Сергей Солдатов: Превентивные технологии защиты уступают место активному поиску угроз

Сергей Солдатов, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского», на недавнем «Коде ИБ ПРОФИ» в Сочи рассказал Anti-Malware.ru о профессиональном Threat Hunting.

На вашем мастер-классе вы рассказали о процессной организации операционного сервиса Threat Hunting. Насколько он уникален для российского и международного рынка?

С. С.: В качестве именно операционного сервиса наше предложение уникально на российском рынке. Уже давно можно приобрести сервисы расследования инцидентов ИБ, что является скорее продолжением сервиса Kaspersky Managed Protection (KMP), так как для старта расследования необходимо понять, что инцидент произошел. Есть и сервисы поиска угроз, когда команда предварительно анализирует инфраструктуру заказчика на предмет компрометации и, в случае выявления брешей, осуществляет реагирование, но это обычно разовая проектная работа. Суть сервиса КМР в том, что постоянно производится анализ событий, поиск следов компрометации и их расследование. Это как сервис поиска угроз, но не в ограниченных временных рамках, а на постоянной основе, непрерывно.

На международном рынке эта тема тоже нова, но конкурентных предложений там больше, и за счет этого рынок выглядит более зрелым.

Сервис может быть частью SOC, но в среднем по рынку текущие MSSP это не предлагают. Хотя этот сервис прекрасно встраивается в предложение MSSP, дополняя его новыми возможностями по выявлению инцидентов.

В чем отличие от SOC?

С. С.: Отличие в анализируемых источниках событий. Основным источником событий в данном сервисе являются системы типа Endpoint Detection and Response (EDR). Можно полагать, что Threat Hunting — это сервис анализа событий EDR, или, иными словами, Managed EDR. Если среди анализируемых источников событий есть и другие, поставляющие данные из сетевого трафика, например, их уже можно называть Managed Detection and Response (MDR). Если мы обратно переключимся на продукты «Лаборатории Касперского», то KMP с источником данных только из endpoint-систем можно назвать Managed EDR, а если мы еще анализируем и события с Kaspersky Anti Targeted Attack Platform, то в моем понимании это MDR.

Как организовано собственное подразделение Threat Hunting в «Лаборатории Касперского»?

С. С.: Процесс поиска новых угроз, не обнаруженных различной автоматической предотвращающей и детектирующей логикой на системе защиты конечных точек, — один из процессов нашего SOC. Это то же подразделение, что оказывает сервисы внешним заказчикам, «Лаборатория Касперского» — один из наших заказчиков, но с отличным объемом работ, отличным уровнем сервиса. «Лаборатория Касперского» для защиты своей инфраструктуры использует собственные продукты, и сервисы здесь — не исключение: наша команда нас мониторит, и наши пентестеры анализируют наши способности по обнаружению.

Про внутреннюю организацию можно говорить очень долго, но, если вкратце, у нас три линии аналитиков, причем третья линия не занята в операционной работе, — они проводят исследования атак, занимаются развитием нашей инфраструктуры, отвечают за эффективность обнаружения вредоносной активности.

В чем его отличия от подобных подразделений в других крупных компаниях?

С. С.: Я думаю, что отличий много. Во-первых, нам доступна вся возможная экспертиза по используемым технологиям, так как разработчики в большинстве своем работают с нами в одном офисе, во-вторых, у нас есть возможность использовать все самые последние наработки наших исследовательских подразделений, которые опять же доступны для любых консультаций, ну и самое важное — за годы работы в «Лаборатории Касперского» накопилась огромная база Threat Intelligence — знаний об угрозах, легитимных действиях и объектах, что очень важно для различных продвинутых технологий обнаружения, используемых в сервисе.

С какими основными проблемами, на ваш взгляд, сталкиваются компании, желающие организовать собственные подразделения Threat Hunting?

С. С.: Проблемы — стандартные: люди, технологии. Для обнаружения современных угроз нужны постоянные исследования, а это люди и квалификация, для операционных задач по выявлению атак в каждой конкретной инфраструктуре опять же нужны люди и опыт. Для сбора необходимых данных нужны специальные инструменты, например, упомянутый ранее EDR, но он собирает миллионы событий, поэтому эти данные нужно обрабатывать, автоматизированно, насколько это возможно. Это — инфраструктура, а для высокого качества обнаружения нужны данные об угрозах Threat Intelligence, которые пополняются за счет опыта работы команд и исследований, людей.

Каким компаниям и организациям они необходимы, а какие могут обойтись без? Могут ли компании сами организовать подобные центры или предпочтительна помощь консультанта?

 С. С.: Современные атаки выполняются профессионалами, с использованием специализированных техник, тактик и инструментов. Профессиональным атакующим должны противостоять профессиональные защитники. На мой взгляд, здесь такая же эволюция, как и в других направлениях: в стародавние времена методы нападения врагов были примитивны, и это позволяло каждому самостоятельно защищать свою пещеру с помощью копья и каменного топора. Позднее, с повышением профессионализма нападения защита также стала профессиональной: появились специальные органы — полиция, армия, на их вооружении средства, пользоваться которыми необходимо учиться в теории и на практике. Мы же не воюем с копьем против артиллерии и авиации.

Так и здесь: я склонен думать, что профессиональные команды, специализирующиеся на расследовании кибератак, — более эффективный способ противостояния современным угрозам, чем взращивание собственной команды. Даже при наличии высокопрофессиональной команды и качественных инструментов высока вероятность проблем с практикой, которая также является хорошим источником знаний об атаках, поскольку корпоративная ИБ видит только свою корпорацию, тогда как любой поставщик услуг видит всех своих заказчиков, что позволяет ему эффективно переносить опыт, полученный на одном из проектов, на другие.

Подобные центры имеет смысл организовывать по основному виду деятельности. Не надо думать, что SOC — это только про анализ логов операционных систем, антивируса или EDR. SOC может заниматься и анализом транзакций в ERP на предмет выявления злоупотреблений, может анализировать платежные операции в рознице на предмет хищений или сокрытия следов мошенничества. Вот такие, очень специфические задачи, я полагаю, не всегда просто купить в виде услуги, но это надо делать, а купить защиту от атак — можно. В целом, «Лаборатория Касперского» развивает и совершенствует сервисы по поиску атак постоянно в форме поддержания качества детекта своих продуктов. Сейчас, когда атаки стали целевыми, для их обнаружения надо уже искать угрозы не в интернете, а в конкретной инфраструктуре. Поэтому мы и предлагаем MDR/EDR в форме сервиса КМР, мы понимаем, что только инструмента недостаточно — нужна комбинация инструментов и работы профессиональной команды (сервисов).

Каковы минимальные бюджеты?

С. С.: Про минимальные бюджеты вопрос очень многогранный, так как он упирается в эффективность команды и используемого инструментария, которые неизвестны. Но даже без учета этого, только по людям, считайте сами: дежурная смена первой линии 24х7 — минимум 5 человек, второй линии — минимум 2, еще нужна команда реагирования — 2 человека, нужна команда, скажем, создающая правила в SIEM — допустим, один человек, точно будет инфраструктура, поэтому нужен администратор — положим, одного хватит…. Мы уже получили, что минимальное количество сотрудников в SOC — 11 человек. Даже при самых скромных оценках это уже совсем не маленькое подразделение, а еще нужны методологи, исследователи, нужны автоматизаторы-программисты, руководство…

Что говорит аналитика об эффективности подобных центров? Какие угрозы предотвратить не удается и почему?

С. С.: Целевые атаки практически невозможно предотвратить, концептуально потому что они долго и тщательно разрабатывались профессионалами для того, чтобы не быть предотвращенными в конкретной инфраструктуре.

Но и в таком случае не стоит опускать руки, а надо искать и обнаруживать уже случившийся взлом как можно скорее — это позволит снизить ущерб. Именно поэтому уже давно наметилась тенденция сдвига от превентивных систем защиты в сторону обнаружения и активного поиска угроз, поскольку если кому-то надо взломать, так или иначе, рано или поздно он это сделает, поэтому надо быстро обнаружить, эффективно отреагировать и восстановиться с минимальным ущербом.

Каким вам видится будущее Threat Hunting в перспективе 3-5 лет?

С. С.: Будущее, на мой взгляд, достаточно очевидно — сервисы MDR и MEDR, что мы понимаем под «активным поиском угроз», или Threat Hunting, станут частью предложений MSSP. Это очень просто объясняется. Высокая эффективность MSSP обеспечивается жесткой формализованностью его бизнес-процессов, зарегулированностью и алгоритмизацией деятельности участников. Но, как конвейер пригоден для массового производства и не работает в случае выпуска опытных образцов, так и MSSP не может быстро перестраиваться при возникновении угроз, требующих изменения подходов к управлению ими. А такими угрозами являются сложные целевые атаки. Мы получаем, что проблема в изменении ландшафта угроз есть уже сейчас, а инструмент борьбы с этой проблемой в лице MSSP пока не готов. На этой почве появились самобытные предложения MDR/MEDR, решающие вопрос обнаружения, расследования и реагирования на сложные атаки, но не закрывающие весь спектр задач MSSP. Однако, на мой взгляд, уже спустя пару лет MSSP перестроятся и MDR/MEDR станут частью их предложения.

Благодарим за интервью и желаем успехов!