Аналитика и комментарии

19 декабря 2016

противодействие АРТ-атакам: автоматизация с MessilaBot или традиционные методы?

Все больше компаний ежедневно сталкиваются с целевыми атаками, количество которых постоянно растет. Для проникновения в целевую сеть злоумышленники широко применяют все доступные средства – специально разработанные вредоносные программы, атаки на веб-сервисы и сетевую инфраструктуру, а также социальную инженерию, инсайдеров.

Наша компания не стала исключением. Департамент мониторинга обслуживает инфраструктуру из 30 тысяч рабочих станций. Чтобы защититься от атак, мы поначалу действовали по общепринятым схемам.

В месяц мы регистрировали около 800 заявок, каждая заявка требовала ручного расследования. Аналитики тратили довольно много времени на обращение к дополнительным источникам информации (например, на поиск контактных данных владельца рабочей станции и запросы информации из внешних сервисов) и на сбор информации о зараженном ПК (запущенные процессы, активные сетевые соединения, входы пользователей и др.). 

Похожие события обрабатывались параллельно несколькими аналитиками, которые не подозревали о массовости атаки. Вручную искать похожие инциденты довольно трудоемко и ресурсозатратно, хотя такой анализ позволяет достоверно установить уровень опасности инцидента и корректно приоритизировать заявки.

Из-за большого объема ручной работы аналитик тратил на обработку одного инцидента не менее 30 минут. 

В описываемой классической схеме мгновенная блокировка ресурсов злоумышленника невозможна, обычно этот процесс занимает от десятков минут до нескольких часов. В нашем случае на блокировку уходило не меньше двух часов. 

Оповещение пользователя – отдельная сложная и длительная процедура, если выполнять ее вручную. Поэтому чаще всего пользователя не уведомляют вообще, что может мешать работе. 
Очевидно, что для эффективного анализа данных необходимо единое хранилище информации об инцидентах. Иначе невозможно выявлять причины событий безопасности и оценивать эффективность тех или иных средств защиты информации, а также крайне трудно контролировать полноту мер, принятых для локализации инцидента, и аккумулировать информацию о блокировках, проведенных в ходе расследования.

Если в компании реагирование на инциденты реализовано в ручном режиме, то почти невозможно проверить, насколько точно и корректно аналитик исполняет инструкции, соответствующие типу инцидента. Поэтому объективная оценка работы аналитика серьезно затруднена. 

Оценив все вышеизложенные факторы, мы решили пересмотреть широко используемые сегодня алгоритмы сбора данных и расследования инцидентов. Нашей целью стала автоматизация трудозатратных и ресурсоемких процессов, выполняемых аналитиками. Такая автоматизация существенно повышает эффективность и глубину расследования инцидентов, а также сокращает время, необходимое для осуществления расследования, т.е. экономит наиболее дефицитный ресурс, расходуемый при расследовании любого инцидента.

Мы назвали свое решение MessilaBot. Основной алгоритм работы системы повторяет основные фазы расследования инцидента.

Предварительный анализ и сбор данных

Чтобы собрать дополнительные сведения о зарегистрированном событии, MessilaBot в первую очередь использует встроенные и внешние общедоступные справочники и проводит анализ имеющихся данных на наличие аналогичных инцидентов. Затем проводится предварительный анализ инцидента и оценивается уровень его критичности. Вся найденная информация формируется в виде отчета, что дает аналитику возможность сразу же приступить к расследованию инцидента и не тратить время на поиск дополнительной информации.

Все проверки стандартизованы, и пользователь может быть уверен, что MessilaBot автоматически проведет все заданные регламентные работы по конкретному типу инцидента.

Проверка на наличие инцидент

Предварительно предупредив пользователя, MessilaBot подключается к системе и проверяет сетевую активность, автозагрузку, текущие процессы и ряд других параметров. Кроме того, автоматически запускается антивирусная проверка. 

Все полученные данные также добавляются в отчет вместе с признаком важности, что позволяет аналитику работать более эффективно.

Автоматизированная блокировка серверов и адресов ­злоумышленника

Все обнаруженные специализированные серверы злоумышленников и вредоносные URL-адреса блокируются на всем периметре компании. Отметим, что блокировка может осуществляться на любом из описанных этапов по мере обнаружения вредоносных серверов и адресов. 

Все выявленные события регистрируются в системе отслеживания заявок, которая предназначена для учета, отслеживания и контроля устранения последствий инцидентов. Таким образом, жизненный цикл инцидента заранее известен и все его стадии определяются текущим состоянием заявки.

MessilaBot не требует установки агентов и может одновременно расследовать несколько инцидентов. Поэтому развертывание и интеграция в существующую инфраструктуру не требует большого количества ресурсов и времени. Необходимо лишь развернуть MessilaBot на сервере и настроить права доступа и подключения. Администрирование системы также максимально упрощено. 

MessilaBot имеет множество преимуществ перед традиционными средствами обнаружения и расследования инцидентов. Подробный журнал собственных действий MessilaBot создает автоматически, что позволяет отслеживать принятые меры и их результаты.

Процедура проверки запускается в течение одной минуты с момента регистрации инцидента. Сбор информации об инциденте стартует параллельно с проверкой, данные отображаются сразу же по мере обнаружения, поэтому аналитик может реагировать максимально оперативно.

Целый ряд дополнительных параметров также собирается автоматически: данные из внешних и внутренних источников, анализ сетевых соединений, поиск аналогичных инцидентов в базе знаний. Также рабочая станция проверяется как минимум двумя антивирусными решениями, вредоносное ПО удаляется автоматически.

На основании собранных данных формируется отчет, в котором сведения автоматически ранжированы по степени опасности, и аналитик сразу же обращает внимание на самые важные данные.
Выявленные специализированные серверы злоумышленников и подозрительные URL-адреса проходят процедуру автоматической блокировки, т.е. действия злоумышленника незамедлительно блокируются на всем периметре информационной сети компании.

Если говорить о статистике, то количество инцидентов, которые обрабатываются аналитиками вручную, сократилось с 800 до 500 в месяц. Время обработки одной заявки уменьшилось почти в 6 раз: с 30 до 5–7 минут. Блокировка ресурсов злоумышленника, которая раньше занимала не менее 2 часов, теперь выполняется фактически ­мгновенно.    

 

Александр Дворянский
коммерческий директор 
ГК «Инфосекьюрити» 

Сейчас система функционирует в группе «Открытие». По результатам внедрения заказчик особенно отметил скорость работы MessilaBot. Например, при расследовании одного из обнаруженных инцидентов выявленные вредоносные сигнатуры были проверены на 700 рабочих станциях регионального подразделения всего за два часа.

Мы не останавливаемся на достигнутом. В планах выпуск новой версии, которая будет включать обновление и расширение методик выявления и удаления вредоносного ПО, а также модуль сбора криминалистических доказательств.

 

текст Михаил Клычников, директор департамента мониторинга и реагирования на инциденты ГК «Инфосекьюрити»
Поделиться:
 

Возврат к списку