Введение
Как помочь растормошить команду SOCа и заставить их бороться против настоящего, а не вымышленного злоумышленника? С чем чаще всего связана некоторая халатность в отношении процесса постинцидента и как это влияет на процесс расследования в целом?
От чего в наибольшей степени будeт зависеть этап подготовки к расследованию и само расследование? Сегодня мы рассмотрим взаимосвязь пентеста для компании и процессов Lessons Learned.
Некоторые аутсорс-SOC подмечают, что для команды blue team необходим какой-то стимул или обучение для того, чтобы аналитики были готовы к неожиданным и редким инцидентам. Потому как текучка – это знакомо, актуально практически для всех и по возможности автоматизировано и заскриптовано в плейбуках.
Проблемы обычно возникают тогда, когда или не проработана часть инфраструктуры (она и атаки на нее остаются незнакомыми), или когда команда, даже поднатаскавшись на типовых кейсах определенного направления, пасует перед настоящей задачей. Причина последнего нередко в том, что результаты учений не были грамотно использованы дальше.
В чем вообще цель работы над ошибками: в том, чтобы изменить что-то вокруг или поменять свой подход к работе?
Типовая работа коммерческого SOC
Если представить сферический SOC в вакууме, кто-нибудь скажет о том, что это стандартные услуги по отработке инцидентов, стандартные инциденты и плейбуки. Если вы хоть раз строили кому-то SOC (или делали его для себя), возможно, вы застали этот момент, когда команда внедрения смотрит и в стандарты, и в наработки по теме, чтобы с минимальными усилиями адаптировать под реалии заказчика какие-то классические кейсы. Нестандарт начинался тогда, когда специалисты вендора уже ушли, а настоящие атаки только стартовали.
За последнее время эта картина несколько изменилась – теперь есть и полноценный аудит, и best practice стали шире, теперь они могут включать в себя не такой популярный ранее антифрод, отдельным направлением стоят АСУ ТП и так далее.
Неизменно одно – по словам некоторых экспертов на том же SOC Forum, red team и blue team почему-то ничего не находят или находят какие-то вырожденные или слишком простые кейсы. От которых или нужно было защититься еще десять лет назад, или такой сценарий в принципе не может прийти никому в голову.
Кругозор обеих команд упирается в свои же наработки и не расширяется дальше. Но почему?
Есть несколько способов принести команде новую экспертизу – это учения, круглые столы и пентесты. Возможно, у вас используется что-то еще – например, вы регулярно читаете dfir-отчеты или мониторите отчеты по атакующим.
Но как быть дальше, когда все эти необходимые мероприятия проведены? Как не вернуться к исходной точке? Для этого существует целый этап в расследовании – постинцидент, и в нем нужно уметь работать грамотно.
Что такое Lessons Learned и зачем это делается?
Как проходит постинцидент? По итогам конкретных ситуаций после разбора проводятся работы над инфраструктурой и над планами реагирования, формируются планы по улучшению самого процесса реагирования и расследования. Итогом данного этапа становится оптимизация текущих процессов и улучшенная подготовка аналитиков, более систематизированный подход к дальнейшей «работе над ошибками».
Данный процесс включает в себя следующие этапы:
· Идентификация проблем и сильных сторон, сбор комментариев и рекомендаций
· Документирование всех находок
· Анализ и подготовка документации
· Формирование базы знаний
· Дальнейшее использование собранных данных
Цели постинцидента чаще всего следующие:
· Учиться на ошибках – не повторять действий, которые не принесли положительного результата
· Понять проблемы как в инфраструктуре, так и организационные
· Подчеркнуть успех текущих мер – не забывать о том, что было сделано хорошо
· Сохранение знаний в документации – само наличие базы знаний по частым проблемам и выходам из них помогает наладить процессы
· Уменьшение риска возникновения проблем в дальнейшем – скорее всего, часть рисков будет митигирована сменой подхода
· Улучшение производительности – скорость реагирования и натаскивание на решение задач
Откуда приходит контент?
Конечная цель работы SOC всегда заключается в повышении уровня защищенности, а не в периодическом закрытии метрик и отбитии пентеста время от времени. Компания и ее системы должны быть надежно защищены и постоянно контролироваться, люди должны быть подготовлены к любому сценарию атаки.
Постинцидент как раз и приводит безопасность по спирали к целевой защищенности. Существует несколько уровней зрелости постинцидентого процесса:
В зависимости от того, как часто и над сколькими инцидентами проведены Lessons Learned, меняется итоговая картина доработок для SOC-процессов. В частности, в сертификации GIAC Certified Incident Handler упоминается, что даже в случае, если в результате постинцидента какие-то проблемы и были выявлены, они редко передаются на фазу подготовки в следующем процессном цикле. Также люди могут пренебрегать внесениями изменений в документацию перед непосредственной работой, даже если какие-то результаты и были получены.
То есть процесс, который проходит где-то параллельно от ежедневной деятельности аналитики, непредсказуем, его результатами трудно воспользоваться. Часто вообще в SOC могут пренебречь этой фазой, потому что после завершения одного инцидента требуется перейти к следующему, и к следующему, и здесь нет времени на проработку своих возможных ошибок.
Отношение к процессу
· Восприятие процесса как необходимости
· По возможности облегчать заполнение форм для пользователя
· Регулярная проверка и пересмотр данных
· Использование накопленных данных в работе
Существуют целые методики того, как работать с оптимизацией в Lessons Learned, как пример рассмотрим одну из них.
Три фазы работы с LL и анализом
При такой работе с результатами инцидентов принятые меры в ходе постинцидента фиксируются, а инциденты тегируются; далее эти результаты разбиваются по группам в зависимости от типа инцидента, критичности и иных метрик. На выходе можно получить картину того, какие инциденты были дорасследованы после закрытия, какие меры имели положительный, а какие – отрицательный эффект. Также фиксируется необходимость изменения мер в каждой группе инцидентов: необходимость доработки плейбука, добавления в него новых шагов, необходимость дополнительной подготовки аналитиков.
Результатами такой обработки служат выводы – что нужно перестать или начать делать, нужны ли изменения вообще. На выходе мы собираем полноценную базу наработок с контекстом решенных и нерешенных проблем.
Откуда мы можем получить контекст? То есть тот набор инцидентов, которые позволили бы эффективно протестировать существующие плейбуки и готовность аналитиков.
Проведение пентеста, о котором может не знать SOC
Непредсказуемость пентеста без участия blue team обеспечивает по итогу более широкий кругозор для команды SOC-аналитиков. Если не пытаться в моменте что-то подстраховать и скомпенсировать, видна будет реальная картина уровня защищенности, исключается возможность предварительной договоренности и перераспределения сил, например, на веб-защиту, если атаковать планируется именно в этом направлении.
Первостепенной целью пентеста, если верить независимым исследователям, являются ошибки в бизнес-логике. Уязвимости бизнес-логики могут включать в себя ошибки в процессах, правилах и рабочих потоках, которые могут быть использованы злоумышленниками для несанкционированного доступа, манипуляции данными или нарушения работы.
Почему недостаточно классического запланированного пентеста
· «Строители инфраструктуры» делают в общей своей массе те же ошибки со временем, которые приводят к типовым уязвимостям и рискам. Это можно выявить и без пентеста
· Автопроверки внутри продукта не дадут полного покрытия, так как не рассматриваются нестандартные кейсы
· У хорошего пентеста нет такого понятия как out of scope, даже если заказчик не относится к определенной сфере, например банки или телеком, всё равно стоит попробовать на нем сценарии и из этих сфер тоже
· У пентеста и у ИБ зачастую разные цели проверки продуктов, сети, защищенности Команда защиты заинтересована в том, чтобы доказать на реальном примере результаты своей хорошей работы, и реже – в том, чтобы найти свои слабые места
Что считать мерилом успеха?
Повышение готовности к редким кейсам после пентеста – один из бонусов независимых исследований. Также результатом может стать проверка на прочность не только навыков аналитиков, но и средств защиты – мало ли, может, пришла пора их заменить?
На самом деле, получение в результате пентеста подтверждения того, что заказчик защищен не самым лучшим образом, в какой-то мере даже хорошо – лучше так, чем с реальным злоумышленником. Неожиданный пентест без договоренностей, который беспристрастно проверяет всё, что может найти, обеспечит и встряску для аналитиков, и новый контекст для постинцидента.
Именно на этап Lessons Learned после проведения проверки и стоит потратить драгоценное время, перенести новые подсвеченные риски в документацию и внедрить в этап подготовки.
Итоги
В постоянной гонке за показателями внутри SOC нередки случаи тщательной проработки тех вопросов, которые не являются актуальными для компании. Помимо того, чтобы с должной серьезностью относиться к этапу постинцидента, также требуется регулярная корректировка вектора внимания SOC-команды, с чем может помочь в том числе проведение пентеста.
Регулярное тестирование на проникновение обеспечит ситуационный центр новыми, живыми кейсами и поможет обучить текущую команду аналитиков работе с инфраструктурой того заказчика, которого они защищают.