Wednesday, March 29, 2017

Threat hunting как процесс SOC

Сегодня на 7-ом собрании SOC Club-а "SOC в России" рассказывал о Threat hunting-e в рамках работы SOC. Вот презентация:


Технически получилось немного смазано, так как я не совсем уложился во время, поэтому в этом посте перечислю основные тезисы, которые я хотел донести:
1. Переход "защиты от ВПО" в "защиту от целевых атак" - очевидная эволюция ландшафта угроз.
2. Эволюции п.1 соответствует очевидное развитие подходов к защите: от Alerting-а, как реакции на предопределенные сигнатуры, до Hunting-а, как поиска новых угроз.
3. Современные атаки обладают рядом свойств, которые надо брать во внимание при планировании СЗИ (слайд 5)
3. История с Vault7 полностью добила веру в эффективность превентивных средств защиты и сместила приоритеты развития СЗИ именно в сторону своевременного обнаружения и быстрого восстановления (слайд 6)
7. Слайд 7 - концептуальные различия подходов. Слайд "пропал", так как я забыл его сделать видимым в pptx ;), однако, попереживав несколько секунд, решил, что в этом нет ничего страшного, так как уже неоднократно его показывал и рассказывал, например, здесь.
8. Threat hunting не исключает подходы классического мониторинга, а дополняет. На слайде 8 показано это взаимное дополнение, разложенное по процессу управления инцидентами.
9. Для TH нужны исходные данные и технологии. Это представлено на слайде 9. Расскажу по аббревиатурам - это наши внутренние подразделения-поставщики знаний для нас: Global Research and Analysis team (GReAT), Anti-Malware research (AMR), Targeted Attack Research Group (TARG), Security Operations Center (SOC) - имеется в виду наша внутренняя практика обнаружения, коей больше с каждым инцидентом, не являющемся фолсой, Security Services Research (SSR) - наш внутренний ИБ ресеч; сервисы расследования инцидентов - Incident response (IR), Digital forensics (DF), Malware analysis (MA); ну а поставщиком на сырых нотификаций на низком уровне выступает - Endpoint (EP).
Важным моментом в этом слайде является стрелочка "Постоянное совершенствование", означающая, что мы реализуем новые детектирующие и микрокорреляционные логики на уровне ЕР, - можно считать, аналогично, созданию сигнатур.
В качестве иллюстрации дана картинка все с той же презентации, где показана максимально упрощенно текущая процессная модель ТН.
10. Последний слайд - действительно последний, отражающий где в общем списке процессов SOC (список процессов взят из ГосСОПКИ) ТН и на что он в основном нацелен.

Надеюсь, что доклад (в совокупности с этим постом) будет полезен аудитории.








Wednesday, March 22, 2017

Оружие массового поражения для всех

- Безопасность - это когда стоимость взлома превышает стоимость выгод атакующего.
- Вы уверены?

Новости про ЦРУ уже не произвели такого фурора, как товарищ Сноуден, в свое время. Все привыкли, что за нами следят и вендоры бывают на госконтрактах и их терзают смутные сомнения. Очевидна нерентабельность усилий противостояния гражданина армии, что объясняет наличие соответствующих по возможностям подразделений

Но, тем не менее, лично мне эта публикация все равно расширила кругозор, цитаты:
1. "Securing such 'weapons' is particularly difficult since the same people who develop and use them have the skills to exfiltrate copies without leaving traces — sometimes by using the very same 'weapons' against the organizations that contain them. There are substantial price incentives for government hackers and consultants to obtain copies since there is a global "vulnerability market" that will pay hundreds of thousands to millions of dollars for copies of such 'weapons'. Similarly, contractors and companies who obtain such 'weapons' sometimes use them for their own purposes, obtaining advantage over their competitors in selling 'hacking' services."

2. "In what is surely one of the most astounding intelligence own goals in living memory, the CIA structured its classification regime such that for the most market valuable part of "Vault 7" — the CIA's weaponized malware (implants + zero days), Listening Posts (LP), and Command and Control (C2) systems — the agency has little legal recourse.

The CIA made these systems unclassified.

Why the CIA chose to make its cyberarsenal unclassified reveals how concepts developed for military use do not easily crossover to the 'battlefield' of cyber 'war'.

To attack its targets, the CIA usually requires that its implants communicate with their control programs over the internet. If CIA implants, Command & Control and Listening Post software were classified, then CIA officers could be prosecuted or dismissed for violating rules that prohibit placing classified information onto the Internet. Consequently the CIA has secretly made most of its cyber spying/war code unclassified. The U.S. government is not able to assert copyright either, due to restrictions in the U.S. Constitution. This means that cyber 'arms' manufactures and computer hackers can freely "pirate" these 'weapons' if they are obtained. The CIA has primarily had to rely on obfuscation to protect its malware secrets."

В целом, текст достаточно красноречив, и не нуждается в моих комментариях... Но вы только вдумайтесь: все мои инвестиции в проактивную безопасность - это повышение стоимости взлома, потому что, очевидно, взломать можно все и вопрос только в ресурсах на это потраченных. Но в сложившейся ситуации аксиома о том, что я могу чувствовать себя в безопасности, когда стоимость моей компрометации достаточно высока - уже не работает, потому что есть некоторая организация с бесконечными ресурсами, инвестирующая в технологии нападения и никак не ограничивающая и не контролирующая их использование! Даже, выкинув из внимания вопросы этики, морали и глобальной информационной безопасности, - ситуация выглядит аналогично, как если бы некая контора делала атомные бомбы (или оружие массового поражения (ОМП) вообще) и разбрасывала их по миру для всеобщего использования. Конечно же, оно при этом может попадать в руки террористов и прочего криминала, а пытаться что-то со всем этим делать приходится нам.
Вспоминается, как подозрение в наличии ОМП послужило причиной лишения государства суверенитета, как аргумента для спасения Человечества. Здесь же кибероружие разрабатывают и практически публикуют, и это "считается" нормальным, все по комплайенсу.
Так что, уважаемые коллеги, интерпрайзные безопасники, вот у нас с вами новое обстоятельство, которое надо брать во внимание.

Sunday, March 19, 2017

Контекст угрозы

Даже хорошо спроектированные процессы дают сбой на стыках ответственности - всегда может обнаружиться что-то там, где предыдущие уже не отвечают, а следующие еще не включились.

Я писал про Контекст, но это - одна его сторона, связанная с конкретной инфраструктурой конкретного предприятия, спецификой, так сказать, Объекта защиты. Однако, есть и другая сторона, которую позволю себе назвать Контекстом угрозы. Концептуально контекст угрозы понять очень просто: такой инструмент как нож, в руках Джека-потрошителя и в руках грибника - представляет собой совершенно разную угрозу и это, безусловно, необходимо учитывать планирующему контроли безопасности. Именно поэтому неправильно продетекчивать конкретный инструмент (~нож), не беря во внимания Контекст угрозы, - в случае Грибника такой подход будет фолсить.

Может показаться, что требование анализа Контекста угрозы выглядит не реализуемым, поскольку он, очевидно, определяется последствиями, которые далеко не всегда предсказуемы, а нам следует их предотвращать. Да, это сложно, так как мы уже не можем тупо продетекчивать все ножи в независимости кто и как ими пользуется, и даже все еще хуже - преступления можно совершать вполне бытовыми инструментами, но, уверяю, это возможно. Именно для этого есть аналитика, различные скоринговые алгоритмы, машобуч, в конце концов! Нормальные инфобез-вендоры уже не сражаются с конкретной малварой\инструментами, но противостоят злоумышленникам их использующим, что позволяет при смене инструмента продолжать успешно защищать своих клиентов. Низкий уровень ошибок I и II рода при изменяющихся инструментах - является простейшим подтверждением результативности анализа Контекста угрозы, хорошим критерием качества совокупного detect rate продуктов безопасности - услуг и технологий.

Закончить пост хочется той же идеей о разделении ответственности. Как видим, Контекст имеет, минимум, две перспективы: контекст угрозы, определяющий специфику непосредственной угрозы вообще, и контекст среды, характеризующий насколько данная конкретная угрозы актуальна для данного конкретного предприятия. Контекст угрозы должен обязательно быть адресован поставщиком продуктов безопасности "из коробки", Контекст среды - это уже вопрос адаптации в конкретную инфраструктуру.