Operacje zabezpieczeń

  • Artykuł
  • Czas czytania: 4 min

Operacje zabezpieczeń utrzymują i przywracają zabezpieczenia systemu, gdy atakują go na żywo atakujący. Zadania operacji zabezpieczeń są dobrze opisane przez funkcje NIST Cybersecurity Framework wykrywania, reagowania i odzyskiwania.

  • Wykryć: Operacje zabezpieczeń muszą wykrywać obecność przeciwników w systemie, którzy w większości przypadków są naiwnieni do pozostania ukrytymi, ponieważ dzięki temu mogą osiągnąć swoje cele bez żadnych problemów. Przykłady obejmują reagowanie na alert o podejrzanych działaniach lub proaktywne polunie na anomalie zdarzenia w dziennikach aktywności przedsiębiorstwa.

  • Odpowiadać: Po wykryciu potencjalnego działania lub kampanii osoby atakującej operacje zabezpieczeń muszą szybko zbadać, czy jest to rzeczywisty atak (prawdziwie dodatni), czy fałszywy alarm (fałszywie dodatni), a następnie wyliczyć zakres i cel operacji osoby atakującej.

  • Odzyskać: Ostatecznym celem operacji zabezpieczeń jest zachowanie lub przywrócenie gwarancji bezpieczeństwa (poufność, integralność, dostępność) usług biznesowych podczas ataku i po jego zakończeniu.

Największe zagrożenie bezpieczeństwa, z które ma do czynienia większość organizacji, jest związane z atakami ze strony operatorów ataków ludzkich (o różnym poziomie umiejętności). Jest to spowodowane tym, że ryzyko związane z automatycznymi/powtarzalnymi atakami zostało znacznie ograniczone dla większości organizacji dzięki metodom opartym na podpisie i uczeniu maszynowym wbudowanym w ochronę przed złośliwym oprogramowaniem (chociaż istnieją znaczące wyjątki, takie jak Atakacrypt i NotPetya, które zostały przeniesione szybciej niż te systemy obrony).

Mimo że atakujący są narażeni na ataki ze względu na możliwość dostosowania (a nie logikę automatyczną/powtarzaną), działają z taką samą "szybkością ludzką" jak defenders, co pomaga wyrównać pole gry.

Operacje zabezpieczeń (czasami określane jako Security Operations Center (SOC)) odgrywają kluczową rolę w ograniczaniu czasu i uzyskiwaniu dostępu do cennych systemów i danych przez atakującego. Każda minuta, która osoba atakująca ma w środowisku, umożliwia kontynuowanie operacji ataku i uzyskiwanie dostępu do poufnych/cennych systemów.

Cel i metryki

Metryki, które mierzysz, będą mieć znaczący wpływ na zachowania i wyniki operacji zabezpieczeń. Skupienie się na odpowiednich pomiarach pomoże w ciągłym ulepszaniu odpowiednich obszarów, które znacząco zmniejszają ryzyko.

Aby upewnić się, że operacje zabezpieczeń skutecznie zawierają dostęp osób atakujących, cele powinny się skupić na

  • Skrócenie czasu na potwierdzenie alertu w celu zapewnienia, że wykryte przeciwniki nie będą ignorowane, podczas gdy defendery spędzają czas na badaniu wyników fałszywie dodatnich.

  • Skrócenie czasu na korygowanie odnalezionych osób atakujących w celu skrócenia czasu ich ataków i przeprowadzania ataków oraz docierania do poufnych systemów

  • Określanie priorytetów inwestycji w zabezpieczenia w systemach o wysokiej wartości wewnętrznej (prawdopodobne cele/duże znaczenie biznesowe) i dostęp do wielu systemów lub systemów poufnych (kont administratorów i poufnych użytkowników)

  • Skup się na proaktywnym poluowaniu na przeciwników, gdy twój program dojrzeje i reaktywne zdarzenia będzie podlegać kontroli. Skoncentruj się na skróceniu czasu, przez który wyżej wykwalifikowany przeciwnik może działać w środowisku (na przykład wystarczająco wykwalifikowany, aby uniknąć reaktywnych alertów).

Aby uzyskać więcej informacji na temat sposobu, w jaki soc firmy Microsoft korzysta z tych metryk, zobacz https://aka.ms/ITSOC.

Widok przedsiębiorstwa hybrydowego

Operacje zabezpieczeń powinny zapewnić, że ich narzędzia, procesy i zestawy umiejętności analityka zapewniają wgląd w pełny zakres ich zasobów hybrydowych.

Osoby atakujące nie ograniczają swoich akcji do określonego środowiska podczas kierowania do organizacji. Atakują zasoby na dowolną platformę przy użyciu dowolnej dostępnej metody. Enterprise organizacje, które przyjmują usługi w chmurze, takie jak Azure i AWS, efektywnie działają hybrydowo z zasobami w chmurze i zasobami lokalnymi.

Narzędzia i procesy operacji zabezpieczeń powinny być przeznaczone do ataków na zasoby w chmurze i lokalne, a także dla osób atakujących, które przesuną się między zasobami w chmurze i lokalnymi przy użyciu tożsamości lub w inny sposób. Ten widok dla całego przedsiębiorstwa umożliwi zespołom ds. operacji zabezpieczeń szybkie wykrywanie, reagowanie i odzyskiwanie po atakach, co zmniejsza ryzyko organizacyjne.

Stosowanie natywnych wykrywania i kontrolek

Jeśli to możliwe, użyj funkcji wykrywania zabezpieczeń i kontrolek wbudowanych w platformę w chmurze przed utworzeniem wykrywania niestandardowego przy użyciu dzienników zdarzeń z chmury.

Platformy w chmurze szybko ewoluują wraz z nowymi funkcjami, które mogą utrudnić utrzymanie wykrywania. Natywne mechanizmy kontroli są utrzymywane przez dostawcę usług w chmurze i zazwyczaj są wysokiej jakości (niski wskaźnik wyników fałszywie dodatnich).

Ponieważ wiele organizacji może używać wielu platform w chmurze i potrzebować ujednoliconego widoku w całym przedsiębiorstwie, należy upewnić się, że te natywne mechanizmy wykrywania i kontroli są źródłami scentralizowanego rozwiązania SIEM lub innego narzędzia. Nie zalecamy próby zastąpienia uogólnionych narzędzi i zapytań analizy dzienników zamiast natywnych wykrywania i kontrolek. Te narzędzia mogą oferować wiele wartości dla proaktywnych działań w zakresie poluowania, ale uzyskanie wysokiej jakości alertu za pomocą tych narzędzi wymaga zastosowania głębokiej wiedzy i czasu, które można lepiej poświęcić na łowy i inne działania.

Aby uzupełnić szeroką widoczność scentralizowanego rozwiązania SIEM (takiego jak Microsoft Sentinel, Splunk lub QRadar), należy użyć natywnych wykrywania i kontrolek w następujący sposób:

  • Organizacje korzystające z platformy Azure powinny używać Microsoft Defender dla Chmury generowania alertów na platformie Azure.

  • Organizacje powinny używać natywnych funkcji rejestrowania, takich Azure Monitor i AWS CloudTrail, aby ściągać dzienniki do widoku centralnego.

  • Organizacje korzystające z platformy Azure powinny korzystać z funkcji sieciowej grupy zabezpieczeń w celu wglądu w działania sieciowe na platformie Azure.

  • Praktyki badania powinny używać natywnych narzędzi z głęboką wiedzą na temat typu zasobu, takich jak rozwiązanie do wykrywania i reagowania punktów końcowych (EDR), narzędzia tożsamości i usługa Microsoft Sentinel.

Określanie priorytetów integracji alertów i dzienników

Upewnij się, że integrujesz krytyczne alerty zabezpieczeń i logujesz się do rozwiązania SIEM bez wprowadzania dużej ilości danych o niskiej wartości.

Wprowadzenie zbyt dużej liczby danych o niskiej wartości może zwiększyć koszt rozwiązania SIEM, zwiększyć szum i wyniki fałszywie dodatnie oraz obniżyć wydajność.

Zbierane dane powinny koncentrować się na wspieraniu co najmniej jednego z tych działań operacyjnych:

  • Alerty (wykrycia z istniejących narzędzi lub danych wymaganych do generowania alertów niestandardowych)

  • Badanie zdarzenia (na przykład wymagane dla typowych zapytań)

  • Proaktywne działania związane z wykrywaniem

Zintegrowanie większej liczby danych może umożliwić wzbogacanie alertów o więcej kontekstu, który umożliwia szybkie reagowanie i korygowanie (filtrowanie wyników fałszywie dodatnich, podniesienie wyników prawdziwie dodatnich itp.), ale zbieranie danych nie jest wykrywane. Jeśli nie masz uzasadnionego oczekiwania, że dane będą zapewniać wartość (na przykład duża liczba odmówi zdarzeń przez zaporę), możesz przestać integrować te zdarzenia.