Управление угрозами и уязвимостями КБ Конспект_out. Лекции Управление угрозами и уязвимостями кибербезопасности

Конспект лекции
«Управление угрозами и уязвимостями кибербезопасности»
Введение
В современных реалиях ситуационный подход к управлению угрозами может привести к компрометации инфраструктуры организации. Однако, если заранее изучить возможные угрозы, можно защитить инфраструктуру и снизить риски.
Термины и определения
Индикатор компрометации (Indicator of compromise, IOC) – объект (IP-адрес, DNS, хеш), наблюдаемый в сети или на конкретном устройстве.
Feed – источник, предоставляющий не только индикаторы компрометации, но и связанный с ними контекст, так как сами по себе индикаторы не имеют смысла. В качестве контекста могут выступать:
• описание угрозы;
• техники и инструменты злоумышленников;
• принадлежность к какой-либо группировке;
• дополнительные индикаторы.
Тактики, техники и процедуры атакующих (Tactics, Techniques and Procedures, TTP) – описания используемых злоумышленниками методов атаки, основанные на реальных наблюдениях.
Позволяют упростить задачу реагирования на инциденты за счет их обобщения в структурированной матрице MITRE ATT&CK и единообразного формата.
Детект – факт обнаружения кибератаки.
Уязвимость – недостаток программного/программно-технического средства или информационной системы, который может быть использован для реализации угроз безопасности.
Управление уязвимостями (Vulnerability Management, VM) – процесс выявления, оценки, устранения и составления отчетов об уязвимостях.
Патч-менеджмент (Patch Management) – процесс управления обновлениями ПО.
CTI – мода или необходимость?
Threat Intelligence (TI) имеет несколько определений:
1. Знания о мотивах, намерениях и методах злоумышленников, собираемые, анализируемые и распространяемые для помощи специалистам по ИБ и менеджменту по защите критических активов организации на всех уровнях.
2. Основанные на фактических данных знания о существующих или возможных угрозах, которые включают контекст, механизмы, индикаторы, последствия, практические рекомендации и могут быть использованы для принятия решений по реагированию.
3. Набор данных, собранных, оцененных и примененных в отношении угроз, субъектов угроз, эксплойтов, вредоносных программ, уязвимостей и индикаторов компрометации.
Мы считаем первые 2 определения наиболее подходящими для данного термина, так как в них фигурирует понятие знание. А оно является результатом нашей работы.
Этапы развития CTI в Сбербанке.
1. Реактивный подход. Реагирование на инцидент происходит после получения информации об угрозе из средств детектирования, мониторинга. Чем позднее мы

фиксируем угрозу и реагируем на нее, тем больший ущерб может быть нанесен.
Существует вероятность, что к моменту реагирования защитить инфраструктуру не удастся.
2. Детектирование и сокращение времени реагирования до инсталляции основных типов угроз. Детектирование должно происходить на этапе доставки угрозы, а реагирование на нее - в режиме реального времени с учетом автоматизации и механизмов роботизации процессов реагирования.
3. Проактивный подход. Позволяет изучить, задетектировать и среагировать на угрозу до этапа ее доставки.
Изменения возможностей злоумышленника и специалиста по ИБ:
1. Злоумышленник:
• растет квалификация;
• расширяется инструментарий (Red Team Frameworks);
• развиваются возможности автоматизации атак;
• группировки киберпреступников формируются под конкретные отрасли.
Все это позволяет злоумышленникам быть на шаг впереди.
2. Специалист по ИБ:
• растет квалификация;
• улучшаются характеристики обмена информацией об угрозах.
Остается неизменным время выхода сигнатур, тестирования и установки патчей.
Примеры реализации уязвимостей:
Пример 1. Массовое распространение червя WannaCry.
Изначально был опубликован эксплойт EternalBlue, позволяющий эксплуатировать одноименную уязвимость. Спустя несколько месяцев появился WannaCry – сетевой червь, который использует
EternalBlue для распространения и запуска шифровальщика на скомпрометированных компьютерах.
С момента публикации информации об уязвимости, выхода патчей и до появления червя прошло несколько, однако никто не успел подготовиться к угрозе. В результате пострадало большое количество организаций во всем мире.
Пример 2. Уязвимость Log4Shell.
Так как время на тестирование инфраструктуры было ограничено, попытки эксплуатации угрозы начались, как только появилась информация об уязвимости.
В контексте данных примеров важно отметить, что работа подразделений CTI начинается с момента публикации информации об уязвимости. Чем быстрее обнаружена и отработана информация об угрозе, тем быстрее можно ее нивелировать и закрыть риски до реализации.
Управление знаниями
Управление знаниями о киберугрозах
Управление знаниями делится на категории:
• сбор, систематизация и анализ данных о потенциальных угрозах;
• определение их релевантности и критичности;
• определение необходимых контрмер;
• запуск реагирования;
• выполнение поиска киберугроз в инфраструктуре компании;
• подготовка и распространение аналитических отчетов.
В работу поступают исходные, неструктурированные данные, которые могут быть противоречивыми или нерелевантными. Наша задача – переработать, определить контекст и получить из них информацию. На ее основе появляется понимание, как работает злоумышленник.
Это позволяет принимать решения о методах реагирования на атаки.

В Сбере используется двухуровневое разделение подходов. Например, на уровне аналитиков есть:
1. Аналитик 1-го уровня:
• изучает неструктурированные данные;
• выделяет индикаторы компрометации и контекст;
• вырабатывает меры митигации;
• направляет контекст аналитику 2-го уровня.
2. Аналитик 2-го уровня:
• проводит поиск угроз по инфраструктуре;
• определяет, была ли реализована угроза ранее;
• решает, что можно сделать, чтобы заблокировать угрозу или поставить на мониторинг;
• вырабатывает правило корреляции в SIEM;
• пишет Play Book.
Модель представления информации в зависимости от уровня абстракции и количества времени ее использования:
1.
Тактическая.
• низкий уровень абстракции;
• долгий период пользования.
2. Техническая.
• низкий уровень абстракции;
• короткий период пользования.
3. Стратегическая.
• высокий уровень абстракции;
• долгий период пользования.
4. Операционная.
• высокий уровень абстракции;
• короткий период пользования.
Тактическая (техники атак) и техническая (индикаторы компрометации) информация используется командами CTI, которые осуществляют реагирование. Появление нового типа атак - это не частое событие, в отличие, например, от индикаторов компрометации.
Операционно-стратегическая информация используется руководством для принятия конкретных решений.
Одним из аспектов CTI является важность обмена и получения данных об угрозах. Их можно получать из таких источников, как фиды (платные/бесплатные), NIST, ФСТЭК, ФинЦЕРТ.
Инструментарий специалиста по CTI:
1.
Diamond Model - модель описания злоумышленника.
2.
Cyber Kill Chain - модель описания этапов атаки
3.
MITRE ATT&CK - модель описания этапов и техники атак.
4.
CVSS - система установления критичности и приоритизации уязвимостей.
5.
Форматы обмена данными об угрозах:
• язык обмена данными (STIX) позволяет написать любую угрозу и структурировать ее по определенным полям;
• описание вредоносных программ (YARA) является аналогом файловой сигнатуры;
• стандарты описания сигнатуры сетевых атак (Suricata);
• описание поведенческих шаблонов (Sigma) позволяет загрузить поведенческие шаблоны в SIEM систему с целью задетектировать вредоносную активность в инфраструктуре.
Анализируя угрозу, важно ответить на 5 ключевых вопросов:
1. Является ли уровень угрозы критическим, высоким, средним или низким?
2. Предрасположена ли инфраструктура компании к атаке?

3. Каким способом распространяется атака?
4. Какие TTP используют злоумышленники?
5. Было ли зафиксировано влияние?
Пирамида боли Дэвида Бьянки описывает уровни сложности индикаторов компрометации, которые злоумышленники используют при атаках
. Пирамида позволяет описать подход, который эффективно использовать для детектирования. Чем выше уровень, тем сложнее злоумышленнику обойти метод детектирования.
Рассмотрим ее уровни:
Уровень
Метод детектирования
Тривиальный
Хеш-сумма
Легкий
IP адрес
Незначительно сложный
Доменное имя
Довольно трудный
Сетевое взаимодействие/артефакты на хосте
Сложный
Инструменты
Очень сложный
Тактика, техники и процедура
Данные методы детектирования можно разделить на 3 группы:
1. IOC-based.
• хеш-сумма;
• IP адрес;
• доменное имя;
• сетевое взаимодействие/артефакты на хосте.
2. Tool-based.
• инструменты.
3. TTP-based.
• тактика, техники и процедура.
Самым главным в CTI является получение знаний о конкретной угрозе, так как оно позволяет предпринять меры по блокировке угрозы и снижению рисков.
Управление уязвимостями
Существует как минимум 3 типа уязвимостей:
1. Архитектурные ошибки.
2. Ошибки конфигурации.
3. Ошибки в программном обеспечении.
Наибольшую сложность вызывает решение архитектурных ошибок. Например, существует методика спуфинга, при которой мошенник выдает себя за надежный источник, чтобы получить доступ к данным или информации. Такая подмена может происходить через веб-сайты, IP-адреса
(ARP протокол), серверы.
Для устранения уязвимостей могут применяться меры:
• компенсирующие (установка патча);
• системные (накрутка политики, блокировка угрозы).
Модель CVSS для приоритизации уязвимости. При определении приоритетов мы основываемся на том, что у каждой уязвимости есть скоринг (базовый и временной), контекст, определяющий, как данная уязвимость влияет на конкретную инфраструктуру. Данные метрики можно рассчитать с помощью специальных калькуляторов, которые рассчитывают степень риска и критичности уязвимости. Чем она критичнее, тем больший приоритет ей будет присвоен.
Пример расчета CVSS 3.1

Анализируя уязвимость, важно ответить на 6 ключевых вопросов:
1.
Насколько уязвимость критична?
2.
Уязвимость в продукте или компоненте?
3.
Есть ли в инфраструктуре продукт/компонент с уязвимостью?
4.
Есть ли эксплойт?
5.
Опубликованы ли способы митигации?
6.
Детектится ли попытка эксплуатации?
Процесс управления уязвимостями является цикличным и состоит из:
• мониторинга уязвимостей и угроз, оценки применимости;
• оценки уязвимостей;
• определения методов и приоритетов устранения;
• устранения уязвимостей (мы предлагаем меру и контролируем ее применение в инфраструктуре);
• контроля устранения.
Процесс управления уязвимостями в Сбере
Наши действия при обнаружении уязвимости:
1. Ищем информацию о том, насколько она критична/не критична.
2. Поиск информации о способах ее устранения/митигации.
3. Принимаем решение о релевантности на основе различных баз данных (Service manager,
UCMDB, Inventory). Мы должны хорошо знать инфраструктуру, поэтому все базы должны быть актуальными и непротиворечивыми.
4. Если уязвимость релевантна, принимаем решение о проведении сканирования в инфраструктуре, привлечении RedTeam.
5. Переоценка уязвимости. Необходимо проанализировать, в какой части инфраструктуры мы нашли уязвимость, насколько она является критичной с точки зрения нахождения в инфраструктуре, является ли это уязвимостью на периметре или уязвимость находится в изолированном сегменте.
6. Устранение.
7. Контроль устранения.
8. Отчетность.
Отдельной частью процесса управления уязвимостями, требующей внимания, является актуализация данных об активах и их классификация критичности.

Ландшафт киберугроз и примеры
Ландшафт киберугроз связан со спецификой финансовой организации. Мы воспринимаем угрозу в соответствии с тем, на кого она направлена (инфраструктуру Банка или клиентов).
Например, фишинг - не только рассылки вредоносных программ, но и регистрация вредоносных сайтов, куда собираются персональные данные клиентов (номера карт, учетные данные).
С ландшафтом угроз связано применение MITRE ATT&CK, которая используется в качестве методологии построения правил детектирования. Можно выделить следующие проблемы применения данной методологии:
• часть техник описана абстрактно, нет общего детекта;
• невозможно детектить все техники;
• зависимость способов детектирования от конкретной реализации инфраструктуры.
Требуется адаптация правил детекта под конкретную организацию. Необходимо рассматривать каждую угрозу по отдельности.
Примеры угроз:
1. Ботнет. На первом этапе пытается заразить как можно большее количество устройств и взять их под свое управление. На втором - провести атаку (например, DDoS). Когда мы видим DDoS-атаку, мы снимаем все IP адреса в моменте и с помощью сканера Shodan собираем информацию по конкретному адресу. По ботнетам мы можем определить, какой сервис на нем открыт. В нашем примере это веб-камера (обладает характерным портом 554
RTSP).
2. Вредоносное ПО.
Существуют сложности при детектировании вредоносных программ, поэтому уже на логах
EDR систем мы собираем информацию об активности определённых процессов. В данном случае рассмотрим одну из вредоносных программ по ее графу, какую цепочку процессов она порождает. Так, например, этапы 7, 8, 9 встречались в одной из первых версий программы.
Обнаружив, что данные этапы позволяют быстро задетектировать программу, злоумышленники перестроили цепочку.

При анализе вредоносной программы необходимо не только определить, как она работает, какой риск несет, но и построить цепочку с целью провести детектирование на основе логов.
По действиям также можно определить, используются ли противодействия обнаружению или обход средств защиты. Например, обход User Account Control легко обнаружить с помощью активности в части реестра.
3. Уязвимости и сетевые атаки на примере Log4j.
Проблема заключается в том, что в логах не всегда видно выделенную выше строку. Ее можно обфусцировать и обойти средства детектирования. Вредоносное ПО (APT, MINER) может быть использовано с эксплойтом.
4. Группировки. Diamond Model - модель описания группировок злоумышленников состоит из следующих сущностей:
• злоумышленник;
• инфраструктура, используемая злоумышленником;
• возможности (характеризуются качеством и количеством);
• жертва.
Для установления группировки важно определить ее цели, страну (для правительственных группировок), технические возможности (ВПО, эксплойты, скомпрометированные сертификаты).
Так, одна из группировок направила письмо от лица компании Ростех с целью распространения вредоносной программы. В программе использовался домен динамического DNS сервиса, что характерно для определенного типа группировок. Анализ вредоносной программы посредством
OSINT инструмента Maltego позволил определить IP-адрес и местоположение, откуда производилась атака.
Инструменты злоумышленников:
• Cobalt Strike – позволяет автоматизировать действия в инфраструктуре жертвы;
• Impacket внутри сети – позволяет скомпрометировать инфраструктуру Active
Directory.
Процессы и люди CTI
Процессы CTI. Автоматизация процессов CTI
Группы процессов в Сбере разделены на следующие категории:
• инжиниринг;
• реагирование на инциденты;
• CTI;
• управление.
Процессы CTI:

• управление данными;
• анализ информации;
• реагирование на основе аналитики КБ;
• разработка и настройка сценариев;
• приоритизация угроз;
• запрос аналитической информации;
• управление уязвимостями;
• поиск угроз.
Автоматизация процессов CTI происходит посредством Threat Intelligence Platform.
Платформа не учитывает информацию об инфраструктуре. Если она разрабатывается не в организации, внесение изменений затруднительно и затратно. В связи с этим Сбер создал свою платформу SberTIP. В ней реализованы 2 модуля: Threat Intelligence Platform и Vulnerability
Management. Обрабатываемую информацию мы кладем в инфраструктуру в виде кейсов. Под кейсом мы пониманием аналитический отчет, описание. С помощью модуля графовой аналитики мы изучаем структуру связей между объектами и приземляем их на граф.
Команда CTI
По функциональной составляющей подразделение CTI можно разделить на 4 направления:
• анализ информации;
• управление уязвимостями;
• поиск киберугроз в инфраструктуре;
• разработка и настройка сценариев.