TrecomSecurity360

Skuteczność cyberochrony dzięki technologii

Autor: Katarzyna | Apr 15, 2024 12:18:44 PM

 

W poniższym artykule, powstałym na bazie wystąpienia Krzysztofa Gortata - CEO z firmy SecureVisio - podczas konferencji Trecom Security 360, omówiona została skuteczność cyberochrony w świetle rozwoju technologii. Artykuł przedstawia analizę trendów i predykcji na przyszłość oraz oferuje wgląd w to, co nadchodzące zmiany oznaczają dla organizacji.

 

Podatności

W ostatnim czasie, w każdej rozmowie na temat cyberbezpieczeństwa, pojawia się powtarzane jak mantra słowo „podatności”. Podatności to błędy, skutkujące właściwością systemu, która może zostać wykorzystana do przełamania cyberzabezpieczeń. Powszechne jest podejście, że podatności należy usunąć. Spójrzmy na ten temat z nieco innej perspektywy.

Rozważając spektrum nowoczesnych cyberataków, okazuje się, że wykorzystywane w nich konkretne podatności są często niewykrywane przez organizację ze względu skalę powodującą ograniczenia procesu ich analizy oraz samą trudność w ich zabezpieczeniu, dlatego w konsekwencji ich obsługa jest nierzadko pomijana.

Pamiętajmy, że podatność nie musi być błędem w kodzie. Może także stanowić zdefiniowany sposób postępowania, nieprzewidziany przez system bezpieczeństwa organizacji pozwalający w konsekwencji uzyskać nieautoryzowany dostęp do aplikacji lub jej części albo nawet do całego systemu.

Jednakże bez względu na ich typ, najniebezpieczniejsze podatności to takie, które może wykorzystać cyberprzestępca, bez pozostawienia po sobie informacji. Na przykład, pozwalające na przełamanie aplikacji, które nie generuje żadnego zdarzenia, które świadczyłoby o tym, że ta aplikacja lub w konsekwencji cały system został skompromitowany.

Kontynuując nasze rozważania, zauważymy, że współczesne cyberataki mają charakter patchworkowy i bardzo często brakuje w nich zdarzeń, które w prosty sposób można w pełni zmapować na techniki, taktyki i procedury matrycy Mitre Att&ck, a co jest czymś typowym i znanym specjalistom cybersecurity. Problem stanowią współczesne ataki, które zawierają także elementy związane z aktywnościami w ramach ruchu legitymowanego, które w konsekwencji są często nie do zauważenia przez operatorów systemów zabezpieczeń, bez zastosowania odpowiednich metod profilowania oraz znacznego rozszerzenia okien czasowych w ramach wykonywanych standardowo analiz.

Biorąc to pod uwagę, podatności nie powinny być rozpatrywane wyłącznie jako coś do “załatania”. Odniesienie do podatności daje nam bardzo ważną informację w kontekście detekcji, orkiestracji i przeciwdziałania. Zajmiemy się tym zagadnieniem później, omawiając konkretny przykład.

 

Rozwój cyberprzestępczości

NIST raportuje, że rocznie mamy do czynienia z 3657 krytycznych podatności. Możemy jedynie wyobrazić sobie jak ogromna jest liczba podatności nieraportowanych – takich, o których po prostu nie mamy pojęcia. Każdą z tych podatności możemy wyobrazić sobie jako otwarte drzwi, wiodące do naszej organizacji.

Jeśli tylko atakujący posiada podstawową wiedzę na temat cyberbezpieczeństwa, to bardzo łatwo będzie mógł włamać się do organizacji i wyrządzić szkodę. Na przykład wykorzystując metodę phishingu, przejąć komputer użytkownika, a następnie pozyskać zasoby lub dane organizacji z poziomu uprawnień konta użytkownika bądź komputera.

Patrząc na cyberbezpieczeństwo z dłuższej perspektywy czasu, widzę, że w przeszłości sytuacja była prostsza. Kiedy przyglądam się generacjom cyberataków, to do generacji IV wszystko było w moim odczuciu poukładane. Wykonując analizę można było bazować na fazach ataków, włączyć mechanizmy behawioralne, wyprofilować sieć, dostroić systemy i zabezpieczenia, wtedy ryzyko przełamania zabezpieczeń było znacząco niższe.

Niestety, począwszy od V generacji cyberataków, czyli od roku 2020, sytuacja zaczęła się komplikować, a budowanie cyberodporności organizacji stało się trudniejsze. To może wydać się zastanawiające – przecież technologia poszła do przodu i mamy dostęp do naprawdę wspaniałych, nowoczesnych rozwiązań. Nowe systemy mocno ewoluowały, widzimy ich imponującą skuteczność i równocześnie rośnie również świadomość związana z cyberbezpieczeństwem.

Dlaczego więc, mamy do czynienia z rosnącą liczbą włamań, skoro mamy coraz lepsze systemy? Może dlatego, że wcześniej wszyscy regulatorzy, wszelakie normy prawne i wymagania pozostawiały nam tak naprawdę dowolność, którą nasi specjaliści potrafili przełożyć na adekwatny poziom cyberodporności odpowiadający potrzebom ich organizacji. Były dobre praktyki (m.in. NIST), które mówiły, jak należy chronić organizacje, ale na końcu to sama organizacja była ostatecznym decydentem w tej sprawie dostosowując zdolności operacyjne i budżet do swoich potrzeb i możliwości. Jednak w ostatnim czasie sytuacja uległa zmianie. Rola regulatorów stała się coraz ważniejsza, powstają nowe i obowiązkowe wymagania jak np. ustawa o KSC, dyrektywa NIS2 czy KRI.

Mamy więc do czynienia z rosnącą liczbą wymagań wobec organizacji, co sprawia, że w praktyce ich ochrona jest znacznie trudniejsza. Organizacje bardziej skupiają się na formalnym spełnieniu wymuszonych na nich wymagań niż na faktycznej ochronie.

Należy zwrócić uwagę, że bez względu na to, na którą normę spojrzymy: RODO czy KSC – zawsze na pierwszym miejscu znajduje się wymaganie związane z zarządzaniem ryzykiem cyberzagrożeń. Z tego powodu analiza cyberzagrożeń powinna zawsze stanowić pierwszy krok w budowaniu cyberodporności, a następnie na podstawie jej wyników powinniśmy dobierać kolejne zabezpieczenia.



Jeżeli chcemy zakupić lub uaktualnić system zabezpieczeń to musimy wiedzieć, przed czym chcemy się chronić. Nowoczesne systemy cyberochrony generują ogromną liczbę alertów. Wynika to z faktu, że są coraz skuteczniejsze i wykrywają coraz więcej potencjalnych zagrożeń. Tak naprawdę każdy z tych alarmów powinniśmy przeanalizować, jednak jest ich po prostu za dużo. Często firmy nie mają wystarczających zasobów, żeby to zrobić, więc muszą wspomagać się mechanizmami zewnętrznymi pozwalającymi zdefiniować, który alert jest kluczowy i co tak naprawdę wymaga ochrony w kontekście najbardziej prawdopodobnych cyberzagrożeń.

Kluczowe aspekty ochrony są połączeniem technologii oraz obszarów jakie pokrywają. Osobiście uważam, że odpowiednio dobrane nowoczesne technologie mają swoje zastosowania tylko pod warunkiem, że wszystkie są ze sobą ściśle zintegrowane. Dlaczego?

Po pierwsze, każdy z nowoczesnych systemów cybersecurity blokuje atak, jeżeli tylko ma dostęp do wystarczających informacji. Jeżeli mamy świetnego firewalla, czy EDRa, to cyberatak przeważnie zostanie zablokowany. Skoro mamy efektywne systemy, gdzie leży problem?

Kłopoty pojawiają się przy elementach, których systemy cybesecurity nie blokują, ponieważ nie posiadają wystarczających informacji, więc tylko generują alert, w konsekwencji czego zagrożenia przenikają do naszej organizacji. W tym wypadku musimy sami zarządzać zdarzeniami odzwierciedlającymi potencjalne zagrożenia oraz podatnościami, podjąć ich obsługę i zgłaszać je odpowiednim osobom bądź instytucjom. Tego także dotyczą regulacje takie jak NIS2 czy KSC.

Wymagania regulatorów są więc po to, żeby wskazać nam drogę, ponieważ często sami nie wiemy, w którym kierunku powinniśmy rozwijać cyberochronę w naszej organizacji.



Ostatnio regulacje te zostały bardzo szybko rozszerzone – pojawiło się coraz więcej wymagań odnośnie sposobu obsługi zdarzeń i technologii. Oznacza to, że dostajemy od regulatorów konkretną informację, jaką technologię powinniśmy zastosować. To, co na początku było określone dość enigmatyczne, np. konieczność ochrony ruchu między strefami, teraz jest definiowane w sposób klarowny, z określeniem konkretnych wymogów i rodzin produktów, które powinny zostać zastosowane.

 

Firewall

Spójrzmy teraz na to, jak rozwijające się zagrożenia i postępujące rozbudowywanie regulacji wpłynęło na technologie cyberbezpieczeństwa. Przed rokiem 2000, kiedy zajmowałem się pierwszymi firewallami, miały one wbudowane filtrowanie pakietów, kontrolę sesji, VPN oraz kontrolę dostępu i na ten czas była to świetna technologia.

Jednak wkrótce, bo już po paru latach okazało się, że jest to za mało, aby chronić organizacje przed współczesnymi atakami, więc do firewalli dodane zostały silniki antywirusowe, IPSy, spam filtering, wprowadzono filtrowanie stron webowych (whitelisting, blacklisting). Następnie pojawiły się mechanizmy analizy behawioralnej (anomalii w zachowaniach użytkowników) – tak naprawdę mieliśmy już do czynienia z bastionem sieciowym, który znajdował się przed naszym hostem i był wyposażony w coraz więcej mechanizmów.

Kolejnym krokiem było zaszyfrowanie Internetu, które pociągnęło za sobą konieczność terminacji SSL’a. Kolejnym dodatkiem był host compliance, czyli sprawdzanie czy użytkownik korzystający z VPNa może faktycznie zalogować się do organizacji. Następnie do firewalli dołączony został mechanizm uczenia maszynowego i zgodności z protokołami – można by więc dojść do wniosku, że pora usiąść i chwilę odpocząć, mamy przecież naprawdę skuteczne narzędzie cybersecurity.

To mogła być prawda, gdyby nie fakt, że pojawiła się transformacja do chmury, z której organizacje zaczęły masowo korzystać, a co znacznie rozszerzyło możliwości cyberprzestępców. W konsekwencji firewalle musiały zostać integralną częścią chmury i tam chronić zasoby migrowanych systemów lub aplikacji należących do organizacji lub organizacje musiały korzystać z dedykowanych rozwiązań do cyberochrony dostępnych w chmurze.

Od tego momentu zaczęło się przetwarzanie hybrydowe zarówno w chmurze, jak i w strukturach organizacji, których ochrona wymaga obecnie ogromnej mocy obliczeniowej i zasobów dyskowych niezbędnych dla mechanizmów uczenia maszynowego, w tym sztucznej inteligencji.

Potrzeba ochrony środowisk hybrydowych zarówno w kontekście lokalizacji, jak i platform sprzętowych (wirtualizacja) sprawiła, że firewall stał się czymś zwykłym i powszechnym. Obecnie firewall jest niezbędny w każdej organizacji i stanowi tzw. compliance. W kontekście możliwości cyberochrony firewall jednak osiągnął swój limit rozwoju, wynikający z braków telemetrycznych w związku z danymi które kontroluje.

Firewall nie posiada dostępu do wystarczających informacji do tego, by wykryć nowoczesne cyberataki
, które albo są dla niego niezauważalne albo po prostu dotyczą ruchu legitymowanego. W praktyce nadaje się tylko do blokowania oczywistych ataków oraz wymuszania reguł dostępowych, jednak nie chroni zupełnie ruchu legitymowanego, tzn. na który zezwalają jego polityki. Oznacza to, że jeżeli ktoś ma zatwierdzony dostęp do organizacji, lub jest to aplikacja dostępna z Internetu, to organizacja jest bezbronna w stosunku do cyberataków w ruchu legitymowanym. Przykład stanowi tutaj atak z poziomu przejętego komputera lub konta użytkownika.

Pociąga to za sobą konieczność wdrożenia w organizacji ochrony wielowarstwowej polegającej na korelacji informacji z firewalla z alternatywnymi źródłami informacji, obejmującymi zarówno inne systemy zabezpieczeń, jak i komputery czy aplikacje. Korelacja służy do uwiarygodnienia lub wykluczania potencjalnych cyberataków dzięki zrozumieniu pełnego kontekstu zachowań zarówno użytkowników, jak i systemów. Buduje - w oparciu o zebrane dane - autoryzowane modele zachowań, umożliwiające wykrycie odstępstw stanowiących potencjalne cyberataki oraz włączenia automatyzacji reakcji, przekładając się tym samym na znaczne podniesienie efektywności cyberochonności.

 

Ochrona endpoint

Przyjrzyjmy się teraz ochronie stacji końcowej (EndPoint), gdzie ewolucja rozpoczęła się od rozwiązań antywirusowych bazujących na sygnaturach, które były poddawane ciągłym ulepszeniom zarówno w kontekście zakresu ochrony, jaki i zabezpieczenia ich samych w kontekście analizy, np. przy wykorzystaniu „Hooking techniques”.

Stopniowo więc do systemów antywirusowych dodawane były zarówno nowe możliwości detekcji jak i funkcjonalności, m.in. analiza anomalii, uczenie maszynowe czy odpowiedź na zagrożenie (DR). Ochrona ta jest oczywiście niezbędna, ale znów technologia okazała się niewystarczająca. Doszliśmy do terminu XDR (extended detection response) i dalej osiągnęliśmy limit.

Oczywiście moglibyśmy próbować zwiększać efektywność przez korelację informacji na hoście, ale ta droga wydaje się być ślepa ze względu na towarzyszące temu problemy wydajnościowe stacji roboczej. Endpoint nie jest w stanie wszystkiego przeanalizować – ma za małą moc obliczeniową i dlatego producenci tych rozwiązań zostali zmuszeni do przeniesienia części procesowania do chmury.

Skuteczne wykrywanie wymaga ochrony wielowarstwowej, ale nie oznacza to po prostu, że adresujemy wszystkie płaszczyzny wymagające ochrony. Kluczowa jest współpraca pomiędzy warstwami. Endpoint nie zapewnia niektórych kluczowych funkcjonalności jak szereg wymogów typu compliance (stanowiący główną różnicę między SIEMami a XDRami) oraz ochronę w ramach ruchu legitymowanego, ponieważ ma zbyt mało informacji, żeby ją zastosować. Nawet gdyby skorelował ją z innych systemów wtedy powstałby problem z jej przetworzeniem.

 

SIEM



SIEM to bardzo dobry system, który traktowany jest jako podstawa działania każdego Security Operations Center. Niestety tutaj też trafiliśmy na limit. Na początku systemy takiego rodzaju zarządzały powiadomieniami, logami, stosowały korelację zdarzeń. Tradycyjny SIEM świetnie radzi sobie również z wyszukiwaniem zagrożeń (ang. threat hunting). Szybko jednak okazało się, że ta korelacja wymaga wsparcia systemami Threat Intelligence, EBA, UBA, SOAR i tak w konsekwencji powstał next-generation SIEM (którego definicję określił Gartner).

Pamiętam, jak zajmowałem się wdrażaniem i dostrajaniem systemów SIEM w przeszłości. Wszystko bazowało na adresach IP, do których korelowało się pozostałe informacje. Dlaczego odeszliśmy od tej metody?

Obecnie nie korelujemy tylko adresów IP, ponieważ skierowaliśmy naszą uwagę w kierunku tożsamości w zakresie zachowania użytkowników, zarządzania kontami uprzywilejowanymi, eskalacji uprawień i samymi kontami. Rola adresów IP maleje, ponieważ migrujemy pomiędzy sieciami z różnymi adresacjami, następuje masowa migracja do chmury, gdzie nie ma stałego adresu IP.

Adresy IP w chmurze są dynamiczne, bardzo szybko się zmieniają, więc jedynym łącznikiem jest nazwa systemu czy nazwa aplikacji. Z tego powodu zmieniła się korelacja, co wymusiło zmianę samych systemów SIEM.

Nie było to takie proste - istnieją bariery technologiczne i nie wszystkie systemy są w stanie im sprostać. Dlatego kolejnym etapem ewolucji było powstanie systemów UEBA (User Entity and Behaviour Analysis). Uważam, że w obecnych czasach system SIEM pozbawiony systemu UEBA w kontekście detekcji cyberzagrożeń jest praktycznie bezużyteczny.

System UEBA, zawierający analizę komputerów, użytkowników i uczenie maszynowe jest podstawą systemów SIEM nowej generacji. Uczenie maszynowe to analiza ruchu behawioralnego naszych użytkowników, czyli po prostu nauczenie naszego systemu schematów zachowań przykładowo pani Kasi z HRu, Pani Zosi z marketingu i Pana Tomka z działu handlowego i zgrupowanie ich w odpowiednie profile zachowań, które wyznaczą różne linie trendu dla różnych zestawów atrybutów.

Kiedyś takie profile budowało się tylko w systemach WAW, później technologia ta objęła pozostałe systemy zabezpieczeń, obecnie jest także stosowana w systemach SIEM nowej generacji. Jeżeli użytkownik zachowa się inaczej niż zwykle, traktowane to jest jako sygnał (tzw. trigger) do dalszej analizy. Nie jest to jeszcze incydent bezpieczeństwa, to po prostu znak, że system powinien zwrócić szczególną uwagę na danego użytkownika w kolejnych etapach analizy.

 

SOAR

SOAR (Security Orchestration, Automation and Response) to kolejna funkcjonalność, która została zintegrowana w systemie SIEM nowej generacji. SOAR pozwolił za integrowanie danych na temat bezpieczeństwa płynących z różnych źródeł i automatyzację obsługi alarmów.

Implementacja systemu Next-Gen SIEM pozwala na rozszerzenie zakresu detekcji cyberzagrożeń oraz odpowiedzi, włączając w to automatyzację oraz orkiestrację, jednakże limitem tych systemów jest brak telemetrii w analizie stacji roboczych. Sam system SIEM, bez pełnej telemetrii przy wykorzystaniu agenta umożliwiającego wgląd w zdarzenia występujące bezpośrednio na komputerze i analizy zdarzeń w chmurze jest niepełny. Dlatego niezbędne jest wyposażenie go w jeszcze jeden mechanizm agentowy np.: EDR/XDR, czy integrację poprzez API np. z chmurą czy aplikacją, zapewniając systemom klasy SIEM pełną widzialność i zrozumienie wykonywanych w tych systemach aktywności, jak i świadomą reakcję na zagrożenie (np. blokowanie w ramach scenariuszy obsługi).

Bez zrozumienia w pełni funkcji jakie dana stacja robocza bądź serwer realizuje, nie jest możliwa efektywna orkiestracja. Poszczególne kroki automatyczne mogą sięgnąć wyłącznie obszarów, o których posiadają wystarczającą wiedzę, aby właściwie zareagować. Inaczej skąd będziemy wiedzieć, czy odciąć dany komputer od sieci, czy nie, a jeżeli tak to w jaki sposób, przykładowo czy tylko od sieci Internet czy całkowicie? Jeżeli mówimy o serwerze, to często nie możemy go zablokować, ponieważ przykładowo może to doprowadzić do unieruchomienia procesu produkcji lub przerwania ciągłości krytycznej usługi.

Wystąpił więc limit orkiestracji. Jeżeli przekierujemy zdarzenia z wszystkich systemów do systemów klasy SIEM, to będziemy otrzymywać 500 alertów o zdarzeniach dziennie. Skąd wziąć ludzi do obsługi tych zdarzeń? Skąd mamy mieć pewność, że posiadają adekwatną wiedzę, żeby obsłużyć te zdarzenia?

Prawdziwym limitem systemów SIEM, nawet nowej generacji, jest więc brak wiarygodności niezbędnej do orkiestracji. Żeby orkiestracja efektywnie zadziałała, umożliwiając tym samym efektywnie zablokowanie danego zagrożenia, konieczne jest uwiarygodnienie korelacji w taki sposób, aby przykładowo mieć pewność, że można dokonać izolacji procesu, odciąć dany serwer lub ograniczyć jego komunikację.

Patrząc na to, co zaczęło się w latach 90-tych możemy mieć wrażenie efektu zatoczenia koła. Na początku, do lat 2000 mówiliśmy o ochronie hosta, następnie pojawił się trend ochrony promujący ochronę głównie z poziomu sieci, po czym w ostatnich latach znowu pojawił się powrotny trend w kierunku nacisku na ochronę stacji końcowej (EDR, XDR).

W rzeczywistości doszliśmy do momentu, w którym uświadamiamy sobie, że ochrona powinna być wszędzie – na hoście, firewallu, w chmurze. Powinniśmy też chronić tożsamość już nie tylko w punkcie styku, który uważany był za najważniejszy, ale w obrębie wszystkich systemów wykorzystywanych przez organizację. Wszystko to składa się w definicję koncepcji ochrony wielowarstwowej, która jest naturalnym rozwojem cyberochronności.

Jeśli mówimy o ochronie wielowarstwowej, potrzebujemy rozwiązania, które będzie nią zarządzać we wszystkich tych obszarach. Rozwiązania, które będzie zbierało alarmy, samodzielnie reagowało i potrafiło zablokować i odizolować zagrożony system. Dlaczego?

Ponieważ ataki są coraz bardziej zorganizowane. Atakujący nie robią tego dla zabawy tylko angażują się w przedsięwzięcia w celach zarobkowych. Kiedyś sytuacja była mniej skomplikowana – można było np. kupić sobie exploita, skompilować, pobawić się URLem, przykładowo stosując sławne 1=1.

Obecnie sytuacja wygląda inaczej ze względu na fakt, że cyberprzestępcy mają znacznie więcej możliwości ataków, a organizacje mają znacznie mniejsze możliwości ich wykrycia, które wymaga zaangażowania ekspertów od cyberbezpieczeństwa w analizę podatności i zdarzeń przy jednoczesnej potrzebie poszerzenia czasu analizy w kontekście TTP (technik, taktyk i procedur).

Przekłada się to na większą ilość ataków, która wymaga od organizacji zaangażowania się w obsługę zdarzeń - samodzielnie albo poprzez outsourcing przy jednoczesnym wsparciu odpowiednich systemów do orkiestracji tej obsługi.

Ostatnią nowością jest sztuczna inteligencja, która udostępnia interfejsy publicznie, które na obecnym etapie możemy wykorzystać jako ulepszoną wersję encyklopedii i włączyć je w proces obsługi zdarzeń lub skorzystać z rozwiązań skrojonych na potrzeby konkretnych zastosowań zaimplementowanych w dedykowanych rozwiązaniach do ochrony przed cyberzagrożeniami. Warto jednak zaznaczyć, że sztuczną inteligencję mogą wykorzystać obie strony – pozyskanie informacji na temat obecnie stosowanych rozwiązań cybersecurity może posłużyć zarówno do wzmocnienia ochrony, jak i zaplanowania skutecznego ataku.

Uważam, że aktualnie organizacje będą coraz częściej zmuszane zorganizować się w sposób umożliwiający obsłużenie wszystkich alarmów generowanych przez systemy zabezpieczeń (docelowo w niedalekiej przyszłości w pełni automatycznie). Jednakże na dzień dzisiejszy widzę tylko dwa wyjścia z sytuacji: albo zatrudnić ekspertów i zapewnić im zasoby oraz narzędzia, które pozwolą obsłużyć wszystkie alarmy, albo zakupić taką usługę na zewnątrz. Pamiętajmy, że każda współczesna organizacja działa obecnie wielowarstwowo, więc może się to wiązać z wysokimi kosztami. Nawet gdy ostatecznie wykupimy taką usługę, to i tak zaangażowanie organizacji będzie znaczące, co wynika ze współpracy z zewnętrznym dostawcą usługi SOC.

Drugą opcją jest uzbrojenie się w narzędzie Indcident Risk Management (IRM). To narzędzie, które ewoluowało z dawnych rozwiązań GRC (Governance, Risk, Compliance). Rozwiązania GRC mówiły, jak chronić organizację – jakie są wymagania dotyczące systemów i użytkowników. Systemy te zostały ulepszone dzięki dodaniu pełnej analizy ryzyka cyberzagrożeń. Tak powstały systemy klasy IRM, które mogą posłużyć do pełnej orkiestracji, pod warunkiem pełnej integracji z systemami cyberbezpieczeństwa albo bezpośrednio, albo poprzez systemy klasy Next-Gen SIEM.

Mamy więc nowoczesne i skuteczne rozwiązania, nowoczesną technologię, jednak cyberprzestępczość nadal rośnie... Liczba skutecznych ataków wzrasta rok do roku, a razem z nimi straty finansowe. które ponoszą organizacje. Jak rozsądnie podejść do cyberbezpieczeństwa w świetle tych danych?

Poza wdrożeniem mechanizmów detekcyjnych konieczna jest świadoma orkiestracja zarówno na etapie kwalifikacji zdarzeń (triażu), jaki i odpowiedzi na zagrożenia. Czyli zapewnienie organizacji zdolności operacyjnych dających możliwość bezpiecznego dla ciągłości jej procesów biznesowych blokowania potencjalnych incydentów bezpieczeństwa, bazując na mechanizmach obejmujących wiarygodność i prawdopodobieństwo. Aby to osiągnąć, musimy kontrolować zarówno zdarzenia, które mają odzwierciedlenie w matrycy Mitre Att&ck, jak i kontrolować ruch legitymowany obejmujący zachowanie użytkowników oraz zasobów odbiegających od wyuczonych profili ich zachowań.

Uważam, że najważniejszym aspektem i przyszłością w cyberochronności jest wsparcie zespołów SOC rozwiązaniami klasy IRM (Incident Risk Management). Rozwiązania te możemy traktować jako kolejnego eksperta w naszej organizacji, który jest wyposażony w wiedzę pozwalającą mu skutecznie wskazać, które zdarzenia mogą stanowić rzeczywiste zagrożenia dla organizacji i dostarczającemu nam jednocześnie wiedzy, którą możemy wykorzystać do orkiestracji reakcji z nimi związanymi w krokach automatycznych naszych playbooków.

 

Czym jest SecureVisio?

SecureVisio jest rozwiązaniem integrującym funkcjonalności systemów klasy Next-Generation SIEM oraz XDR działających zarówno na zdarzeniach, jak i podatnościach. Całość jest sterowana systemem klasy IRM.

IRM jest głównym, kontekstowym silnikiem sterującym korelacją, który uczy się specyfiki naszej organizacji i zarządza zebraną wiedzą, dbając jednocześnie o jej aktualność i wiarygodność. Dzięki wykorzystaniu systemu SecureVisio jesteśmy w stanie w pełni zautomatyzować zarządzanie cyberbezpieczeństwem, równocześnie osiągając tym samym poziom orkiestracji wyższy niż jest to możliwe dla rozwiązań, które nie są wyposażone w ten mechanizm.

Lubię odniesienia do historii, dlatego nazywam SecureVisio drogą miecza. Dlaczego? W
Japonii istniała kasta wojowników – samurajów. Mieli oni swój kodeks moralny (bushido), który mówił o tym, że samuraj ma chronić swój kraj, a w czasach feudalnych – swojego pana. Każdy samuraj wyposażony był w dwa miecze: katanę i wakizashi.

Patrząc z tej perspektywy: z jednej strony mamy regulację, która zobowiązuje nas do chronienia procesów krytycznych jak KSC, czy RODO obligujące nas do ochrony danych wrażliwych użytkowników. Z drugiej strony mamy zaś analityka cyberbezpieczeństwa, którego możemy nazwać współczesnym samurajem, a jego mieczami są narzędzia klasy IRM/SIEM/XDR sterujące pozostałymi mechanizmami zabezpieczeń wdrożonymi w ramach organizacji, jak rozwiązania klasy Firewall/EDR czy innymi dedykowanymi do specyficznych potrzeb danej organizacji, jak rozwiązania typu WAF.

SecureVisio umożliwia obsługę dwóch typów zdarzeń, czyli tych zatwierdzonych przez organizację i przekładających się w zatwierdzone przez nią scenariusze zagrożeń, co do których możemy aktywować odpowiednie playbooki automatyzujące ich obsługę oraz zdarzenia, co do których nasz samuraj jest zobligowany, aby podjąć adekwatne działania.

SecureVisio posiada konsolę wyposażoną w szereg możliwości analitycznych obejmujących wyszukanie i obsłużenie nowych i nieznanych zagrożeń, generowanych przez różnego typu triggery, stanowiące korelację zdarzeń, alarmów, podatności oraz anomalii zestawionych z mechanizmami sztucznej inteligencji i wypracowanej dzięki niej wiedzy.

Powyższe tryby przekładają się na pracę systemu w dwóch równoległych trybach. Z jednej strony obsługujące zagrożenia, które mają automatycznie zdefiniowaną odpowiedź (co oznacza, że nie wymagają one żadnej interakcji operatorów lub zespół obsługi ma zastosować się do procedury adekwatnej do wykrytego zagrożenia). Kolejny tryb polega na samodzielnej analizie triggerów przez analityków i reakcji na nie, lub poprzez przekierowanie obsługi zagrożenia do zespołu wraz z rekomendacją lub wnioskiem z analizy wstępnej.

Mając te wszystkie informacje, możemy zobaczyć statystyki dotyczące danej reguły - ile razy się wydarzyła, jej umiejscowienie w czasie, to jakich profili dotyczyła. Mamy komplet informacji, który powinniśmy wykorzystywać do analizy i optymalizacji systemów bezpieczeństwa.

W systemie SecureVisio dzięki zaimplantowanym mechanizmom UEBA (ang. User and entity behavior analytics) każdy operator może mieć dostęp do analizy zachowania użytkowników, obejmującej zestawienie zwykłych czynności takich jak logowanie, uwierzytelnienia, dostępy do zdarzeń stanowiących triggery czy zwiększenie poziomu uprawnień, blokowania lub anomalie.

Zestawienie tych wszystkich informacji pokazuje operatorowi pełen obraz aktywności danego użytkownika czy zasobu, pozwalając na weryfikację czy dane zdarzenie powinno mieć miejsce. Na tej podstawie może przygotować odpowiednią odpowiedź, która w przyszłości przyspieszy pracę działu cyberbezpieczeństwa.

Poniższa grafika pokazuje wygląd takiej analizy (w uproszczonej formie).

Warto przypomnieć, że w SecureVisio wspieramy się mechanizmami uczenia maszynowego, które błyskawicznie wychwytują wszelakie anomalie. Oznacza to, że skończyły się czasy bezcelowej analizy logów. W chwili obecnej dostajemy gotową informację – ile mamy anomalii, ile mamy zdarzeń, ile trwały zdarzenia i jak rozkładały się na osi czasu. Tak zaprezentowany komplet informacji sprawia, że rzut oka wystarczy, by ocenić, czy mamy do czynienia z sytuacją, która zagraża naszej organizacji.

 

Analiza kont użytkowników

Jak wygląda analiza kont użytkowników? W SecureViso możemy sprawdzić danego użytkownika. System automatycznie wyodrębnia jego login oraz nadaje mu profil. Następnie weryfikuje czy spełnia on wymagania naszej organizacji. Uczenie maszynowe pozwala poznać zachowania danego użytkownika i zobaczyć, w jaki sposób dane konto było wykorzystane, z ilu adresów IP i hostów korzystał dany użytkownik. Po jednym spojrzeniu wiemy, czy zachowanie nie odbiega od normy dla danego konta.

Jest to bardzo prosta analityka – kto, z kim, po co? To co obserwuję w ostatnich czasach to fakt, że dzięki wsparciu nowoczesnych technologii, nie potrzebujemy wiedzy eksperckiej, żeby dokonać trafnej analizy.

 

Analiza komputerów i urządzeń

Jak wygląda sytuacja, jeśli chodzi o komputery i urządzenia? SecureVisio pozwala szybko sprawdzić na jakich zasobach pracujemy, ile mamy kont, jakiego rodzaju to są konta i gdzie się łączą. Załóżmy, że nagle zobaczymy komputer i jest to Active Directory. Jeśli jednak zobaczymy komputer z 3 kontami na stacji roboczej, to będziemy wiedzieć, że mamy do czynienia z czymś nietypowym, co powinno wzbudzić nasz niepokój. Nawet bez eksperckiej wiedzy, posługując się logiką, jestem w stanie wykryć najbardziej zaawansowane zagrożenie, jakim jest przejęcie uprawnień.

 

Wizualizacja komunikacji

Komunikację najczęściej rozumiemy dużo lepiej, kiedy użyjemy wizualizacji. Dzięki temu możemy zobaczyć z kim danym użytkownik łączył się w ramach organizacji. W SecureViso możemy błyskawicznie wygenerować wizualizację całej komunikacji z danego hosta i zobaczyć strefy, z którymi dany użytkownik bądź komputer nie powinien się łączyć, np. wychwytując nieautoryzowane połączenia z Internetu czy do sieci przemysłowej, dzięki czemu analityk jest w stanie szybko zareagować na potencjalne zagrożenie.

Kiedy wiemy już kto z kim się komunikuje, powinniśmy zadać sobie pytanie w jakim celu to robi? Jeżeli źródłem anomalii jest dany komputer, to możemy obserwować jak dana anomalia rozlewa się po naszej sieci czy w chmurze. Jakie inne zachowania triggerowała, jakie były ich konsekwencje? Czy był to ruch legitymowany, czy te zachowania są mapowane na matrycę Mitre Att&ck jako poszczególne kroki w ataku?

Czasami możemy odnieść wrażenie, że łatwo jest wykryć zagrożenie, wystarczy zakupić system EDR i przy jego pomocy zrobić analizę śledczą procesów na komputerze. Proces jednak może nie pojawić się w analizie, ponieważ wystarczy, żeby jeden proces dokleił się do drugiego i dzięki temu umknął naszej uwadze. Ale wykorzystując SecureVisio możemy zobaczyć to w innym miejscu lub innym czasie, czego system EDR nie jest w stanie wychwycić samodzielnie, dlatego tak ważne jest, aby analizować dane z różnych perspektyw.

 

Budowa kontekstu ze zdarzeń IRM

Bardzo ważną kwestią jest prawidłowa konfiguracja IRM’a, tak aby był skuteczny. Kluczem do tego jest budowa kontekstu do systemu. Proces ten zaczynamy od zbudowania reguły kontekstowej. W SecureVisio takie reguły są oczywiście zawarte, ale każdą z nich można modyfikować lub dodać własne reguły.

Załóżmy dla przykładu, że chcemy wykryć jaki jest hosting naszej organizacji – jakie systemy świadczą usługi w naszej organizacji. Czy jest to rozwiązanie chmurowe, w którym zlokalizowane są nasze serwery? Kto z nich korzysta? Jaka jest tożsamość użytkowników, którzy posiadają tam konta, jakie są ich uprawnienia, z jakich hostów i stref się łączą?

Aby to sprawdzić wystarczy tak naprawdę zbudować pytanie przekładające się na regułę odpowiadającą na pytania: kim jest osoba, która się łączy? Jakie inne hosty łączą się do konkretnego hosta po tym samym porcie? Ile ich jest? Jeżeli to jest 5 hostów to może być to na przykład skan. Jednak, jeśli liczba hostów będzie wynosić np. 50, i port będzie 53/UDP to nie ma innej możliwości niż to, że jest to serwer DNS. Warto w tym momencie zadać sobie pytanie czy jest on autoryzowany? Możemy też kontekstowo odwołać się do lokalizacji - czy powinien w niej znajdować się serwer DNS? Jeżeli nie, to najwyraźniej mamy zdarzenie, które wymaga naszej interwencji.

Wystarczy zwykły log, żeby wykryć tego rodzaju zagrożenie. Możemy przerzucić przez silnik kontekstowy każdy log i na podstawie tego wykryć zasoby, które są serwerami, serwery, które świadczą usługi w obrębie całej naszej organizacji i przeanalizować kto korzysta z danych aplikacji. Jeśli nastąpi wydarzenie odbiegające od ustalonej normy, to będziemy o tym wiedzieć.

W jaki sposób następuje uwiarygodnienie? Mamy na to różne sposoby, możemy to zrobić przez ilość lub typy użytkowników. Do uwiarygodnienia wykorzystujemy informacje z różnych systemów takich jak firewall, system ochrony tożsamości czy MFA. Dodatkowym czynnikiem uwiarygadniającym może być oczywiście człowiek, operator, który zapyta członków zespołu o nietypowe zachowania.

 

Budowa kontekstu podczas obsługi

Podczas obsługi również możemy się wiele dowiedzieć. Załóżmy na przykład, że mieliśmy stację roboczą. Ta stacja robocza przestała świadczyć usługi, a nagle ktoś doszedł do wniosku, że uruchomi na niej serwer FTP. Jeżeli więc zobaczymy, że dana stacja świadczy usługi, to zmienimy jej kwalifikację, czyli nie będzie stacją roboczą, a stanie się serwerem.

Oznacza to, że również w trakcie obsługi jesteśmy w stanie budować, uzupełniać, usuwać i dynamicznie zarządzać kontekstem. Każda obsługa zdarzenia to okazja do budowania kontekstu naszej organizacji i zarządzanie nim z poziomu funkcjonalności IRM’a.

 

Orkiestracja

Cały czas posługiwaliśmy się przykładami orkiestracji. Mamy w tej kwestii cztery metody:

  1. Zapytaj operatora – system podczas obsługi zadaje pytanie operatorowi o konkretne zdarzenie.
  2. Wykorzystaj wiedzę – wykorzystaj wiedzę zgromadzoną w systemach takich jak Threath Intelligence do budowania nowej wiedzy. Mam na myśli między innymi zaawansowaną sztuczną inteligencję. Deep Machine Learning polega na tym, że wykorzystujemy wiedzę wyuczoną do kreowania nowej wiedzy. Możemy więc budować kontekst na podstawie dotychczasowego kontekstu.
  3. Przeszukiwanie zdarzeń i logów – w naprawdę nowoczesnym systemie zarządzania bezpieczeństwem nie ma miejsca na ręczne przeszukiwanie logów. Jeżeli wiemy, co jest intencją anomalii, to możemy uruchomić zawężone wyszukiwanie i na podstawie wyniku działać dalej automatycznie.
  4. Działaj na innym systemie - czyli typowy system scholar. Pobierz informacje z takiego systemu, zablokuj, wyizoluj.

 

Izolacja przez XDR


SecureVisio ma zintegrowany XDR – dlaczego? Ponieważ inne systemy czasami mogą nie wystarczyć np. w sytuacji, w której zmieni się API. Spójrzmy na przykład izolacji. Dlaczego standardowa orkiestracja nie może pójść tak daleko? Załóżmy dla przykładu, że wykryłem malware – złośliwy kod. Niestety kod jest przyklejony do mojego systemu głównej aplikacji produkcyjnej. Przychodzi nam na myśl powstrzymanie złośliwego kodu poprzez zablokowanie zainfekowanego procesu, ale doprowadzi to w konsekwencji do wstrzymania produkcji z nim powiązanej.

Zastanówmy się, ile jest sytuacji, w których organizacja może sobie pozwolić na wyłączenie systemów produkcyjnych? Lepszym rozwiązaniem w tym przypadku może okazać się izolacja tego procesu w ramach, zapewniając tym samym blokadę możliwości jego propagacji. To powód, dlaczego systemy pozbawione funkcjonalności IRM nie są w stanie pójść dalej z orkiestracją.

Jeśli jednak systemy są wyposażone w IRM sterujący mechanizmami izolującymi np.: w ramach XDR’a mogą inaczej potraktować serwer np. izolując go od komunikacji z siecią Internet i powstrzymać cyberprzestępcę bez robienia krzywdy organizacji. Jeżeli mówimy o stacji roboczej, która jest niepowiązana z ważnymi procesami lub jest to użytkownik – możemy odciąć ją od razu automatycznie, jednak to jest inna sytuacja. To kontekst decyduje o tym, jak daleko może pójść orkiestracja.

Jeżeli włączymy w SecureVisio automatyczną orkiestrację sterowaną IRM’em, wspomagającym się kontekstem organizacji, który podczas jego działania zbuduje się automatycznie, jesteśmy w stanie osiągnąć znacznie wyższy poziom automatyzacji zarówno w kontekście detekcji, jak i reakcji, pozwalając efektywniej chronić naszą organizację, niż będzie to miało miejsce w przypadku jakichkolwiek dostępnych na rynku systemów, które nie są sterowane przez moduł IRM’a.

 

Przykłady orkiestracji

Spójrzmy na przykład orkiestracji w postaci izolacji procesu. Możemy poprosić system, aby automatycznie wykonał dane zadanie, dodając do tego warunki, które muszą zostać spełnione, żeby to się stało. Następnie możemy uruchomić dany playbook i dostosować swoje działanie w zależności od kontekstu. System będzie więc automatycznie reaktywny – przyjmie wszystkie alarmy, oceni je i adekwatnie zadziała.

Uważam, że przyszłość to zastosowanie systemu IRM, dlatego jest on sercem systemu SecureVisio, służącym do autoryzacji wiedzy zarówno dla operatorów, jaki i dla sztucznej inteligencji. Dzięki temu ani operatorzy ani sztuczna inteligencja nie popełnią błędów interpretacyjnych, wynikających z braków telemetrycznych przekładających się na reakcję niepopartą pełną informacją.

 

Krzysztof Gortat - CEO SecureVisio

 

 

Wypełnij formularz, aby pobrać cały artykuł jako PDF