Hari ini kita akan berbicara tentang Pusat Operasi Keamanan (SOC) dari orang-orang yang tidak membuat dan mengkonfigurasinya, tetapi siapa yang memeriksa bagaimana orang lain melakukannya. Efektivitas SOC yang dibangun untuk perusahaan Anda secara mandiri atau oleh seseorang dari luar diperiksa. Cek menjawab pertanyaan "Apakah SOC memenuhi tugas yang diberikan kepadanya atau tidak, dan seberapa efektif itu?". Bagaimanapun, kehadiran SOC tidak berarti bahwa itu berfungsi sebagaimana mestinya dan Anda mengetahui kemungkinan insiden dan masalah keamanan lainnya. Kami akan menceritakan tentang pengalaman kami dalam verifikasi SOC di berbagai perusahaan dalam proyek kami.



Bagi mereka yang sudah tahu apa itu SOC dan apa yang diminum, kami sarankan segera pergi ke bagian kedua artikel. Kami sarankan agar Anda membaca seluruh artikel secara keseluruhan.

Bagian 1. Sedikit tentang SOC untuk pemula

Perlindungan sistem informasi menjadi yang utama di hampir semua industri. Setiap akses yang tidak sah ke informasi dapat menyebabkan masalah serius bagi perusahaan.

Sistem informasi dari setiap, bahkan perusahaan terkecil, adalah kompleks, dan semua bagiannya harus dilindungi sesuai dengan prinsip yang sama - pertama organisasi, kemudian langkah-langkah pencegahan, kemudian alat pengawasan yang mendeteksi anomali, dan alat respons. Orang-orang berada pada tahap terakhir, tetapi tidak kalah pentingnya, memerangi ancaman, meskipun kebetulan masalah keamanan dapat diselesaikan tanpa melibatkan orang, misalnya, dengan secara otomatis memblokir port atau memutuskan sambungan mesin dari jaringan bersama. Alat yang digunakan untuk melindungi masing-masing komponen sistem dapat bervariasi dari perusahaan ke perusahaan, tetapi ada tren umum - perusahaan secara bertahap, terlepas dari ukurannya, sampai pada gagasan untuk memperkenalkan SOC - Pusat Operasi Keamanan.

Ada beberapa alasan untuk ini:

• Menggunakan SOC mengurangi biaya pelacakan insiden keamanan secara manual
• peristiwa sistem berkumpul di satu tempat, kecil kemungkinannya ada di antara mereka yang akan hilang;
• SOC memungkinkan Anda untuk mengkonfigurasi aturan untuk mengklasifikasikan peristiwa sebagai insiden keamanan sesuai dengan kebutuhan dan karakteristik perusahaan tertentu;
• SOC memungkinkan Anda untuk meminimalkan waktu deteksi dan respons terhadap insiden keamanan, sehingga mengurangi potensi kerusakan pada perusahaan;
• log yang jatuh ke dalam SOC dibawa ke satu tampilan, yang memungkinkan Anda untuk menyelidiki insiden keamanan secara efektif, bahkan jika seorang penyerang berusaha untuk melihat jejak kehadirannya dalam sistem.

SOC adalah infrastruktur dengan banyak komponen yang saling berhubungan, dasarnya adalah SIEM (Informasi keamanan dan manajemen acara). SIEM adalah pengumpulan data, normalisasi, dan sistem korelasi yang mengumpulkan log dari server web, mesin host, dan komponen infrastruktur lainnya, serta alat keamanan informasi yang dipasang pada perangkat jaringan organisasi, berkorelasi dan memprosesnya untuk mengembalikannya ke normal. Ini adalah tugas utama SIEM - untuk membawa sejumlah besar log dari berbagai sumber ke satu format untuk kenyamanan mendeteksi hubungan di antara mereka. Ini diperlukan untuk komponen lain dari analis SOC - SOC yang, melihat daftar besar log dari SIEM, harus menanggapi beberapa peristiwa sendiri atau mentransfernya ke pekerjaan spesialis keamanan.

Tidak ada dua SOC identik karena konfigurasinya bersifat individual untuk setiap organisasi. Tahapan utama pembuatan SOC adalah sebagai berikut:

• mendefinisikan infrastruktur yang dilindungi, baik secara organisasi maupun teknis;
• pemasangan semua cara yang mungkin / diperlukan untuk perlindungan dan pemantauan, serta konfigurasinya;
• pemilihan SIEM yang sesuai dan penyesuaiannya tergantung pada fitur-fitur perusahaan;
• membuat aturan korelasi acara;
• pemilihan tim SOC - orang-orang yang pekerjaannya akan memantau peristiwa dan membuat koreksi terhadap aturan korelasi, serta menanggapi peristiwa keamanan.

Bahkan setelah semuanya didefinisikan, diinstal dan dikonfigurasi, tidak ada yang dapat menjamin bahwa SOC sekarang berfungsi seperti yang Anda inginkan atau seperti yang ditunjukkan dalam presentasi indah oleh pengembang SIEM. Masalah mendasar dengan menggunakan segala cara perlindungan adalah bahwa hampir tidak ada yang tahu seberapa efektif mereka bekerja. Penting tidak hanya untuk menginstal dan menjalankannya, tetapi juga untuk memastikan bahwa tindakan yang diambil efektif. Tingkat kematangan perusahaan dalam masalah keamanan juga sangat penting.

Karena SOC adalah struktur yang kompleks dan multi-komponen, penting untuk dipahami bahwa pada setiap tahap pembuatannya, ada yang salah. Dan ini kemungkinan akan mempengaruhi keamanan keseluruhan sistem dan efisiensi SOC itu sendiri.

Bagian 2. Apa yang terjadi jika Anda tidak memeriksa efektivitas SOC, tetapi membiarkan semuanya seperti apa adanya?

Untuk memulainya, ada sesuatu yang salah, bahkan dengan sedikit perubahan dalam infrastruktur organisasi. Dan itu sering terjadi - seseorang pergi, orang baru datang, sesuatu yang rusak, perangkat keras dan perangkat lunak diperbarui, dan banyak lagi. Dalam hal ini, pengaturan SPI dan aturan korelasi harus segera diubah, tetapi mereka sering melupakannya, dan ketika mereka ingat, sudah terlambat.



Bagian selanjutnya dari SOC di mana kesalahan dapat terjadi adalah cara perlindungan dari mana informasi masuk SIEM, dapat dikonfigurasi secara tidak benar dan melewati tindakan yang diarahkan ke sistem dari luar. Dan jika tindakan penyerang tidak terdeteksi oleh SZI yang ada, maka itu tidak akan masuk ke log dan tidak akan berada di SIEM, dan kemungkinan besar layanan keamanan tidak akan mengetahuinya segera.



Masalahnya mungkin di SIEM . Ini mungkin tidak berfungsi seperti yang Anda inginkan. Peristiwa yang masuk ke dalamnya dapat dikorelasikan secara tidak benar karena kesalahan dalam aturan korelasi, yang akan mengarah pada melewatkan tindakan penyerang. Perlu diperjelas di sini bahwa tidak selalu ada cukup data dari satu sumber. Ada kasus ketika, untuk menentukan insiden keamanan, perlu untuk menggabungkan data dari beberapa sumber sekaligus untuk mendapatkan gambaran lengkap tentang apa yang terjadi dalam sistem. Tetapi mungkin ternyata aturan tersebut dikonfigurasi sehingga untuk menentukan apa yang terjadi insiden itu mungkin tidak cukup data dari satu sumber, yang menunjukkan fakta penyelesaiannya. Yaitu teka-teki yang terdiri dari data dari beberapa sumber tidak akan berhasil. Juga, aturan untuk beberapa peristiwa keamanan mungkin tidak ada sama sekali.

Pada tahap korelasi acara di SIEM, beberapa masalah dapat muncul sekaligus. Salah satunya mungkin keterlambatan dalam transmisi peristiwa dari beberapa sumber, yang dapat mengganggu korelasi yang berhasil.

Aturan untuk mengklasifikasikan peristiwa sebagai insiden di SIEM mungkin tidak dikonfigurasi dengan benar pada mereka sendiri, atau mereka mungkin tidak tersedia untuk peristiwa apa pun. Juga, insiden biasanya memiliki tingkat keparahan, yang jika tidak diidentifikasi dengan benar dapat menyebabkan masalah besar.



Orang yang bekerja dengan SIEM, yang tugasnya merespons insiden keamanan, juga dapat menyebabkan serangan yang terlewat dan masalah keamanan informasi selanjutnya. Mereka mungkin kehilangan beberapa sinyal dari SIEM atau bereaksi secara tidak benar terhadap tindakan penyerang karena berbagai alasan. Ada juga masalah bahwa orang akan berhenti cepat atau lambat, dan karyawan baru perlu waktu untuk berlatih.

Mengingat hal di atas, pengujian SOC untuk memverifikasi kinerja sangat penting baik pada tahap implementasi SOC dan seiring waktu. Karena spesialis dari perusahaan kami sudah memiliki pengalaman dalam hal ini, kami memutuskan untuk menjelaskan poin dan nuansa utama.

Bagian 3. Memeriksa efektivitas SOC

Pengujian SOC di suatu perusahaan dapat dilakukan dalam beberapa skenario. Mari kita bicarakan hal-hal yang tampaknya paling efektif bagi kita.

Tugas pengujian SOC mencakup pengujian keamanan dengan mereproduksi skenario perilaku tipikal yang melekat pada penjahat cyber. Ini termasuk:

• iterasi melalui akun pengguna lain menggunakan brute force, serta menggunakan teknik penyemprotan kata sandi. Menggunakan teknik ini dimungkinkan jika Anda memiliki akses ke daftar akun yang ada di sistem, misalnya, melalui buku alamat klien email. Dalam pengalaman kami, teknik penyemprotan kata sandi sering dilupakan dan, karenanya, aturan SOC sulit mendeteksi serangan seperti itu;
• memompa data dari sumber daya web, baik itu wiki perusahaan atau pengelola tugas. Serangan semacam itu dapat dilakukan termasuk menggunakan berbagai perayapan web dan mekanisme brute direktori. Secara terpisah, auditor memperhatikan layanan API dan kemampuan mereka;
• upaya berulang untuk mengakses sumber daya atau proyek yang berada di luar kompetensi peran atas nama tempat penyerang bekerja. Contoh sederhana adalah upaya untuk mengotorisasi pengguna dari sekelompok pengembang tentang sumber daya administrator jaringan dan layanan keamanan;
• Mencoba mengunduh sejumlah besar informasi dari jaringan perusahaan menggunakan teknik penyaringan bypass. Ini terutama tentang terowongan dns dan icmp, tetapi kadang-kadang masuk akal untuk memulai dengan pemeriksaan yang lebih sederhana, misalnya, cobalah mencari port tcp atau udp terbuka di luar, serta gateway tambahan. Untuk mencari gateway, omong-omong, ada implementasi revisi dari satu alat populer dari salah satu karyawan.

Daftar cek serupa dapat dilanjutkan untuk waktu yang lama. Yang terpenting adalah dipandu oleh kebutuhan nyata klien dan pemeriksaan yang dilaksanakan olehnya.

Pengujian SOC dapat dilakukan dengan dua cara:

• secara membabi buta - blackbox;
• dengan pengetahuan infrastruktur - papan tulis.

Lebih detail tentang masing-masing.

Pertama-tama, Anda harus memeriksa operasi SOC dalam mode pengujian kotak hitam. Esensinya adalah bahwa karyawan departemen SOC tidak menyadari pekerjaan yang dilakukan dan bereaksi terhadap semua peristiwa dalam mode pertempuran. Auditor / pentester diberikan akses ke jaringan perusahaan, dan akun juga dapat diberikan dari layanan yang paling banyak digunakan di perusahaan.

Model seperti itu mengasumsikan bahwa penyerang yang tidak memiliki informasi tambahan memperoleh akses ke jaringan perusahaan dan akun apa pun yang ada dengan cara yang tidak diketahui. Tindakan penyerang seperti itu ditandai dengan tingkat keacakan dan "kebisingan" yang tinggi. Dia secara aktif memindai jaringan, beralih ke direktori, akun, mengirim semua eksploitasi yang dia tahu ke semua port, memunculkan XSS, SQLi, RCE, SSTI, NoSQLi, dll aplikasi web dengan vektor. Secara umum, ia berperilaku sangat agresif dengan harapan meretas setidaknya sesuatu. Selama audit, auditor meniru tindakan penyerang tersebut, mempertahankan tingkat kegilaan tertentu, tetapi siap untuk berhenti kapan saja atas permintaan layanan SOC atau jika masalah teknis muncul. Omong-omong, hasil yang tak terduga dan menyenangkan mungkin adalah penemuan layanan dan aplikasi yang rentan dalam infrastruktur perusahaan.

Model pengujian lain adalah papan tulis. Dalam hal ini, skenario karyawan yang tidak bertanggung jawab diselesaikan. Biasanya, pada titik ini, auditor berpengalaman dalam jaringan pelanggan dan dapat memainkan peran seperti itu. Perilaku seorang penyerang potensial dalam hal ini dapat ditandai dengan selektivitas tinggi baik sarana dan target serangan. Di sini sudah dimungkinkan untuk menarik beberapa persamaan dengan serangan APT . Auditor menyerang hanya tempat terlemah dalam pendapat mereka dan menggunakan vektor serangan yang dipikirkan dengan matang dan ditargetkan secara sempit, dan juga mencoba mengakses informasi sensitif di luar kompetensi peran akun mereka dengan upaya selanjutnya untuk memompanya keluar dari batas aman. Mereka mencoba melakukan semua tindakan sedemikian rupa sehingga tidak diperhatikan oleh layanan keamanan perusahaan.

Setelah pengujian, analisis dan perbandingan hasil yang diperoleh oleh auditor dan insiden yang terdeteksi oleh karyawan SOC biasanya dimulai. Tahap ini akan memberikan gambaran keseluruhan tentang efektivitas kerja SOC saat ini dan dapat berfungsi sebagai titik awal untuk semua rencana lebih lanjut untuk memperluas pemeriksaan dan pendekatan yang ada.

Akhirnya, ketika gagasan keamanan infrastruktur yang diuji dikompilasi, auditor dapat menggunakan pengujian whitebox untuk menganalisis seperangkat aturan yang ada, serta peristiwa yang menjadi dasar pembentukan aturan-aturan ini. Interaksi antara auditor dan analis SOC ini bisa sangat produktif, dan selama konsultasi akan membantu mengidentifikasi kesalahan logis dan kelalaian dalam konfigurasi komponen SOC. Akar mereka biasanya adalah kurangnya pemahaman oleh analis SOC tentang bagaimana seorang penyerang nyata dapat bertindak dan trik apa yang dapat ia lakukan pada sistem.

Kesimpulan

Layanan paling kritis yang patut mendapatkan perhatian lebih dekat diuji secara terpisah menggunakan dua model penyusup.

Serangkaian tindakan serupa memungkinkan Anda untuk:

• secara signifikan meningkatkan kesadaran manajer keamanan tentang keadaan infrastruktur mereka;
• melakukan latihan militer untuk departemen SOC dengan kesempatan untuk mendapatkan saran dari para ahli di bidang audit;
• mendeteksi dan memperbaiki kesalahan yang ada dalam pekerjaan SOC, serta secara umum meningkatkan keamanan perusahaan.

Untuk bantuan dalam menulis artikel ini, saya berterima kasih kepada Denis _ttffdd_ Rybin dan Ivan Chalykin .