Banyak dari mereka yang telah menemukan SIEM akrab dengan perkembangan aturan korelasi. Produsen solusi SIEM, SOC komersial, integrator - semuanya mengusulkan aturan mereka sendiri dan mengklaim bahwa mereka lebih baik daripada yang lain. Benarkah ini? Bagaimana cara memilih penyedia aturan? Apa keahlian SIEM? Mari kita pikirkan tentang topik-topik ini.



Seperti biasa, kesimpulannya berisi semua poin utama dari artikel ini.

Setiap spesialis dalam keamanan informasi cepat atau lambat mulai menggunakan sistem SIEM atau beberapa elemen individu dari sistem kelas ini.

Bagian penting dari SIEM adalah aturan korelasi - pengetahuan yang memungkinkan Anda untuk memecahkan masalah mengidentifikasi insiden keamanan informasi. Mereka dapat dikembangkan sendiri, didelegasikan ke integrator, atau, jika terhubung ke SOC komersial, gunakan pengetahuan spesialis mereka. Seperti yang Anda lihat, ada banyak sumber aturan korelasi dalam SIEM, jadi pertanyaannya tentu saja muncul dari pilihan. Tugas ini sangat relevan jika perusahaan Anda tidak memiliki spesialis khusus untuk tugas SIEM. Dalam hal ini, Anda atau kolega Anda harus mengelola beberapa alat keamanan sekaligus dan juga SIEM.

Sekitar sebulan setelah penerapan SIEM, perlu dipahami bahwa kelas solusi ini membutuhkan biaya tenaga kerja yang signifikan. Seni serangan terhadap sistem informasi terus berkembang. Diperlukan waktu untuk melacak tren modern, menganalisisnya, menilai penerapan infrastruktur mereka, dan juga menulis aturan korelasi untuk mengidentifikasi serangan. Sebagai aturan, spesialis tidak punya cukup waktu untuk ini.

Menghadapi masalah seperti itu, perusahaan memutuskan untuk membangun SOC mereka dan menarik spesialis yang berdedikasi, atau untuk mencari pemasok eksternal dari aturan korelasi. Selanjutnya, kita akan membahas bagaimana memilih pemasok dan apakah pelanggan akhir hanya membutuhkan aturan korelasi.

Pemeriksaan dan sifat-sifatnya

Yang kami maksud dengan keahlian adalah seperangkat aturan korelasi, pengetahuan ahli, dan data yang minimal diperlukan untuk mengidentifikasi dan merespons insiden. Keahlian diberikan oleh pemasok (produsen solusi SIEM atau SOC), dan pelanggan adalah konsumennya.

Aturan korelasi dapat disediakan oleh pengembang SIEM, penyedia MSSP / SOC, integrator dan komunitas. Semua orang berpendapat bahwa aturan korelasinya adalah kualitatif. Benar, seringkali konsep kualitas digantikan hanya dengan sejumlah aturan yang tersedia. Apakah kuantitas merupakan indikator kualitas? Dalam kasus umum, ini adalah pernyataan yang kontroversial. Pemeriksaan kualitatif memiliki sifat-sifat berikut:

1. Mengidentifikasi pelanggaran secara akurat dalam infrastruktur pelanggan tertentu.
2. Mengungkapkan ancaman kelas dunia saat ini. Identifikasi ancaman khusus untuk negara dan pelanggan industri tertentu.
3. Ia memiliki komponen reaktif dan proaktif.
4. Menjelaskan kepada pelanggan hasil kesimpulan logisnya.
5. Memberikan klarifikasi tentang langkah selanjutnya dalam menanggapi insiden yang diidentifikasi.

Beberapa properti ini memberlakukan persyaratan pada pengembang pemeriksaan, dan beberapa pada hasil karyanya - aturan korelasi dan bahan terkait.

Pengembang keahlian dan kompetensinya

Berdasarkan kriteria apa untuk memilih pemasok? Kami telah merumuskan enam properti dasar yang menjadi ciri keahlian berkualitas. Untuk memastikannya, penyedia aturan harus:

• Identifikasi ancaman kelas dunia saat ini . Ini mungkin pemasok yang memiliki pusat analisis sendiri yang berspesialisasi dalam mendeteksi dan menganalisis serangan. Mereka harus secara teratur memonitor jenis serangan terbaru dan pendekatan untuk melanggar keamanan informasi sistem.
• Identifikasi ancaman khusus untuk negara dan industri pelanggan tertentu . Di setiap negara, lanskap ancaman dan daftar jenis serangan mungkin memiliki kekhasan masing-masing. Karena itu, ketika memilih pemasok, penting bahwa pusat analitiknya memiliki fokus yang jelas pada pelacakan ancaman yang melekat persis di negara tempat infrastruktur perusahaan Anda berada. Spesialis pusat tidak hanya harus memahami secara spesifik ancaman di negara tertentu, tetapi juga dapat dengan cepat menanggapinya. Seharusnya tidak bahwa pemasok merespons ancaman regional baru seminggu setelah terjadinya, hanya karena wilayah Anda bukan prioritas untuk itu dalam hal melakukan bisnis.
• Memiliki komponen yang reaktif dan proaktif . Tidak cukup merekrut analis Pentester di pusat. Penting bahwa para ahli ini tidak hanya memahami dan mengetahui cara memecahkan sistem, tetapi juga tahu cara mendeteksi upaya peretasan dan mencegahnya, atau menghentikannya pada tahap awal. Praktek menunjukkan bahwa sedikit perhatian diberikan pada aspek ini: seringkali pusat-pusat analitis dibangun dari para ahli, baik hanya di bidang serangan, atau hanya di bidang pertahanan, yang tentunya akan memengaruhi tingkat keahlian yang mereka hasilkan.
• Identifikasi pelanggaran secara akurat dalam infrastruktur pelanggan tertentu . Pemasok harus memiliki metodologi untuk mengembangkan aturan korelasi yang dapat beradaptasi dengan infrastruktur spesifik pelanggan. Ini diperlukan untuk meminimalkan jumlah positif palsu untuk aturan. Serangkaian besar artikel berjudul "Aturan korelasi yang bekerja di luar kotak" dikhususkan untuk masalah ini. Penting untuk diingat bahwa proses “pengembangan industri” aturan korelasi yang tepat harus dibangun di pemasok. Dari sini berikut bahwa:
  
  • aturan harus diuji pada sistem langsung, bukan yang sintetis;
  • selama proses pengujian, jenis-jenis serangan tersebut harus direproduksi secara langsung, dengan deteksi yang diarahkan pada aturan korelasi yang diuji;
  • uji beban dan regresi harus dilakukan untuk mengonfirmasi kompatibilitas aturan dengan SIEM;
  • pemasok harus mengeluarkan pembaruan untuk aturan yang dikeluarkan sebelumnya jika ternyata aturan tersebut memiliki banyak kesalahan positif;
  • SIEM dan pemasok itu sendiri harus memiliki saluran untuk pengiriman pembaruan yang cepat dan aturan korelasi baru kepada pelanggan akhir.

Perangkat persyaratannya cukup luas. Sayangnya, jika kami memilih satu spesialis yang akan menghabiskan 2 jam sehari pada kegiatan ini untuk mengembangkan aturan korelasi, ini tidak akan memungkinkan untuk mencapai pemeriksaan berkualitas tinggi yang sama.

Aturan korelasi dan lingkungannya

Sekarang mari kita lihat aturan korelasi sendiri melalui mata pelanggan. Dia ingin menerima aturan kualitas dari pemasok dan mengaktifkannya tanpa masalah di SIEM-nya. Padahal, tidak semuanya begitu sederhana.

Agar aturan berfungsi, Anda harus menghubungkan sumber yang diperlukan ke SIEM. Mereka harus dikonfigurasi untuk menghasilkan peristiwa yang diperlukan untuk aturan. Melihat aturan itu sendiri, penting agar logika pekerjaannya dipahami darinya. Selain itu, pelanggan perlu memahami cara bereaksi jika aturan itu berfungsi.

Aturan korelasi saja tidak cukup untuk disebut keahlian. Pemeriksaan adalah aturan korelasi, bersama-sama dengan lingkungan tambahan, semua elemen yang saling berhubungan dan dapat diatur dalam sirkuit tertutup - yang disebut pemeriksaan loop tertutup.


Keahlian loop tertutup

Pertimbangkan setiap tautan dalam rantai ini:

1. Pemasok / Produsen SIEM . Pemeriksaan dimulai dengan fakta bahwa pemasok dengan kompetensi yang relevan mengembangkan aturan korelasi sesuai dengan proses teknologi.
2. Pengaturan daftar dan sumber . Aturan korelasi yang dikembangkan disediakan dengan deskripsi sumber-sumber tersebut atas dasar di mana aturan korelasi bekerja. Penyedia juga menjelaskan secara terperinci bagaimana sumber harus dikonfigurasi sehingga menyediakan generasi jenis acara yang diperlukan. Ini akan menjadi bentuk yang baik jika pemasok menyerahkan contoh kejadian itu sendiri.
3. Deskripsi logika aturan . Agar pelanggan memahami prinsip-prinsip pemicu yang tercantum dalam aturan korelasi, pemasok menjelaskan logika setiap aturan dalam bentuk diagram alir atau deskripsi teks.
4. Aturan korelasi . Korelasi mengatur diri mereka sendiri dan metodologi untuk memprioritaskan insiden yang dihasilkan oleh mereka secara langsung.
5. Rencana tanggapan . Pemicu aturan korelasi dapat menjadi insiden keamanan informasi. Penting bagi pelanggan untuk memahami bagaimana menanggapi insiden ini untuk meminimalkan dampaknya terhadap infrastruktur. Juga, penjelasan harus dimasukkan dalam rencana data mana yang harus dikumpulkan tambahan jika terjadi insiden. Tidak diragukan lagi, pelanggan harus menyesuaikan aturan respons dengan spesifikasi perusahaannya. Namun, sebagai bagian dari rencana respons, pemasok harus mencerminkan rekomendasi umum tentang tindakan pengguna jika terjadi insiden yang disebabkan oleh aturan tertentu. Jadi pelanggan akan memiliki sesuatu untuk mendorong, mengadaptasi proses respons keseluruhan untuk dirinya sendiri.
6. Telemetri . Aturan korelasi tidak bekerja dalam ruang hampa, tetapi dalam kondisi spesifik perusahaan pelanggan. Pemasok bertanggung jawab atas kualitas aturan yang diberikan dan harus memahami cara kerjanya. Oleh karena itu, statistik tentang pengoperasian aturan harus dikumpulkan dalam SIEM.
7. Pemasok / Produsen SIEM . Telemetri yang dikumpulkan dalam bentuk anonim harus dikirim kembali ke pemasok. Statistik membantunya dengan cepat membuat perubahan pada aturan, jika positif palsu. Ini juga memungkinkan Anda untuk mengidentifikasi teknik dan taktik serangan baru dan segera merilis aturan korelasi baru untuk deteksi mereka.

Serangkaian persyaratan untuk pemasok, serta semua mata rantai di atas, secara kolektif disebut keahlian. Seperti yang Anda lihat, rantai ditutup, oleh karena itu pendekatan ini ditetapkan sebagai "keahlian loop tertutup".

Saat ini, pendekatan ini digunakan oleh para pemimpin asing utama pasar SIEM: IBM QRadar, Micro focus ArcSight. Di Rusia, digunakan di perusahaan kami Teknologi Positif dalam produk MaxPatrol SIEM. Sebuah proyek vendor-independen yang menarik sedang dikembangkan di dalam komunitas - Atomic Threat Coverage , yang mempromosikan ideologi serupa. Selanjutnya, saya akan memberikan deskripsi tentangnya, diambil dari halaman proyek.

Cakupan Ancaman Atom memungkinkan Anda untuk secara otomatis menghasilkan basis data analitis yang dirancang untuk melawan ancaman yang dijelaskan dalam MITER ATT & CK dari perspektif Deteksi, Respons, Pencegahan, dan Simulasi ancaman. Itu termasuk:

1. Aturan Deteksi - Aturan Deteksi berbasis- Sigma (korelasi), format umum untuk menggambarkan aturan korelasi untuk sistem SIEM.
2. Data Needed - data yang harus dikumpulkan untuk mendeteksi ancaman tertentu.
3. Kebijakan Pencatatan - pengaturan pencatatan yang harus dilakukan pada perangkat untuk mengumpulkan data yang diperlukan untuk mendeteksi ancaman tertentu.
4. Pengayaan - Pengaturan Diperlukan Data diperlukan untuk menerapkan beberapa Aturan Deteksi.
5. Pemicu - skrip simulasi serangan berdasarkan Tim Merah Atom - skenario pengujian atom / ancaman dari MITER ATT & CK.
6. Tindakan Respons - langkah respons insiden atom.
7. Response Playbooks - skenario respons insiden yang dihasilkan selama deteksi ancaman tertentu, berdasarkan pada Tindakan Respons.
8. Kebijakan Pengerasan - pengaturan sistem yang memungkinkan Anda untuk meratakan ancaman tertentu.
9. Sistem Mitigasi - sistem dan teknologi yang memungkinkan Anda untuk meratakan ancaman tertentu.

Secara terpisah, saya perhatikan momen yang sering tidak terlihat oleh pelanggan dan pemasok. Kadang-kadang terjadi insiden kompleks yang tidak dapat diungkap oleh spesialis pelanggan. Pemasok tidak boleh membiarkan pelanggan berhadapan muka dengan masalahnya: "Kami memberikan Anda aturannya, mereka bekerja, sisanya bukan masalah kami." Menurut pendapat saya, pemasok ahli yang serius harus memiliki layanan investigasi insiden dalam portofolio mereka, yang dapat digunakan pelanggan kapan saja 24/7 jika terjadi situasi kritis.

Kesimpulan

Untuk meringkas:

1. Pelanggan yang membeli SIEM sering tidak memiliki kesempatan untuk mengalokasikan masing-masing spesialis untuk bekerja dengan solusi 100% dari waktu kerja. Dalam hal ini, SIEM berhenti digunakan setelah beberapa waktu.
2. Aturan korelasi saja tidak cukup untuk memastikan bahwa ancaman keamanan aktual diidentifikasi. Dalam hal ini, aturan korelasi sendiri tidak bisa disebut keahlian. Pemeriksaan - seperangkat aturan korelasi, pengetahuan ahli dan data yang minimal diperlukan untuk mengidentifikasi dan menanggapi insiden.
3. Pemeriksaan harus memiliki sifat - sifat berikut:
   
   • secara akurat mengidentifikasi pelanggaran dalam infrastruktur spesifik pelanggan;
   • mengidentifikasi ancaman kelas dunia saat ini, serta spesifik untuk negara dan pelanggan industri tertentu;
   • memiliki komponen reaktif dan proaktif;
   • menjelaskan kepada pelanggan hasil kesimpulan logisnya;
   • Memberikan penjelasan tentang langkah-langkah selanjutnya untuk menanggapi insiden yang diidentifikasi.
4. Tidak cukup hanya memasok aturan Sigma yang sudah jadi untuk dianggap sebagai pemasok ahli. Pemasok keahlian harus memenuhi sejumlah persyaratan .
5. Keahlian yang disampaikan terdiri dari elemen-elemen yang saling terhubung berikut ini:
   
   • daftar dan pengaturan sumber;
   • deskripsi aturan logika;
   • aturan korelasi;
   • rencana tanggapan;
   • telemetri untuk memicu aturan.
6. Penyedia pemeriksaan harus memiliki layanan investigasi portofolio yang dapat digunakan pelanggan jika ia tidak memiliki kompetensi sendiri untuk menganalisis insiden yang kompleks.