Heute werden wir über das Security Operations Center (SOC) von Personen sprechen, die es nicht erstellen und konfigurieren, aber überprüfen, wie andere es getan haben. Die Wirksamkeit des für Ihr Unternehmen unabhängig oder von außen erstellten SOC wird überprüft. Der Check beantwortet die Frage „Erfüllt der SOC die ihm zugewiesenen Aufgaben oder nicht und wie effektiv ist er?“. Das Vorhandensein von SOC bedeutet schließlich nicht, dass es ordnungsgemäß funktioniert, und Sie sind sich möglicher Vorfälle und anderer Sicherheitsprobleme bewusst. Wir werden über unsere Erfahrungen bei der SOC-Verifizierung in verschiedenen Unternehmen innerhalb unserer Projekte berichten.



Für diejenigen, die bereits wissen, was SOC ist und womit es getrunken wird, empfehlen wir, sofort zum zweiten Teil des Artikels zu gehen. Wir empfehlen Ihnen, den Rest des Artikels vollständig zu lesen.

Teil 1. Ein wenig über SOC für Anfänger

Der Schutz von Informationssystemen steht in fast jeder Branche an erster Stelle. Jeder unbefugte Zugriff auf Informationen kann zu ernsthaften Problemen für das Unternehmen führen.

Das Informationssystem eines jeden, selbst des kleinsten Unternehmens, ist komplex, und alle seine Teile müssen nach demselben Prinzip geschützt werden - zuerst organisatorische, dann vorbeugende Maßnahmen, dann Überwachungsinstrumente, die Anomalien erkennen, und Reaktionsinstrumente. Menschen befinden sich in der letzten Phase der Bekämpfung von Bedrohungen, obwohl es vorkommt, dass ein Sicherheitsproblem gelöst werden kann, ohne dass Menschen involviert sind, indem beispielsweise Ports automatisch blockiert oder ein Computer von einem gemeinsam genutzten Netzwerk getrennt wird. Die zum Schutz der einzelnen Komponenten des Systems verwendeten Tools können von Unternehmen zu Unternehmen unterschiedlich sein, es gibt jedoch einen allgemeinen Trend: Unternehmen kommen unabhängig von ihrer Größe allmählich auf die Idee, das SOC - Security Operation Center zu implementieren.

Dafür gibt es mehrere Gründe:

• Die Verwendung von SOC reduziert die Kosten für die manuelle Verfolgung von Sicherheitsvorfällen
• Systemereignisse sammeln sich an einem Ort, weniger wahrscheinlich, dass eines von ihnen verloren geht.
• Mit SOC können Sie Regeln für die Klassifizierung von Ereignissen als Sicherheitsvorfälle gemäß den Anforderungen und Merkmalen eines bestimmten Unternehmens konfigurieren.
• Mit SOC können Sie die Zeit für die Erkennung und Reaktion auf Sicherheitsvorfälle minimieren und so den potenziellen Schaden für das Unternehmen verringern.
• Die Protokolle, die in den SOC fallen, werden auf einen Blick betrachtet, sodass Sie Sicherheitsvorfälle effektiv untersuchen können, selbst wenn ein Angreifer versucht, festzustellen, dass sie im System vorhanden sind.

SOC ist eine Infrastruktur mit vielen miteinander verbundenen Komponenten. Grundlage ist SIEM (Security Information and Event Management). SIEM ist ein Datenerfassungs-, Normalisierungs- und Korrelationssystem, das Protokolle von Webservern, Hostcomputern und anderen Infrastrukturkomponenten sowie auf Geräten des Unternehmensnetzwerks installierte Informationssicherheitstools erfasst, korreliert und verarbeitet, um sie wieder normal zu machen. Dies ist die Hauptaufgabe von SIEM - eine große Anzahl von Protokollen aus verschiedenen Quellen in ein einziges Format zu bringen, um die Beziehungen zwischen ihnen bequem erkennen zu können. Dies ist für eine weitere Komponente von SOC erforderlich - SOC-Analysten, die anhand der umfangreichen Protokolllisten von SIEM auf einige Ereignisse selbst reagieren oder diese an Sicherheitsspezialisten weiterleiten müssen.

Es gibt keine zwei identischen SOCs, da die Konfiguration für jede Organisation individuell ist. Die Hauptphasen der Erstellung des SOC sind folgende:

• organisatorische und technische Definition einer geschützten Infrastruktur;
• Installation aller möglichen / notwendigen Schutz- und Überwachungsmittel sowie deren Konfiguration;
• Auswahl eines geeigneten SIEM und dessen Anpassung in Abhängigkeit von den Merkmalen des Unternehmens;
• Erstellen von Ereigniskorrelationsregeln;
• Auswahl des SOC-Teams - Personen, deren Aufgabe darin besteht, Ereignisse zu überwachen, die Korrelationsregeln zu korrigieren und auf Sicherheitsereignisse zu reagieren.

Selbst nachdem alles definiert, installiert und konfiguriert wurde, kann niemand garantieren, dass SOC jetzt so funktioniert, wie Sie es möchten oder wie es in schönen Präsentationen von SIEM-Entwicklern gezeigt wird. Das grundlegende Problem bei der Verwendung von Schutzmitteln besteht darin, dass praktisch niemand weiß, wie effektiv sie funktionieren. Es ist wichtig, sie nicht nur zu installieren und auszuführen, sondern auch sicherzustellen, dass die ergriffenen Maßnahmen wirksam sind. Der Reifegrad des Unternehmens in Sicherheitsfragen ist ebenfalls äußerst wichtig.

Da SOC eine komplexe und mehrkomponentige Struktur ist, ist es wichtig zu verstehen, dass in jeder der aufgelisteten Phasen ihrer Erstellung etwas schief gehen kann. Dies wirkt sich wahrscheinlich auf die Gesamtsicherheit des Systems und die Effizienz des SOC selbst aus.

Teil 2. Was passiert, wenn Sie die Wirksamkeit des SOC nicht überprüfen, sondern alles so lassen, wie es ist?

Zunächst kann etwas schief gehen, selbst bei der geringsten Änderung der Infrastruktur des Unternehmens . Und sie kommen ziemlich oft vor - jemand geht, neue Leute kommen, etwas bricht zusammen, Hardware und Software werden aktualisiert und vieles mehr. In diesem Fall sollten die Einstellungen des SPI und die Korrelationsregeln umgehend geändert werden, aber sie vergessen es oft, und wenn sie sich erinnern, ist es zu spät.



Der nächste Teil des SOC, in dem Fehler auftreten können, ist das Schutzmittel, vor dem Informationen in das SIEM gelangen, falsch konfiguriert werden können und Aktionen überspringen, die von außen auf das System gerichtet sind. Und wenn die Aktion des Angreifers von keinem der vorhandenen SZI erkannt wird, wird sie nicht in die Protokolle aufgenommen und befindet sich nicht in SIEM, und der Sicherheitsdienst wird höchstwahrscheinlich nicht bald davon erfahren.



Das Problem kann in SIEM liegen . Es funktioniert möglicherweise nicht so, wie Sie es möchten. Ereignisse, die darauf fallen, können aufgrund von Fehlern in den Korrelationsregeln falsch korreliert werden, was dazu führt, dass die Aktionen des Angreifers übersprungen werden. Hier ist zu verdeutlichen, dass nicht immer genügend Daten aus einer Hand vorhanden sind. Es gibt Fälle, in denen zur Ermittlung von Sicherheitsvorfällen Daten aus mehreren Quellen gleichzeitig kombiniert werden müssen, um ein vollständiges Bild der Vorgänge im System zu erhalten. Es kann sich jedoch herausstellen, dass die Regel so konfiguriert ist, dass zur Bestimmung des Ereignisses möglicherweise nicht genügend Daten aus einer Quelle vorliegen, die auf die Tatsache hinweisen, dass der Vorfall abgeschlossen wurde. Das heißt, Ein Puzzle, das aus Daten aus mehreren Quellen besteht, funktioniert nicht. Außerdem sind die Regeln für einige Sicherheitsereignisse möglicherweise überhaupt nicht vorhanden.

In der Ereigniskorrelationsphase in SIEM können mehrere Probleme gleichzeitig auftreten. Eine davon kann eine Verzögerung bei der Übertragung von Ereignissen aus einigen Quellen sein, die die erfolgreiche Korrelation beeinträchtigen kann.

Die Regeln zum Klassifizieren von Ereignissen als Vorfälle in SIEM sind möglicherweise nicht korrekt konfiguriert oder für Ereignisse nicht verfügbar. Außerdem haben Vorfälle normalerweise einen Schweregrad, der, wenn er nicht richtig identifiziert wird, zu großen Problemen führen kann.



Mitarbeiter von SIEM, deren Aufgabe es ist, auf Sicherheitsvorfälle zu reagieren, können auch verpasste Angriffe und nachfolgende Probleme mit der Informationssicherheit verursachen. Sie können einige Signale von SIEM übersehen oder aus verschiedenen Gründen falsch auf die Aktionen des Angreifers reagieren. Es gibt auch das Problem, dass die Mitarbeiter früher oder später kündigen und neue Mitarbeiter Zeit für die Schulung benötigen.

Vor diesem Hintergrund sind SOC-Tests zur Überprüfung der Leistung sowohl in der SOC-Implementierungsphase als auch im Laufe der Zeit äußerst wichtig. Da die Spezialisten unseres Unternehmens bereits Erfahrung in dieser Angelegenheit haben, haben wir uns entschlossen, die wichtigsten Punkte und Nuancen zu beschreiben.

Teil 3. Überprüfung der Wirksamkeit des SOC

SOC-Tests in einem Unternehmen können in verschiedenen Szenarien durchgeführt werden. Lassen Sie uns über diejenigen sprechen, die uns am effektivsten erscheinen.

Zu den SOC-Testaufgaben gehören Sicherheitstests, bei denen typische Verhaltensszenarien von Cyberkriminellen reproduziert werden. Dazu gehören:

• Durchlaufen der Konten anderer Benutzer mit Brute Force sowie mithilfe der Kennwortsprühtechnik. Die Verwendung dieser Technik ist möglich, wenn Sie beispielsweise über das Adressbuch des E-Mail-Clients Zugriff auf die Liste der im System vorhandenen Konten haben. Nach unserer Erfahrung werden Techniken zum Sprühen von Passwörtern oft vergessen, und dementsprechend können SOC-Regeln einen solchen Angriff kaum erkennen.
• Pumpen von Daten aus einer Webressource, sei es ein Unternehmens-Wiki oder ein Task-Manager. Ein solcher Angriff kann ausgeführt werden, einschließlich der Verwendung verschiedener Webcrawling- und Verzeichnis-Brute-Mechanismen. Unabhängig davon achten Prüfer auf API-Dienste und deren Funktionen.
• wiederholte Versuche, auf Ressourcen oder Projekte zuzugreifen, die außerhalb der Zuständigkeit der Rolle liegen, für die der Angreifer arbeitet. Ein einfaches Beispiel sind Versuche, einen Benutzer aus einer Gruppe von Entwicklern für die Ressourcen von Netzwerkadministratoren und Sicherheitsdiensten zu autorisieren.
• Versuche, mithilfe von Bypass-Filtertechniken eine große Menge an Informationen aus dem Unternehmensnetzwerk herunterzuladen. Hierbei handelt es sich hauptsächlich um DNS- und ICMP-Tunnel. Manchmal ist es jedoch sinnvoll, mit einfacheren Überprüfungen zu beginnen. Suchen Sie beispielsweise nach einem außerhalb geöffneten TCP- oder UDP-Port sowie nach einem zusätzlichen Gateway. Für die Suche nach Gateways gibt es übrigens eine überarbeitete Implementierung eines beliebten Tools von einem der Mitarbeiter.

Eine ähnliche Liste von Überprüfungen kann für eine lange Zeit fortgesetzt werden. Es ist sehr wichtig, sich von den tatsächlichen Bedürfnissen des Kunden und den von ihm durchgeführten Kontrollen leiten zu lassen.

SOC-Tests können auf zwei Arten durchgeführt werden:

• blind - Blackbox;
• mit Infrastrukturwissen - Whitebox.

Weitere Details zu jedem von ihnen.

Zunächst sollten Sie den Betrieb des SOC im Blackbox-Testmodus überprüfen. Das Wesentliche ist, dass die Mitarbeiter der SOC-Abteilung sich der ausgeführten Arbeit nicht bewusst sind und auf alle Ereignisse im Kampfmodus reagieren. Wirtschaftsprüfer / Pentester erhalten Zugang zum Unternehmensnetzwerk, und Konten können auch über die am häufigsten genutzten Dienste im Unternehmen vergeben werden.

Bei einem solchen Modell wird davon ausgegangen, dass ein Angreifer, der keine zusätzlichen Informationen hat, auf unbekannte Weise Zugriff auf das Unternehmensnetzwerk und eines der vorhandenen Konten erhalten hat. Die Handlungen eines solchen Angreifers zeichnen sich durch ein hohes Maß an Zufälligkeit und „Rauschen“ aus. Er scannt aktiv das Netzwerk, iteriert über Verzeichnisse, Konten, sendet alle ihm bekannten Exploits an alle Ports, löst XSS-, SQLi-, RCE-, SSTI-, NoSQLi- usw. Webanwendungen mit Vektoren aus. Im Allgemeinen verhält er sich extrem aggressiv in der Hoffnung, zumindest etwas zu hacken. Während des Audits ahmen die Auditoren die Handlungen eines solchen Angreifers nach, behalten einen bestimmten Grad an Wahnsinn bei, sind jedoch jederzeit bereit, auf Anfrage des SOC-Dienstes oder bei Auftreten technischer Probleme anzuhalten. Ein unerwartetes und angenehmes Ergebnis kann übrigens die Entdeckung anfälliger Dienste und Anwendungen in der Infrastruktur des Unternehmens sein.

Ein weiteres Testmodell ist Whitebox. In diesem Fall wird das Szenario eines skrupellosen Mitarbeiters ausgearbeitet. In der Regel sind die Prüfer zu diesem Zeitpunkt mit dem Netzwerk des Kunden bestens vertraut und können eine solche Rolle spielen. Das Verhalten eines potenziellen Angreifers kann in diesem Fall durch die hohe Selektivität sowohl der Mittel als auch der Ziele des Angriffs charakterisiert werden. Hier ist es bereits möglich, Parallelen zu APT-Angriffen zu ziehen . Auditoren greifen nur die schwächsten Stellen ihrer Meinung nach an und verwenden gut durchdachte und eng gezielte Angriffsmethoden. Außerdem versuchen sie, auf vertrauliche Informationen zuzugreifen, die außerhalb der Zuständigkeit ihrer Kontorolle liegen, und versuchen anschließend, sie aus dem sicheren Bereich herauszupumpen. Sie versuchen, alle Aktionen so auszuführen, dass sie vom Sicherheitsdienst des Unternehmens nicht bemerkt werden.

Nach dem Testen beginnt normalerweise die Analyse und der Vergleich der von den Prüfern erzielten Ergebnisse und der von SOC-Mitarbeitern festgestellten Vorfälle. Diese Phase bietet ein allgemeines Bild der Wirksamkeit der aktuellen Arbeit von SOC und kann als Ausgangspunkt für alle weiteren Pläne zur Erweiterung bestehender Kontrollen und Ansätze dienen.

Wenn eine Vorstellung von der Sicherheit der getesteten Infrastruktur erstellt wird, können Prüfer die Whitebox-Tests verwenden, um den vorhandenen Regelsatz sowie die Ereignisse zu analysieren, auf deren Grundlage diese Regeln gebildet werden. Diese Interaktion zwischen SOC-Prüfern und Analysten kann sehr produktiv sein und hilft während der Konsultation, logische Fehler und Auslassungen bei der Konfiguration von SOC-Komponenten zu identifizieren. Ihre Wurzel liegt normalerweise darin, dass SOC-Analysten nicht verstehen, wie ein echter Angreifer handeln und welche Tricks er auf Systemen ausführen kann.

Fazit

Die kritischsten Dienste, die näher betrachtet werden müssen, werden separat anhand von zwei Eindringlingsmodellen getestet.

Mit einer ähnlichen Reihe von Maßnahmen können Sie:

• das Bewusstsein der Sicherheitsmanager für den Zustand ihrer Infrastruktur erheblich schärfen;
• Durchführung von Militärübungen für die SOC-Abteilung mit der Möglichkeit, sich von Experten auf dem Gebiet der Rechnungsprüfung beraten zu lassen;
• Erkennen und korrigieren Sie vorhandene Fehler in der Arbeit von SOC und erhöhen Sie im Allgemeinen die Sicherheit des Unternehmens.

Für die Hilfe beim Schreiben dieses Artikels danke ich Denis _ttffdd_ Rybin und Ivan Chalykin .