V SOC论坛是有关俄罗斯事件检测和分析实践的最大活动,将于明天开始。 我确信该中心的许多读者都会来这里,并听到有关信息安全领域的许多专业报告。 但是,除了在SOC论坛上讨论的术语,定义和惯例之外,在现实生活中,你们每个人可能还听到了许多有关SOC的功能,防止APT攻击的观点等。今天,我们将讨论一些流行的神话和传说。
我们对您对它们的每个观点都感兴趣,因此我们在等待您的评论。 欢迎来到猫。
误解1-一串SOC,或分析网络流量的魔力
很多时候,当与客户讨论针对外部入侵者的全面防护时,我们会听到:“而且我们拥有硬件A,这是由供应商的专业知识和有关新威胁的信息所丰富的,它可以完全保护我们免受外部攻击。” 好的,如果在说完这些话后,我们得到了一个多模块的Anti-APT解决方案-会有问题,但要少得多。 通常,在此“通用设备”后面是一个普通的IDS,有时还具有用于分析https流量的基本功能。 我们不会质疑供应商在网络安全领域的专业知识以及他们对黑客的了解,以及记录和分析网络流量的有用性(在本论坛上肯定会反复提到这一话题),但是我们仍然希望关注该方法的局限性,哪个SOC仅关注网络事件。
- 让我们从基础开始,一些已经饱受打击。 自2013年以来,我们一直在观察黑客攻击的发生,这些攻击没有使用恶意软件,而且至少没有使用与管理服务器进行交互的模块。 攻击者需要使用合法的远程管理工具,该工具带有正确的配置文件,与喜欢在家工作的用户或IT成熟度较低的公司中的远程管理员一样,无法区分。 在网络事件的级别上,根本不可能将一个会话与另一个会话区分开,并且为了全面分析启动会话的方法和原因,需要来自终端系统的信息。
- 如果RAT的想法令攻击者感到恶心或不适用于特定的攻击案例,则https协议可以作为一种交互方式来解决。 在流量的副本上,协议解密是不可能的,因此传感器必须只满足有关数据包头的信息。 仅当控制中心位于特定区域并且可以通过IP计算时,此功能才有用。 但是更多时候,我们在谈论大型托管服务或公共服务(我们之前曾写过关于黑客入侵Wordpress页面的文章 ),这不允许我们确定合法连接在哪里以及受到破坏的连接在哪里。
- 网络连接(尽管我们通常称其为外围区域的一块铁)尽管有用,但仅记录控制中心与机器人客户端顶级链之间的关系。 通常,当前的攻击者使用代理C&C服务器链(基础结构捕获的第一级)与内部bot客户端进行通信。 此时,设备位置的限制无法完全检测到攻击。
- 攻击者的动作多种多样,因此他定期不需要完全来自Internet。 有可能破坏远程访问帐户,然后在管理员或用户的合法权限下工作。 集团越来越多地使用供应链方法,通过对承包商的黑客攻击来发起攻击,该承包商通常具有通往基础结构和所有相同特权帐户的静态且控制不佳的渠道。 每年都有越来越多的媒介,并且它们与经典疗法的距离越来越远。
- 通常,SOC不仅是与黑客对抗。 内部攻击者,违反IS政策或欺诈行为,下载或破坏客户端数据等,也是全面SOC方法的一部分。 并且它在工作中需要更加复杂的技术和工具。
误解2-SOC没有脚,或者没有第一线就工作
我们最喜欢的传说之一。 关于SOC的笑话,只有1个人在这里工作,所以他只是第1,第2和第3的支持热线,已经淹没了Internet。 但是,许多客户在听了很多不同的报告并阅读了文章之后,开始谈论对一种神奇的熨斗/程序/技术(必要时下划线)的需求,该熨斗/熨斗/工艺/技术将自动解决第一行的所有问题。 而且,由于通常在客户的头脑中,第一线相当于24 * 7的操作模式(所有其他模式通常都按照标准时间表进行操作),因此这会自动产生人员成本显着降低的感觉,并且会产生关键的对话,“第一线不会需要时,让我们立即开始第二个构建。”
我们认为,这个传说的关键问题是术语上的混乱。 通常,当演讲者谈论第一线时,他会受到ITIL惯例的指导,而原子任务实际上落在了操作员的手中:
- 任务接收
- 分类
- 添加上下文(资产或信息系统)
- 优先或优先
- 任命负责系统/检查/排队的人员。
当涉及到这类任务时,当然不需要专用的第一行:这些过程虽然不容易,但是完全是自动化的。 第一行是什么意思,我们已经写了好几次了(例如
此处 )。 但是,第一行仍不能替代自动化,甚至不能只依靠一个团队来编写剧本。 这些员工虽然在分析事件和调查事件方面仅具有基本技能,但他们都很善于查询和搜寻。 用ITIL术语来说,这样的一行将被称为2nd,它将立即消除所有问题和差异。
我不想忽略问题24 * 7。 关于转变的组织,夜间操作员和分析师的效率,观看事件时的心理失明,已经说得太多了。 整体结论大致相同-第一SOC线和全天候转移变得效率低下且不必要。 就我们而言,多年来,我们还尝试了不同的方法,目前,SOC的联邦级别使我们能够最大程度地减少夜班期间专家疲劳的风险(关键事件只是发送到不同的时区),尽管如此,我想指出几点。
- 减少操作员的班次时间是一个好主意。 在信息安全方面按照IT职责一天或三天的原则进行工作几乎是不可能的。 但是,保持对事件的关注非常重要...
- 但是...第一行的操作员没有坐下来,就像电影《黑客帝国》中的操作员一样,看着原始事件流以寻找异常。 至少在我们不知道的SOC中,我们遇到过这种方法。 他的工作是分析定期的报告和狩猎,或制定方案以识别事件。 在这种转移注意力和活动类型的模式下(在电话线上保持适当的数字平衡),快速的心理失明风险在我们看来微不足道。
总之,不管自动化走了多远,习惯上在任何关键生产现场都需要由专家来监视机器和机器人的状况。 而且,如果您在这种情况下的分叉是“自动化可以帮助我不要为班次分配5-6个比率”,那么我们的答案就很明确:它不能。
误解3-完美的SOC无需中断,或者我们的工作没有误报
您建立SOC或与MSSP / MDR提供者合作的次数越多,您越想要理想的产品。 现在,许多客户经历了火,水和铜管的第一种独立方法,即射弹或与外部供应商的飞行员/合同,每个人都在以某种方式努力追求理想。 在负责外部服务的负责人/人员眼中,理想的表达方式通常是“每次警报都是已确认的事件”或“我们不监视嫌疑–我们正在记录攻击”。 就效率的关键方面而言,很难与那种说法抗衡。 但是,一如既往,魔鬼在细节中。
大多数SOC的目标是对事件进行高效,尽可能深入的分析以获取所有可用信息。 当他们有机会为她收取
炮弹原木时,他们正越来越趋于完美。 让我们检查一个有关病毒软件的网络指示器运行情况(与控制中心的通信地址)的事实的事件示例-要识别它们,您只需要一些有关Internet网络流量的信息,例如防火墙日志,但它们通常会给出错误的结果。 攻击者将其恶意软件管理服务器隐藏在主机上就足够了,我们将自动遇到大量的误报。 为了对事件进行有效的过滤和分析,有必要在启动主机上定位活动(触发的进程,打开的套接字等)。 这导致我们需要连接网络上所有主机的事件。
总计:为了使SOC接近仅检测攻击而没有误报的可能性,我们需要确保对基础结构的最大监视范围-理想情况下,是从所有对象收集所有日志。
这一次导致我们遇到几个问题。
- IT部门实际上反对提高审计水平或安装其他收集系统(为了避免恶意,我们甚至不会涉及将ACS部门和技术人员联系在一起的话题)。 兼容性测试,系统负载的意外增加以及可能影响基础架构整体可用性的其他因素,是引发IT与信息安全之间下一轮战争的触发因素。 而且大多数情况下,它们只是在SOC的基础结构监视图上留下了大的白点。
- 保持全面覆盖。 无法从所有服务器收集所有日志。 例如,在新系统中,可能根本不包括日志。 通常在更换服务器的过程中,工作站上的审核设置和访问限制会部分或完全丢失。 此外,必须在出现新的攻击媒介时更新设置。 所有这些都为提供全面覆盖创造了运营成本,大大高于通常情况下因监控不完整而带来的风险,并且肯定高于潜在的误报响应的成本。
- 第三个问题将我们引向了旧的DOOM游戏。 因为,除其他外,全面覆盖要求您输入代码。
一个 IDKFA-具有无限服务器能力的完整弹药,用于收集和存储事件,从经济的角度来看,这是很可悲的-具有SIEM和其他SOC工具的无限许可。
b。 IDDQD是一个庞大而永生的SOC团队,在每次事件中,它都能够分析其所有明显和间接的特征。
这些因素,任务和信息安全预算的重合被认为是绿色大象会议的情况,因此不被视为SOC生命中的典型情况。 因此,仅识别已确认的攻击(希望使用自动工具进行尽可能深入的分析)对现代安全防护人员来说是一个梦幻般的梦想。
而不是后记
我们试图仅讨论SOC建筑行业中最常见的神话。 因此,在用于监视和响应事件的启动过程的复杂死水中,我们建议您对传入的信息保持怀疑态度,在不同来源中对其进行验证,并最大程度地避免
冒充未经证实的判断。
愿原力与你同在);