Geekly articles weekly

Profondeurs SIEM: Expertise. Dont les règles de corrélation sont meilleures

Beaucoup de ceux qui ont rencontré SIEM connaissent le développement de règles de corrélation. Les fabricants de solutions SIEM, les SOC commerciaux, les intégrateurs - proposent tous leurs propres règles et affirment qu'elles sont meilleures que les autres. En est-il vraiment ainsi? Comment choisir un fournisseur de règles? Qu'est-ce que l'expertise SIEM? Réfléchissons à ces sujets sous la coupe.

Dont les règles de corrélation sont meilleures


Comme toujours, la conclusion contient tous les points clés de l'article.

Tout spécialiste de la sécurité de l'information commence tôt ou tard à utiliser les systèmes SIEM ou certains éléments individuels des systèmes de cette classe.

Une partie importante de SIEM est les règles de corrélation - des connaissances qui vous permettent de résoudre le problème de l'identification des incidents de sécurité des informations. Ils peuvent être développés par eux-mêmes, délégués à l'intégrateur ou, s'ils sont connectés à un SOC commercial, utiliser les connaissances de leurs spécialistes. Comme vous pouvez le voir, il existe de nombreuses sources de règles de corrélation dans SIEM, donc la question se pose naturellement de choisir. Cette tâche est particulièrement pertinente si votre entreprise ne dispose pas de spécialistes dédiés aux tâches SIEM. Dans ce cas, vous ou vos collègues devez administrer plusieurs outils de sécurité à la fois et en plus SIEM.

Environ un mois après la mise en œuvre de SIEM, il s'agit de comprendre que cette classe de solutions nécessite des coûts de main-d'œuvre importants. L'art des attaques contre les systèmes d'information est en constante évolution. Il faut du temps pour suivre les tendances modernes, les analyser, évaluer l'applicabilité à leur infrastructure et également écrire des règles de corrélation pour identifier les attaques. En règle générale, les spécialistes n'ont pas assez de temps pour cela.

Face à de tels problèmes, les entreprises décident soit de construire leur SOC et d'attirer des spécialistes dédiés, soit de trouver des fournisseurs externes de règles de corrélation. Ensuite, nous verrons comment choisir un fournisseur et si le client final n'a besoin que de règles de corrélation.

L'examen et ses propriétés


Par expertise, nous entendons un ensemble de règles de corrélation, des connaissances d'experts et des données qui sont minimalement nécessaires pour identifier et répondre aux incidents. L'expertise est fournie par le fournisseur (le fabricant de la solution SIEM ou SOC), et le client est son consommateur.

Les règles de corrélation peuvent être fournies par les développeurs SIEM, les fournisseurs / SOC MSSP, les intégrateurs et la communauté. Tout le monde postule que leurs règles de corrélation sont qualitatives. Certes, le concept de qualité est souvent remplacé simplement par le nombre de règles disponibles. La quantité est-elle un indicateur de qualité? Dans le cas général, il s'agit d'une déclaration controversée. L'examen qualitatif a les propriétés suivantes:

  1. Identifie avec précision les violations dans une infrastructure client spécifique.
  2. Révèle les menaces actuelles de classe mondiale. Identifie les menaces spécifiques à un pays spécifique et à un client de l'industrie.
  3. Il a à la fois une composante réactive et une composante proactive.
  4. Explique au client les résultats de sa conclusion logique.
  5. Fournit des éclaircissements sur les prochaines étapes de la réponse à un incident identifié.

Certaines de ces propriétés imposent des exigences au développeur de l'examen et d'autres au résultat de son travail - les règles de corrélation et les matériaux associés.

Développeur d'expertise et de ses compétences


Sur quels critères choisir un fournisseur? Nous avons formulé six propriétés de base qui caractérisent l'expertise qualité. Pour les garantir, le fournisseur de règles doit:

  • Identifiez les menaces de classe mondiale actuelles . Il peut s'agir de fournisseurs disposant de leurs propres centres d'analyse spécialisés dans la détection et l'analyse des attaques. Ils devraient surveiller régulièrement les derniers types d'attaques et les approches pour violer la sécurité des informations des systèmes.
  • Identifier les menaces spécifiques à un pays et à une industrie particuliers du client . Dans chaque pays, le paysage des menaces et la liste des types d'attaques peuvent avoir leurs propres spécificités. Par conséquent, lors du choix d'un fournisseur, il est important que son centre d'analyse se concentre clairement sur le suivi des menaces inhérentes au pays dans lequel se trouve l'infrastructure de votre entreprise. Les spécialistes du centre doivent non seulement comprendre les spécificités des menaces dans un pays particulier, mais également pouvoir y répondre rapidement. Il ne faut pas que le fournisseur réagisse à une nouvelle menace régionale une semaine après son apparition, uniquement parce que votre région n'est pas une priorité pour lui en termes de business.
  • Avoir à la fois une composante réactive et une composante proactive . Il ne suffit pas de recruter des analystes Pentester au centre. Il est important que ces experts non seulement comprennent et sachent comment casser les systèmes, mais aussi comment détecter les tentatives de piratage et les empêcher, ou les arrêter dans les premiers stades. La pratique montre que peu d'attention est accordée à cet aspect: souvent les centres d'analyse sont construits par des experts, soit uniquement dans le domaine de l'attaque, soit uniquement dans le domaine de la défense, ce qui affectera certainement le niveau d'expertise qu'ils produisent.
  • Identifiez avec précision les violations dans une infrastructure client spécifique . Le fournisseur doit disposer d'une méthodologie d'élaboration de règles de corrélation pouvant s'adapter à l'infrastructure spécifique du client. Cela est nécessaire afin de minimiser le nombre de faux positifs pour les règles. Une grande série d'articles intitulée «Des règles de corrélation qui fonctionnent tout de suite» a été consacrée à cette question. Il est important de se rappeler que le processus de «développement industriel» précis des règles de corrélation doit être construit chez le fournisseur. Il en résulte que:
    • les règles doivent être testées sur des systèmes vivants, pas sur des systèmes synthétiques;
    • au cours du processus de test, ces types d'attaques doivent être reproduits en direct, à la détection desquels la règle de corrélation testée est dirigée;
    • des tests de charge et de régression doivent être effectués pour confirmer la compatibilité des règles avec SIEM;
    • le fournisseur doit publier des mises à jour pour les règles précédemment émises s'il s'avère que les règles contiennent un grand nombre de faux positifs;
    • SIEM et le fournisseur eux-mêmes doivent disposer de canaux pour la livraison rapide des mises à jour et de nouvelles règles de corrélation aux clients finaux.

L'ensemble des exigences est assez large. Malheureusement, si nous choisissons un spécialiste qui consacrera 2 heures par jour à cette activité pour développer des règles de corrélation, cela ne permettra pas de réaliser le même examen de haute qualité.

Règles de corrélation et leur environnement


Examinons maintenant les règles de corrélation elles-mêmes à travers les yeux du client. Il souhaite recevoir des règles de qualité du fournisseur et les activer sans problème dans son SIEM. En fait, tout n'est pas si simple.

Pour que les règles fonctionnent, vous devez connecter les sources requises à SIEM. Ils doivent être configurés pour générer les événements nécessaires aux règles. En regardant la règle elle-même, il est important que la logique de son travail soit comprise d'elle. De plus, le client doit comprendre comment réagir si la règle fonctionne.

Les règles de corrélation ne suffisent pas à elles seules pour être qualifiées d'expertise. L'examen est les règles de corrélation, ainsi qu'un environnement supplémentaire, dont tous les éléments sont interconnectés et peuvent être disposés en circuit fermé - ce qu'on appelle l'examen en boucle fermée.

Expertise en boucle fermée
Expertise en boucle fermée

Considérez chaque maillon de cette chaîne:

  1. Fournisseur / Fabricant SIEM . L'examen commence par le fait qu'un fournisseur possédant les compétences pertinentes élabore des règles de corrélation en fonction du processus technologique.
  2. Liste et paramètres source . Les règles de corrélation développées sont fournies avec une description de ces sources sur la base desquelles la règle de corrélation fonctionne. Le fournisseur décrit également en détail la manière dont la source doit être configurée afin de fournir la génération des types d'événements requis. Ce sera une bonne forme si le fournisseur soumet lui-même une instance des événements.
  3. Description de la logique des règles . Afin que le client comprenne quels principes de déclenchement sont définis dans les règles de corrélation, le fournisseur décrit la logique de chaque règle sous la forme de diagrammes de flux ou de descriptions textuelles.
  4. Règles de corrélation . Les règles de corrélation elles-mêmes et la méthodologie de priorisation des incidents générés par elles sont directement.
  5. Plans d'intervention . Un déclenchement de règle de corrélation peut être un incident de sécurité de l'information. Il est important que le client comprenne comment réagir à cet incident afin de minimiser son impact sur l'infrastructure. En outre, des explications doivent être incluses dans le plan, quelles données doivent être collectées en plus en cas d'incident. Sans aucun doute, le client doit adapter les règles de réponse aux spécificités de son entreprise. Cependant, dans le cadre des plans d'intervention, le fournisseur doit refléter des recommandations générales sur les actions de l'utilisateur en cas d'incident provoqué par une règle spécifique. Ainsi, le client aura quelque chose à pousser, en adaptant le processus de réponse global pour lui-même.
  6. Télémétrie . Les règles de corrélation ne fonctionnent pas dans un vide sphérique, mais dans les conditions spécifiques de l'entreprise du client. Le fournisseur est responsable de la qualité des règles fournies et doit comprendre comment elles fonctionnent. Par conséquent, des statistiques sur le fonctionnement des règles devraient être collectées dans SIEM.
  7. Fournisseur / Fabricant SIEM . La télémétrie collectée sous forme anonyme doit être renvoyée au fournisseur. Les statistiques lui permettent d'apporter rapidement des modifications aux règles, en cas de faux positifs. Il vous permet également d'identifier de nouvelles techniques et tactiques d'attaques et de publier rapidement de nouvelles règles de corrélation pour leur détection.

L'ensemble des exigences pour le fournisseur, ainsi que tous les maillons de chaîne ci-dessus, sont collectivement appelés expertise. Comme vous pouvez le voir, la chaîne est fermée, donc cette approche est désignée comme «expertise en boucle fermée».

Actuellement, cette approche est utilisée par les principaux leaders étrangers du marché SIEM: IBM QRadar, Micro focus ArcSight. En Russie, il est utilisé dans notre société Positive Technologies dans le produit MaxPatrol SIEM. Un projet intéressant indépendant des fournisseurs se développe au sein de la communauté - Atomic Threat Coverage , promouvant une idéologie similaire. Ensuite, je vais en donner une description, tirée de la page du projet.

La couverture des menaces atomiques vous permet de générer automatiquement une base de données analytique conçue pour contrer les menaces décrites dans MITRE ATT & CK du point de vue de la détection, de la réponse, de la prévention et de la simulation des menaces. Il comprend:

  1. Règles de détection - Règles de détection basées sur Sigma (corrélation), un format général pour décrire les règles de corrélation pour les systèmes SIEM.
  2. Données nécessaires - données qui doivent être collectées pour détecter une menace spécifique.
  3. Stratégies de journalisation - paramètres de journalisation qui doivent être définis sur l'appareil pour collecter les données nécessaires à la détection d'une menace spécifique.
  4. Enrichissements - Paramètres de données nécessaires nécessaires pour implémenter certaines des règles de détection.
  5. Déclencheurs - scripts de simulation d'attaque basés sur l' équipe rouge atomique - tests atomiques / scénarios de mise en œuvre des menaces de MITRE ATT & CK.
  6. Actions de réponse - étapes de réponse aux incidents atomiques.
  7. Playbooks de réponse - scénarios de réponse aux incidents générés lors de la détection d'une menace spécifique, en fonction des actions de réponse.
  8. Renforcement des politiques - paramètres système qui vous permettent de niveler une menace spécifique.
  9. Systèmes d'atténuation - systèmes et technologies qui vous permettent de niveler une menace spécifique.


Séparément, je note un moment qui échappe souvent à la vue des clients et des fournisseurs. Parfois, des incidents complexes se produisent qui ne peuvent pas être résolus par les spécialistes du client. Le fournisseur ne doit pas laisser le client face à son problème: "Nous vous livrons les règles, elles fonctionnent, le reste n'est pas nos problèmes." À mon avis, les fournisseurs sérieux d'expertise devraient avoir des services d'enquête sur les incidents dans leur portefeuille, que le client peut utiliser à tout moment 24/7 en cas de situation critique.

Conclusions


Pour résumer:

  1. Le client qui a acheté SIEM n'a souvent pas la possibilité d'affecter des spécialistes individuels pour travailler avec une solution de 100% du temps de travail. Dans ce cas, SIEM cesse d'être utilisé après un certain temps.
  2. Les règles de corrélation ne suffisent pas à elles seules pour garantir l'identification des menaces de sécurité réelles. À cet égard, les règles de corrélation ne peuvent à elles seules être qualifiées d'expertise. Examen - un ensemble de règles de corrélation, de connaissances d'experts et de données qui sont minimalement nécessaires pour identifier et répondre aux incidents.
  3. L'examen doit avoir les propriétés suivantes:
    • identifie avec précision les violations dans l'infrastructure spécifique du client;
    • identifie les menaces actuelles de classe mondiale, ainsi que spécifiques à un pays spécifique et à un client de l'industrie;
    • a à la fois une composante réactive et une composante proactive;
    • explique au client les résultats de sa conclusion logique;
    • Fournit des explications sur les étapes supplémentaires pour répondre à un incident identifié.
  4. Il ne suffit pas de fournir des règles Sigma toutes faites pour être considéré comme un fournisseur expert. Le fournisseur d'expertise doit répondre à un certain nombre d' exigences .
  5. L'expertise fournie comprend les éléments interconnectés suivants:
    • liste et paramètres des sources;
    • descriptions de la logique des règles;
    • règles de corrélation;
    • plans d'intervention;
    • télémétrie pour déclencher des règles.
  6. Les prestataires d'examen devraient avoir dans leur portefeuille des services d'enquête que le client peut utiliser s'il n'a pas ses propres compétences pour analyser un incident complexe.

Source: https://habr.com/ru/post/fr451680/

More articles:


All Articles