Компании вкладывают миллионы в защиту периметра и всё равно становятся жертвами кибератак. Фишинг, социальная инженерия работают всё изощрённее. Как в этих условиях компаниям защитить себя с помощью систем Breach and Attack Simulation (BAS), предназначенных для имитации кибератак, попыток взлома и проникновения злоумышленника в сеть?
- Введение
- CtrlHack — решение для «зрелого» ИБ
- CtrlHack для территориально распределённых инфраструктур
- BAS не исключает пентестов и Red Teaming
- Нет защиты против «Марии Петровны»
- Если у вас нет SOC…
- Выводы
Введение
Если сравнивать формирование систем информационной безопасности с градостроением, то можно провести следующую параллель: и то и другое подразумевает комплексное изучение условий на территории и различных факторов воздействия на неё. Любой проект в строительстве начинается с инженерных изысканий. Сбор, оценка и интерпретация полученных в ходе исследования данных также являются базисом для выбора, внедрения, настройки и эксплуатации решений по информационной безопасности.
К сожалению, в сфере ИБ не всё так очевидно, как в строительстве. Слишком много изменчивых факторов. Что же делать, если «дом уже построен», а сомнения в его неприступности не дают спокойно спать? Предлагаем инициировать взлом. Да-да, абсолютно серьёзно. Мы предлагаем попытаться проникнуть в этот «дом», чтобы понять, где в системе есть слабые места.
Сделать это можно с помощью решения CtrlHack, которое относится к классу BAS (Breach & Attack Simulation). CtrlHack — единственная российская система, имитирующая действия хакера. Она позволяет проводить оценку защищённости компании, причём делать это в автоматическом режиме на постоянной основе. CtrlHack повышает эффективность детектирования атак без внедрения новых средств защиты и позволяет убедиться, что средства безопасности, процессы и люди работают в соответствии с ожиданиями. Особенность решения заключается в том, что оно даёт возможность оценивать риски на основе реальных данных, а не искусственного моделирования.
CtrlHack — решение для «зрелого» ИБ
CtrlHack полезен в первую очередь тем компаниям, в которых есть собственный SOC с командой мониторинга и реагирования на инциденты.
Сердце SOC, как известно, — SIEM. Или целый набор иных средств, выполняющих отдельные его функции. SIEM нужно постоянно развивать: писать новые правила, отлаживать старые, постоянно проверять, как они работают в инфраструктуре. Будем честны: слишком часто этот процесс хромает.
В 2020 году всего 40 компаний заявляли о наличии у себя SOC. На данный момент их реальное количество, конечно, больше. И все они имеют разную степень зрелости. В каких-то компаниях SOC работает как «чёрный ящик», в каких-то написание правил — всего лишь вторичная функция специалиста по мониторингу. Но есть и компании, в которых задача создания и отработки правил возложена на выделенных сотрудников. Эти люди обладают весьма высокой квалификацией. Они должны понимать, как работает хакер, в идеале — иметь навыки пентестера, но при этом уметь писать правила для SIEM. Это — уникальная компетенция, таких людей мало.
Правда, даже таким командам сложно организовать непрерывный процесс написания и проверки правил на всей инфраструктуре с учётом постоянного появления новых хакерских техник. Для этого не хватает ни времени, ни рук.
CtrlHack позволяет преодолеть эти сложности: во-первых, существенно облегчить написание правил, предоставляя для этого готовые данные; во-вторых, снизить требования ко квалификации сотрудников, сняв потребность глубоко разбираться в хакерских техниках; в-третьих, охватить всю инфраструктуру без исключений, т. е. быстро проверить, как определённое правило работает в каждом её сегменте; в-четвёртых, сделать процесс написания — тестирования — корректировки непрерывным за счёт автоматизации. Также есть возможность постоянно дополнять портфель появляющимися в киберпространстве техниками, по 10–12 в месяц.
Когда новые техники нужно проверить везде и сразу, сделать это без средств автоматизации невозможно: с точки зрения вложения ресурсов это будет сравнимо с созданием нового SOC. Используя CtrlHack, достаточно, условно говоря, просто нажать кнопку «Запустить», а дальше уже разбираться с результатами. Этим могут заниматься люди, которые обладают навыками в написании правил детектирования, но не знают, как работают хакеры.
Таким образом, CtrlHack делает SOC более доступным для тех компаний, которые испытывают кадровый голод, но при этом хотят не просто «поставить галочку», а сделать SOC действительно рабочим и эффективным.
CtrlHack для территориально распределённых инфраструктур
Процесс проверки правил для SIEM с использованием CtrlHack для территориально распределённых компаний несколько отличается от стандарта, но только с организационной точки зрения.
Технически организовать проверку сразу на тысячах узлов во всех регионах страны возможно, но бессмысленно. Гораздо эффективнее будет выделить тестовый сегмент, в котором будут запущены все техники по шагам — по стадиям атаки — друг за другом. На основе полученных данных можно написать правила и тут же их отработать: проверить, что они функционируют, выдают корректные сигналы, не являются избыточными. Затем можно загрузить их в SIEM и протестировать уже на всей инфраструктуре. Они должны одинаково работать везде, в каждом сегменте.
Такой подход с высокой долей вероятности не даст в финальном отчёте «сплошного красного листа», а с отдельными кейсами — почему правило, написанное в тестовом контуре, не работает в каком-то регионе — разбираться всегда проще.
Процесс должен быть итеративным: пришли новые техники — снова разделили процесс на два этапа. Отработали в тестовом контуре, запустили на всю сеть, проверили, как работает.
Следует учитывать, что сеть — «живая», в ней постоянно происходят изменения, а это обязательно сказывается на работе правил. Чтобы отслеживать их эффективность и вовремя убирать «бреши», тестовые запуски хакерских техник можно включать с определённой периодичностью, в автоматическом режиме.
Практика CtrlHack показала, что нет ни одной компании, «пилотировавшей» решение, где детектировались бы все 30 техник из пилотного списка. А ведь это в семь раз меньше, чем полный набор в портфеле CtrlHack. Но нет: ни одного SOC, который бы видел их все. Компаниям, которым кажется, что всё вроде бы хорошо, иной раз очень больно снимать «розовые очки».
BAS не исключает пентестов и Red Teaming
Бытует мнение, что BAS вполне может заменить и пентесты, и Red Teaming. Это не совсем так. Конечно, по ряду параметров BAS превосходит альтернативные подходы «с ручным приводом». Задача пентестера или Red Team — пройти из точки А в точку Б за определённое количество времени, например месяц. Они начинают перебирать разные возможности проникновения, использовать известные хакерские техники. Результатом, как правило, является определение возможного вектора атаки: с конкретного компьютера до конкретного сервера через конкретные 15–20 машин. Но это же только маленький сегмент инфраструктуры! А что с остальными полутора тысячами машин? И если при этом используются 10–20 реализаций конкретных техник, как отреагируют системы защиты на остальные несколько сотен? Непонятно.
Тем не менее в некоторых случаях пентестеры делают такие вещи, на которых не фокусируется BAS. Например, это поиск файлов с паролями. Можно сказать, что в пентестах больше «человеческого», связанного именно с человеческим фактором. Они позволяют отследить, как работают сотрудники, насколько соблюдаются регламенты.
К слову, использование BAS сильно повышает эффективность работы Red Team. Сам продукт — не их рабочий инструмент, но если его применять в SIEM, то список техник, которые должна опробовать Red Team, уменьшается в разы. Ведь из отчётов BAS и SOC видно, что уже детектируется, а благодаря этому достигается заметная экономия времени и ресурсов.
Нет защиты против «Марии Петровны»
Как уже упоминалось, развитие периметровой защиты — важнейшая часть обеспечения информационной безопасности компании. Однако есть сотни способов через неё пройти. В конце концов, в социальной инженерии безотказно работает «Мария Петровна». Отправляешь ей письмо с правильной темой, и она его откроет. Без вариантов, откроет. Ещё и макросы включит.
Что делать? Научиться искать хакера, который уже работает в сети! В этом заключается задача SOC.
Хакеру недостаточно просто проникнуть внутрь контура. Есть целый ряд шагов, которые он обязательно должен выполнить. Злоумышленник не может сразу — бац! — и получить доступ к базе данных. Он должен провести разведку, распространиться, закрепиться, вывести информацию, построить каналы управления и т. д. Нужно научиться детектировать его действия как можно раньше.
Хакеры могут использовать легитимный инструментарий тех же операционных систем, который средствами защиты не заблокировать, иначе это остановит деятельность администраторов сети. Единственная возможность найти хакера — это правила детектирования на уровне SIEM, работа SOC, расследование инцидентов и пр.
Интересный момент: хакерство сейчас — это бизнес. В любом бизнесе важен вопрос окупаемости. Чем больше техник компания научится у себя детектировать и блокировать, тем выше будет стоимость атаки для хакеров. Если заблокировать все известные техники, хакерам придётся вкладываться в разработку новых методов взлома и внедрения. Вместо одного эксплойта для 0-day им потребуется сделать десять, а это будет существенно дороже. Соответственно, с большой долей вероятности хакеры переключат внимание на инфраструктуры с более низким уровнем защиты.
Если у вас нет SOC…
Решение CtrlHack позволяет не только повысить эффективность собственного SOC, но и проверить SOC, который клиент отдаёт на аутсорсинг или использует как сервис. А нюансов там достаточно.
В рамках подобной проверки сценарий работы CtrlHack не меняется. В результате симуляция позволяет оценить эффективность внешнего SOC, замерить время реакции и проверить соблюдение прочих условий SLA. Это очень легко сделать: вот отчёт со временем запуска симуляции, а вот — время прихода уведомления от внешнего SOC. С SLA совпадает? Давайте проверим!
Выводы
Подготовиться к кибератакам и получить актуальную картину реальной защищённости корпоративной сети можно только выполняя такие операции, которые аналогичны действиям хакеров. Для непрерывной оценки готовности компании к отражению кибератак в настоящем времени необходимо использовать средства автоматической их симуляции.
Запускайте симуляции. Проверяйте полноту сбора событий. Проверяйте работу правил детектирования. Вносите изменения в правила или создавайте новые. Перезапускайте симуляции для проверки новых правил. Проверяйте процедуру формирования инцидентов и время реагирования на инциденты. Всё это можно сделать с помощью CtrlHack.
