19 декабря, 2016, BIS Journal №4(23)/2016

С SIEM`ом или на щите: банковская специфика


Бенгин Владимир

руководитель направления поддержки продаж SIEM (Positive Technologies)

За последние 1,5−2 года кибератаки на банки из единичных случаев стремительно превращаются в эпидемию. При этом средний срок обнаружения атаки составляет 188 дней. Максимальный срок присутствия злоумышленника в инфраструктуре с момента взлома до его обнаружения, зафиксированный нашими экспертами, — 7 лет. А всего лишь через 1−2 недели после проникновения найти все скомпрометированные системы почти невозможно: злоумышленник получает возможность использовать легальные учетные записи и встроенные утилиты администрирования и пр. То есть разрыв между датами компрометации инфраструктуры и обнаружения атаки недопустимо велик.

Ключевым средством выявления сложных атак и инцидентов ИБ могло бы стать решение класса Security Information and Event Management (SIEM). Тем более, что в большинстве организаций проекты по внедрению SIEM-систем уже были выполнены. Но статистика успешных атак говорит, что что-то все же не сработало…

ЦЕЛЬ ТАМ, ГДЕ ДЕНЬГИ 

Банковский сектор относится к числу тех отраслей, где монетизация кибератак ? относительно понятная для злоумышленников задача. Поэтому киберпреступность проявляет к ним особенно пристальный интерес: только за полгода (с октября 2015 по март 2016 года) FinCERT зафиксировал более 20 атак. При этом банки спасли только 1,6 из 2,87 млрд руб. У всех на слуху история банка «Кузнецкий», чей ущерб в результате атаки составил около 470 млн рублей, или «Металлинвестбанка» (со счетов которого похищено 200 млн руб), «Таатта» (потерявшего 100 млн руб), «Русского Международного банка» (похищено 500 млн руб) и др. Как видим, разговор идет об ущербе, исчисляющемся сотнями миллионов. И это еще без затрат на восстановление скомпрометированной инфраструктуры, которые также могут быть сопоставимы со стоимостью разворачивания инфраструктуры с нуля.

Схема краж была такова: по e-mail отправлялось «невидимое» для антивирусов вредоносное ПО. Далее с помощью SMB-запросов сканировалась локальная сеть для заражения других машин, на которые потом загружался ботнет-клиент с функцией удаленного управления. Что можно противопоставить такой атаке? Система класса SIEM, например, может отметить факт получения сотрудниками одинаковых вложений и если с их ПК одновременно начнут уходить SMB-запросы, то это вызовет подозрения. Сопоставление таких активностей могло бы помочь детектировать атаку. Хотя можно подождать и загрузки ботов на зараженные ПК: то, что с нескольких компьютеров по HTTP ушли одинаковые запросы, а содержимое веб-страницы, куда заходили боты, нехарактерно для конкретного человека ? сигнал для поднятия тревоги. Например, взломав банк «Кузнецкий», злоумышленники от имени сотрудника, ответственного за отмену транзакций, в автоматическом режиме отменили около 3000 операций. А это редкая и не простая операция и не может выполняться ежесекундно. Даже если SIEM-система пропустила бы все шаги злоумышленников при входе в инфраструктуру, то число операций по отмене транзакции — явно аномально. И сигнал тревоги поступил бы уже после первых из них.

Для идентификации подобных событий необходимы системы обнаружения (IDS или средства анализа трафика), но только SIEM на ранней стадии сможет связать все события в единую цепочку.

ПОЧЕМУ ЖЕ ВСЕ ТАК ПЛОХО? 

Итак, практика показывает, что, хотя SIEM-системы и используются большинством компаний, удручающая статистика по скорости выявления атак сохраняется. В чем дело? Причин этому несколько. Во-первых, целенаправленные атаки (APT) выявляются только через множество разрозненных некритичных событий, выстраиваемых в цепочку. А в случае с типичными SIEM-системами ее нужно выстраивать для каждой отдельной системы и инфраструктуры. Это колоссальные затраты на создание и поддержку правил в актуальном состоянии.

Во-вторых, стоит отметить сложность и трудозатратность внедрения: нужны интеграция и обеспечение взаимодействия SIEM со множеством систем. И невозможно выполнить все работы разово − это процесс: конфигурационные изменения различного характера в ИТ-инфраструктурах крупных компаний происходят практически ежедневно. И именно в необходимости постоянной доработки SIEM-систем (особенно, если для этого требуется привлечение интегратора и запуск нового интеграционного проекта) кроется одна из причин того, почему после внедрения они просто «кладутся на полку».
 
В среднем за два года инфраструктура компании меняется на 80%.  Поэтому типичный SIEM часто напоминает автомобиль, половину времени простаивающий в сервисе: его надо постоянно «дотюнивать» вслед за конфигурационными изменениями в ИТ-инфраструктурах. И если вы не занимались постоянной адаптацией системы, то уже через 2?3 года ваш автомобиль марки SIEM полностью съедет на обочину: он, конечно, еще помигает габаритами, но обеспечивать покрытие всех систем и сбор актуальных данных – не сможет.
 
Работа системы основана на логменеджменте ? сборе данных обо всем, что происходит в рамках инфраструктуры (с каких-то систем ИБ, коммутационного оборудования, операционных систем, бизнес-приложений, в том числе и собственной разработки).  Поэтому нельзя обойти вниманием вопрос подключения источников информации, а их число может исчисляться десятками. Этот длительный и крайне трудозатратный процесс. Практически ни одна SIEM-система не покрывает все необходимые источники «из коробки». И это тоже одна из причин их слабой эффективности. Подключение всех существующих источников в рамках проекта внедрения, равно как и подключение новых в ходе последующей технической поддержки, без перекладывания этих задач на заказчика или интегратора – уникальная для нашего рынка ситуация.

ЭКСПЕРТИЗА И ЗНАНИЕ ИНФРАСТРУКТУРЫ 

MaxPatrol SIEM «понимает» любую инфраструктуру, автоматически подстраиваясь под все изменения: все имеющиеся и получаемые данные — конфигурация узла и его настройки, установленное ПО, сетевая активность, логи — унифицируются и выстраиваются вокруг каждого из активов с учетом их расположения и взаимосвязей (актив − любой элемент инфраструктуры, сетевой узел, идентифицируемый по различным признакам). Она постоянно обогащается данными из новых событий, сканирований, сетевого трафика и от агентов на конечных точках. За счет этого в MaxPatrol SIEM выстраивается актуальная в любой момент времени виртуальная модель инфраструктуры предприятия. И все эти данные используются в правилах корреляции.

Также концепция MaxPatrol SIEM предусматривает возможность передачи экспертизы заказчику, для чего мы внедряем базу знаний Positive Technologies Knowledge Base (PTKB). Это высокоуровневый, постоянно актуализируемый набор данных, основанный на нашем 15-летнем опыте проведения тестов на проникновение и аудитов защищенности. В результате система сможет обновлять данные об известных моделях атак и паттернах поведения хакеров, учитывать новые уязвимости и эксплойты, автоматически изменять правила корреляции, которые накладываются на инфраструктуру заказчика, не требуя ручной настройки.

В итоге для эффективной эксплуатации SIEM компании не всегда необходима обширная команда аналитиков: управление из единого интерфейса позволяет решать типовые задачи силами даже одного эксперта. Что существенно упрощает работу с системой.
 
В одной их компаний с помощью MaxPatrol SIEM была обнаружена деятельность ряда APT-групп посредством анализа различных событий из логов антивирусов. Есть в копилке системы и опыт выявления квалифицированных внутренних мошенников на основе анализа сетевого взаимодействия между подразделениями компании.
 
Таким образом для эффективного выявления инцидентов ИБ нужна не SIEM-система с классическим набором функциональных возможностей, а экосистема из множества решений, обеспечивающая понимание актуальной модели инфраструктуры на любой момент времени, а также привносящая в продукт практическую экспертизу нашего исследовательского центра. При правильной настройке она дополняет антифрод-решения и сможет в прямом смысле слова спасать деньги и репутацию кредитной организации.

 

Смотрите также

Течет!

8 декабря, 2016

Два берега И-реки

24 ноября, 2016
Подпишись на новости!
Подписаться