Upload
others
View
15
Download
0
Embed Size (px)
Citation preview
Практика разработки правил корреляции событий ИБ для выявления инцидентов с
помощью SIEMАлександр Дорофеев, CISSP, CISA, CISM
Директор по развитию
npo-echelon.ru
СОдержание
1. Зачем нужна SIEM?2. SIEM-система «КОМРАД»3. Правила корреляции для SIEM4. Практика применения в ESOC
2
npo-echelon.ru
Современная атака = спецоперация3
разведка извне (техническая, оперативная)
первоначальная компрометация
укрепление позиций
атакующегоразведка внутри
расширение привилегий и зоны влияния
организация постоянного и
скрытного контроля
сбор информации
скрытая передача
npo-echelon.ru
Как своевременно реагировать
на таргетированные атаки?
4
npo-echelon.ru
Аутентификация: как успешная, так и неуспешная
Срабатывания антивирусного ПО
Нетипичное поведениепользователя в ОС
Подозрительныезапросы к СУБД
и т.д. и т.п.
5Необходимо отслеживать массу признаков нарушения ИБ
npo-echelon.ru
6Для этого надо осуществлять мониторинг ВСЕЙ инфраструктуры
npo-echelon.ru
МЭ
Антивирусы
СОВ/СПВ (IDS/IPS)
СКУД, IAM, МДЗ
DLP
Стационарные АРМ
Мобильные АРМ
Серверы
Виртуальные машины
Коммутаторы, мосты,
маршрутизаторы
Точки доступа
7
Ручной сбор может быть проблематичным
npo-echelon.ru
комрад
гибкая и производительная система централизованного управления событиями информационной безопасности, совместимая с отечественными средствами защиты информации.
8
Сертификаты: ФСТЭК России №3498 Минобороны России №2315
npo-echelon.ru
Фильтрация
Нормализация
Корреляция
Оповещениеи учёт инцидентов
Ист
очни
ки с
обы
тий
Приоритезация
Аналитика
9
Принцип работы SIEM-системы
npo-echelon.ru
Архитектура10
npo-echelon.ru
КОМРАД: отличительные возможности11
производительность:до 20 000 EPS
универсальный адаптер для любогоисточника событий
широкий спектр поддерживаемых отечественных СЗИ
удобный пользовательскийинтерфейс
оповещение об инцидентелюбым cпособом: email, SMS…
визуальный анализданных
npo-echelon.ru
§ МЭ и СОВ «Рубикон»/«Рубикон-К»§ Сканер-ВС§ Astra Linux§ Kaspersky Security Center§ Форпост§ SecretNet 3.5-3.7 (сервер управления)§ БлокХост-Сеть§ vGate R2§ ViPNet Coordinator HW2000§ VIPNet IDS§ АССОИ «Матриц໧ …
1212
Поддержка отечественных СЗИ
npo-echelon.ru
Методы корреляции, используемые в SIEM КОМРАД
§Основанный на правилах (rule based) — взаимосвязи между событиями определяются аналитиками в заранее заданных специфических правилах.
§Основанный на графах (graph based) — поиск зависимостей между системными компонентами в представлении ввиде графа.
13
npo-echelon.ru
Создание нового правила корреляции 14
npo-echelon.ru
Поля для формирования правил (1)15
ID плагинаSID плагинаПротоколIP источникаIP назначенияПорт источникаПорт назначенияИмя источникаИмя назначенияMAC источникаMAC назначенияИмя файлаИмя пользователя
АССОИ событие
Имя шлюза
Тип шлюза
Описание команды
Имя запроса
Имя сетевого интерфейса
Роль пользователя
Название фильтра
Направление трафика
Адрес шлюза
CEF значимость
CEF вендор
CEF продукт
CEF версия продукта
CEF ID события
CEF описание
CEF сообщение
WMI имя компьютера
WMI журнал
WMI сообщение
WMI тип (строка)
WMI категория (строка)
WMI имя источника
WMI тип события
WMI номер записи
WMI идентификатор
WMI категория
WMI код события
WMI причина ошибки
Домашняя директория
Команда
Действие
Терминал
Интерпретатор
ID пользователя
ID группы
Имя группы
Сообщение
Категория события
npo-echelon.ru
Поля для формирования правил (2)16
СервисУровень тревогиID правилаФайл журналаКласс СОВГруппа СОВНомер CVEАдрес ссылкиИмя тэгаТип атакиИмя узлаCSSID шлюзаWMI идентификатор
безопасности
СобытиеKAV сообщениеРезультат операцииИмя шлюзаID группы правилДлина пакетаПриоритет правилаКлассификацияПриоритетПричинаВремя откликаСтатус запросаКод иерархии
Тип MIMEБайт переданоКомментарийПравилоИмя компьютераИмя сервераПараметрНеверный парольID сигнатурыВерсия IPДоступОтправленоПолучено
ИнформацияДлинаОбъект доступаПраваПринтерДокументКоличество копийКоличество страницПортТип атаки
npo-echelon.ru
Правила корреляции SIEM КОМРАД «из коробки» (1)17
1) Xmlrpc, обнаружение PingBack-атаки. 2) Обнаружение межсайтового скриптинга. 3) Обнаружение мутированных входных данных. 4) Обнаружение Sql-выражений из пользовательского ввода. 5) Обнаружение неавторизованного Remote Code Execution-Wordpress. 6) Обнаружение уязвимости Local file include. 7) Обнаружение неавторизованного Remote Code Execution-Ping. 8) Обнаружение сканера уязвимостей Openvas.9) Обнаружение сканера уязвимостей w3af. 10) Обнаружение сканера уязвимостей Acunetix. 11) Обнаружение исходящей активности Tor-нодов.12) Обнаружение входящей активности Tor-нодов. 13) Обнаружение неавторизованного Content Injection-Wordpress. 14) Обнаружение исходящей активности на файлобменник.
npo-echelon.ru
Правила корреляции SIEM КОМРАД «из коробки» (2)18
15) Обнаружение исходящей активности к C&C серверам.16) Обнаружение исходящей активности к IRC каналам.17) Обнаружение использования анонимайзеров.18) Обнаружение входящей активности Mirai botnet.19) Обнаружение брутфорс атаки на wordpress.20) Обнаружение входящей активности crawler-ботов.21) Контроль учетных записей-эскалация привилегий, создание/удаление, смена пароля.22) Обнаружение брутфорс атаки на Rdp.23) Обнаружения уязвимости Rdp-MaxChannelids.24) Обнаружение исходящей активности к соц.сетям(vk, twitter, facebook).25) Обнаружение исходящей активности Skype.26) Обнаружение входящей активности Tcp-Break, таких клиентов telnet, nc27) Обнаружение исходящей активности Remote Access.28) Обнаружение нового пользователя в OpenvVpn.29) Обнаружение несоответствия сертификата в OpenVpn.30) Обнаружение параллельного соединения с двух разных IP OpenVpn.31) Контроль криптошлюза и обновления ключей Континента.32) Нарушение целостности, удаление, отключение, контроль мандатных уровней DallasLock.33) Полный контроль над KAV.
npo-echelon.ru
настройка правил корреляции
Включаем сбор всего, что можем собрать с помощью SIEM-системы, и начинаем отфильтровывать лишнее.
19
rule of thumb
npo-echelon.ru
Практика применения SIEM-КОМРАд в ESOC20
npo-echelon.ru
Все инциденты21
npo-echelon.ru
Атаки ботов на ISPDN.ru22
Атака Блокировка ботов Прорвался с нового адреса
npo-echelon.ru
ИСТОЧНИКИ АТАК: сотни запросов в день23
npo-echelon.ru
Гости из УКРАИНЫ24
npo-echelon.ru
Наш ответ БОТАМ: Блокировка ГОСТЕЙ25
npo-echelon.ru
выявление перебора паролей26
Обращение к странице авторизации
npo-echelon.ru
Выявленный Попытки подбора паролей к s3r.ru27
npo-echelon.ru
Выявление попытки атаки от червя «MIRAI»28
База IP-адресов, скомпрометированных MIRAI
1) Xmlrpc, обнаружение PingBack-атаки.
npo-echelon.ru
ЧЕРВЬ попытался к нам ЗАЙТИ…29
npo-echelon.ru
Выявление попыток SQL-инъекций30
SQL-запросы в HTTP-трафике
npo-echelon.ru
ПОПЫТКА SQL-инъекции 31
npo-echelon.ru
Разведка И авторизация32
npo-echelon.ru
КОНТРОЛЬ МАНИПУЛЯЦИЙ с УЧЕТНЫМИ ЗАПИСЯМИ WindoWS33
Коды специфических событий
npo-echelon.ru
СПАСИБО ЗА ВНИМАНИЕ!
34
35