Muitos dos que se depararam com o SIEM estão familiarizados com o desenvolvimento de regras de correlação. Fabricantes de soluções SIEM, SOCs comerciais, integradores - todos propõem suas próprias regras e afirmam que são melhores que outros. Isso é realmente assim? Como escolher um provedor de regras? O que é o conhecimento SIEM? Vamos pensar sobre esses tópicos sob o corte.



Como sempre, a conclusão contém todos os pontos principais do artigo.

Qualquer especialista em segurança da informação, mais cedo ou mais tarde, começa a usar os sistemas SIEM ou alguns elementos individuais dos sistemas dessa classe.

Uma parte importante do SIEM são as regras de correlação - conhecimento que permite resolver o problema de identificação de incidentes de segurança da informação. Eles podem ser desenvolvidos por eles mesmos, delegados ao integrador ou, se conectados a um SOC comercial, usar o conhecimento de seus especialistas. Como você pode ver, existem muitas fontes de regras de correlação no SIEM, então a questão surge naturalmente da escolha. Essa tarefa é especialmente relevante se sua empresa não possui especialistas dedicados para tarefas SIEM. Nesse caso, você ou seus colegas precisam administrar várias ferramentas de segurança ao mesmo tempo e, adicionalmente, o SIEM.

Cerca de um mês após a implementação do SIEM, entendemos que essa classe de soluções requer custos trabalhistas significativos. A arte de ataques a sistemas de informação está em constante evolução. Leva tempo para rastrear tendências modernas, analisá-las, avaliar a aplicabilidade de sua infraestrutura e também escrever regras de correlação para identificar ataques. Como regra, os especialistas não têm tempo suficiente para isso.

Diante de tais problemas, as empresas decidem criar seu SOC e atrair especialistas dedicados ou encontrar fornecedores externos de regras de correlação. A seguir, discutiremos como escolher um fornecedor e se o cliente final precisa apenas de regras de correlação.

Exame e suas propriedades

Por especialização, entendemos um conjunto de regras de correlação, conhecimento especializado e dados que são minimamente necessários para identificar e responder a incidentes. A experiência é fornecida pelo fornecedor (o fabricante da solução SIEM ou SOC) e o cliente é seu consumidor.

As regras de correlação podem ser fornecidas por desenvolvedores SIEM, provedores / SOCs de MSSP, integradores e pela comunidade. Todos postulam que suas regras de correlação são qualitativas. É verdade que muitas vezes o conceito de qualidade é substituído simplesmente pelo número de regras disponíveis. A quantidade é um indicador de qualidade? No caso geral, esta é uma afirmação controversa. O exame qualitativo possui as seguintes propriedades:

1. Identifica com precisão violações em uma infraestrutura específica do cliente.
2. Revela ameaças atuais de classe mundial. Identifica ameaças específicas para um país e cliente do setor específicos.
3. Possui um componente reativo e um proativo.
4. Explica ao cliente os resultados de sua conclusão lógica.
5. Fornece esclarecimentos sobre as próximas etapas na resposta a um incidente identificado.

Algumas dessas propriedades impõem requisitos ao desenvolvedor do exame e outras ao resultado de seu trabalho - as regras de correlação e os materiais relacionados.

Desenvolvedor de conhecimento e suas competências

Com base em quais critérios para escolher um fornecedor? Formulamos seis propriedades básicas que caracterizam a experiência em qualidade. Para garantir isso, o provedor de regras deve:

• Identifique as ameaças atuais de classe mundial . Podem ser fornecedores que possuem seus próprios centros analíticos especializados em detectar e analisar ataques. Eles devem monitorar regularmente os tipos mais recentes de ataques e abordagens para violar a segurança das informações dos sistemas.
• Identifique ameaças específicas para um país e setor específicos do cliente . Em cada país, o cenário de ameaças e a lista de tipos de ataques podem ter suas próprias especificidades. Portanto, ao escolher um fornecedor, é importante que seu centro analítico tenha um foco claro no rastreamento de ameaças inerentes exatamente ao país em que a infraestrutura da sua empresa está localizada. Os especialistas do centro devem não apenas entender as especificidades das ameaças em um país específico, mas também ser capazes de responder rapidamente a elas. Não deve ser que o fornecedor responda a uma nova ameaça regional uma semana após a sua ocorrência, apenas porque sua região não é uma prioridade para ela em termos de negócios.
• Tenha um componente reativo e um proativo . Não basta recrutar analistas da Pentester no centro. É importante que esses especialistas não apenas entendam e saibam como invadir sistemas, mas também como detectar tentativas de invasão e evitá-las ou pará-las nos estágios iniciais. A prática mostra que pouca atenção é dada a esse aspecto: geralmente os centros analíticos são construídos por especialistas, apenas no campo de ataque ou no campo de defesa, o que certamente afetará o nível de conhecimento que eles produzem.
• Identifique com precisão as violações em uma infraestrutura específica do cliente . O fornecedor deve ter uma metodologia para desenvolver regras de correlação que possam se adaptar à infraestrutura específica do cliente. Isso é necessário para minimizar o número de falsos positivos para regras. Uma grande série de artigos intitulados "Regras de correlação que funcionam imediatamente" foi dedicada a esta edição. É importante lembrar que o processo de “desenvolvimento industrial” preciso das regras de correlação deve ser construído no fornecedor. Daqui resulta que:
  
  • as regras devem ser testadas em sistemas ativos, não sintéticos;
  • durante o processo de teste, esses tipos de ataques devem ser reproduzidos ao vivo, para a detecção da qual a regra de correlação testada é direcionada;
  • testes de carga e regressão devem ser realizados para confirmar a compatibilidade das regras com o SIEM;
  • o fornecedor deve emitir atualizações para regras emitidas anteriormente, se as regras tiverem um grande número de falsos positivos;
  • O SIEM e o próprio fornecedor devem ter canais para a pronta entrega de atualizações e novas regras de correlação para os clientes finais.

O conjunto de requisitos é bastante amplo. Infelizmente, se destacarmos um especialista que passará 2 horas por dia nessa atividade para desenvolver regras de correlação, isso não permitirá obter o mesmo exame de alta qualidade.

Regras de correlação e seu ambiente

Agora, vejamos as regras de correlação através dos olhos do cliente. Ele deseja receber regras de qualidade do fornecedor e ativá-las sem problemas em seu SIEM. De fato, nem tudo é tão simples.

Para que as regras funcionem, você precisa conectar as fontes necessárias ao SIEM. Eles devem ser configurados para gerar os eventos necessários para as regras. Olhando para a regra em si, é importante que a lógica de seu trabalho seja entendida a partir dela. Além disso, o cliente precisa entender como reagir se a regra funcionar.

Regras de correlação por si só não são suficientes para serem chamadas de experiência. Exame são as regras de correlação, juntamente com um ambiente adicional, cujos elementos estão interconectados e podem ser integrados em um circuito fechado - o chamado exame de circuito fechado.


Experiência em circuito fechado

Considere cada link nesta cadeia:

1. Fornecedor / fabricante SIEM . O exame começa com o fato de que um fornecedor com as competências relevantes desenvolve regras de correlação de acordo com o processo tecnológico.
2. Configurações de lista e fonte . As regras de correlação desenvolvidas são fornecidas com uma descrição dessas fontes com base nas quais a regra de correlação funciona. O provedor também descreve em detalhes como a fonte deve ser configurada para fornecer a geração dos tipos de eventos necessários. Será uma boa forma se o fornecedor enviar uma instância dos próprios eventos.
3. Descrição da lógica da regra . Para que o cliente entenda quais princípios de acionamento são estabelecidos nas regras de correlação, o fornecedor descreve a lógica de cada regra na forma de diagramas de fluxo ou descrições de texto.
4. Regras de correlação . As próprias regras de correlação e a metodologia para priorizar os incidentes gerados por elas são diretamente.
5. Planos de resposta . Um disparo de regra de correlação pode ser um incidente de segurança da informação. É importante que o cliente entenda como responder a esse incidente para minimizar seu impacto na infraestrutura. Além disso, explicações devem ser incluídas no plano de quais dados devem ser coletados adicionalmente em caso de incidente. Sem dúvida, o cliente deve adaptar as regras de resposta às especificidades de sua empresa. No entanto, como parte dos planos de resposta, o fornecedor deve refletir recomendações gerais sobre as ações do usuário no caso de um incidente causado por uma regra específica. Portanto, o cliente terá algo a oferecer, adaptando o processo geral de resposta para si mesmo.
6. Telemetria . As regras de correlação não funcionam no vácuo esférico, mas nas condições específicas da empresa do cliente. O fornecedor é responsável pela qualidade das regras fornecidas e deve entender como elas funcionam. Portanto, estatísticas sobre o funcionamento das regras devem ser coletadas no SIEM.
7. Fornecedor / fabricante SIEM . A telemetria coletada em forma anônima deve ser enviada de volta ao fornecedor. As estatísticas o ajudam a fazer alterações rápidas nas regras, no caso de falsos positivos. Também permite identificar novas técnicas e táticas de ataques e liberar prontamente novas regras de correlação para sua detecção.

O conjunto de requisitos para o fornecedor, bem como todos os elos da cadeia acima, são coletivamente chamados de experiência. Como você pode ver, a cadeia está fechada, portanto, essa abordagem é designada como "experiência em circuito fechado".

Atualmente, essa abordagem é usada pelos principais líderes estrangeiros do mercado SIEM: IBM QRadar, Micro focus ArcSight. Na Rússia, é usado em nossa empresa Positive Technologies no produto MaxPatrol SIEM. Um projeto independente de fornecedor interessante está sendo desenvolvido dentro da comunidade - Cobertura de Ameaças Atômicas , promovendo uma ideologia semelhante. A seguir, darei uma descrição, retirada da página do projeto.

A Cobertura de ameaças atômicas permite gerar automaticamente um banco de dados de dados analíticos projetados para combater as ameaças descritas no MITRE ATT & CK da perspectiva de detecção, resposta, prevenção e simulação de ameaças. Inclui:

1. Regras de detecção - Regras de detecção baseadas em Sigma (correlação), um formato geral para descrever regras de correlação para sistemas SIEM.
2. Dados necessários - dados que devem ser coletados para detectar uma ameaça específica.
3. Políticas de log - configurações de log que devem ser feitas no dispositivo para coletar os dados necessários para detectar uma ameaça específica.
4. Enriquecimentos - Dados necessários As configurações necessárias para implementar algumas das Regras de detecção.
5. Triggers - scripts de simulação de ataque baseados no Atomic Red Team - cenários atômicos de implementação de testes / ameaças do MITRE ATT & CK.
6. Ações de resposta - etapas de resposta a incidentes atômicos.
7. Playbooks de resposta - cenários de resposta a incidentes gerados durante a detecção de uma ameaça específica, com base em ações de resposta.
8. Políticas de proteção - configurações do sistema que permitem nivelar uma ameaça específica.
9. Sistemas de Mitigação - sistemas e tecnologias que permitem nivelar uma ameaça específica.

Separadamente, noto um momento que muitas vezes desaparece dos clientes e fornecedores. Às vezes, ocorrem incidentes complexos que não podem ser desvendados pelos especialistas do cliente. O fornecedor não deve deixar o cliente frente a frente com o seu problema: "Nós entregamos as regras, elas funcionam, o resto não são nossos problemas". Na minha opinião, fornecedores sérios de especialização devem ter serviços de investigação de incidentes em seu portfólio, que o cliente pode usar a qualquer momento 24 horas por dia, 7 dias por semana, em caso de uma situação crítica.

Conclusões

Para resumir:

1. O cliente que comprou o SIEM geralmente não tem a oportunidade de alocar especialistas individuais para trabalhar com uma solução de 100% do tempo de trabalho. Nesse caso, o SIEM deixa de ser usado após algum tempo.
2. Somente as regras de correlação não são suficientes para garantir que as ameaças de segurança reais sejam identificadas. Nesse sentido, somente as regras de correlação não podem ser chamadas de especialização. Exame - um conjunto de regras de correlação, conhecimento especializado e dados que são minimamente necessários para identificar e responder a incidentes.
3. O exame deve ter as seguintes propriedades :
   
   • identifica com precisão violações na infraestrutura específica do cliente;
   • identifica ameaças atuais de classe mundial, bem como específicas para um país e cliente do setor específicos;
   • possui um componente reativo e um proativo;
   • explica ao cliente os resultados de sua conclusão lógica;
   • Fornece explicações sobre outras etapas para responder a um incidente identificado.
4. Não basta fornecer regras Sigma prontas para ser considerado um fornecedor especializado. O fornecedor de conhecimento especializado deve atender a vários requisitos .
5. A experiência fornecida consiste nos seguintes elementos interconectados:
   
   • lista e configurações de fontes;
   • descrições de lógica de regra;
   • regras de correlação;
   • planos de resposta;
   • telemetria para regras de acionamento.
6. Os provedores de exames devem ter em seus serviços de investigação de portfólio que o cliente possa usar se não tiver suas próprias competências para analisar um incidente complexo.