Обзор MaxPatrol O2, метапродукта для обнаружения и остановки хакера

1. Введение
2. Функциональные возможности MaxPatrol O2
3. Архитектура MaxPatrol O2
4. Системные требования MaxPatrol O2
5. Применение MaxPatrol O2
6. Выводы

Введение

На рынке средств защиты информации (СЗИ) широко представлены решения для защиты корпоративных и технологических инфраструктур, однако остаётся актуальным вопрос обработки их многочисленных событий. Такое количество срабатываний СЗИ возникает из-за необходимости гарантированно выявлять действия злоумышленников, которые в процессе атаки часто используют легитимные инструменты, максимально маскируясь под деятельность сотрудников компании. До момента верификации контекста аналитиком трудно отделить легитимную активность от удачно замаскированной злонамеренной. Для этого нужны высококвалифицированные специалисты и большое количество их рабочего времени, что не всегда достижимо в условиях кадрового голода в сфере кибербезопасности, а также невозможности расширять штат непрофильных сотрудников.

Для решения таких задач компания Positive Technologies разработала метапродукты. Они повышают эффективность защиты корпоративной инфраструктуры за счёт замедления реализации недопустимого события (благодаря настройке механизмов защиты до совершения атаки) и ускорения реагирования.

MaxPatrol O2 — это метапродукт для более быстрого выявления вредоносной активности и реагирования на неё. Он обнаруживает и оценивает захваченные ресурсы, прогнозирует возможные пути развития атаки и своевременно её останавливает. MaxPatrol O2 «понимает», как действует злоумышленник, благодаря опыту, который компания регулярно получает при проведении тестирований на проникновение и расследовании инцидентов. Внедрение MaxPatrol O2 даёт возможность автоматизировать рутинную работу в центре мониторинга и реагирования (SOC), снизить вероятность совершения ошибок из-за человеческого фактора в процессах обнаружения, расследования и реагирования на инциденты.

Функциональные возможности MaxPatrol O2

MaxPatrol O2 предназначен для автоматического обнаружения атак на инфраструктуру компании и принятия последующего решения об их остановке. Специалист по ИБ привлекается только для верификации и запуска уже сформированного сценария реагирования.

MaxPatrol O2 предоставляет следующие функциональные возможности:

• моделирование возможных действий злоумышленника, 
• выявление хакерской активности и оценка уровня её опасности, 
• автоматизация расследования инцидентов,
• реагирование на действия злоумышленника.

Рассмотрим назначение и реализацию каждой возможности более подробно.

Рисунок 1. Связывание действий атакующих для выявления цепочек активности

Выявление цепочек хакерской активности осуществляется с использованием «склейки» событий. Это позволяет построить сценарий действий злоумышленника.

После получения срабатываний от СЗИ система выделяет из них ресурсы (хосты, пользовательские сессии, учётные записи, процессы и т. д.) и связывает их между собой по определённой логике: «на одном хосте», «обращение на сервер атакующих со скомпрометированного узла», «продвижение в инфраструктуру со скомпрометированного узла» и пр. Для того чтобы такая склейка не была избыточной (т. е. не содержала ложноположительных срабатываний), применяется механизм обогащения. Он позволяет принять решение о необходимости склейки, опираясь на:

• поиск причинно-следственных связей событий;
• информацию от системы управления событиями (SIEM) о том, какая именно активность привела к срабатыванию;
• сведения о том, откуда началась атака (с использованием обогащения по горизонтальному перемещению).

Автоматизация расследований становится возможной благодаря построению полного контекста атаки с учётом информации о запуске процессов, удалённых входах, перемещениях в инфраструктуре, создании VPN-сессий и других действиях.

Рисунок 2. Моделирование угроз

Выявленные цепочки активности оцениваются на предмет того, какие возможные пути реализации недопустимых для конкретной компании событий есть у злоумышленника в его текущем положении и сколько шагов ему для этого требуется. С этой целью выполняется моделирование возможных действий хакера с использованием технологии Threat Modeling Engine (TME).

Специалисты Positive Technologies взяли за основу идею, что для выполнения каких-либо действий (вход в систему, эксплуатация уязвимостей и т. д.) злоумышленнику уже необходимо обладать некоторыми ресурсами: учётными записями, правами доступа, токенами и пр. Исходя из этого были смоделированы и описаны возможные сценарии действий злоумышленника. Далее TME получает данные о топологии сети, узлах и их конфигурациях, после чего на основе этой информации выделяет ресурсы, которые потенциально могут быть подвергнуты атаке. Затем эти данные накладываются на сценарии действий злоумышленника и выстраивается полный граф связей всех возможностей хакера в конкретной инфраструктуре. После указания недопустимых для компании событий TME выбирает потенциальные маршруты их достижения.

Рисунок 3. Оценка уровня опасности

Далее MaxPatrol O2 оценивает уровень опасности угрозы. Предварительно система агрегирует однотипные события, чтобы исключить влияние их количества на уровень опасности. Сама оценка представляет собой числовую характеристику и опирается на выявленные паттерны атак, матрицу MITRE ATT&CK, уровни опасности срабатываний СЗИ, а также на анализ информации о захваченных злоумышленником ресурсах. Ресурсы оцениваются по их роли в срабатывании, по степени привлекательности для злоумышленника и по количеству потенциальных шагов хакера, которые ему потребуется совершить для реализации риска. Для расчёта показателя привлекательности MaxPatrol O2 обращается к TME, чтобы узнать, какие возможности будут у атакующего после захвата того или иного ресурса и сколько через него пролегает путей к реализации недопустимых событий.

Если итоговая оценка уровня потенциальной опасности превышает определённое пороговое значение, то соответствующая цепочка приобретает статус «Требует внимания». После этого аналитик должен либо верифицировать её как легитимную активность и перевести в статус «Ложное срабатывание», либо перейти к этапу реагирования.

Рисунок 4. Реагирование на действия злоумышленника

Для реагирования на действия злоумышленника система сама предлагает оптимальный сценарий, учитывая риски для конкретной компании, и даёт возможность выполнить его в автоматическом или полуавтоматическом режиме. В первом случае система самостоятельно останавливает атаку, запуская необходимые действия по реагированию для каждого типа ресурса, а во втором — предоставляет специалисту право выбора шагов, которые будут выполнены.

Когда сценарий реагирования завершит работу, аналитик сможет перевести цепочку активности в статус «Архивная».

Архитектура MaxPatrol O2

MaxPatrol O2 представляет собой программное обеспечение, которое устанавливается на единый сервер. Оно не требует использования клиентских приложений на наблюдаемых узлах и взаимодействует с инфраструктурой через сенсоры, подключаемые к системе с помощью коннекторов.

В качестве сенсоров применяются продукты Positive Technologies:

• срабатывания правил корреляции и обнаружения сетевых угроз поступают от MaxPatrol SIEM, MaxPatrol EDR, PT Application Firewall, PT Network Attack Discovery;
• информация о результатах проверки файлов — от PT Sandbox;
• данные о топологии и сетевой достижимости узлов — от MaxPatrol VM и MaxPatrol SIEM;
• сведения об уязвимостях на хостах организации — от MaxPatrol VM.

Кроме того, данные также могут быть получены от любых ИБ-продуктов (например, антивирусов, средств защиты информации от несанкционированного доступа и т. д.), которые возможно подключить к SIEM-системе.

Для реагирования на действия злоумышленника используются агенты MaxPatrol EDR.

Рисунок 5. Схема взаимодействия для MaxPatrol O2

Администрирование и управление осуществляются через веб-интерфейс по протоколу HTTPS.

В MaxPatrol O2 есть возможность разграничения прав доступа: «администратор» и «эксперт». Администратор может выполнять мониторинг работы системы, обновлять её и добавлять пользователей. Эксперт имеет полномочия для проверки цепочек активности, принятия решений о ложности срабатываний и о необходимости контрмер.

Для оперативного реагирования на выявленные действия злоумышленников реализована интеграция с почтовым сервером и телеграм-ботом, через которые рассылаются оповещения сотрудникам SOC.

MaxPatrol O2 лицензируется по количеству активов (рабочих станций, серверов и иных конечных устройств, мониторинг которых необходимо осуществлять) с учётом коннекторов для сенсоров. В базовую лицензию входят коннекторы для MaxPatrol SIEM, MaxPatrol VM, PT NAD и MaxPatrol EDR. Дополнительные (например, для PT Application Firewall и PT Sandbox) лицензируются отдельно.

Системные требования MaxPatrol O2

MaxPatrol O2 может быть установлен на операционную систему Debian или Astra Linux.

Минимальные системные требования разнятся в зависимости от числа активов в инсталляции.

Низконагруженная инсталляция (1–5 тыс. активов):

• Процессор — 12 ядер, тактовая частота не менее 2,2 ГГц.
• Объём оперативной памяти (ОЗУ) — 32 ГБ.
• Диск — 1 ТБ SSD.

Средненагруженная инсталляция (5–10 тыс. активов):

• Процессор — 24 ядра, тактовая частота не менее 2,2 ГГц.
• ОЗУ — 64 ГБ.
• Диск — 2 ТБ SSD.

Высоконагруженная инсталляция (10–50 тыс. активов):

• Процессор — 48 ядер, тактовая частота не менее 2,2 ГГц.
• ОЗУ — 128 ГБ.
• Диск — 5 ТБ SSD.

Сверхвысоконагруженная инсталляция (более 50 тыс. активов):

• Процессор — 64 ядра, тактовая частота не менее 2,2 ГГц.
• ОЗУ — 256 ГБ.
• Диск — 10 ТБ SSD.

Применение MaxPatrol O2

MaxPatrol O2 позволяет свести взаимодействие специалиста с программным обеспечением к минимуму, большая часть действий реализовывается «под капотом» (незаметно для администратора).

На первом этапе администратор вручную заводит в MaxPatrol O2 недопустимые события применительно к инфраструктуре компании. Для этого ему необходимо указать активы для отслеживания и условия, которые должны быть выполнены для того, чтобы система считала недопустимое событие реализованным.

Рисунок 6. Недопустимые события

В интерфейсе не визуализируется этап, на котором MaxPatrol O2 получает информацию от SIEM-системы и прогнозирует действия злоумышленника с учётом ранее заданных недопустимых событий. Эксперт сразу видит результат — сформированные цепочки активности (кейсы). Они отражают последовательности подозрительных действий с ресурсами в инфраструктуре.

Если бы аналитик SOC расследовал активность нарушителей в ручном режиме, то ему пришлось бы обрабатывать большое количество событий из разных источников и СЗИ, искать связи между ними, проверять гипотезы. В такой ситуации построение цепочек атак становится очень трудоёмкой задачей. В свою очередь, сформированные MaxPatrol O2 цепочки активности учитывают все события, предварительно сгруппированные и связанные между собой. Таким образом, специалист на выходе тратит намного меньше времени на анализ активности хакера в инфраструктуре.

Рисунок 7. Сбор цепочек активности в MaxPatrol O2

Затем для каждой активности MaxPatrol O2 с помощью функции динамического скоринга рассчитывает уровень потенциальной опасности. Если он превышает пороговое значение, система переводит цепочку в статус «Требует внимания» и автоматически реагирует на неё или оповещает эксперта о необходимости выбрать меры по реагированию.

Рисунок 8. Требующие внимания цепочки активности в MaxPatrol O2

MaxPatrol O2 формирует граф развития атаки с визуальным отображением атакующих, атакованных и захваченных ресурсов для каждой цепочки активности. В вершине графа находятся ресурсы (учётные записи, сетевые узлы, файлы, сессии, ключи реестра, процессы и т. д.), которые связаны между собой рёбрами, характеризующими вид активности (захват, взаимодействие, владение). Граф также позволяет узнать, из каких источников была получена информация о произошедшем событии.

Далее MaxPatrol O2 обогащает события с сенсоров, получая дополнительную информацию, которую также можно посмотреть в интерфейсе.

Кроме того, метапродукт позволяет визуализировать развитие активности в хронологическом порядке.

Рисунок 9. Граф потенциальной атаки

После изучения цепочки эксперт принимает решение о реагировании.

MaxPatrol O2 предлагает варианты действий для каждого типа ресурса, чтобы остановить хакера и вернуть под контроль захваченные ресурсы. Эксперт может как выбрать все предложенные действия и согласиться с ними, так и отказаться от некоторых из них в зависимости от ситуации, убрав выделение конкретных действий на вкладке реагирования.

В случае молниеносной атаки злоумышленника всегда есть риск, что реагирование не будет своевременно выполнено даже при оперативном её выявлении сотрудником SOC. Это происходит из-за необходимости проанализировать большой объём информации и осуществить реагирование в ручном режиме. После этого аналитику надо принять решение, как нейтрализовать атаку, и, соблюдая все внутренние регламенты компании, заблокировать её выбранным способом.

MaxPatrol O2 минимизирует интервал времени от обнаружения атаки до её остановки благодаря автоматическому сбору контекста и формированию полноценного сценария реагирования. Всё, что остаётся сделать специалисту, — это провести валидацию цепочки и запустить выбранные действия.

Рисунок 10. Реагирование на инциденты в MaxPatrol O2

После обработки цепочки активности эксперт может принять решение о том, что она не похожа на действия злоумышленника, и тогда цепочка перемещается на вкладку «Ложное срабатывание».

Рисунок 11. Ложные срабатывания в MaxPatrol O2

Выводы

MaxPatrol O2 позиционируется как автопилот в информационной безопасности, который позволяет выявлять активность как внутреннего, так и внешнего злоумышленника и самостоятельно на неё реагировать.

С 2021 года продукт работает в тестовом режиме на киберучениях Positive Technologies параллельно классическому SOC. В 2022 г. начались пилотные тестирования в реальных инфраструктурах клиентов. Помимо этого, с 2023 года MaxPatrol O2 следит за кибербитвой Standoff. Этот опыт, совмещённый с экспертизой команды пентестеров Positive Technologies и PT Expert Security Center, позволяет постоянно пополнять продукт новыми механизмами моделирования векторов атак, улучшенными алгоритмами сбора, обогащения и оценки уровня опасности цепочек активности, а также автоматизированными действиями по реагированию.

Достоинства:

• Является отечественным программным обеспечением, внесён в единый реестр российского ПО (регистрационный номер 17282).
• Позволяет автоматизировать процесс обнаружения, предотвращения и расследования компьютерных атак.
• Может быть развёрнут на отечественной операционной системе.
• Не имеет аналогов на отечественном рынке средств защиты информации.
• Имеет минималистичный интерфейс.

Недостатки:

• В случае использования MaxPatrol O2 необходимо применять и иные продукты Positive Technologies, поскольку вендор не может влиять на экспертизу ИБ-продуктов других производителей и, соответственно, гарантировать получение результата с помощью них.