2020/06/29 12:22:17

Два года работы с MaxPatrol SIEM:
от скепсиса к ключевой роли в работе SOC CyberART

Об изменении отношения компаний к SIEM, выявлении четырехлетних «закладок» в сети заказчика и практике работы с MaxPatrol SIEM в крупном SOC в Татарстане рассказал Владимир Дмитриев, руководитель направления сервисов киберзащиты CyberART (ГК InnoSTage).

MaxPatrol SIEM

Штаб-квартира ГК InnoSTage находится в Казани, но мы — федеральная компания и работаем с заказчиками из различных регионов России. Оператор сервисов киберзащиты CyberART — часть группы компаний InnoSTage, куда также входит наш центр мониторинга и реагирования на компьютерные инциденты (security operations center, SOC). Значительную часть сервисов мы оказываем на базе SIEM-систем. Эксперты нашего центра работают 24 часа в сутки, 7 дней в неделю, выявляя и нейтрализуя атаки и предотвращая компьютерные инциденты у наших клиентов.

Среди наших заказчиков в основном коммерческие компании — ТЭК, финансовый сектор, нефтехимия, производство. Часть из них относятся к компаниям, которые подпадают под Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» и должны взаимодействовать с ГосСОПКА (Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак), а также обеспечивать мониторинг значимых объектов КИИ (критической информационной инфраструктуры).

В CyberART используются различные средства анализа защищенности, управления информационной безопасностью, мониторинга событий и защиты информации. Что бы ни говорили, но SOC без SIEM не бывает, и наши ключевые услуги по мониторингу, выявлению и реагированию на компьютерные инциденты построены на базе систем этого класса, с SIEM мы работаем более 14 лет. Ранее мы использовали в основном только зарубежные продукты — например, Micro Focus ArcSight, IBM QRadar, Splunk — но в последнее время все активнее применяем российское решение от Positive Technologies. В этом материале я расскажу, как менялись подходы компаний к использованию SIEM, с чего начинается работа с системой, какие источники данных используются, почему важна экспертиза и как, на мой взгляд, будет развиваться рынок SIEM.


От статуса хранилища данных к основному инструменту SOC

Чтобы понять, куда движется развитие SIEM, давайте вспомним, как в последние годы менялись запросы к функциональным возможностям этого класса продуктов. В первую очередь изменилось восприятие SIEM пользователями — они стали четко понимать, для чего необходима система и как ее правильно использовать. Ранее эти продукты внедрялись клиентами в качестве некоего хранилища данных, цели которого туманны, — «давайте поставим SIEM и, если понадобится, воспользуемся архивом с событиями безопасности». Сейчас применения SIEM лишь в роли хранилища явно недостаточно, рынок вырос до активного создания центров мониторинга. В связи с этим появились новые требования к производительности, функционалу и удобству работы с SIEM, а параллельно ужесточились и требования регуляторов, возникли санкционные риски и тренд на импортозамещение, что тоже внесло свой вклад в развитие этого класса продуктов.


Внедрение SIEM-систем и адаптация правил

С момента своего появления MaxPatrol SIEM сильно изменился. Пять лет назад мы как интегратор при его внедрении в основном занимались разработкой проектной и эксплуатационной документации и организовывали удаленный доступ к инфраструктуре заказчика, а развертыванием решения занимались специалисты Positive Technologies, потому что это было непросто. Сегодня, благодаря поставляемым вместе с продуктом знаниям, мы разворачиваем и настраиваем систему самостоятельно. Основные трудозатраты при переходе на работу с SIEM связаны не с техническими деталями, а с организационными моментами. В любой крупной компании, чтобы внедрить SIEM-систему и к чему-то ее подключить, требуется пройти много различных согласований. Нужно не только настроить источники, но и сделать так, чтобы эти источники выдавали нужную нам информацию, — это тоже организационный момент, и на такие согласования, обоснования, доказательства и настройку целевых систем приходится примерно 60% трудозатрат проектной команды. Эта цифра за последние пять лет не поменялась. Как не бывает одной таблетки для всех, так и нет полностью типовых решений, подходящих для любого заказчика. Так или иначе мы адаптируем поставляемые из коробки правила под конкретные инфраструктуры, и в этом нам значительно помогает регулярно пополняемая командой Positive Technologies экспертиза[1].


Традиционные и нетипичные сценарии мониторинга

При развертывании SIEM в 90% случаев первоочередными источниками данных для мониторинга событий безопасности становятся средства защиты информации (от антивирусов до межсетевых экранов), операционные системы, системы виртуализации, Active Directory, службы DNS и другие элементы ИТ-инфраструктуры. При подключении инфраструктуры на этом уровне значительной отраслевой разницы в источниках нет.

Но нюансы появляются на стадии подключения информационных и автоматизированных систем — например, электронного документооборота, финансовых и бизнес-приложений, систем промышленной автоматизации. Мы встречали случаи, когда в качестве источников данных для мониторинга клиенты рассматривали также различные справочные системы (например, списки сотрудников, находящихся в отпуске, базы данных, содержавшие сведения о распределении сотрудников по отделам или их статусах работы — на больничном, в отпуске, в командировке). В одной из компаний было необходимо отказаться от определенного ПО, и мы смогли собрать информацию об использовании этого ПО с помощью MaxPatrol SIEM. В других организациях MaxPatrol SIEM применялся для определения сотрудников, которые работали в новогодние праздники, для проверок выполнения предписаний по смене паролей и других организационных распоряжений. Таким образом, на практике SIEM-система может быть использована не только для выявления событий безопасности, но и для различных нетипичных кейсов.

И все-таки, давайте рассмотрим конечную цель использования SIEM — лучше всего это проиллюстрирует случай из реальной практики нашего SOC.

Дано:     В MaxPatrol SIEM сработало правило о выявлении в ходе полной антивирусной проверки узла исполняемых файлов утилиты типа Remote Admin Tools. Программы данного типа часто используются IT-специалистами в легитимных целях, для задач администрирования, и, на первый взгляд, событие такого типа никакой угрозы не представляет. Тем не менее, SOC провел первичный анализ этого события, который показал, что исполняемые файлы RAT находились на этом узле уже длительное время, и как они туда попали — клиенту было неизвестно.
      
Задача:     Провести ретроспективный анализ, определить степень угрозы, тактики злоумышленников, момент компрометации.
      
Решение:    Мы провели поиск, сбор и анализ всех доступных артефактов — событий безопасности из SIEM и из других журналов, образцов исполняемых файлов, ключей реестра, копий сетевого трафика и др.
      
Итог расследования и реагирования:    В сети был обнаружен источник угрозы — скомпрометированный сервер с доступом в интернет, на котором злоумышленники оставили закладки, реализованные с помощью утилиты Remote Admin Tools, подключенной к их внешним командным центрам. Посредством горизонтального распространения атакующие также получили доступ к другим узлам внутри сети и оставили на них части той же RAT-утилиты. Атака была реализована еще три-четыре года назад, но злоумышленники на протяжении длительного времени не использовали этот канал вторжения, он находился как бы «в спящем режиме», о чем в том числе свидетельствовали и логи, полученные из MaxPatrol SIEM. Далее выявленная угроза была ликвидирована, проведена полная проверка сети, все найденное нелегитимное ПО удалено, канал доступа к внешним командным центрам перекрыт. Таким образом, с помощью MaxPatrol SIEM нам удалось выявить и нейтрализовать злоумышленников, которые находились в инфраструктуре уже несколько лет.


В новых реалиях — когда из-за пандемии во втором квартале 2020 года большая часть компаний была вынуждена массово переходить на удаленный режим работы — сценарии использования SIEM также трансформировались. С изменением сетевого периметра компаний перестроился и основной профиль событий: если ранее мы в основном работали с событиями безопасности внутри сети, а процент событий, связанных с удаленным доступом, был относительно небольшим, то теперь доля таких инцидентов увеличилась в несколько раз. Например, часто сотрудники «забывают» отключать различные анонимайзеры и VPN-сервисы при удаленном доступе к ресурсам компании со своих личных устройств, и бывает интересно наблюдать, как «лихо» один и тот же пользователь перемещается по планете: условно, с утра он может подключаться из Бирюлево, в обед — из Токио, а ближе к вечеру — уже из Нью-Йорка. Дополнять контекст событий удаленного доступа и выявлять таких «виртуальных» путешественников нам помогает функционал SIEM.


MaxPatrol SIEM сегодня — экспертиза и простота использования

Изначально MaxPatrol SIEM понравился нам заложенными в него идеями, конечно на тот момент они не были реализованы на все 100%. Но за прошедшие пять лет SIEM сильно вырос — в первую очередь с точки зрения стабильности и удобства работы. Сегодня топовые инсталляции на базе MaxPatrol SIEM стремятся к 25-30 тысячам событий в секунду. И это не искусственно генерируемый, а реальный поток событий безопасности в рамках полноценного внедрения со всеми необходимыми в таких случаях функциональными возможностями.

Еще одно ключевое отличие — это выстраивание экосистемы знаний вокруг MaxPatrol SIEM. Ранее внедрение SIEM заканчивалось так: «Ура, мы можем собирать логи! А теперь давайте подумаем, что с ними делать». У всех систем этого класса были такие сложности. Присутствовал только типовой и статичный набор правил, который мало к чему подходил. А если система запутанна, как гордиев узел, то работать с ней сложно даже опытным экспертам. Совсем другая картина вырисовывается с пакетами экспертизы, которыми регулярно пополняется MaxPatrol SIEM. Они позволяют показать, для чего на самом деле нужны системы этого класса. Вместе с продуктом мы получаем экспертизу в виде пакетов с правилами обнаружения угроз, в том числе неизвестных ранее. Наблюдая за развитием MaxPatrol SIEM, мы видим, что с каждой новой версией продукт становится удобнее, и это приводит к тому, что в целом порог входа специалистов по информационной безопасности в область работы с SIEM-системами снижается.

Когда два года назад мы обсуждали возможность использования MaxPatrol SIEM в нашем SOC, у части нашей команды был определенный скепсис на этот счет. Тем не менее, мы решили попробовать. В результате убедились, что система работает и позволяет решать все задачи, которые ставят для SOC наши заказчики. Поэтому я считаю, что продукт как минимум ни в чем им не уступает другим ведущим мировым конкурентам.

Нас также устраивает и «близость» техподдержки. С большинством вопросов мы справляемся самостоятельно, а в тех редких случаях и нестандартных кейсах, когда мы взаимодействуем с экспертами Positive Technologies, мы получаем от них оперативную и качественную помощь.


Векторы развития SIEM — взгляд интегратора

В некоторых зарубежных продуктах есть специальные virtual appliances (виртуальные аплайнсы). Они позволяют получить готовую инфраструктуру, которую нужно лишь развернуть в требуемой конфигурации, при этом не надо тратить много времени на подготовку инфраструктуры, ее настройку и последующие поддержку и обновление. В российских SIEM-системах хотелось бы видеть такую же гибкость и масштабируемость, возможность собирать решение из готовых «кубиков» — виртуальных серверов — и быстро разворачивать столько компонентов, сколько требуется. Это значительно упростило бы работу и интеграторов SIEM, и SOC, и специалистов на стороне заказчиков.

В перспективе ближайших пяти лет механизмы хранения и последующего анализа данных об инцидентах, в том числе механизмы анализа уязвимостей, объединятся в одну платформу. Я думаю, и Positive Technologies, и их коллеги по цеху будут идти в сторону развития SIEM в части не только обнаружения, но и реакции на инциденты, постепенно системы мониторинга событий безопасности объединятся с системами реагирования и системами оркестрации средствами защиты информации. Может быть, когда мы будем праздновать 10-летие MaxPatrol SIEM, то это уже будет SIEM, вобравший в себя функциональные возможности SOAR (Security Orchestration and Automated Response) — решения, которое не только умеет выявлять угрозы, но и оперативно их блокировать.