Embed Size (px)
Citation preview
Threat Intelligence
как составляющая
корпоративного SOC
Азат Шайхутдинов
Инженер предпродажной поддержки в ПФО
2
Центр обеспечения безопасности (SOC) – это централизованное подразделение, которое занимается вопросами безопасности на уровне организации процессов и техники. ©1
Что такое SOC?
1 https://en.wikipedia.org/wiki/Security_operations_center
2 https://digitalguardian.com/blog/what-security-operations-center-soc
Процессы Люди Технологии
SOC
3
Различия между традиционными и современными SOC
ОПОВЕЩЕНИЕ ОБ УГРОЗАХ
АКТИВНЫЙ ПОИСК УГРОЗ
РЕАГИРОВАНИЕ СИЛАМИ
СПЕЦИАЛИСТОВ
В ОСНОВЕ: РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ
АВТОМАТИЗАЦИЯ ИОРКЕСТРАЦИЯ
В ОСНОВЕ: АНАЛИТИКА
ИНСТРУМЕНТЫ ОБНАРУЖЕНИЯ
АНАЛИТИЧЕСКИЕ СРЕДСТВА
ОБНАРУЖЕНИЯ
ВНУТРЕННЯЯ КОМАНДА СМЕШАННАЯ
КОМАНДА
ТЕСТИРОВАНИЕ НА
ПРОНИКНОВЕНИЕ И
ТЕСТЫ С УЧАСТИЕМ
«RAD TEAM»
РА
СШ
ИР
ЕН
НЫ
Й
ВА
РИ
АН
ТБ
АЗ
ОВ
ЫЙ
ВА
РИ
АН
Т
АНАЛИЗ
ВРЕДОНОСНОГО ПО
ЦИФРОВАЯ
КРИМИНАЛИСТИКААНАЛИЗ
ТЕНДЕНЦИЙ
ОЦЕНКА
УЯЗВИМОСТЕЙ
АКТИВНЫЙ ПОИСК
УГРОЗ
РАСПРОСТРАНЕНИЕ
АНАЛИТИЧЕСКИХ
ДАННЫХ ОБ
УГРОЗАХ
СТРАТЕГИЧЕСКОЕ
ИНФОРМИРОВАНИЕ
4
Услуги SOC
ТРАДИЦИОННЫЙ SOC
АНАЛИТИКА УГРОЗ В SOC
Реагирование
на инциденты
Мониторинг и
оповещение об
угрозах
Формирование
отчетов
Техническая организация SOC
Источники данных,
целевые ресурсыТикет-
система
Отчеты
и визуализация
данных
Платформа
аналитики
угроз
SOAR
Устранение
уязвимостейАУ
EDR
SIEMЖурналы
событий
Обнаружения
реагирование
Журналы
событий
Автоматизация
Автоматизация
Автоматизация
Автоматизация
Отчеты ВМ
Сводная
информация
Статистика по
инцидентам
Информация
о ресурсах
IOC
Потоки данных,
сводные отчеты
разные
аналит.
данныеАвтоматизация Защита
от APT-угроз
Обнаружения
Жур
нал
ы
собы
тий
Рабочие процессы SOC
Мониторинг и
обнаружение
Анализ угроз
TIРеагирование
на инциденты
Формирование
отчетов
Устранение
уязвимостей
IOC
TTP
Анализ
полученного
опыта
IOC
Контекс
т
Тенденции,
ландшафт
угроз и т. д.
Статистика по
инцидентам и КПЭ
Статистика,
обнаружения
Отчеты об
оценке
уязвимостей
Приоритет
Эксплуатация,
обслуживание,
управление
7
Основные роли в SOC
Роль Описание Обязанности
Линия 1
ИБ-аналитикПриоритизация
• Регистрация и эскалация инцидентов
• Приоритизация инцидентов и первоначальный анализ
• Сбор данных для расследования инцидентов
• Поиск уязвимостей (дополнительно)
• Мониторинг состояния сенсоров безопасности
Линия 2
ИБ-аналитик
Реагирование
на инциденты
• Глубокий анализ инцидентов
• Реагирование на инциденты
• Периодическая оценка качества работы аналитиков первой линии
Руководитель
SOC
Управление
и разработка
стратегий
• Управление сотрудниками SOC: набор кадров, обучение и оценка работы
• Разработка стратегии и плана работы для SOC
• Взаимодействие с директором по информационной безопасности и другими
заинтересованными сторонами
• Контроль КПЭ
8
Роли в SOC – расширенная версия
Роль Описание Обязанности
Линия 3
ИБ-эксперт
Активный поиск угроз:
исследования и
разработки
• Активный поиск угроз
• Разработка сценариев использования
• Разработка и улучшение системы мониторинга службы безопасности
Эксперт по
цифровой
криминалистике
Цифровая
криминалистика
• Сбор и анализ цифровых улик
• Расследование инцидентов и анализ их первопричин
• Сбор индикаторов компрометации и анализ методов работы киберпреступников
Аналитик
вредоносного ПО
Анализ вредоносного
ПО
• Анализ и обратная разработка вредоносного ПО
• Сбор индикаторов компрометации и анализ методов работы киберпреступников
Специалист по
анализу угрозАнализ угроз
• Сбор, объединение, фильтрация и анализ данных об угрозах
• Распространение аналитических данных об угрозах
• Управление базой данных индикаторов компрометации и методов работы киберпреступников
• Управление потоками данных об угрозах
• Создание аналитических отчетов об угрозах для различных заинтересованных сторон
• Подготовка актуальных аналитических материалов для рабочей команды SOC и внешних
партнеров
Специалист по
тестированию на
проникновение
Анализ уровня
безопасности
• Анализ уровня безопасности
• Тестирование с участием «красной команды»
9
Challenge #1: Global shortage of cybersecurity talents
2 million - global
shortage by 20191
1ISACA “2016 Cybersecurity Skills Gap”
2Cybersecurity Ventures “Cybersecurity Jobs Report 2018-2021”
3,5 million - global
shortage by 20222
Rare combination
of skills
10
Основные проблемы
1. Масштабность и высокая стоимость проекта (срок реализации – от 2 до 5 лет)
2. Глобальная нехватка специалистов по кибербезопасности, в т.ч. аналитиков SOC.
3. Концентрация только на технологической стороне проекта («SOC – SIEM»)
4. Сосредоточенность на анализе локальных данных без Глобальной экспертизы
Ключевые факторы успешности SOC
ПОДДЕРЖКА СО СТОРОНЫ РУКОВОДСТВА
ПРАВИЛЬНЫЕ ИНСТРУМЕНТЫ
ХОРОШО ПРОДУМАННЫЕ
РАБОЧИЕ ПРОЦЕССЫ
НАДЕЖНЫЕ АНАЛИТИЧЕСКИЕ ДАННЫЕ ОБ УГРОЗАХ,
ИМЕЮЩИЕ ПРАКТИЧЕСКУЮ ЦЕННОСТЬ
КВАЛИФИЦИРОВАННЫЙ ПЕРСОНАЛ
ИТЕРАЦИОННЫЙ ПОДХОД
Что может предложить «Лаборатория Касперского»?
КИБЕРПОЛИЦИЯ, А ТАКЖЕ НАЦИОНАЛЬНЫЕ ГРУППЫ CERT И CSIRT ИСПОЛЬЗУЮТ РЕШЕНИЯ «ЛАБОРАТОРИИ КАСПЕРСКОГО»
79групп CERT, CSIRT и
FinCERT, а также
киберполиция и
государственные SOC
пользуются продуктами и
услугами «Лаборатории
Касперского»
2международные
организации
сотрудничают с
«Лабораторией
Касперского»
Северная Америка
Европа Ближний Восток, Турция и Африка (META)
Латинская Америка
Азиатско-Тихоокеанский регион
Канада (1) Бельгия (2)
Франция (2)
Германия (5)
Венгрия (1)
Израиль (2)
Италия (3)
Люксембург (1)
Нидерланды
(1)
Польша (1)
Румыния (1)
Россия (12)
Испания (2)
Швейцария (1)
Великобритан
ия (4)
Бразилия (3)
Колумбия (2)
Чили (1)
Египет (3)
Руанда (2)
ЮАР (3)
Кувейт (1)
Оман (1)
Катар (2)
Саудовская
Аравия (4)
Сингапур (1)
Турция (2)
ОАЭ (1)
Китай (5)
Индия (1)
Япония (5)
Южная Корея (4)
Индонезия (1)
Сингапур (1)
Kaspersky для SOC
Тренинги по
кибербезопасности– Реагирование на инциденты
– Анализ вредоносного ПО
– Цифровая криминалистика
– Расширенный анализ вредоносного ПО
– Цифровая криминалистика (экспертный уровень)
– Обучающий курс по YARA
– Kaspersky Security Awareness (Программа повышения
осведомленности)
Информирование об угрозах
– Аналитические отчеты об APT-угрозах
– Подготовка аналитических отчетов об
угрозах для конкретных стран
– Подготовка аналитических отчетов об
угрозах для конкретных клиентов
– Потоки данных об угрозах
Управляемые услуги
– Kaspersky Managed Protection
– Реагирование на инциденты
– Анализ вредоносного ПО
– Цифровая криминалистика
– Анализ уровня защиты
Инструменты
– Kaspersky Threat Lookup
– Песочница для проведения исследований
– Облачная песочница
– Kaspersky CyberTrace
– Kaspersky Managed Protection on Premise
– Kaspersky Anti-Targeted Attack Platform
– Kaspersky EDR
Анализ угроз
«Лаборатория Касперского» | Сила защиты16
Комплексный анализ угроз
ОБОБЩЕННАЯ ИНФОРМАЦИЯ О
РИСКЕ
МЕТОДЫ, ИНСТРУМЕНТЫ И
ТАКТИКА ЗЛОУМЫШЛЕННИ
КА
МАШИНОЧИТАЕМЫЕ ИНДИКАТОРЫ
УГРОЗ
СВЕДЕНИЯ О КОНКРЕТНОЙ
ПОТЕНЦИАЛЬНОЙ АТАКЕ
ДО
ЛГО
СР
ОЧ
НЫ
ЙК
РА
ТК
ОС
РО
ЧН
ЫЙ
БОЛЕЕ ВЫСОКИЙ УРОВЕНЬ БОЛЕЕ НИЗКИЙ УРОВЕНЬ
•Потоки данных об угрозах
•CyberTrace
ТЕХНИЧЕСКИЙ
•Подготовка персонализированных
отчетов об угрозах
(для конкретных стран или клиентов)
СТРАТЕГИЧЕСКИЙ
•Threat Lookup
•Облачная песочница
ОПЕРАТИВНЫЙ
•Аналитические отчеты об APT-угрозах
•Аналитические отчеты об угрозах для
финансовых организаций
ТАКТИЧЕСКИЙ
17
Источники аналитических данных об угрозах
Клиент
Пользователи
решений «Лаборатории Касперского»
во всем мире
Поисковые роботы
Мониторинг ботнет-
угроз
Ловушки для спама
Сенсоры
Группа исследования
APT-угроз
Партнеры
Открытые
источники (OSINT)
4 5
1
3
Статистика
«Лаборатории
Касперского»
Экспертные системы
«Лаборатории
Касперского»
Аналитик «Лаборатории
Касперского»
Белые списки
Анализ
угроз
2
Потоки данных об угрозах
ХЕШИ ВРЕДОНОСНЫХ ОБЪЕКТОВ (WIN / *nix / MacOS / AndroidOS / iOS)
РЕПУТАЦИЯ IP-АДРЕСА
ИНДИКАТОРЫ КОМПРОМЕТАЦИИ APT
URL-АДРЕСА (вредоносные,
фишинговые и командных серверов)
URL-АДРЕСА ПРОГРАММ-ВЫМОГАТЕЛЕЙ
ХЕШИ ВРЕДОНОСНЫХ ОБЪЕКТОВ ДЛЯ
ОПЕРАТОРОВ СВЯЗИ
ДАННЫЕ БЕЛЫХ СПИСКОВ
ПОТОКИ
ДАННЫХ
ОБ УГРОЗАХ
Рабочие
места
Центр обработки
данных
Почтовые
серверы
Прокси-
серверы
Сетевой
экранОблачный
сервер
Предотвращение
утечки данных
SIEM /
ПЛАТФОРМА
АНАЛИТИКИ
УГРОЗ
ПОТОКИ ДАННЫХ О ПАССИВНЫХ DNS (pDNS)
URL-АДРЕСА IoT-УСТРОЙСТВ
ПОТОКИ ДАННЫХ ОБ УЯЗВИМОСТЯХ
19
Kaspersky CyberTrace
Источники
журналов
Панели мониторинга
CyberTrace Web
Корпоративная сеть
SIEM-система собирает журналы из различных сетевых
устройств и IT-систем и отправляет данные о событиях с
URL-адресами, хешами и IP-адресами на анализ в службу
корреляции
SIEM
Необработанные
журналы
Пересылаемые
события
CyberTrace
События
обнаружения
Потоки данных
«Лаборатории Касперского» об
угрозах, коммерческие и
пользовательские потоки,
данные из открытых источников
(OSINT)
12
3
CyberTrace быстро сопоставляет поступающие
события с потоками и отправляет события
обнаружения в SIEM-систему и CyberTrace Web
– Просмотр событий в контексте
безопасности и получение
оповещений
– Расследование инцидентов
безопасности в соответствии с
контекстом4
Внутренние
источники потоков
ИБ-специалист
SIEM
«Лаборатория Касперского» | Сила защиты20
ПЛАТФОРМЫ ДЛЯ АНАЛИЗА УГРОЗ
ИНСТРУМЕНТЫ СБОРА ДАННЫХ
СРЕДСТВА УПРАВЛЕНИЯ СЕТЕВОЙ БЕЗОПАСНОСТЬЮ
Готовые возможности по интеграции
22
Аналитические отчеты об угрозах
АНАЛИТИЧЕСКИЕ ОТЧЕТЫ ОБ APT-УГРОЗАХ
АНАЛИТИЧЕСКИЕ ОТЧЕТЫ ОБ УГРОЗАХ ДЛЯ ФИНАНСОВЫХ
ОРГАНИЗАЦИЙ
ПЕРСОНАЛИЗИРОВАННЫЕ АНАЛИТИЧЕСКИЕ ОТЧЕТЫ ОБ
УГРОЗАХ
Сервисы «Лаборатории Касперского»
Kaspersky managed protection
Поиск новых атак, ВПО, APT
Поиск атак без применения ВПО
«Машина времени»
Оперативная защита через KES
25
Kaspersky Managed Protection (KMP)
Метаданные
Клиентское решение KES
Команда KMP
• Круглосуточно
• В рабочие дни
Расположение• Франкфурт
• Торонто
• Москва
• Пекин
• Гонконг
Мета
да
нны
е
Расположение• Дублин
• Москва
Внутреннее устройство KMP
Отдел IT-
безопасности
клиента
• Регулярные отчеты
раз в неделю
• Отчеты о
чрезвычайных
ситуациях
Ре
аги
ро
вани
е
на
инц
ид
енты
Активность, которую выявляет KMP
• Создание дампа учетных данных (Mimikatz)
• Внедрение кода в другие процессы
• Средства удаленного администрирования (Ammy Admin, Team Viewer, Lite Admin)
• Установка системных служб Windows (например, назначенное задание)
• Функции автозапуска (в реестре Windows)
• Запуск исполняемого файла с украденным сертификатом подписи кода
• Загрузка и выполнение неизвестных файлов
• Подозрительное использование стандартных служебных программ (cmd/powershell/certutil/mshta/bits/regsvr32/rundll32)
• Использование WMI
• Замена компонентов Windows с помощью Центра специальных возможностей, что позволяет запускать командную строку с системными привилегиями
• Атака на Active Directory
• Сканирование портов
Охват матрицы
MITRE ATT&CK –
80%
Охват базы знаний MITRE ATT&CK
27
Kaspersky Managed Protection on Premise (KMPoP)
Метаданные
KES
Серверы
KSN• Франкфурт
• Торонто
• Москва
• Пекин
• Гонконг
KES
Сеть клиента
Обновления
KPSN
Мета
да
нны
е
«Лаборатория
Касперского»
KES
Персонал SOC
клиентаKMPoP
Активный поиск угрозЭксперты «Лаборатории
Касперского»• Техническая поддержка
• Поддержка анализа инцидентов
• Обучение
Обновление логики
обнаружения
Дополнительная ценность для клиента
Cyber Threat Hunting
Атаки не обнаруженные используемыми продуктами:• Целевые/кастомизированные атаки• Атаки без применения ВПО
«Машина времени»
Повышение эффективности(результативности) существующих продуктов
Оперативная защита через KES*
* Если технически возможно
В случае KMP-KES через KSN –
Никаких инфраструктурных затрат!
Зачем KMP?
Клиенты желают решение проблем,
• А не приобретение продуктов
Ценность текущих продуктов (KES) может быть увеличена
• Адаптация под регион\клиента
Современные продукты (Аnti-APT) хороши, но требуют опытных пользователей
CAPEX OPEX
Ри
ск И
Б д
о п
ри
ме
не
ния к
онт
рол
ей
Авт
ом
ат
изи
-
ро
ва
нны
е
ср
едст
ва
Сер
вис
Ост
ат
очны
й р
иск
KES
KATA
SOС
Threat
hunting
Как это выглядит со стороны клиента (сейчас)
30
Автоматическое реагирование с помощью продуктов ЛК (выпуск детекта по результатам инцидента) или же ручное реагирование в рамках предоставления сервиса Incident Response
Коммуникация с заказчиком через e-mail [исп S/MIME, PGP]:
Карточка инцидента
Еженедельный отчёт
Отчёт по расследованию инцидента
SANS & GaRTNER 2016 (Threat hunting, MDR*)
* Managed detection and response
Расширенные возможности обнаружения инцидентов и реагирования на них
Kaspersky Security
Network
Источники
Партнеры
Ловушки для спама
Сети сенсоров
Поисковые роботы
Мониторинг ботнет-
угроз
Облачная
песочница
Автоматическое
сопоставление
Портал Kaspersky
Threat Intelligence
Объекты
анализа
Анализ
Контекстно
зависимая
аналитикаПроверка
Веб-сервис
Инцидент
Соглашение
о реагировании
– Вызван ли он
вредоносным ПО?
– Какая уязвимость
используется?
– Какие есть
взаимосвязи?
– Подвергается ли
система опасности?
URL-
адреса
Домены
IP-адреса
Хеши
Именование
угроз
Файлы
Threat Lookup
34
Контекст сервиса Threat LookupПоиск хешей Поиск URL-адресов и доменов Поиск IP-адресов
MD5, SHA1, SHA256 URL-адрес IP-адрес
Популярность Имя узла Оценка угрозы
Название угрозы Категория веб-сайта Категория
Метки времени (время первой и последней регистрации) Популярность Популярность
Размер файла Количество файлов Связанный MD5-хеш
Формат файла Установленные IP-адреса Обнаруженные URL-адреса
Архиватор Связанный MD5-хеш Геоположение
Подписант Указание на другие URL-адреса ASN
Имена файлов Указание с других URL-адресов Имя AS
Пути к файлам Временной график Имя сети
Размещаемые URL-адреса Число URL-адресов (для доменов) Описание сети
Размещаемые IP-адреса Информация Whois о домене Информация о сети (диапазон)
Запущенные объекты Информация Nserver Владелец
Объекты, запускающие файл Информация о регистраторе ID владельца
Загруженные файлы Информация о регистранте Местонахождение владельца
Объекты, загружающие файл Информация об администраторе Контактная информация
Запрашиваемые URL-адреса Технические сведения Дата создания
Карта геораспределения Платежная информация Информация об обновлении
Временной график Контактная информация зоны
Сертификаты Карта геораспределения посетителей
Контейнеры
Kaspersky Lab | The Power of Protection35
Kaspersky Cloud SandboxWeb Interface
RESTful API
Обнаружение APT,
целевых и
комплексных угроз
Инструментарий для
эффективного
расследования
киберинцидентов
Простая интеграция с существующими
системами ИБ
Глубокий анализ файлов
вне зависимости от формата
Настройки оптимизации
производительности
Обнаружение попыток
«обмана» песочницы
Интуитивно понятный
интерфейс
Обзор архитектуры исследовательской песочницы
WIN XPx86
Стандартные образы песочницы
Специализированные
образы песочницы
WIN 7x86
WIN 7x64
WIN 10x64
WIN XPx86
WIN 7x86
WIN 7x64
WIN 10x64
Дополнительное
ПО
• MS Office
• MS Edge
• MS IE
• Firefox
• 7-zip
• MS .NET
• Oracle Java
+ пользовательские
приложения
Веб-интерфейс/API
НА ВХОДЕ
-> Отправка файла
-> Выбор ОС
-> Выбор среды выполнения
НА ВЫХОДЕ
-> Отчеты песочницы, KPSN,
эмуляции и TDF
-> график активности
-> журналы
-> файлы PCAP
-> снимки экрана
-> индикаторы компрометации
(CSV, JSON, STIX)
и другие данные
Интернет-
канал 1
Интернет-
канал 2
Репутация
файлов и
URL-
адресов
KPSN
Хеши
• Хороший
• Плохой
URL-
адреса/домены
• Хороший
• Плохой
Группы CERT
Анализ
песочницы
Отчет о
песочнице
Версия 1.0
• Стандартная песочница
• Специализированная песочница
• KPSN как часть решения
• Веб-интерфейс пользователя
• Поддержка API на основе REST
KATA/KEDR
Ретроспективные данныеЗаключения
Нормализация и
анализ данных
Собранные
данные
Данные
глобального
анализа угроз
Связанный
инцидент
Сбор
данных
Телеметрические данные с
рабочих мест
Метаданные сети
Kaspersky Anti Targeted Attack Platform (KATA) & EDR
