25 марта 2021
Кибербез для С-level
Просто о сложном
Станислав Фесенко
Руководитель департамента системных решений Group-IB
Если вы топ-менеджер, то наверняка привыкли делегировать, оптимизировать и экономить: бюджет, ресурсы, но главным образом время. Вероятно, вы хорошо знакомы и с MBA, и с PMI или просто одарены талантом руководить «от природы». Так вот, цикл статей, который открывает этот текст, — для вас. Я пишу его, чтобы помочь освободить еще больше времени, не жертвуя качеством принимаемых решений. Если же вы не относитесь к C-level, но интересуетесь всем, что связано с информационной безопасностью, без глубокого технического погружения, то вы тоже найдете в этих статьях кое-что интересное для себя.
Часть 1. Зачем нужен этот ликбез?
Ты был не прав, ты все спалил за час,
И через час большой огонь угас,
Но в этот час стало всем теплей.
И через час большой огонь угас,
Но в этот час стало всем теплей.
Работая техническим специалистом — инженером, пресейлом, а теперь уже — руководителем департамента, я часто сталкивался с ЛПР всех уровней: от руководителей служб ИБ до министров. И везде — в коммерческих и государственных организациях, стартапах и у гигантов бизнеса — видел одни и те же проблемы. Если постараться сформулировать их все одной фразой, то это недостаточное понимание руководителем (ответственным в той или иной мере за ИБ в своей организации) основных терминов и принципов работы ИБ-подразделений и технических средств.
В результате, когда к вам приходит инженер ИБ, просит заложить бюджет на какие-то непонятные «песочницы», которые стоят как крыло от Boeing, и обосновывает это страшными статистиками из невнятных источников — порой трудно принять правильное решение и быстро понять что к чему.
Что будем делать? Учиться будем. А куда деваться, как говорят классики с YouTube. Для того, чтобы сэкономить значительное время в будущем, лучше потратить его сейчас.
Я не стал ограничивать свой цикл определенным количеством статей. По мере появления важных тем я буду дополнять его. Спойлер: вся терминология будет изложена понятным языком. Я также не буду перегружать вас техническими деталями. Моя цель — донести все важные нюансы максимально просто. Итак, давайте пройдемся по списку, что ждет вас в ближайшее время?
В результате, когда к вам приходит инженер ИБ, просит заложить бюджет на какие-то непонятные «песочницы», которые стоят как крыло от Boeing, и обосновывает это страшными статистиками из невнятных источников — порой трудно принять правильное решение и быстро понять что к чему.
Что будем делать? Учиться будем. А куда деваться, как говорят классики с YouTube. Для того, чтобы сэкономить значительное время в будущем, лучше потратить его сейчас.
Я не стал ограничивать свой цикл определенным количеством статей. По мере появления важных тем я буду дополнять его. Спойлер: вся терминология будет изложена понятным языком. Я также не буду перегружать вас техническими деталями. Моя цель — донести все важные нюансы максимально просто. Итак, давайте пройдемся по списку, что ждет вас в ближайшее время?
1
IDS/IPS, NTA, NDR: что за страшные такие слова и в чем между ними разница?
2
Как работает антивирус, кому он сейчас нужен и какие у него должны быть функции в 2021 году?
3
Почему все участники рынка судорожно выбирают себе «песочницы», но в итоге ничего не покупают, и зачем придумали Malware Detonation-решения?
4
EDR, XDR, Endpoint Security и другие страшные слова про компьютеры пользователей: что это вообще и с чем его едят?
5
Как построить свой SOC, нужен ли он вообще и зачем? А может, аутсорс?
6
Для чего нужны SIEM, IRP, SOAR и почему они не очень полезны без TI?
7
TI и TIP: что выбрать и какие есть критерии?
8
И другие сложные вопросы понятным бизнес-языком
Часть 2. Решения для анализа трафика
Я ищу таких, как я,
Сумасшедших и смешных,
Сумасшедших и больных…
Сумасшедших и смешных,
Сумасшедших и больных…
На старте мы рассмотрим, какие существуют классы решений для обнаружения компьютерных угроз на уровне локальной сети, чем они различаются, как выбрать правильный класс для задач своей организации и на какие параметры смотреть при выборе решений конкретного класса.
В этой статье мы сконцентируемся на решениях, которые анализируют пользовательский трафик на уровне сети, обеспечивая обнаружение угроз за счет выявления специфических пакетов данных. Это дает возможность существенно повысить безопасность корпоративной компьютерной сети. О других классах продуктов, таких как антивирусы, песочницы и т.д. мы поговорим в следующих частях нашего ликбеза.
Итак, для выявления угроз в пользовательском трафике нужно этот трафик каким-то образом анализировать и делать выводы о том, что компьютер, генерирующий этот поток информации, заражен. Для этого существует несколько классов решений.
В этой статье мы сконцентируемся на решениях, которые анализируют пользовательский трафик на уровне сети, обеспечивая обнаружение угроз за счет выявления специфических пакетов данных. Это дает возможность существенно повысить безопасность корпоративной компьютерной сети. О других классах продуктов, таких как антивирусы, песочницы и т.д. мы поговорим в следующих частях нашего ликбеза.
Итак, для выявления угроз в пользовательском трафике нужно этот трафик каким-то образом анализировать и делать выводы о том, что компьютер, генерирующий этот поток информации, заражен. Для этого существует несколько классов решений.
Прежде чем мы их рассмотрим, важно немножко погрузиться в терминологию. Какой трафик они должны анализировать?
Есть 2 основных подхода:
1
Анализ пограничного трафика
Анализ информации, которая движется между нашей локальной сетью, например, сетью офиса или предприятия, и сетью Интернет. Сюда попадают все обращения сотрудников: к различным сайтам, облачным сервисам электронной почты, трафик мессенджеров и так далее. Сюда не попадает информация между пользовательскими компьютерами внутри сети, а также обращения к внутренним сервисам: локальному FTP-хранилищу, где пользователи выкладывают документы для совместного редактирования, к расшаренным папкам других типов, к локальному почтовому серверу и так далее.
2
Анализ всего трафика на ядре сети
При таком подходе в анализ поступает вся сетевая информация, которую генерируют компьютеры пользователей.
Очевидно, что второй подход позволяет увидеть больше угроз, однако и информации нужно обработать в разы больше. А значит, продукты, которые работают по второй схеме, требуют больших аппаратных мощностей, сложнее и, разумеется, дороже. При этом ясно, что подавляющее число компьютерных атак начинается извне, с какой-то интернет-коммуникации. Поэтому, принимая решения о покупке таких продуктов, вы должны получить от своего технического специалиста доказательства того, что это действительно необходимо.
С терминологией разобрались. Теперь посмотрим, что у нас есть по классам и на вот эти страшные (пока страшные) аббревиатуры: IDS, IPS, NTA, NDR.
С терминологией разобрались. Теперь посмотрим, что у нас есть по классам и на вот эти страшные (пока страшные) аббревиатуры: IDS, IPS, NTA, NDR.
IDS/IPS, или С чего всё началось
IDS, или по-русски СОВ — это система обнаружения вторжений (Intrusion Detection System).
IPS, или СПВ — система предотвращения вторжений (Intrusion Prevention System).
IDS бывает программный (софт) и аппаратный — и работает, если объяснять на пальцах, так. На вход получает копию пользовательского трафика, или в общепринятой терминологии, заданной CISCO, — SPAN. Как правило, трафик копируется пограничный, но иногда встречаются инсталляции с копией трафика с ядра. Дальше IDS пытается наложить на этот трафик сигнатуру — шаблон. Это не всегда фиксированная последовательность — могут быть вариации.
Например, если мы ищем в контакт-листе телефона человека по имени с потертой визитки, то оно может быть неполным: Иван** Сер**й Леонидо***, где каждая звездочка — это стертая буква.
Так вот, сигнатура может содержать такие и некоторые другие условности при поиске и искать в передаваемых данных IP-адреса хакерских серверов (причем не конкретные, а даже диапазон адресов), домены или e-mail'ы злоумышленников и т.д. Все сигнатуры лежат в обновляемой базе — базе сигнатур, или, как её еще называют, базе решающих правил. А движок IDS ищет по ним совпадения.
IPS, или СПВ — система предотвращения вторжений (Intrusion Prevention System).
IDS бывает программный (софт) и аппаратный — и работает, если объяснять на пальцах, так. На вход получает копию пользовательского трафика, или в общепринятой терминологии, заданной CISCO, — SPAN. Как правило, трафик копируется пограничный, но иногда встречаются инсталляции с копией трафика с ядра. Дальше IDS пытается наложить на этот трафик сигнатуру — шаблон. Это не всегда фиксированная последовательность — могут быть вариации.
Например, если мы ищем в контакт-листе телефона человека по имени с потертой визитки, то оно может быть неполным: Иван** Сер**й Леонидо***, где каждая звездочка — это стертая буква.
Так вот, сигнатура может содержать такие и некоторые другие условности при поиске и искать в передаваемых данных IP-адреса хакерских серверов (причем не конкретные, а даже диапазон адресов), домены или e-mail'ы злоумышленников и т.д. Все сигнатуры лежат в обновляемой базе — базе сигнатур, или, как её еще называют, базе решающих правил. А движок IDS ищет по ним совпадения.
Важными показателями при выборе конкретного продукта являются объем сигнатурной базы, частота её обновлений, глубокий анализ протоколов, но главное — источники знаний, которыми пользуются разработчики сигнатур.
IPS отличается от IDS тем, что может блокировать вредоносный трафик и не выпускать его в Интернет. Конечно, это полезная функция, но в современном мире по некоторым причинам блокировка трафика иногда опасна. Например, если компьютер заразился сложным трояном. Этот троян попытался достучаться до сервера злоумышленников в Интернете и не смог. Или смог, но потом связь оборвалась. Нередко после этого он «заметает следы» и шифрует всю информацию на компьютере жертвы или пытается переместиться на другой компьютер в сети горизонтально.
И для IDS, и для IPS справедливо утверждение:
Если у вендора нет специализированных систем для отслеживания действий злоумышленников, невозможно предугадать готовящиеся атаки и вовремя пополнить базу.
Запомним этот постулат — он нам пригодится.
Собственно, идея поиска угроз в трафике далеко не нова. И если вы решили для своей компании в 2021 году купить IDS, то, как любит говорить CEO Group-IB Илья Сачков, скоро к вам приедет наша бригада на Incident Response.
Дело не в том, что сам подход IDS плох, а в том, что такую систему надо было установить лет 15 назад. А сегодня против действительно сложных компьютерных атак эти системы не очень полезны. У них до сих пор есть немалая область применения, но их функциональность во многом перекрывают более продвинутые решения классов NDR и Anti-APT.
И вот именно потому, что IDS/IPS в чистом виде опираются только на базу сигнатур (наш постулат), они малоэффективны против сложных компьютерных атак, когда злоумышленник разработал с нуля или доработал уже существующий троян и арендовал новые серверы в Интернете именно для проведения конкретной атаки. А значит, эти данные не светились раньше и им неоткуда взяться в базе сигнатур.
Из плюсов — современные IDS/IPS недороги и не особо сложны в настройке и поддержке.
Собственно, идея поиска угроз в трафике далеко не нова. И если вы решили для своей компании в 2021 году купить IDS, то, как любит говорить CEO Group-IB Илья Сачков, скоро к вам приедет наша бригада на Incident Response.
Дело не в том, что сам подход IDS плох, а в том, что такую систему надо было установить лет 15 назад. А сегодня против действительно сложных компьютерных атак эти системы не очень полезны. У них до сих пор есть немалая область применения, но их функциональность во многом перекрывают более продвинутые решения классов NDR и Anti-APT.
И вот именно потому, что IDS/IPS в чистом виде опираются только на базу сигнатур (наш постулат), они малоэффективны против сложных компьютерных атак, когда злоумышленник разработал с нуля или доработал уже существующий троян и арендовал новые серверы в Интернете именно для проведения конкретной атаки. А значит, эти данные не светились раньше и им неоткуда взяться в базе сигнатур.
Из плюсов — современные IDS/IPS недороги и не особо сложны в настройке и поддержке.
А что еще бывает, посовременнее?
Рынок диктует свои правила: уловки и подходы злоумышленников, техники работы вредоносных файлов не стоят на месте. Поэтому IDS/IPS-решения обросли дополнительной функциональностью и новыми подходами к детектированию.
Одним из таких подходов является поиск аномальной активности в трафике. Не просто поиск явно вредоносных пакетов, но анализ их последовательностей и очередности создания разных типов коммуникаций от одного потенциально зараженного компьютера в сеть Интернет и к другим компьютерам в локальной сети. Если упростить и привести аналогию, то определенное поведение контрагента на встрече явно сигнализирует вам о блефе и попытке обмана. Так же действует и выявление аномалий.
Другой подход — анализ метаинформации о трафике. Например, пользователь за компьютером ежедневно генерирует трафик со средним объемом 500 Кбайт/сек. И тут вдруг целую ночь трафик его компьютера превышает 3000 Кбайт/сек. Это тоже аномалия, но другого толка. Анализируя потоки данных, их объем и частоту, специальная система может выявлять заражение умнее.
Для этого используются алгоритмы машинного обучения. Мало того, что они очень производительны и эффективны — они также могут обучаться на том трафике, который анализируют и тем самым самостоятельно увеличивать точность детекта.
Системы анализа трафика с такой функциональностью называются NTA (Network Traffic Analysis). Они дороже, чем IDS/IPS, но их, говоря простыми словами, «на мякине не проведешь». Они качественнее выявляют более сложные комплексные атаки. NDR (Network Detection & Response) с точки зрения детектирования трафика — практически то же самое. Вся разница в маркетинге. Да и вообще все эти классы зачастую маркетинговая шелуха. Ведь в основе лежит простая идея: взять поток трафика и как-то его изучить автоматизированными средствами.
Одним из таких подходов является поиск аномальной активности в трафике. Не просто поиск явно вредоносных пакетов, но анализ их последовательностей и очередности создания разных типов коммуникаций от одного потенциально зараженного компьютера в сеть Интернет и к другим компьютерам в локальной сети. Если упростить и привести аналогию, то определенное поведение контрагента на встрече явно сигнализирует вам о блефе и попытке обмана. Так же действует и выявление аномалий.
Другой подход — анализ метаинформации о трафике. Например, пользователь за компьютером ежедневно генерирует трафик со средним объемом 500 Кбайт/сек. И тут вдруг целую ночь трафик его компьютера превышает 3000 Кбайт/сек. Это тоже аномалия, но другого толка. Анализируя потоки данных, их объем и частоту, специальная система может выявлять заражение умнее.
Для этого используются алгоритмы машинного обучения. Мало того, что они очень производительны и эффективны — они также могут обучаться на том трафике, который анализируют и тем самым самостоятельно увеличивать точность детекта.
Системы анализа трафика с такой функциональностью называются NTA (Network Traffic Analysis). Они дороже, чем IDS/IPS, но их, говоря простыми словами, «на мякине не проведешь». Они качественнее выявляют более сложные комплексные атаки. NDR (Network Detection & Response) с точки зрения детектирования трафика — практически то же самое. Вся разница в маркетинге. Да и вообще все эти классы зачастую маркетинговая шелуха. Ведь в основе лежит простая идея: взять поток трафика и как-то его изучить автоматизированными средствами.
Важные показатели при выборе NTA/NDR — возможность хранить сырой трафик и глубина (время) исторического хранения. Иногда эта функциональность важна для расследования инцидентов.
Но некоторые продукты работают не хуже и без этих функций. Они хранят не весь поток информации, а только метаинформацию о передаваемых пакетах данных, а также делают правильную постобработку метаинформации с автоматизированными выводами и поддержкой принятия решений.
В любом случае анализировать трафик очень важно. Есть и другие классы систем. Например, совсем рядом с NTA по функциональности находится UEBA (User and Entity Behavioral Analytics). Но с базовым набором информации из этой статьи вы сможете легко в этом разобраться и понять, где маркетинг, а где важные функции. А значит, сможете сделать свой бизнес безопаснее и эффективнее. Ведь теперь вы уже немножко профи в сетевой информационной безопасности.
В следующей статье рассмотрим системы поведенческого анализа, а дальше перейдем к фильтрации пакетов. Нас ждет увлекательный мир классов и категорий!
#StayCyberSafe и берегите нервишки! Продолжение следует...
В любом случае анализировать трафик очень важно. Есть и другие классы систем. Например, совсем рядом с NTA по функциональности находится UEBA (User and Entity Behavioral Analytics). Но с базовым набором информации из этой статьи вы сможете легко в этом разобраться и понять, где маркетинг, а где важные функции. А значит, сможете сделать свой бизнес безопаснее и эффективнее. Ведь теперь вы уже немножко профи в сетевой информационной безопасности.
В следующей статье рассмотрим системы поведенческого анализа, а дальше перейдем к фильтрации пакетов. Нас ждет увлекательный мир классов и категорий!
#StayCyberSafe и берегите нервишки! Продолжение следует...
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
