Get best of the week

أمن المعلومات الآلي منصة الاستجابة للحوادث

تخيل مركزًا نموذجيًا لأمن المعلومات في شركة كبيرة. في عالم مثالي ، يكتشف البرنامج نشاطًا مريبًا ، ويبدأ فريق "الهاكرز البيض" في النقر على لوحة المفاتيح. وهذا يحدث مرة في الشهر.

في العالم الحقيقي ، هناك مئات من الإيجابيات الكاذبة وموظفي الدعم المتعبين. إنهم مجبرون على التعامل مع كل حادثة عندما ينسى المستخدم كلمة المرور ، ولا يمكنه تنزيل اللعبة من سيل ، فيلم إباحي آخر بتنسيق * .exe ، ومشاهدة فشل الشبكة والتحقيق بشكل عام في العديد من المواقف.

تساعد أنظمة SIEM على تنظيم وربط الأحداث من المصادر. وهي تولد إيجابيات ، يجب التعامل مع كل منها. الأغلبية من هؤلاء "الجميع" خاطئة. يمكنك التعامل مع المشكلة من ناحية أخرى ، وجود برامج نصية لمعالجة التنبيه. في كل مرة يعمل فيها شيء ما ، سيكون من الجيد ألا يكون سبب الإنذار فقط ، ثم يصعد إلى أربعة إلى خمسة أنظمة للحصول على بيانات مختلفة ، ويقوم تلقائيًا بجمع التشخيص بالكامل تلقائيًا.



لقد صنعنا مثل هذه الإضافة ، وساعدت كثيرًا على تقليل الحمل على المشغلين. لأنه يتم إطلاق البرامج النصية لجمع المعلومات على الفور ، وإذا كانت هناك إجراءات نموذجية ، يتم اتخاذها على الفور. أي إذا قمت بتشغيل النظام "في مثل هذه الحالة نقوم بذلك وذاك" ، فستفتح البطاقة للمشغل مع الوضع الذي تم وضعه بالفعل.

ما هو الخطأ في أنظمة SIEM؟


قائمة التعويضات مثقلة بالبيانات الخام. يتم نقل بطاقة حادثة محددة لملئها على منصتنا.

تحتوي الحالات النموذجية على مخططات تدفق تفاعل العينة.

هنا ، على سبيل المثال ، تقارير تحليل البيانات حول أخطاء مصادقة المستخدم:



هناك معايير لإيجابيات خاطئة: على سبيل المثال ، جربتها مرتين - دخلت من الثالثة. يتلقى المستخدم فقط رسالة تفيد بأنه يجب كتابة كلمة المرور بعناية ، ويتم إغلاق التذكرة. إذا حاول خمس أو ست مرات ، فإن المعلومات التفصيلية قد بدأت بالفعل في جمع: ما حدث بعد ذلك ، وما حدث من قبل ، وما إلى ذلك. إذا قام بتسجيل الدخول في المرة العاشرة ، ثم ذهب إلى قاعدة المعرفة وبدأ تنزيل 10 ملفات ، فقد يكون هناك إعداد "لحظر الوصول إلى قاعدة المعرفة حتى نهاية الإجراءات وإخطار عامل التشغيل". على الأرجح ، إذا لم يكن المستخدم ضارًا ، في هذه الحالة سيتلقى قسم تكنولوجيا المعلومات تلقائيًا بريدًا إلكترونيًا يحتوي على التفاصيل. ربما سيعلمون المستخدم إدخال كلمة المرور بشكل صحيح أو المساعدة على تغييرها.

إذا كان النشاط أكثر خطورة ، فإن المستوى "فتح الملف القابل للتنفيذ في البريد ، ثم بدأ شيء ما في التسلل على الويب" ، فقد يتم حظر جزء أو شبكة فرعية بالكامل تلقائيًا. نعم ، يمكن لـ SIEM القيام بذلك بمفردها ، ولكن بدون الضبط الدقيق ، ربما تكون هذه الإجراءات هي حد الأتمتة.

مرة أخرى ، في عالم مثالي ، يمكن للمشغل الوصول إلى جميع الأنظمة ويعرف على الفور ما يجب القيام به. في العالم الحقيقي ، غالبًا ما يحتاج إلى العثور على شخص مسؤول لتوضيح شيء ما. وهو أيضا في إجازة أو في اجتماع. لذلك ، جزء مهم آخر - في مخطط تدفق التفاعل يجب أن يكون مسؤولاً على الفور عن أقسام محددة من الأنظمة والأقسام. أي أنك لا تحتاج إلى البحث عن الهاتف الخلوي للموظف واسم رئيسه وهاتفه ، ولكن أن تراهم على الفور في بطاقة مفتوحة.

ماذا فعلنا


  1. , (), - .
  2. , ( ), , .
  3. , -. : , , .
  4. , .
  5. .
  6. ( , , ).
  7. .
  8. GUI -.

أحد عملاءنا الرئيسيين هو SIEM QRadar. نظام جيد للكشف عن التهديدات ، هناك إجراءات وخطوات لكل حادثة ، ولكن لا يمكنك إعطاء قائمة بالعمل لعامل بشري. عندما يتعلق الأمر بفئة فائقة احترافية ، فهذا ليس ضروريًا. عندما يتعلق الأمر بمشغل الخط الأول ، من المهم جدًا تزويده بالتعليمات حول ما وكيفية القيام به ، وسيكون قادرًا على تغطية معظم الحوادث النموذجية على مستوى أخصائي بارد.

أي أننا أخرجنا جميع الأحداث المملة بوضوح في السطر الأول وأضفنا معايير للنصوص التي تفصل الممل عن الممل. كل شيء غير عادي ، كما كان من قبل ، يقع على الإيجابيات.

تم وضع حالات للشركات التي تضم عشرات الآلاف من أماكن العمل ومع قدرات الخادم الخاصة بها في العديد من مراكز البيانات ووصفها نتيجة لمدة عام تقريبًا (هناك علاقات صعبة بين الأقسام ، مما جعل الاندماج في أنظمة مختلفة أمرًا صعبًا). ولكن الآن أي مهمة فرعية في البطاقة لديها شخص معين مسؤول ، وهي ذات صلة دائمًا.

يمكن الحكم على بساطة المشغلين من خلال حقيقة أنه عند التنفيذ ، تم نشر النظام لأول مرة في المناطق ، ثم بعد أسبوعين ، بدأ إرسال الوثائق الرسمية. خلال هذا الوقت ، بدأ الناس بالفعل في إغلاق الحوادث بثقة.

كيف بدأت؟


هناك SIEM ، ولكن ليس من الواضح ما يحدث باستمرار. بتعبير أدق ، يولد QRadar الكثير من الأحداث ، تقع في قسم أمن المعلومات ، وببساطة ليس هناك أيادي لتفكيك كل شيء بشكل صحيح ومفصل. ونتيجة لذلك ، يتم عرض التقارير بشكل سطحي. الفائدة من SIEM مع هذا النهج ليست عالية جدًا.

هناك نظام لإدارة الأصول.

هناك خوادم لمسح الشبكة ، مهيأة بشكل جيد للغاية.

كان التقرير ممتازًا ، لكنهم نظروا إليه بتعب وتأجلوا.

أراد العميل ما اشتروه لبدء تحقيق النتائج.

وضعنا مكتب الخدمة لحراس الأمن في المقدمة (في الواقع نظام تذاكر ، كما هو الحال في الدعم العادي) ، وتحليلات البيانات المرئية ، وكتبنا منصة الأتمتة الموصوفة على أساس IBM Resilient + وأضاف ردود فعل نموذجية. المرونة تأتي عارية ، إنها مجرد إطار عمل. أخذنا قواعد الارتباط من QRadar كأساس وخطط استجابة نهائية لحالات المستخدمين.



لعدة أشهر قاموا بترويس كل شيء وعلقوا الحزم الصحيحة بواسطة API. بمجرد أن انتهينا ، أصدر البائع الترويس ، وكنا حزينين قليلاً.

خلال شهر تقريبًا ، تم تدريبهم والتعرف على الوثائق (على وجه الخصوص ، كيفية رسم مخططات تدفق جديدة للبطاقات). كلما تعلموا أكثر ، أصبحت الحالات الأكثر بساطة: في البداية تمت كتابة نصوص ضخمة من الإجراءات ، ثم اتضح أنها أصبحت نوعًا من مكتبة من الحالات النموذجية. ويمكن للمرء أن يشير إليها في أي رد فعل تقريبًا.

مقارنة التفاعل


الحادث "عدوى فيروس متكررة بنفس البرامج الضارة في فترة زمنية قصيرة." أي أنه تم اكتشاف الفيروس في محطات العمل ، ولكن هناك حاجة إلى الموظفين لفهم من أين يأتي. مصدر العدوى نشط.

كلاسيكي:

  1. كان هناك عدوى فيروس متكررة للمضيف 192.168.10.5 مع نفس البرامج الضارة لفترة قصيرة من الزمن ، تم إرسال الأحداث إلى SIEM ، وعملت القاعدة المقابلة.
  2. .
  3. .
  4. .
  5. .
  6. /CMDB-.
  7. .
  8. - , .
  9. / .
  10. Service Desk .
  11. يملأ طلبًا في نظام مكتب الخدمة بناءً على نتائج التحقيق لإزالة الثغرة الأمنية التي أصيب بها هذا المضيف.
  12. ينتظر أن يتم إغلاق تطبيقات مكتب الخدمة ، ثم يتحقق من تنفيذها.
  13. يملأ بطاقة الحادث ويغلق الحادث.
  14. وهي تقدم تقارير إلى الإدارة بشأن نتائج عملها.
  15. يقوم المحلل بجمع إحصائيات الحوادث لتحليل فعالية عملية الاستجابة.

على منصتنا:

  1. كان هناك عدوى فيروس متكررة للمضيف 192.168.10.5 بنفس البرامج الضارة في فترة زمنية قصيرة ، وتم إرسال الأحداث إلى SIEM ، وعملت القاعدة المقابلة.
  2. ينظر عامل الهاتف إلى بطاقة الحادث ، التي تم بالفعل تنزيل معلومات حول هذا المضيف وحالة أداة الحماية من الفيروسات وسجلاتها ونقاط الضعف على المضيف والحوادث ذات الصلة والأشخاص المسؤولين عن هذا المضيف.
  3. , : , , Service Desk , - .
  4. Service Desk , .
  5. .
  6. .




أصبح أسرع قليلا. ولكن الشيء الرئيسي ليس هذا ، ولكن من الممكن تصنيف المهام إلى "عامل الخط الأول سيتعامل" و "الاحتياجات الخاصة". أي ، في المتوسط ​​، أصبح الحل لكل تذكرة أرخص بكثير ، والنظام أكثر قابلية للتطوير.



بالإضافة إلى العديد من الإيجابيات الخاطئة ، كان هناك العديد من التكرارات التي تبين أنها مناسبة للكشف عنها بواسطة النظام.



لا تبدو البطاقات كمجموعة من البيانات الغامضة من تقرير ، ولكن مثل "Vasya فعلت هذا وذاك على مضيف. هذا سيء. المضيف مسؤول عن بيتيا. هذا بالضبط ما حدث. نحتاج للذهاب إلى بيتيا ونقول أنه لا يمكن استخدام كمبيوتر Vasya من منطقة العمل لعرض العروض التقديمية في المؤتمرات ".

شيء آخر مهم في كل هذا هو أنه استنادًا إلى جمع البيانات الأساسية ، أصبح من الممكن تحديد أولويات التذاكر. أي أن التهديدات الرئيسية المحتملة تنبثق وتتطلب الاهتمام على الفور ، وليس في طابور مباشر.

أتاحت الأتمتة في الواجهة مع تذاكر تكنولوجيا المعلومات ليس فقط جمع جميع المعلومات حول الحادث ، ولكن أيضًا وضع التذاكر على الفور لقسم تكنولوجيا المعلومات. إذا كنت بحاجة إلى تغيير بعض الإعدادات على جهاز التوجيه ، فحينئذٍ يتم إنشاء تذكرة من تكنولوجيا المعلومات تلقائيًا ، على سبيل المثال. والمثير للدهشة أن الحالات بدأت بالظهور "نسيت تغيير الحساب في الخدمة ، وهو يحاول الاتصال لمدة شهر". لا ترى تكنولوجيا المعلومات مثل هذه الحالات أو تتجاهل البنية التحتية. وهنا يقول IS - الخدمة لا يمكن تسجيل الدخول. ووضعوا تذكرة.

بفضل كتابة بطاقات رد الفعل ، بدأت تحل الحوادث بالطرق القياسية. في السابق ، تم تحديد كل منها بشكل خلاق: قام أشخاص مختلفون بأفعال مختلفة.

والنتيجة هي سير عمل جيد كما هو الحال في CRM الحديث. يمر الحادث من خلال قمع. تم حل مشكلة أخرى في المرحلة الأخيرة: كان الأشخاص السابقون يغلقون التذكرة في بعض الأحيان لمجرد أنها كانت متعبة. وهذا يعني أن النتيجة كانت سيئة. والآن عليك أن تثبت للنظام أن هذا إيجابي كاذب. أي أنه يمكنك إغلاقها ، كما كان من قبل ، ولكن من الواضح أنه ، من قام بذلك وتحت أي ظروف ، ومن الأسهل فتح عضادات. ليس فقط "لا يمكن للمستخدم تشغيل الملف" ، ولكن "أحضر اللعبة على محرك أقراص USB المحمول ، وأراد تثبيته - شرحوا قواعد الحياة مرة أخرى". ومن الواضح بالفعل ما حدث.

براعه


الآن هناك زوجان من عمليات الدمج في الإنتاج (أحدهما كبير جدًا مع QRadar ونظام إدارة الأصول ، والآخر أصغر). من الممكن الاتصال بأي SIEM باستخدام واجهات برمجة التطبيقات القياسية ، ولكن ، بالطبع ، يتطلب التكامل وقتًا للموصلات ، وصقل الملف ، وكتابة قواعد رد الفعل للأشخاص. ومع ذلك ، فإنه يساعد كثيرًا على الاستجابة للحوادث الأمنية والقيام بها بشكل سريع نسبيًا ورخيص نسبيًا. من المحتمل أن تتمكن أنظمة SIEM نفسها من القيام بذلك في غضون 10 سنوات ، ولكن حتى الآن أظهرت إضافتنا نفسها بشكل جيد.

إذا كنت تريد أن تشعر معنا أو تناقش كيف قد تبدو معك ، فإليك بريدي AAMatveev@technoserv.com.

More articles:


All Articles