What is a Threat Detection Framework
23.10.2020

Na področju kibernetskega kriminala velja ena resnica - napadeni boste, to je le še vprašanje časa. Na odpornost vaše obrambe vplivajo številni dejavniki. Dejstvo pa je - tisti, ki so pripravljeni na napadalce in imajo načrt, ogrodje za odziv na incidente, bodo bistveno uspešnejši. Kako se torej učinkovito lotiti zaznave in odziva na kibernetske incidente?

Avtor: Tom Kern, analitik kibernetske varnosti

Kako sistematično pristopiti k problemu zaznave neželenih aktivnosti v IT-okoljih?

Pogosto se nam zgodi, da se nam kakšna stvari zdi že na prvi pogled preveč kompleksna, da bi se vanjo poglobili. Naslov, ki govori o ogrodju zaznavanja groženj (angl. Threat Detection Framework), nas lahko hitro odvrne. Če ste bolj tehnični tipi, se vam najbrž zdi, da bo govora o »papirnem delu« informacijske varnosti. Če pristopate iz bolj ne tehničnih vod pa se najbrž hitro izgubite in kmalu obupate pod težo strokovnih besed. Za lažje razumevanje si predstavljajmo običajno poslovno stavbo. Opremljena je z različnimi varovalnimi mehanizmi kot je na primer ograja, ki ima lahko na vrhu žico. Vstopiti je možno samo skozi ena ali dvoje vrat. Dodatno imajo zelo varovane stavbe pred vhodom še policiste ali vojake. Vse te ali večino teh mehanizmov štejemo pod preventivo, kjer je možno zanesljivo odbiti ali nevtralizirati vsiljivca. Vendar ima večina organizacij poleg vseh teh mehanizmov še vedno varnostnike, kamere, senzorje premikanja ipd. Vsi ti senzorji niso namenjeni temu, da vsiljivca onemogočimo, ampak da ga zaznamo. Čeprav smo v svetu varovanje stavb normalno sprejeli, da je poleg preventive potrebna še zaznava, pa nam v informacijskih okoljih to nikakor ne gre v glavo. V računalniškem svetu uničenje »napadalca« pomeni, da lahko blokiramo komunikacijo ali delovanje aplikacij. Tudi izkušenim varnostnim inženirjem je včasih težko dopovedati, da se preventiva na določeni točki mora zaključiti. Takrat pa v ospredje stopi zaznava in omenjeno »ogrodje za zaznavo groženj.« V nadaljevanju vam bomo pojasnili kako se učinkovito lotevati zaznave in odziva.

Preventiva znanih groženj je le majhen del rešitve

Organizacije z zorenjem varnostnega programa hitro spoznajo, da preprečevanje groženj preprosto ni dovolj za upravljanje s tveganji, povezanimi z informacijsko varnostjo. Številni klasični preventivni varnostni ukrepi, kot so sistemi za preprečevanje vdorov (IPS) in protivirusna programska oprema, delujejo po principu iskanja znanih, zlonamernih datotek in spremljanju omrežnega prometa. Tovrstni pristopi se pogosto izkažejo kot neučinkoviti, ker se morajo podpisi (ang. signature) natančno ujemati s specifičnimi grožnjami. Napadalec mora le nekoliko prilagoditi vedenje svojih orodij, da ostane neopažen.

Preprečevanje s hevristično analizo je lahko prelisičeno

Ponudniki sodobnih rešitev za zaščito končnih točk so prešli na hevristično analizo in pogosto trdijo, da lahko preprečijo še neznane grožnje. Na žalost so se napadalci temu prilagodili in se začeli zanašati na zlorabo legitimnih orodij, ki so vgrajena v sodoben operacijski sistem. Pri tem je težko ločiti med pričakovanim vedenjem sistema in napadalcem, ki išče dragocene podatke. Zanesljiva zaznava zlonamerne aktivnosti tako postane skoraj nemogoča, vsaj brez velikega števila lažnih pozitivnih zaznav, kar lahko privede tudi do izpada storitev.

Kako lahko torej zaščitite svoje podjetje pred kibernetskimi grožnjami?

Bi se torej morali znebiti vaše protivirusne rešitve? Absolutno ne. Ali bo vaša protivirusna rešitev spustila zlonamerni program, ki bi lahko povzročil večjo izgubo podatkov? To je le vprašanje časa.

Za odkrivanje groženj, ki zaobidejo preventivo, bi morala organizacija začeti beležiti ustrezne dogodke in vzpostaviti program za zaznave in odzive.

Vzpostavitev IT-varnosti: SIEM

Z večanjem sredstev porabljenih za različne varnostne rešitve, se količina podatkov, ki jih je potrebno shraniti in analizirati, močno povečuje. Pridobljeni podatki se običajno pošljejo v namenski centralni sistem beleženja, kot je sistem SIEM (angl. Security information and event management), ali v druge rešitve za upravljanje dnevnikov za dolgotrajno shranjevanje.

Rešitve SIEM organizacije uporabljajo zelo pogosto, v te rešitve je vloženega premalo truda in zgolj to, ne prispeva k boljši varnosti organizacije. V podjetju NIL pogosto opažamo, da se projekti SIEM ustavijo, ko je vanje vključenih nekaj podatkovnih virov in tako rešitve SIEM na nek način spremenijo v drage syslog strežnike.

Vprašanja, ki si jih morate zastaviti

Medtem, ko je metanje podatkov v SIEM dokaj enostavno, je lahko resničen izziv kako izkoristiti zbrane podatke za odkrivanje možnih groženj v našem okolju. Na žalost ni univerzalnega recepta, kako prilagoditi SIEM, vse pa se nanaša na poslovna tveganja, industrijo, tehnologijo, poslovne procese in druge posebnosti. Pri poskusu vzpostavitve programa za odkrivanje groženj si je potrebno zastaviti dve vprašanji:

  • Katere grožnje želim zaznati?
  • Kakšne podatke potrebujem, da jih zaznam?

Razumevanje napadalca: baza znanja MITRE ATT&CK

Če želite odgovoriti na prvo vprašanje, morate najprej razumeti, kako napadelec deluje in kaj počne po začetnem vstopu v IT-okolje.

V zadnjem času MITRE ATT&CK dobiva veliko pozornost strokovnjakov za kibernetsko varnost, saj poskuša združiti znanje vseh znanih taktik, tehnik in postopkov (TTP), ki so jih napadalci izvedli v tisočerih kršitvah varnosti. Poleg tega nam ATT&CK za vsako opaženo tehniko pove, kako se je uporabljala, in celo kako jo zaznati v lastnem okolju. Super, kajne? Žal ni tako enostavno.

266 načinov, kako vas napasti – v splošnem

V trenutku pisanja je v bazi znanja ATT&CK 266 različnih splošnih napadalnih tehnik. Poleg tega so nekatere od njih res široke in zahtevajo na desetine SIEM ali podobnih pravil za učinkovito zaznavo vseh variant tehnik, ki jih uporablja napadalec. Poleg tega vam ATT&CK ne zagotavlja dejanske logike zaznavanja, ampak le zelo splošno usmeritev k zaznavanju.

Potrebujete več strokovnjakov za IT varnost

Za razvoj praktičnega pravila za zaznavo potrebujete več skupin strokovnjakov s specifičnimi znanji:

  • Najprej ekipa etičnih hekerjev razvije test, s katerim poskušajo zlorabiti tehniko (simulacija poskusa vdora)
  • Potrebno je zbrati vse ustvarjene dogodke in jih analizirati.
  • Digitalni forenzik nato razišče zbrane podatke in določiti logiko zaznave, ki bo ustvarila minimalno število lažno pozitivnih (t.i. False positive) rezultatov, obenem pa je še vedno dovolj zanesljiva za zaznavanje zlonamerne dejavnosti.
  • Rezultate nato posredujemo varnostnemu inženirju, ki bo vključil logiko zaznave v sistem SIEM.

Ali bi se morali lotiti raziskovanja in izvajanja vseh 266 tehnik, kar bi verjetno povzročilo 500+ pravil odkrivanja? Seveda ne. Nekatere tehnike morda niso pomembne za vaše okolje, nekatere so bile redko uporabljene, nekatere že preprečujete, nekatere pa je skoraj nemogoče zanesljivo zaznati. Zaradi tega je prednostno razvrščanje smiselno uporabljenih tehnik ključno za uspeh.

NIL-ov varnostno operativni center - NIL SOC

V NIL-ovem varnostno operativnem centru (SOC) imamo vrhunsko skupino varnostnih strokovnjakov, ki raziskujejo tehnike iz baze znanja ATT&CK. Rezultat njihovih raziskav je nabor pravil za zaznavo groženj, ki vam zagotavljajo bistveno razširjene zmogljivosti zaznave v primerjavi s tistimi, ki jih večina organizacij lahko razvije znotraj podjetja.

The NIL Threat Detection Framework – TDF

Naša pravila za zaznavo napadov so tako skrbno razvita, da bi odkrila tudi najnaprednejše napade in so zbrana v osrednjem skladišču, imenovanem NIL Threat Detection Framework (TDF). TDF služi kot enotna baza znanja, ki vsebuje logiko zaznave, zahtevane vire podatkov in teste za simulacijo napadalca. TDF se uporablja tudi kot vizualni pripomoček za stranke SOC za spremljanje njihove trenutne pokritosti tehnik na podlagi razpoložljivih podatkovnih virov.

V NIL-ovem SOC-u, si nalagamo odgovornost, rednega izboljševanja kibernetske varnosti uporabnikom naših storitev. Zakoreninjene zmogljivosti tradicionalnih informacijskih sistemov, ki pogosto temeljijo izključno na preventivi in krpanju šibkosti v varnostnih sistemih, bogatimo z nujno potrebno ekspertizo zaznavanja in odzivanja na pomenljive varnostne dogodke. V ta namen smo sistemizirali vrhunske NIL-ove strokovnjake za digitalno varnost, ki bdijo nad varnostno ne idealnimi informacijskimi okolji in odvračajo pozornost kibernetskih kriminalcev.