Обнаружение на основе правил

Sid 1-42329 способно обнаружить разновидность Win.Trojan.Doublepulsar.

Правила Snort находятся здесь: etc/snort/rules, а другие правила можно скачать по адресу https://www.snort.org/downloads/#rule-downloads. Когда Си-

няя команда выполняет упражнение с Красной командой, есть вероятность, что новые правила должны быть созданы в соответствии с моделью трафика

ипопытками, которые Красная команда предпринимает для проникновения в систему. Иногда для нейтрализации угрозы требуется несколько правил. На- пример, правила 42340 (попытка доступа к IPC-ресурсу анонимного сеанса протокола SMB),41978 (попытка удаленного выполнения кода протокола SMB)

и42329-42332 (разновидность Win.Trojan.Doublepulsar) могут быть использо-

ваны для обнаружения программы-вымогателя WannaCry. То же самое отно- сится и к другим СПВ, таким как Cisco с сигнатурами 7958/0 и 7958/1, создан- ными для обработки WannaCry.

Подпишитесь на блог Snort, чтобы получать обновления о новых правилах на странице http://blog.snort.org.

Преимущество использования ССПВ с открытым исходным кодом, такой как Snort, состоит в том, что когда новая угроза становится доступной в сети, сообщество обычно довольно быстро реагирует, публикуя новое правило для обнаруженияугрозы.Например,когдабылобнаруженвирус-вымогательPetya, сообщество создало правило и разместило его на GitHub (его можно увидеть здесь: https://goo.gl/mLtnFM). Хотя поставщики и сообщество безопасности действительно быстро публикуют новые правила, Синяя команда должна сле- дить за новыми индикаторами компрометации и создавать правила ССПВ на их основе.

Обнаружение на основе аномалий

В этом случае аномалия основана на том, что СПВ классифицирует как ано- мальное.Эта классификация обычно основана на эвристике или своде правил. Один из вариантов – статистическое обнаружение аномалий, при котором бе- рутся выборки сетевого трафика в случайные моменты времени и выполня- ется сравнение с базовым состоянием. Если этот образец выходит за пределы базового состояния, отправляется оповещение с последующим действием.

Поведенческая аналитика внутри организации

Для подавляющего большинства компаний,находящихся на рынке в настоящее время,основной бизнес по-прежнему осуществляется внутри организации.Это место, где находятся критически важные данные, работает большинство поль- зователей и находятся ключевые ресурсы. Как вы знаете, мы рассматривали стратегии атаки в первой части этой книги. У злоумышленников существует тенденция молча проникать в вашу локальную сеть, распространяться дальше,

ром,пока он не сможетвыполнитьсвою миссию.По этой причине наличие ана- литикиповедениянеобходимо,чтобыбыстроразорватьжизненныйциклатаки.

По мнению компании Gartner, очень важно понять, как ведут себя пользо- ватели. Отслеживая легитимные процессы, организации могут использовать

поведенческую аналитику пользователей и сущностей (User and Entity Be- havior Analytics-UEBA) для выявления нарушений в области безопасности. Ис- пользование UEBAдля обнаружения атак дает много преимуществ,но одними из наиболее важных являются возможность обнаружения атак на ранних эта- пах и принятие корректирующих мер для сдерживания атаки.

На приведенном ниже рис. 11.6 показан пример того, как UEBA просматри- ваетразличные объекты,чтобы принятьрешение,должно сработатьоповеще- ние или нет.

Отношения между пользователем и компьютерами,

серверами и ресурсами

UEBA

Рис.11.6

Без системы, которая может смотреть все данные в широких масштабах и делать корреляции не только по шаблону трафика, но и по профилю пользо- вателя,шансы ложного срабатывания возрастают.Это происходитв наши дни, когда вы используете свою кредитную карту там, где вы прежде никогда не были, и там, куда вы не ходите постоянно. Если ваша кредитная карта имеет защиту мониторинга, вам позвонят, чтобы подтвердить эту транзакцию. Это происходит потому, что система понимает схему использования вашей кре- дитной карты. Она знает места, которые вы посещали раньше, места, в кото- рых вы совершали покупки, и даже среднюю сумму, которую вы обычно тра- тите. Когда вы отклоняетесь от всех этих шаблонов, которые связаны между собой, система выдает предупреждение, вследствие чего необходимо пред-

раз проверить,действительно ли вы осуществляете эту транзакцию. Обратите внимание, что в этом сценарии вы действуете быстро на ранней стадии, по- тому что компания – эмитент кредитных карт приостановила эту транзакцию до получения подтверждения.

То же самое происходит,когда у вас есть система UEBA внутри организации. Система знает, к каким серверам обычно обращаются ваши пользователи, ка- кие ресурсы посещают, какую операционную систему используют для доступа к этим ресурсам, а также ей известно географическое местоположение поль- зователя. На рис. 11.7 показан пример этого типа обнаружения, полученного от Advanced Threat Analytics (ATA) компании Microsoft, которая использует поведенческую аналитику для обнаружения подозрительного поведения.

Рис.11.7

Обратите внимание, что в этом случае сообщение довольно четкое. В нем говорится, что администратор не выполнял эти действия в прошлом месяце, они не коррелируют с другими учетными записями в организации.Это преду- преждение нельзя игнорировать, потому что оно контекстуализировано, а это означает, что оно смотрит на данные, собранные под разными углами, чтобы выполнить сопоставление и принять решение о том, нужно выдавать опове- щение или нет.

большуюактивностьиполучитьболееосязаемыеданныедляточногореагиро- вания.Система UEBA состоит из нескольких модулей,и еще один модуль–это расширенное обнаружение угроз, которое ищет известные уязвимости и шаб­ лоны атак. На рис. 11.8 показано, как Microsoft ATA обнаруживает атаку Pass- the-ticket.

Рис.11.8

Поскольку существуют разные способы выполнения этой атаки, расширен- ное обнаружение угроз не может искать только сигнатуру. Оно должно искать схему атаки и то, что пытается сделать злоумышленник. Это намного эффек- тивнее, чем использовать систему на базе сигнатур. Оно также ищет подозри- тельное поведение,исходящее отобычных пользователей,которые недолжны выполнять определенные задачи. Например, если обычный пользователь пы- тается запустить NetSess.exe в локальном домене, Microsoft ATA рассматривает это как перебор SMB-сессий,что, с точки зрения злоумышленника, как прави- ло, осуществляется на этапе разведки. По этой причине выдается предупреж- дение, как показано на рис. 11.9.