Security Operations Center (SOC) — это центр мониторинга информационной безопасности. Функции этого структурного подразделения — оперативный мониторинг безопасности ИТ-среды, обнаружение потенциальных угроз и предотвращение кибератак.

В этой статье мы расскажем об использовании низкоуровневых механизмов, по которым работают инструменты SOC и ИТ-подразделений. Эти механизмы несложно внедрить, и они дают хорошие результаты для эффективной работы компании. В нашей практике они испытаны на большой ИТ-инфраструктуре, которая включает десятки тысяч ПК и ноутбуков, десятки тысяч серверов, тысячи единиц активного сетевого оборудования и более 1 000 диапазонов внешних IP-адресов.

Инвентаризация и бэкап — главные союзники SOC

У информационной безопасности есть два основных союзника: инвентаризация и бэкап.

С бэкапом всё понятно — резервное копирование необходимо для восстановления данных на случай их утери или повреждения.

Задачи инвентаризации состоят в обнаружении и легализации shadow IT (ПК, серверы, системы, используемые без ведома ИТ-отдела). В каждой более-менее крупной компании, несмотря на все усилия служб ИБ, есть теневые устройства, неподконтрольные политикам ИБ. Даже без учета гостевого Wi-Fi и тестовых сегментов, где наличие таких элементов допустимо.

В норме инвентаризованными должны быть все устройства, подключенные в сеть с использованием протокола IP: серверное и сетевое оборудование, ПК и ноутбуки, мобильные устройства, VDI, IoT и пр.

Суть в том, чтобы:

• обнаружить shadow IT;
• ограничить доступ к shadow IT;
• определить его функциональность и владельца;
• превратить shadow в нормальный ИТ-актив.

Какие инструменты используются для обнаружения shadow IT

Определять инородные тела в корпоративной сети можно с использованием различных низкоуровневых механизмов.

1. Ping — команда проверки, которая имеется в большинстве популярных ОС.

Можно использовать такие варианты пинга:

• ICMP ping — отличается простотой реализации, но если настройка на хосте (устройстве) не отвечает на ICMP-запросы или на файрволе заблокирован доступ, обнаружить и инвентаризировать shadow-объект не получится.
• TCP ping — команда проверки открытого порта. Хороший помощник, но если порт на хосте закрыт, потому что нет сервиса или имеются ограничения в настройках, то с помощью этой команды заметить shadow-устройство не удастся. При обнаружении открытого порта хост можно инвентаризировать.
• ARPing — проверка ответа на ARP-запросы. Плюс этого метода в том, что настройками хоста эту проверку запретить нельзя. Устройство, которое стоит в сети, даже если у него запрещено ответное ICMP-реагирование и все порты закрыты, на ARP-запрос все равно ответит. Хост появится в ARP-таблице и в соответствующем девайсе. При этом нужно понимать, что протокол ARP ограничен широковещательным доменом, то есть за пределы одной подсети этот запрос нормально не выпустишь.

2. Scan — инструмент IP-сканирования сети.

В отличие от других методик Scan дает более полную картину по хосту, а также позволяет обнаружить уязвимости и ошибки конфигураций. Среди минусов: сканирование — длительная процедура, если сравнивать с пингованием, а доступ можно ограничить настройками на хосте или файрволе. Кроме того, сканер уязвимостей — это отдельное решение с комплексным механизмом работы, которое имеется далеко не в каждой системе мониторинга и инвентаризации.

3. Log — файлы, содержащие информацию о системе либо трафике.

Для обнаружения shadow-устройств могут использоваться логи самих подключенных девайсов, если они куда-то отправляют эти файлы, либо логи активного сетевого оборудования, которое пропустило трафик с этого хоста или заблокировало его.

Картина из логов относительно полная: можно отследить, к какому сервису обращается хост, и есть ли у него черты клиентского устройства, или, наоборот, увидеть обращения к нему, что говорит о наличии серверных черт. Однако log может «подсветить» и не shadow-устройство, а, например, когда-то выпавший из домена ПК, тогда нужно просто освежить его легализацию.

4. Netflow — протокол для учета сетевого трафика.

Этот инструмент дает полную картину по сетевым взаимодействиям хоста. Кроме того, он является масштабируемым. Но для масштабирования потребуется настроить активное сетевое оборудование, чтобы оно отправляло Netflow на соответствующие коллекторы. А если это невозможно, следует сделать копию трафика, скинуть на сенсор, который вычленит Netflow и отправит на коллектор.

Масштабируемость только за счет интеграции с сетевым оборудованием можно назвать главным неудобством этого метода. Кроме того, есть еще один минус: shadow-устройства будут «светиться» только в случае сетевой активности, если хост молчит — его по Netflow не увидишь.

5. ARP — сетевой протокол для определения MAC-адреса девайса по IP-адресу.

Так как ARP нельзя скрыть настройками, хост всегда откликается на ARP-запросы, то есть этот протокол обеспечивает гарантированное обнаружение теневых устройств. Естественно, полнота картины будет не такая, как у сканирования уязвимостей, зато скорость выше. Недостаток – масштабируемость за счет интеграции с активным сетевым оборудованием за счет доступа к управляющим интерфейсам.

Обнаружили shadow IT — и что дальше?

Просто обнаружить неучтенные хосты недостаточно. Нужно:

• выстроить в компании процесс инвентаризации;
• определить легитимность использования shadow IT;
• определить функционал устройств;
• определить ответственных за их использование;
• обогатить информацию об этих устройствах для инцидентов.

То есть для проведения инвентаризации теневых устройств нужно, чтобы владельцы обнаруженных хостов предоставили информацию о них. Тогда ее можно будет использовать при расследовании инцидентов информационной безопасности.

Важно понимать, что процесс обнаружения неучтенных хостов — это еще не инвентаризация, это дискаверинг. Процесс инвентаризации шире, он как раз и предполагает сбор и краткое документирование детальной информации об обнаруженных хостах.

Когда по какой-то причине собрать информацию об устройстве невозможно (например «высветился» старый сервер, к которому быстро не найти пароль), анализируется значение хоста. Если он не выполняет никаких важных бизнес-функций, его можно отключить от сети. Если же он задействован в каких-то процессах — выполняются ограничивающие настройки либо на файрволе, либо на порту включения, которые не запрещают нормальную работу этого хоста.

Автор статьи

Андрей Дугин, руководитель коммерческого и корпоративного SOC МТС

---

Если вы хотите воспользоваться готовым решением SOC МТС, переходите по ссылке.