Разработка мер безопасности и детекторов аномалий с учетом временных особенностей
Вы можете использовать информацию о часах проникновения синоби и разработать систему безопасности, учитывающую время и состояние сети в разные моменты времени, отклонения от базового состояния и бизнес-требований. Организация подобных мер безопасности состоит из трех этапов.
1. Определить базовый уровень активности на каждый час.
2. Обучить сотрудников контролировать свою деятельность и ознакомить их с типичной сетевой активностью в их рабочие часы.
3. Оценить бизнес-потребности на каждый час. На основе этой оценки выработать бизнес-логику и аксиомы безопасности для дальнейшей защиты от угроз и обнаружения аномалий.
Во-первых, рассмотрите возможность разделения сетевых и системных журналов на сегменты длиной в один-два часа. Просмотрите историю работы и уровни активности вашей сети и систем, определите базовый уровень и критическую отметку, после которой нужно начинать поиск угроз и выявление проблем. Обратите особое внимание на время атак и наиболее благоприятные для них моменты, которые определяются особенностями организации, моделированием угроз и опытом.
Когда данные были сегментированы и сопоставлены с базой, обучите аналитиков, системных администраторов и специалистов по безопасности, чтобы они хорошо ориентировались в паттернах активности, характерных для вашей сети. Они также должны знать о том, какие проблемы с безопасностью возникают из-за организационных процедур. Трактаты синоби инструктируют охранников: во время пересменки следует тщательно проверять каждую шероховатость и любые отклонения от нормы. Предполагается, что охранник должен обратить внимание на то, что рыбак прибыл позже обычного или незнакомая птица кричит в необычный час. Сотрудники службы безопасности, нацеленные на обнаружение подобных аномалий, должны более внимательно изучить аномальное событие, что может помочь в обнаружении инцидента с безопасностью. Для получения сотрудниками службы безопасности опыта такой работы можно дать им поручение выполнять мониторинг сектора (например, отдельной системы, которая считается вероятной целью), очень хорошо с ней ознакомиться, а затем просматривать журналы и события из этой системы за каждый двухчасовой период в течение восьмичасовой смены. Эта стратегия резко контрастирует с тактикой «постоянно все контролировать», которой придерживаются большинство SOC и которая вызывает утомление, перегрузку и выгорание. Такой метод позволяет также смягчить проблемы многих автоматизированных систем обнаружения аномалий, в которых человек должен отслеживать каждую аномалию, отзываться на них и расследовать инциденты. Такие системы быстро начинают генерировать огромный объем данных, контролировать который становится невозможно, а сотрудники и без того загружены.
Обратите внимание на то, что журналы, в отличие от шорохов в ночи, вполне осязаемы и доступны для дальнейшего анализа. Вполне вероятно, что хитроумный злоумышленник сможет подделать или удалить журналы безопасности, отфильтровать трафик от сетевых ответвителей и датчиков или иным образом скомпрометировать системы, предназначенные для регистрации деятельности и защиты от вторжений и предупреждений. Однако эти действия должны нарушить нормальное поведение системы, а этого достаточно для того, чтобы проницательный аналитик заметил инцидент.
Затем нужно будет задать себе два вопроса.
Когда ваши пользователи и системы активны?
Когда может быть активен злоумышленник?
Понимание того, как и когда пользователи входят в систему и что они там делают, позволяет стратегически ограничивать доступ, затрудняя проникновение извне или изнутри в наиболее опасные моменты. Например, если система не используется с 20:00 до 8:00, ее можно выключить. Если у пользователей нет бизнес-необходимости в доступе к системе по субботам, отключите доступ для всех пользователей в этот день. Отключение систем в запланированное время также помогает обучить сотрудников SOC обнаруживать аномалии в определенные часы, поскольку в этом случае им придется проверять меньше явлений. Стандарты NIST предлагают внедрять подобные средства контроля доступа, но многие организации предпочитают сценарии, обеспечивающие удобство работы в чрезвычайных ситуациях, какими бы маловероятными они ни были.
