Passus S.A. w prestiżowym zestawieniu Diamentów Forbesa. Zobacz szczegóły >>

09.12.2024

7 minutes

Wdrożenie rozwiązania Sycope w firmie Veolia

Klient

Grupa Veolia działa w Polsce od 25 lat i jest sprawdzonym partnerem dla miast i przemysłu. Jest jednym z czołowych dostawców usług w zakresie zarządzania energią, gospodarki wodno-ściekowej i odpadowej. Oferuje szereg innowacyjnych usług dostosowanych do potrzeb klientów i, co istotne w tej branży, zgodnych z Celami Zrównoważonego Rozwoju przyjętymi przez ONZ. Zatrudnia w Polsce około 4600 pracowników.  

Grupa Veolia w Polsce prowadzi działalność na terenie 123 miejscowości, w 58 miejscowościach zarządza sieciami ciepłowniczymi. Działa poprzez spółki operacyjne: Veolia Energia Polska (holding), Veolia Energia Warszawa, Veolia Energia Łódź, Veolia Energia Poznań, Veolia term, Veolia Industry Polska, Veolia Energy Contracting Polska, Przedsiębiorstwo Wodociągów i Kanalizacji w Tarnowskich Górach oraz ich spółki zależne w tym Veolia Centrum Usług Wspólnych Sp. z o.o., oferującą m.in. obsługę i wsparcie IT dla wszystkich spółek Grupy. 

Veolia Polska jest częścią holdingu Veolia notowanego na giełdzie w Paryżu, zatrudniającego łącznie około 220 000 pracowników na całym świecie, którzy tworzą i wdrażają rozwiązania w zakresie energetyki, gospodarki wodno-ściekowej oraz gospodarki odpadami. W 2021 roku Grupa Veolia dostarczyła wodę pitną 79 milionom ludzi, obsłużyła 61 mln osób w zakresie usług ściekowych, wyprodukowała prawie 48 milionów MWh energii i przetworzyła 48 mln ton odpadów. 

Oczekiwania Klienta

Dział IT Centrum Usług Wspólnych odpowiada za utrzymanie infrastruktury teleinformatycznej i łączności we wszystkich 87 lokalizacjach Veolia Polska. Infrastruktura sieciowa firmy jest zróżnicowana – do jej budowy wykorzystano urządzenia między innymi Cisco Meraki, Cisco oraz CheckPoint. Wiele usług, w tym m.in.: eBOK udostępnionych jest za pośrednictwem internetu  

 Aby zapewnić dostępność i wydajność aplikacji niezbędne stało się wykorzystanie wydajnego rozwiązania do monitorowania połączeń i pracy urządzeń sieciowych. Wykorzystanie oprogramowania dostarczanego przez poszczególnych producentów wymagało jednoczesnej pracy na kilku konsolach i utrudniało reagowanie na incydenty pojawiające się na styku technologii.  

Dział IT Veolia Polska szukał rozwiązania do monitorowania obciążenia różnych typów urządzeń sieciowych (routery, firewalle, przełączniki) dostarczanych przez różnych producentów.  Istotną jego cechą powinna być zdolność do gromadzenia danych niezbędnych do przyspieszenia napraw i optymalizacji sieci. Nowo wdrożone oprogramowanie miało też umożliwić monitorowania rzeczywistego ruchu w sieci i ocenę jego zgodności z matrycą połączeń zaakceptowaną przez dział bezpieczeństwa IT. 

Ważnym kryterium branym pod uwagę podczas wyboru rozwiązania była też jego elastyczność i możliwość samodzielnego dostosowania dashboardów analitycznych, tak, by zapewniały szybki dostęp do niezbędnych informacji.  

Ponadto dział IT, pod kierownictwem pana Macieja Oziembło, zdefiniował dodatkowe kryteria dla nowego systemu monitorowania infrastruktury IT:   

  •  Analiza obciążenia urządzeń sieciowych i wykrywanie tzw. wąskich gardeł oraz segmentów sieci odpowiadających za spadek jakości transmisji,  
  • Identyfikacja przyczyn powolnego działania aplikacji.  
  • Analiza stopnia wysycenia łączy w danych okresach (datach, godzinach).  
  • Łatwość konfigurowania i obsługi – z racji wielu obowiązków, pracownicy działu IT mogą w ograniczonym stopniu zaangażować się  we wdrożenie i naukę nowego systemu.  
  • Współpraca z systemem SIEM – nowo wdrożone rozwiązanie musi być wyposażone w mechanizmy umożliwiające integrację z IBM QRadar. 
  • Wykrywanie i analiza potencjalnych ataków typu DDoS  

Wdrożenie – przebieg prac

Po analizie dostępnych na rynku rozwiązań, podjęto decyzję o weryfikacji systemu Sycope w środowisku produkcyjnym Veolii. Ostatecznie po 3 miesięcznych testach w trakcie których przygotowano prototypy dashboardów, dokonano parametryzacji reguł bezpieczeństwa oraz potwierdzono możliwość integracji z aplikacją QRadar, Klient zdecydował się na zakup dwóch modułów wchodzących w skład  systemu Sycope. Pierwszym był moduł Visibility, który odpowiada za monitorowanie obciążenia urządzeń sieciowych oraz ruchu pomiędzy urządzeniami w sieci. Drugim modułem był moduł Security, który analizuje ruch sieciowy wykrywając zagrożenia, anomalie bezpieczeństwa oraz niepożądaną komunikacją wykorzystując w tym celu zarówno zaawansowane reguły bezpieczeństwa jak i stale aktualizowane zewnętrzne białe i czarne listy oraz sygnatury zagrożeń.   
 
Wdrożenie miało miejsce w grudniu 2022 roku i obejmowało: 

  • instalację maszyny wirtualnej w środowisku Klienta,  
  • instalację licencji,  
  • wstępną konfigurację systemu, która obejmowała m.in. adresację sieciową, integrację z Active Directory do wykorzystania przy logowaniu użytkowników oraz integrację z systemem SIEM,  
  • konfigurację dedykowanych dashboardów, służących m.in. do monitorowania stanu urządzeń sieciowych oraz weryfikacji ruchu sieciowego z matrycą zgodności opracowaną przez dział bezpieczeństwa IT.  
  • stworzenie mechanizmu do eksportowania logów audytowych do systemu SIEM umożliwiających monitorowanie dostępu do Systemu Sycope 
     

Instalacja i konfiguracja Systemu Sycope w infrastrukturze Klienta zajęła jeden dzień, a stworzenie predefiniowanych dashboardów jedynie 7 dni. Równolegle opracowano skrypt, który odpowiadał za gromadzenie logów rejestrujących dostępy poszczególnych osób do Systemu Sycope, a następnie ich wysyłkę za pośrednictwem protokołu Syslog do rozwiązania SIEM.  

Po wdrożeniu – podsumowanie

Dzięki informacjom zawartym we flowach sieciowych dział IT otrzymuje szczegółowe informacje o ruchu generowanym przez użytkowników, komunikacji między serwerami oraz wykorzystanych w organizacji urządzeniach i aplikacjach. Dzięki temu może szybko podejmować decyzje dotyczące alokacji zasobów i działań zabezpieczających przed nieplanowanymi przestojami związanymi z awariami infrastruktury IT, a także wykrywać incydenty bezpieczeństwa.  
 
Szybki dostęp do najważniejszych z punktu widzenia Klienta informacji zapewniają, przygotowane przez inżynierów Passus dashboardy. Prezentują one komunikację między poszczególnymi urządzeniami z możliwością filtrowania portów, pozwalają na budowanie tabel ruchu, weryfikuję i wizualizują obciążenia konkretnych urządzeń i portów oraz wyliczają procentowe obciążenie poszczególnych interfejsów. 
 
Istotną korzyścią z wdrożenia jest lepsza widoczność anomalii sieciowych i zagrożeń bezpieczeństwa z poziomu całej organizacji. System Sycope stał się istotnym źródłem informacji dla oprogramowania SIEM firmy IBM, które koreluje logi z różnych źródeł.  Z racji tego, że monitorowane są flowy sieciowe ze wszystkich istotnych urządzeń organizacji, widać wszystkie komunikacje sieciowe. Obecnie w celu wysłania alertów bezpieczeństwa z systemu Sycope do SIEM wystarczy podać w konfiguracji adres IP oraz port serwera Syslog. Analiza flowów sieciowych odbywa się w rozwiązaniu Sycope, a nie bezpośrednio w silniku analitycznym systemu SIEM. Przynosi to  wymierne korzyści finansowe eliminując koszty licencji SIEM niezbędnych do analizowania miliardów flowów sieciowych dziennie.  
 
„Szukaliśmy rozwiązania, które umożliwiłoby monitoring całej sieci, będąc również źródłem danych dla systemu SIEM, który posiadamy. System Sycope doskonale wpisał się w nasze potrzeby pozwalając ponadto  zoptymalizować koszty działania obecnego SIEM-a.” 
Maciej Oziembło, Kierownik Obszaru Data Center 

09.12.2024

7 minutes

Wdrożenie rozwiązania Splunk w firmie BEST S.A.

Klient

BEST S.A. należy do grona liderów w branży windykacyjnej w Polsce. Firma zarządza dużymi portfelami wierzytelności nieregularnych, rozwiązując problem braku terminowych rozliczeń pomiędzy stronami umów i przywracając równowagę w obiegu gospodarczym. 
Spółka istnieje na rynku od 1994 roku, a od 1997 roku jej akcje notowane są na GPW w Warszawie. 
Siedziba firmy znajduje się w Gdyni, w Elblągu usytuowane jest  Centrum Usługowe BEST S.A. 

BEST SA jako spółka wiodąca w grupie kapitałowej BEST jest odpowiedzialna za środowisko informatyczne oraz zapewnienie bezpieczeństwa informacji i IT we wszystkich spółkach z grupy. 

Oczekiwania Klienta

Ataki cyberprzestępców są kierowane na firmy i instytucje wielu branż. Firmy z sektora finansowego, ze względu na specyfikę prowadzonej działalności i poufność przechowywanych i przesyłanych informacji są szczególnie „atrakcyjnym” celem. Ujawnienie tych informacji może mieć bardzo negatywne skutki – zarówno dla firmy, jak i jej klientów. Analogicznie jak w innych instytucjach, nie tylko z sektora finansowego, utrata danych, np. wskutek ataku ransomware może wiązać się z przerwaniem ciągłości funkcjonowania grupy kapitałowej i brakiem możliwości kontaktu z klientami. 

 Niezależny od pionu IT Dział Bezpieczeństwa Informacji w BEST S.A. jest świadomy aktualnych zagrożeń i stale aktualizuje wiedzę zarówno z zakresu najnowszych ataków, jak i dostępnych na rynku rozwiązań zapewniających skuteczną ochronę. 

Firma stosuje wiele rozwiązań podnoszących bezpieczeństwo organizacji takich jak Next Generation Firewall, system klasy EDR (Endpoint Detection and Response), system do ochrony przed wyciekiem danych (DLP), skanery podatności, czy system kontroli dostępu do sieci (NAC).  

Firma od kilku lat korzystała z rozwiązań klasy SIEM, ale zaistniała  potrzeba wdrożenia  nowego rozwiązania, które   umożliwiałoby bardziej intuicyjne budowanie scenariuszy incydentów i reguł korelacyjnych, przyspieszyłoby analizę zdarzeń mogących stanowić naruszenie bezpieczeństwa  
i pomogło szybciej reagować na wykryte odstępstwa od przyjętej polityki bezpieczeństwa  

W tym celu  Dział Bezpieczeństwa Informacji w firmie BEST S.A. zdecydował o potrzebie wdrożenia nowego systemu klasy SIEM, który w szczególności spełni następujące funkcje: 

  • umożliwi podłączenie źródeł danych ze wszystkich systemów używanych w GK BEST, 
  • będzie posiadać czytelny, intuicyjny interface, możliwość tworzenia dedykowanych dashboard-ów oraz łatwy język budowania korelacji, 
  • będzie monitorować zdarzenia zachodzące w sieci wewnętrznej i próby przełamania zabezpieczeń,  
  • umożliwi zbudowanie powtarzalnych i skutecznych scenariuszy działań reakcji na zdarzenia wskazujące na incydent bezpieczeństwa informacji, w tym w oparciu o tabelę ATT@CK MITRE,  
  • zabezpieczy materiał dowodowy w przypadku naruszeń bezpieczeństwa, 
  • umożliwi generowanie przejrzystych i czytelnych raportów biznesowych dla kierownictwa i Zarządu firmy, 
  • będzie charakteryzował się wysoką skalowalnością.  

Rozwiązanie

Za realizację projektu odpowiedzialni byli pracownicy Działu Bezpieczeństwa Informacji, przy wsparciu pracowników Pionu IT, którzy również są odbiorcami docelowego rozwiązania.. Początkowo brano pod uwagę 7 rozwiązań różnych producentów. Po wstępnej selekcji przeprowadzono testy typu PoC (proof of concept) kilku z nich. Ostatecznie zdecydowano o wyborze rozwiązania firmy Splunk, jednego ze światowych liderów, jeśli chodzi o rozwiązania do analizy dużych zbiorów danych. Podejmując decyzję zwrócono uwagę na kilka elementów wyróżniających Splunk wśród konkurentów:  
– łatwość w budowaniu zapytań – intuicyjny język SPL (Splunk Processing Language) pozwala przygotować i zapisać dowolne zapytania w zbiorach Big Data, zasilanych przez infrastrukturę IT, 
– korelacja zdarzeń ze wszystkich źródeł logów, tj. systemów wykorzystywanych w BEST S.A. – Splunk umożliwia rejestrowanie danych pochodzących zarówno z systemów zabezpieczeń (firewall, IDS, antywirusy) jak i z urządzeń sieciowych, baz danych, systemów operacyjnych w jednym miejscu i ich analizę za pomocą jednego UI, 
– intuicyjny interfejs – podejście drill-down zapewnia  łatwy dostęp do szczegółowych informacji o zdarzeniu bezpośrednio z poziomu wykresu lub tabeli z możliwością tworzenia indywidualnych dashboardów, 
– szerokie „community” ułatwiające rozwój systemu oraz powszechność stosowania rozwiązania, która daje gwarancję rozwoju produktu przez kolejne kilka lat. 
– wzbogacenie wyników wyszukiwania o informacje z framework ATT@CK MITRE, dzięki czemu analityk otrzymuje dodatkowe informacje o incydencie i jego impakcie na organizację 

Wdrożenie

Pierwszym krokiem było wdrożenie platformy Splunk Enterprise w celu gromadzenia i indeksowania logów oraz innych danych z dowolnego źródła sieciowego, umożliwiając pracownikom wyszukiwanie  
i korelowanie tych informacji oraz wyświetlanie wyników na pulpitach nawigacyjnych. 
Następnie inżynierowie Passus wdrożyli Splunk Enterprise Security (Splunk ES), rozwiązanie bezpieczeństwa klasy premium, które rozszerzyło platformę Splunk, ułatwiając zespołom ds. bezpieczeństwa szybkie wykrywanie i reagowanie na wewnętrzne i zewnętrzne ataki oraz uprościło zarządzanie zagrożeniami. Splunk ES zapewnił wygodny i czytelny dostęp do informacji o  stanie bezpieczeństwa organizacji, dostarczając kompleksowy zestaw gotowych dashboardów, raportów 
  i wskaźników, które pozwalają szybko reagować na zagrożenia. 
 
Dodatkowo biorąc pod uwagę potrzeby Klienta inżynierowie Passus przygotowali dodatkową dedykowaną aplikację agregującą logi z systemów nieobsługiwanych przez Splunk np. ze skanera podatności.  

Architektura rozwiązania Splunk: 

  • w dwóch lokalizacjach – Gdyni oraz Elblągu zainstalowano serwery Heavy Forwarders, odpowiadające za zbieranie danych z poszczególnych systemów. Forwarder zbiera dane, a następnie przekazuje do Indexera.  
  • Indexer odpowiada za przechowywanie i indeksację danych, dzieli je na kilka logicznych magazynów danych. 
  • Search Heady pomagają w przesyłaniu wyszukiwań do różnych Indexerów. Zarządzają funkcjami wyszukiwania dostarczając użytkownikowi wyniki zapytania. 

Po wdrożeniu – podsumowanie

Dzięki wdrożeniu Splunk Enterprise i Splunk ES, firma BEST S.A . jest w stanie agregować i korelować w jednym miejscu dane pochodzące z wielu systemów bezpieczeństwa. Firma posiada rozwiązanie do obsługi terabajtów danych i szybkiej obsługi alertów zgłaszanych przez systemy. Możliwość natychmiastowego zidentyfikowania problemu, a co za tym idzie szybkiego zaadresowania   i rozwiązania w krótkim czasie od wykrycia  nie tylko oszczędza mnóstwo  i czasu pracy pracowników IT i działu bezpieczeństwa, ale również może pozwolić uchronić organizację przed poważnymi konsekwencjami incydentu, który nie zostałby w porę wykryty.  W ramach wdrożenia przygotowano specjalne dashboardy prezentujące informacje istotne z punktu widzenia Zarządu,  przedstawiające w przejrzysty sposób aktualną sytuację w obszarze cyberbezpieczeństwa oraz dające możliwość analizy efektywności pracy i obciążenia działu bezpieczeństwa w ujęciu historycznym (np. z uwzględnieniem ilości ataków w miesiącach ). 

Dla Działu Bezpieczeństwa firmy BEST S.A. istotnym aspektem był krótki czas instalacji i uruchomienia rozwiązania Splunk, który można liczyć w dniach, a nie miesiącach. 

W kolejnym etapie firma planuje wdrożenie systemu SOAR (Splunk Phantom), które pozwali na automatyzację procesów związanych z zarządzaniem bezpieczeństwem i w związku z tym jeszcze efektywniejsze wykorzystanie zasobów działu bezpieczeństwa informacji w firmie BEST S. A

14.11.2024

5 minutes

ATT&CK Mitre jako skuteczna metodyka obrony przed cyberzagrożeniami

Link-icon
linkedin-icon
twitter-icon
facebook-icon

Czym jest framework Att&ck MITRE i jak zastosować tą metodykę do podniesienia poziomu bezpieczeństwa w organizacjach.

Zagrożenia cyberbezpieczeństwa wymagają coraz większych umiejętności i sprawności operacyjnych przez zespoły reagujące na incydenty bezpieczeństwa. Jednym z ważnych aspektów dotyczących detekcji zagrożeń bezpieczeństwa jest kompleksowa wiedza o taktykach, technikach i procedurach (TTPs) stosowanych przez cyberprzestępców. Już starożytni filozofie, jak Sun Tzu, wiedzieli, że kluczem do zwycięskiej wojny jest umiejętność rozróżniania strategii i technik prowadzenia wojny. W Piramidzie Bianco, która prezentuje zależności pomiędzy różnymi wskaźnikami IOC, na samym szczycie znajdują się właśnie TTPs. A im wyżej w tej piramidzie, tym wyższe koszty muszą ponosić cyberprzestępcy. Dążeniem każdego SOC jest osiągnięcie szczytu tej piramidy, a więc sytuacji kiedy Blue Team jest w stanie obserowować aktywności adwersarzy. W osiągnięciu takiego poziomu dojrzałości bezpieczeństwa organizacji nieocenioną pomocą jest baza wiedzy o zagrożeniach ATT&CK MITRE.

Czym jest ATT&CK MITRE?

Metodyka ATT&CK MITRE (Adversarial Tactics, Techniques and Common Knowledge) jest zbiorem wiedzy o modelach zachowań cyberprzestępców, które zostały pogrupowane w postaci matrycy taktyk i technik. Ów framework przydatny jest do zrozumienia ryzyka związanego z bezpieczeństwem organizacji, środków stosowanych przez cyberprzestępców oraz do planowania ulepszeń i weryfikacji czy mechanizmy obronne działają zgodnie z naszym oczekiwaniem. Baza wiedzy o zagrożeniach MITRE powstała głównie w celu poprawienia zdolności wykrywania zagrożeń bezpieczeństwa, a tym samym znalezieniu luk w systemach obronnych organizacji. Myślą przewodnią tej organizacji było stworzenia przewodnika, który pozwoli wykrywać zaawansowane ataki APT szybciej niż to się dzieje obecnie. Czas potrzebny na wykrycie ataku celowanego mierzony jest w miesiącach, a średnio czas do rozpoznania wroga w organizacji szacowany jest na pięć miesięcy. Jest to dużo czasu aby atakujący poznał zaatakowaną firmę na wylot, a nawet wszedł w nielegalne posiadanie wrażliwych informacji mogących mieć przełożenie na dalsze losy organizacji. Trzeba pamiętać, że nawet jeśli organizacja ma perfekcyjny program patchowania luk bezpieczeństwa cy też program zgodności z regulacjami, to atakujący i tak może być górą dzięki wykorzystaniu exploitów dnia zerowego lub metod socjotechniki.

Taktyki, techniki…

Ponad dwieście technik ATT&CK MITRE zostało podzielonych na dwanaście grup, tzw taktyk. Rozbicie poszczególnych faz ataków tak skruplatnie daje szeroki pogląd na techniki i możliwości atakujących, których chcielibyśmy wykrywać jak najszybciej i jak najbardziej precyzjnie (bez tzw. szumu związanego z False Positives). Cybeprzestępca przeprowadzając zaawansowany atak, potrąca postawiona przez nas czerwona flagi. Tymi flagami są mechanizmy detekcji i mitygacji zagrożeń zaimplementowanych w systemach bezpieczeństwa organizacji.

Baza zagrożeń MITRE to nie tylko tabela taktyk i technik, ale również szereg wskazówek dot. wymaganych źródeł danych potrzebnych do wykrycia podejrzanych aktywności, a także liczne przykłady rzeczywistych ataków w odniesieniu do określonych grup przestępczych.

Monitorowanie

W celu wykrywania zaawansowanych ataków na podstawie zachowań cyberprzestępców, organizacja MITRE rekomenduje analizowanie podejrzanych aktywności bazując na monitorowaniu stacji roboczych, a więc zaawansowanym monitorowaniu logów z systemów operacyjnych (w tym Sysmon), logów sieciowych (w tym Netflow), logów z firewalli, aplikacji, systemów uwierzytelnień, komponentów węzłów chmurowych, DNS-u, PowerShell-a oraz wielu innych źródeł danych. Czerpiąc z tej skarbnicy wiedzy o zagrożeniach, twórcy systemu FlowControl postanowili ją wdrożyć we własnym produkcie do monitorowania flowów sieciowych. System FlowControl oprócz wykrywania ataków DDoS, wykrywa wiele typów zagrożeń bezpieczeństwa i anomalii sieciowych m.in. z takich obszarów jak: Initial Access, Credential Access, Discovery, C2, Lateral Movement, Exfiltration, czy Impact.

Podsumowanie

Zastosowanie ATT&CK MITRE ułatwia organizacjom uszczelnianie poziomu bezpieczeństwa, dzięki bardzo skrupulatnym umieszczeniu pułapek na atakujących np. w postaci reguł korelacyjnych w SIEM czy też w innych systemach bezpieczeństwa. W związku z ogromem pracy związanej z pokryciem wszystkich technik, zachęcam aby to robić etapami, tak aby mniej doświadczeni specjaliści mieli odpowiednią ilość czasu na zapoznanie się
z tą metodyką i zbyt szybko się nie zniechęcili. Z drugiej strony poprzez taką naukę, „bezpiecznicy” poprawiają efektywność narzędzi do wykrywania i analizowania zagrożeń bezpieczeństwa.

Moim zdaniem każda osoba zajmująca się bezpieczeństwem IT powinna być zaznajomiona z tym frameworkiem, więc jeśli tego jeszcze nie zrobiłeś to zacznij się zaprzyjaźniać z ATT&CK MITRE (https://attack.mitre.org).

Link-icon
linkedin-icon
twitter-icon
facebook-icon

11.01.2022

7 minutes

Monitorowanie flowów sieciowych – cenne źródło danych dla systemów SIEM

O tym dlaczego warto zasilać popularne SIEM-y danymi z protokołu NetFlow
i jego pochodnych.

SIEM jest centralnym systemem bezpieczeństwa dla większości organizacji…
Głównym systemem analitycznym do wykrywania i analizy zagrożeń bezpieczeństwa w organizacji jest system klasy SIEM. W systemie tym korelowane są logi z wielu źródeł danych, takich jak systemy operacyjne, bazy danych, urządzenia sieciowe, aplikacje czy też systemy bezpieczeństwa, w celu wykrywania potencjalnych zagrożeń i nadużyć bezpieczeństwa. Widoczność zagrożeń w tym systemie uzależniona jest nie tylko od jakości logów monitorowanych źródeł danych, ale i od zaimplementowanych korelacji. Korelacja to nic innego jak sekwencja określonych zdarzeń, które wskazują na wystąpienie określonej nieprawidłowości bezpieczeństwa. Kolekcjonując więc wiele źródeł danych w jednym miejscu, nie można zapominać o projektowaniu korelacji międzysystemowych, a więc korelacjach pomiędzy logami pochodzącymi z różnych systemów, których łączy jedna lub więcej wspólnych cech, np. adres IP.

Rysunek 1: Mechanizm działania SIEM


Monitorowanie flowów sieciowych jest ważnym punktem w projektowaniu defensywy organizacji…
Z jednym istotnych źródeł danych nie tylko dla zespołów NOC/SOC są systemy klasy Network Visibility, do której należy m.in. system Sycope. Główną zaletą tego systemu jest poprawa widoczności anomalii sieciowych i zagrożeń bezpieczeństwa z poziomu całej organizacji, z racji tego, że monitorowane są flowy sieciowe z wszystkich istotnych urządzeń sieciowych organizacji, a więc widać wszystkie komunikacje sieciowe. Tylko na podstawie samych flowów sieciowych wg framework’u MITRE ATT&CK, o którym pisaliśmy w tym artykule można wykryć ponad 30 technik stosowanych przez cyberprzestępców. Na podstawie kategoryzacji MITRE, w systemie Sycope zostały stworzone mechanizmy detekcji zagrożeń bezpieczeństwa wykrywające na chwilę obecną zagrożenia z siedmiu taktyk MITRE.

 
 Taktyka ATT&CK MITRE           		 Przykłady wykrywanych zagrożeń przez Sycope
 Initial Access Wykrywanie niedozwolonych aktywności sieci P2P
 Credential Access Wykrywanie ataków typu brute force na różne usługi, np. HTTP(s), FTP, IMAP, SSH, RDP, LDAPS, MS SQL 
 Wykrywanie nieautoryzowanych komunikacji LLMNR/NetBIOS
 Discovery     Wykrywanie anomalii sieciowych mogących mieć związek z bezpieczeństwem
 Wykrywanie nieautoryzowanego dostępu do określonych usług, np. Internet, DHCP, DNS, Mail Server
 Wykrywanie skanowania sieci
 Wykrywanie skanowania portów
 Wykrywanie rozprzestrzeniania się złośliwego oprogramowania
 Lateral Movement Wykrywanie nieautoryzowanych połączeń RDP
 Command and Control    Wykrywanie aktywności na podejrzanych portach (w oparciu o Black i White-listy)
 Wykrywanie nieszyfrowanych połączeń do krytycznych serwerów/usług
 Wykrywanie komunikacji z podejrzanymi adresami IP, np. Botnet, Malware, C2, Ransomware
 Wykrywanie naruszeń polityk bezpieczeństwa, np. TOR, Open DNS, Open Proxy
 Exfiltration     Wykrywanie anomalii dot. protokołu DNS, np. Abnormal DNS Query Limit, Abnormal DNS Response Limit,   DNS Transfer Limit
 Wykrywanie dużej liczby niechcianych maili (SPAM)
 Wykrywanie prób eksfiltracji danych
 Wykrywanie transferów ogromnej ilości danych w krótkim przedziale czasu do/z organizacji
 Wykrywanie anomalii w protokołach sieciowych
 Impact  Wykrywanie ataków DoS, np. ICMP Flood, TCP Flood, UDP Flood
 Wykrywanie ataków amplifikacyjnych DDoS, np. DNS Amplification

 Korelacje międzysystemowe…

W związku z tym, że systemy klasy Network Visibility analizują ruch pochodzący z flowów sieciowych, pojedyncze alarmy z takiego systemu mogą nie być wystarczająco precyzyjne, aby zespół bezpieczeństwa podejmował się obsługi każdego pojedynczego alertu. Oprócz tego, tak jak w każdym systemie do wykrywania anomalii, niepoprawnie stuningowane reguły bezpieczeństwa mogą generować zbyt wiele False Positives, co de facto po pewnym czasie może prowadzić do ignorowania alertów z takich systemów przez zespół SOC. Z kolei „przekręcenie śrubki” w drugą stronę, gdzie systemy bezpieczeństwa wykrywają tylko oczywiste przypadki, może doprowadzić do tego, że zostaną przeoczone prawdziwe alarmy. Jaki jest więc złoty środek?
Jednym z rozwiązań tego problemu może być projektowania w SIEM korelacji międzysystemowych, które będą zwiększały krytyczność, a tam samym priorytety obsługi potencjalnych incydentów bezpieczeństwa. A zatem krytyczność pojedynczego alertu z systemu Sycope powinna być inna niż cross-korelacja tego alertu z alertami wygenerowanymi przez inne systemy w kontekście określonego atrybutu. Na przykład pojedyńczy alert o nazwie „Brute Force Attack:WS-Management and PowerShell remoting via HTTP” powinien mieć inny priorytet obsługi niż ten sam alert powiązany dodatkowo z sekwencją zdarzeń podejrzanych aktywności wykrytych za pomocą monitorowania Sysmon. Występowanie wielu niepożądanych aktywności w określonym przedziale czasu, często świadczy o tym, że atakujący potrącił kilka „pachołków”, które rozstawiliśmy w różnych miejscach naszej organizacji aby wykrywać niepożądane aktywności, aby zwiększyć prawdopodobieństwo wykrycia rzeczywistego naruszenia procedur bezpieczeństwa organizacji. Tymi pachołkami są dla nas mechanizmy detekcji zagrożeń, które powinny być połączone z procedurami obsługi incydentów bezpieczeństwa.

Przykładowe korelacje międzysystemowe

Use CaseSycopeQRadarWartość dodana korelacji międzysystemowych
 Wykrycie   podejrzanej   aktywności WinRM• Wykrycie aktywności na podejrzanym   porcie (5985) w danym segmencie   sieci
• Wykrycie ataku brute force na porcie   5985
• Wykrycie anomalii sieciowych		Na podstawie logów Sysmon:
• Wykrycie uruchomiania podejrzanych   aplikacji (Systools)
• Wykrycie uruchamiania aplikacji z katalogów   tymczasowych		• Szybsze wykrycie prawdziwych incydentów bezpieczeństwa
• Możliwość nadania wyższego priorytetu korelacjom międzysystemowym
• Możliwość wykrycia ataku w czasie jego trwania
• Ograniczenie liczby False Positives
 Wykrycie ataku   DDoS na sewerze   webowym • Wykrycie ataku DDoS na podstawie   mechanizmów detekcji systemu   FlowControl Na podstawie logów Apache:
• Wykrycie ataku na podstawie ogromnej   liczby kodów odpowiedzi 4xx w krótkim   przedziale czasu
 Wykrycie anomalii w   protokole DNS• Wykrycie anomalii w protokole DNS
• Wykrywanie nieautoryzowanych     serwerów DNS
• Wykrywanie tzw. Open DNS		 Na podstawie logów DNS:
• Wykrycie długich żądań DNS
• Wykrycie wielu żądań TXT z tego samego   adresu IP
• Wykrycie wielu żądań NXDOMAIN

Rysunek 2: Przykład reguły międzysystemowej w systemie QRadar SIEM

Podsumowanie
Korelacje międzysystemowe zwiększają skuteczność wykrywania zagrożeń poprzez generowanie mniejszej liczby False Positives. Systemy klasy Network Visibility są cennym źródeł informacji dla analityków zajmujących się obsługą incydentów bezpieczeństwa, czy też Threat Huntingiem, a także dla systemów klasy SIEM, które korelują logi z różnych systemów. Aby wysłać alerty bezpieczeństwa z systemu Sycope do SIEM wystarczy podać w konfiguracji adres IP oraz port serwera Syslog. Oczywiście, nic nie stoi na przeszkodzie, ażeby analiza flowów sieciowych odbywała się bezpośrednio na silniku analitycznym systemu SIEM. W takim przypadku musimy rozważyć dodatkowe aspekty dotyczące rozbudowy architektury SIEM umożliwiającej przeanalizowanie miliardów flowów sieciowych dziennie, koszty dodatkowej licencji oraz koszty zasobów potrzebnych do zaprojektowania logiki wykrywającej anomalie i zagrożenia bezpieczeństwa w oparciu o flowy. Bez względu na to, którą drogę wybierzemy, starajmy się projektować reguły bezpieczeństwa w oparciu o możliwie jak największą liczbę źródeł danych, aby liczba pułapek pozostawionych dla atakujących była jak największa i spójna z procesem obsługi incydentów bezpieczeństwa organizacji. Pamiętajmy również o tym, że bezpieczeństwo jest procesem ciągłym, więc nie ma skończonej liczby scenariuszy bezpieczeństwa, które można zaimplementować w poszczególnych systemach security, aby następnie były one korelowane z alertami pochodzącymi z innych systemów w SIEM.

Ta strona wykorzystuje pliki cookies w celu gromadzenia danych statystycznych. Ustawienia cookies można zmienić w przeglądarce internetowej. Korzystanie z tej strony internetowej bez zmiany ustawień cookies oznacza, że będą one zapisane w pamięci urządzenia. Więcej informacji >>

Akceptuję