Улучшение работы датчиков
Главная проблема датчиков заключается в том, что им почти всегда требуется человек, который контролирует их работу и распоряжается полученной информацией. Эта проблема усугубляется скудным ассортиментом датчиков безопасности и доступных аналитических платформ. Современные датчики безопасности можно представить следующим образом: по зданию разбросано множество крошечных микрофонов и камер, но все они заключены внутри маленьких соломинок, из-за чего их поле зрения сужается. А теперь представьте, что вы пытаетесь собрать воедино картину проникновения, имея возможность смотреть только через одну соломинку.
Более того, каждая соломинка накапливает тысячи часов данных, которые надо хранить, обрабатывать и анализировать. Эту неприятную ситуацию часто можно смягчить с помощью сигнатур, алгоритмов или машинного обучения, которые способны помочь выявить аномалии и вредоносную активность. Однако и такие автоматизированные системы не идеальны. Они часто вызывают ложные срабатывания или создают такой большой поток предупреждений, что лучше было бы без них. Чтобы решить эти проблемы, обратимся к мудрости синоби: мы способны определить пути, по которым может пойти враг, а затем разместить вдоль них разные датчики, чтобы обнаружить атаку заранее. Продумывая возможность улучшения использования датчиков в вашей компании, рассмотрите следующие советы.
1. Смоделируйте сеть и определите свои слабые стороны. Создайте карту сети и модель потока данных вашей среды. В ней нужно описать каждую систему и ее назначение, связь систем, точки входа и выхода информации, типы информации, датчики (если они есть), которые проверяют информацию, и точки выхода. Определите места, в которых датчиков нет, и места, которые, по вашему мнению, хорошо контролируются. Попробуйте предугадать, где злоумышленники попытаются проникнуть в вашу сеть. Имейте в виду, что создание достаточно полной карты может занять месяцы и потребует содействия всего предприятия. Созданная карта может быть не идеальной, но даже такая лучше, чем ее отсутствие.
2. Наймите «красную команду» и выполните тест на проникновение. «Красная команда» должна попытаться проникнуть в вашу сеть. Рассмотрите подход «фиолетовой команды», при котором защитники вашей сети («синяя команда») наблюдают за «красной командой» в реальном времени, находясь в той же комнате, и могут приостановить задачу, чтобы задать вопросы. Опросите датчики безопасности до, во время и после атаки, чтобы узнать, что они обнаружили и о чем сообщили. Эта информация будет для вас важна. Озадачьте «синюю команду» вопросом о том, как другое размещение датчиков позволило бы быстрее и точнее обнаружить «красную команду». Обсудите архитектурные изменения защиты, настройку датчиков и другие решения, предложенные в ходе тестирования.
3. Идентифицируйте и заблокируйте зашифрованный трафик. Блокируйте весь зашифрованный трафик, который не может быть перехвачен и проверен датчиками. Кроме того, лишите ваши машины возможности использовать несанкционированное шифрование. Попросите «красную команду» проверить способность датчиков обнаруживать зашифрованный трафик. Большинство датчиков не может проверять зашифрованный трафик, поэтому многие организации применяют асимметричное шифрование, например эллиптическую кривую Диффи — Хеллмана (elliptic-curve Diffie-Hellman, ECDH), которую нельзя взломать корневыми сертификатами. Разрешив постороннему зашифрованному трафику покидать вашу организацию, не проходя через DLP, вы создаете брешь в безопасности, как если бы охранники замка внимательно осматривали всех прохожих с открытыми лицами и спокойно пропускали тех, кто носит маски.
4. Разработайте «нюхающие» и «слушающие» датчики. Изучите возможности создания датчиков, которые могли бы тайно обнаруживать определенные типы угроз. Например, настройте внешний физический датчик, который отслеживает активность ЦП или энергопотребление и может обнаружить несанкционированный доступ или применение постороннего ПО, если производительность не коррелирует с допустимыми командами или активностью пользователя, работающего в системе.
5. Реализуйте пассивные датчики. Введите пассивные интерфейсы на коммутаторах и серверах, которые никогда не должны использоваться. Настройте датчики на локальное обнаружение и оповещение при активации интерфейса, что указывало бы на вероятное присутствие в вашей сети злоумышленника. Подобно неглубокой канаве, заполненной песком, такие системы позволяют обнаруживать движение трафика в тех местах сети, где этого быть не должно.
6. Установите датчики тогики. Разместите за пределами своей сети обращенные внутрь датчики для обнаружения проникновения. При содействии интернет-провайдера вы можете настроить датчики за пределами сети так, чтобы они мониторили входящий и исходящий трафик, который другие датчики могут не обнаружить. Разместите на Т-образном разъеме возле устройства датчики, работающие вместе с датчиком на хосте, а затем сравните работу устройств, чтобы определить, сообщают ли оба датчика об одной и той же активности. Такой подход помогает идентифицировать скомпрометированные датчики и драйверы сетевого интерфейса.
