregeln vertraut. Hersteller von SIEM-Lösungen, kommerzielle SOCs, Integratoren - alle schlagen ihre eigenen Regeln vor und behaupten, dass sie besser sind als andere. Ist das wirklich so? Wie wähle ich einen Anbieter von Regeln? Was ist SIEM-Expertise? Lassen Sie uns über diese Themen unter dem Schnitt nachdenken.



Wie immer enthält die Schlussfolgerung alle wichtigen Punkte des Artikels.

Jeder Spezialist für Informationssicherheit beginnt früher oder später, SIEM-Systeme oder einige einzelne Elemente von Systemen dieser Klasse zu verwenden.

Ein wichtiger Teil von SIEM sind die Korrelationsregeln - Wissen, mit dem Sie das Problem der Identifizierung von Informationssicherheitsvorfällen lösen können. Sie können selbst entwickelt, an den Integrator delegiert oder, wenn sie mit einem kommerziellen SOC verbunden sind, das Wissen ihrer Spezialisten nutzen. Wie Sie sehen können, gibt es in SIEM viele Quellen für Korrelationsregeln, daher stellt sich natürlich die Frage nach der Wahl. Diese Aufgabe ist besonders relevant, wenn Ihr Unternehmen keine speziellen Spezialisten für SIEM-Aufgaben hat. In diesem Fall müssen Sie oder Ihre Kollegen mehrere Sicherheitstools gleichzeitig und zusätzlich SIEM verwalten.

Ungefähr einen Monat nach der Implementierung von SIEM stellt sich heraus, dass diese Klasse von Lösungen erhebliche Arbeitskosten erfordert. Die Kunst der Angriffe auf Informationssysteme entwickelt sich ständig weiter. Es braucht Zeit, um moderne Trends zu verfolgen, sie zu analysieren, die Anwendbarkeit auf ihre Infrastruktur zu bewerten und Korrelationsregeln zu schreiben, um Angriffe zu identifizieren. Spezialisten haben dafür in der Regel nicht genügend Zeit.

Angesichts solcher Probleme entscheiden sich Unternehmen entweder, ihren SOC aufzubauen und engagierte Spezialisten anzuziehen oder externe Lieferanten für Korrelationsregeln zu finden. Als nächstes werden wir diskutieren, wie ein Lieferant ausgewählt wird und ob der Endkunde nur Korrelationsregeln benötigt.

Untersuchung und ihre Eigenschaften

Unter Fachwissen verstehen wir eine Reihe von Korrelationsregeln, Expertenwissen und Daten, die für die Identifizierung und Reaktion auf Vorfälle nur minimal erforderlich sind. Das Fachwissen wird vom Lieferanten (dem Hersteller der SIEM-Lösung oder des SOC) bereitgestellt, und der Kunde ist sein Verbraucher.

Korrelationsregeln können von SIEM-Entwicklern, MSSP-Anbietern / SOCs, Integratoren und der Community bereitgestellt werden. Jeder postuliert, dass seine Korrelationsregeln qualitativ sind. Zwar wird das Konzept der Qualität häufig einfach durch die Anzahl der verfügbaren Regeln ersetzt. Ist Quantität ein Qualitätsindikator? Im allgemeinen Fall ist dies eine kontroverse Aussage. Die qualitative Prüfung hat folgende Eigenschaften:

1. Identifiziert Verstöße in einer bestimmten Kundeninfrastruktur genau.
2. Zeigt aktuelle Bedrohungen von Weltklasse auf. Identifiziert Bedrohungen, die für ein bestimmtes Land und einen bestimmten Branchenkunden spezifisch sind.
3. Es hat sowohl eine reaktive als auch eine proaktive Komponente.
4. Erklärt dem Kunden die Ergebnisse seiner logischen Schlussfolgerung.
5. Bietet Erläuterungen zu den nächsten Schritten bei der Reaktion auf einen identifizierten Vorfall.

Einige dieser Eigenschaften stellen Anforderungen an den Entwickler der Prüfung, andere an das Ergebnis seiner Arbeit - die Korrelationsregeln und verwandte Materialien.

Entwickler von Fachwissen und seinen Kompetenzen

Basierend auf welchen Kriterien, um einen Lieferanten auszuwählen? Wir haben sechs grundlegende Eigenschaften formuliert, die Qualitätskompetenz charakterisieren. Um dies sicherzustellen, muss der Regelanbieter:

• Identifizieren Sie aktuelle Bedrohungen von Weltklasse . Dies können Lieferanten sein, die über eigene Analysezentren verfügen, die auf die Erkennung und Analyse von Angriffen spezialisiert sind. Sie sollten regelmäßig die neuesten Arten von Angriffen und Ansätze zur Verletzung der Informationssicherheit von Systemen überwachen.
• Identifizieren Sie Bedrohungen, die für ein bestimmtes Land und eine bestimmte Branche des Kunden spezifisch sind . In jedem Land können die Bedrohungslandschaft und die Liste der Angriffsarten ihre eigenen Besonderheiten haben. Daher ist es bei der Auswahl eines Lieferanten wichtig, dass sich das Analysezentrum klar auf die Verfolgung von Bedrohungen konzentriert, die genau dem Land eigen sind, in dem sich die Infrastruktur Ihres Unternehmens befindet. Die Spezialisten des Zentrums müssen nicht nur die Besonderheiten von Bedrohungen in einem bestimmten Land verstehen, sondern auch schnell darauf reagieren können. Es sollte nicht sein, dass der Lieferant eine Woche nach seinem Auftreten auf eine neue regionale Bedrohung reagiert, nur weil Ihre Region für ihn keine Priorität in Bezug auf die Geschäftstätigkeit hat.
• Haben Sie sowohl eine reaktive als auch eine proaktive Komponente . Es reicht nicht aus, Pentester-Analysten im Zentrum zu rekrutieren. Es ist wichtig, dass diese Experten nicht nur verstehen und wissen, wie man Systeme knackt, sondern auch wissen, wie man Hacking-Versuche erkennt und verhindert oder sie in einem frühen Stadium stoppt. Die Praxis zeigt, dass diesem Aspekt wenig Aufmerksamkeit geschenkt wird: Oft werden Analysezentren von Experten aufgebaut, entweder nur im Angriffsbereich oder nur im Verteidigungsbereich, was sich sicherlich auf das von ihnen produzierte Fachwissen auswirkt.
• Identifizieren Sie Verstöße in einer bestimmten Kundeninfrastruktur genau . Der Lieferant muss über eine Methodik zur Entwicklung von Korrelationsregeln verfügen, die sich an die spezifische Infrastruktur des Kunden anpassen können. Dies ist erforderlich, um die Anzahl der Fehlalarme für Regeln zu minimieren. Diesem Thema wurde eine große Artikelserie mit dem Titel „Korrelationsregeln, die sofort funktionieren“ gewidmet. Es ist wichtig zu bedenken, dass der Prozess der genauen „industriellen Entwicklung“ von Korrelationsregeln beim Lieferanten aufgebaut werden sollte. Daraus folgt:
  
  • Regeln sollten auf Live-Systemen getestet werden, nicht auf synthetischen.
  • Während des Testprozesses sollten diese Arten von Angriffen live reproduziert werden, auf deren Erkennung die getestete Korrelationsregel gerichtet ist.
  • Last- und Regressionstests sollten durchgeführt werden, um die Kompatibilität der Regeln mit SIEM zu bestätigen.
  • Der Lieferant muss Aktualisierungen für zuvor herausgegebene Regeln herausgeben, wenn sich herausstellt, dass die Regeln eine große Anzahl von Fehlalarmen enthalten.
  • SIEM und der Lieferant selbst müssen über Kanäle für die schnelle Lieferung von Updates und neuen Korrelationsregeln an Endkunden verfügen.

Die Anforderungen sind recht breit. Wenn wir einen Spezialisten auswählen, der 2 Stunden am Tag für diese Aktivität benötigt, um Korrelationsregeln zu entwickeln, kann dies leider nicht die gleiche qualitativ hochwertige Prüfung ermöglichen.

Korrelationsregeln und ihre Umgebung

Betrachten wir nun die Korrelationsregeln selbst mit den Augen des Kunden. Er möchte Qualitätsregeln vom Lieferanten erhalten und diese problemlos in seinem SIEM aktivieren. In der Tat ist nicht alles so einfach.

Damit die Regeln funktionieren, müssen Sie die erforderlichen Quellen mit SIEM verbinden. Sie müssen so konfiguriert sein, dass die erforderlichen Ereignisse für die Regeln generiert werden. Wenn man die Regel selbst betrachtet, ist es wichtig, dass die Logik ihrer Arbeit daraus verstanden wird. Darüber hinaus muss der Kunde verstehen, wie er reagieren soll, wenn die Regel funktioniert.

Korrelationsregeln allein reichen nicht aus, um als Fachwissen bezeichnet zu werden. Prüfung sind die Korrelationsregeln zusammen mit einer zusätzlichen Umgebung, deren Elemente alle miteinander verbunden sind und in einen geschlossenen Kreislauf eingebaut werden können - die sogenannte Closed-Loop-Prüfung.


Closed-Loop-Expertise

Betrachten Sie jedes Glied in dieser Kette:

1. Lieferant / Hersteller SIEM . Die Prüfung beginnt damit, dass ein Lieferant mit den entsprechenden Kompetenzen Korrelationsregeln entsprechend dem technologischen Prozess entwickelt.
2. Listen- und Quelleneinstellungen . Die entwickelten Korrelationsregeln enthalten eine Beschreibung der Quellen, auf deren Grundlage die Korrelationsregel funktioniert. Der Anbieter beschreibt außerdem ausführlich, wie die Quelle so konfiguriert werden soll, dass die erforderlichen Ereignistypen generiert werden. Es ist in guter Form, wenn der Lieferant eine Instanz der Ereignisse selbst einreicht.
3. Beschreibung der Regellogik . Damit der Kunde verstehen kann, welche Auslöseprinzipien in den Korrelationsregeln festgelegt sind, beschreibt der Lieferant die Logik jeder Regel in Form von Flussdiagrammen oder Textbeschreibungen.
4. Korrelationsregeln . Die Korrelationsregeln selbst und die Methode zur Priorisierung der von ihnen erzeugten Vorfälle sind direkt.
5. Reaktionspläne . Das Auslösen einer Korrelationsregel kann ein Vorfall der Informationssicherheit sein. Für den Kunden ist es wichtig zu verstehen, wie er auf diesen Vorfall reagieren kann, um die Auswirkungen auf die Infrastruktur zu minimieren. Außerdem sollten Erklärungen in den Plan aufgenommen werden, welche Daten im Falle eines Vorfalls zusätzlich erhoben werden sollten. Zweifellos muss der Kunde die Antwortregeln an die Besonderheiten seines Unternehmens anpassen. Im Rahmen der Reaktionspläne sollte der Lieferant jedoch allgemeine Empfehlungen zu den Aktionen des Benutzers im Falle eines durch eine bestimmte Regel verursachten Vorfalls widerspiegeln. Der Kunde hat also etwas zu tun, um den gesamten Reaktionsprozess für sich selbst anzupassen.
6. Telemetrie . Korrelationsregeln funktionieren nicht in einem sphärischen Vakuum, sondern unter den spezifischen Bedingungen des Unternehmens des Kunden. Der Lieferant ist für die Qualität der bereitgestellten Regeln verantwortlich und muss verstehen, wie diese funktionieren. Daher sollten in SIEM Statistiken über die Funktionsweise von Regeln gesammelt werden.
7. Lieferant / Hersteller SIEM . Die gesammelte Telemetrie in anonymisierter Form ist an den Lieferanten zurückzusenden. Die Statistik hilft ihm, Änderungen an den Regeln im Falle von Fehlalarmen schnell vorzunehmen. Außerdem können Sie neue Techniken und Taktiken für Angriffe identifizieren und umgehend neue Korrelationsregeln für deren Erkennung freigeben.

Die Anforderungen an den Lieferanten sowie alle oben genannten Kettenglieder werden zusammen als Fachwissen bezeichnet. Wie Sie sehen können, ist die Kette geschlossen, daher wird dieser Ansatz als „Closed-Loop-Expertise“ bezeichnet.

Derzeit wird dieser Ansatz von den wichtigsten ausländischen Marktführern des SIEM-Marktes verwendet: IBM QRadar, Micro Focus ArcSight. In Russland wird es in unserer Firma Positive Technologies im Produkt MaxPatrol SIEM verwendet. Innerhalb der Community entwickelt sich ein interessantes herstellerunabhängiges Projekt - Atomic Threat Coverage , das eine ähnliche Ideologie fördert. Außerdem werde ich seine Beschreibung von der Projektseite geben.

Mit Atomic Threat Coverage können Sie automatisch eine Analysedatenbank erstellen, die den in MITRE ATT & CK beschriebenen Bedrohungen aus der Perspektive der Erkennung, Reaktion, Prävention und Simulation von Bedrohungen entgegenwirkt. Es beinhaltet:

1. Erkennungsregeln - Sigma- basierte Erkennungsregeln (Korrelation), ein allgemeines Format zur Beschreibung von Korrelationsregeln für SIEM-Systeme.
2. Erforderliche Daten - Daten, die gesammelt werden müssen, um eine bestimmte Bedrohung zu erkennen.
3. Protokollierungsrichtlinien - Protokollierungseinstellungen, die auf dem Gerät vorgenommen werden müssen, um die Daten zu erfassen, die zum Erkennen einer bestimmten Bedrohung erforderlich sind.
4. Anreicherungen - Daten Erforderliche Einstellungen, um einige der Erkennungsregeln zu implementieren.
5. Trigger - Angriffssimulationsskripte basierend auf dem Atomic Red Team - Atomtests / Bedrohungsimplementierungsszenarien von MITRE ATT & CK.
6. Reaktionsaktionen - Schritte zur Reaktion auf atomare Vorfälle.
7. Antwort-Playbooks - Vorfall-Antwortszenarien, die während der Erkennung einer bestimmten Bedrohung basierend auf Antwortaktionen generiert werden.
8. Härtungsrichtlinien - Systemeinstellungen, mit denen Sie eine bestimmte Bedrohung einstellen können.
9. Schadensbegrenzungssysteme - Systeme und Technologien, mit denen Sie eine bestimmte Bedrohung ausgleichen können.

Unabhängig davon stelle ich einen Moment fest, der für Kunden und Lieferanten oft nicht sichtbar ist. Manchmal passieren komplexe Vorfälle, die von den Spezialisten des Kunden nicht gelöst werden können. Der Lieferant sollte den Kunden nicht mit seinem Problem konfrontieren: "Wir liefern Ihnen die Regeln, sie funktionieren, der Rest ist nicht unser Problem." Meiner Meinung nach sollten seriöse Anbieter von Fachwissen Vorfallsermittlungsdienste in ihrem Portfolio haben, die der Kunde in kritischen Situationen jederzeit rund um die Uhr nutzen kann.

Schlussfolgerungen

Zusammenfassend:

1. Der Kunde, der SIEM gekauft hat, hat häufig nicht die Möglichkeit, einzelne Spezialisten für die Arbeit mit einer Lösung von 100% der Arbeitszeit zu beauftragen. In diesem Fall wird SIEM nach einiger Zeit nicht mehr verwendet.
2. Korrelationsregeln allein reichen nicht aus, um sicherzustellen, dass tatsächliche Sicherheitsbedrohungen erkannt werden. In dieser Hinsicht können Korrelationsregeln allein nicht als Fachwissen bezeichnet werden. Prüfung - eine Reihe von Korrelationsregeln, Expertenwissen und Daten, die für die Identifizierung und Reaktion auf Vorfälle nur minimal erforderlich sind.
3. Die Untersuchung sollte folgende Eigenschaften haben :
   
   • identifiziert Verstöße in der spezifischen Infrastruktur des Kunden genau;
   • identifiziert aktuelle Bedrohungen von Weltklasse sowie spezifische Bedrohungen für ein bestimmtes Land und einen bestimmten Branchenkunden;
   • hat sowohl eine reaktive als auch eine proaktive Komponente;
   • erklärt dem Kunden die Ergebnisse seiner logischen Schlussfolgerung;
   • Bietet Erläuterungen zu weiteren Schritten, um auf einen identifizierten Vorfall zu reagieren.
4. Es reicht nicht aus, vorgefertigte Sigma-Regeln zu liefern, um als Experte zu gelten. Der Anbieter von Fachwissen muss eine Reihe von Anforderungen erfüllen .
5. Das gelieferte Fachwissen besteht aus folgenden miteinander verbundenen Elementen:
   
   • Liste und Einstellungen der Quellen;
   • Regellogikbeschreibungen;
   • Korrelationsregeln;
   • Reaktionspläne;
   • Telemetrie zum Auslösen von Regeln.
6. Prüfungsanbieter sollten in ihrem Portfolio Ermittlungsdienste haben, die der Kunde nutzen kann, wenn er nicht über seine eigenen Kompetenzen zur Analyse eines komplexen Vorfalls verfügt.