同期された水泳スキル、または監視タスクと対応タスクの調整
ご存知のように、世界で最も速い動物はセンチピードでなければなりません。それは最も多くの足を持っています。しかし、貧しい動物は、そのステップと活動を同期させる必要性によって本当に妨げられています。同様の話は、SOC(セキュリティオペレーションセンター)の生活にしばしば悩まされます。アナリストはシナリオを作成し、眉をひそめ、攻撃を検出する新しい方法を考え出します。対応チームは、これらのインシデントをどう処理するかを理解していないことがよくあります(外部の商用SOCがバリケードの最前線にある場合は距離が長くなります)。この状況は通常、2つの極端な状況につながります。
- SLA « , », , SOC, . , , - .
- – «» . , , . , , . - - , SOC , . , , .
セキュリティスキャナーを購入している学生に、見つかった脆弱性をどうするかを尋ねた賢明なYin Fu Woを覚えていますか?彼の例に続いて、私は本当に対応チームに質問したいと思います。正確に、そして最も重要なこととして、見つかったインシデントをどのくらい迅速に処理しますか?
対応プロセスの機能により、内部の重要度に基づいてインシデントのリストを「整列」させることができます。たとえば、プロセスの重大な変更やWebでの攻撃に関する通信は、調査チームを即座に収集して、電話のモードに論理的に切り替えることができます。重要でないブランチオフィスマシンでのTeamViewerの起動を処理するには、数時間の解析が適切なオプションです。また、ウイルス感染の統計に関するレポートを1日1回提出することは非常に受け入れられます。朝のコーヒーと問題の「カーペット」閉鎖については、ウイルスの大規模な治癒、禁止されているソフトウェアの削除、OSの更新、脆弱性の閉鎖などが行われている場合です。これにより、監視と対応の作業のペースが大幅に平準化され、インシデント管理プロセス全体を通じてシームレスで快適なゲームのルールが作成されます。
ヒント1.優先順位を設定します。一度にすべてに対処することは絶対にできないので、どのタイプのインシデントが会社のビジネスにとって本当に重要であるかを判断し、それらの解決に必要な時間枠を修正します。
分析、分析、さらに多くのインシデント分析
多くの商用SOCおよびスクリプトチームは、誤検知フィルタリングの信じられないほどの割合について非常に頻繁に真剣に話します。これにより、顧客はインシデントの疑いではなく、攻撃についてのみ通知されると思われます(彼らが言うように、「まさに本質」)。
これにより、インシデントを分析および調査するための驚くべきプロセスが発生することがあります。たとえば、次のようなものです。
- ネットワークトラフィックの分析に基づいて、SOCはホストでのリモート管理ツール(RAT)の起動を記録しました。
- , . – , RAT ( ) , .
- « ». SIEM .
ハッカーの攻撃の場合、事後にログレベルでマシンを接続することは、控えめに言っても、あまり意図的なアクションではないという事実はさておきましょう。攻撃者は必要なすべてのログを単純にこすり、かなりの特権を持つアカウントで新たに侵害されたマシンに接続すると、それ自体を侵害するよりもはるかに深刻な結果につながる可能性があります(特に、チェックボックスを処理して正しいものを提供することにうんざりしている恐れを知らないクライアントの場合)権限、SIEMドメイン管理者権限のアカウントを付与します)。
主なことは、結果の観点から、SOCとセキュリティサービスによるこの複雑な検証プロセス全体は、電話を取り、特定のユーザーにRATセッションを開始したかどうか、およびその理由を質問することと同じです。その結果、回答自体を何倍も早く受け取ることができ、インシデントの調査に費やされる合計時間が大幅に短縮されます。ローカルマシンでRATを実行する時間の98%がユーザーマニュアルであるとすると(残りの2%だけが意味のあるものになります)、この応答アプローチははるかに効率的です。
2. , . , , « », , , .
, –
ここで、監視および対応プロセスの開発でしばしば取り上げられる1つのトピック、つまり在庫の問題と資産の会計に触れないことは不可能です。ほとんどの場合、彼らは情報を充実させるために資産について話します。インシデントの重要性を理解するには、それがどのようなネットワークノードであり、誰がその所有者であり、どのソフトウェアがそこにインストールされているかを知ることが重要です。ただし、プレイブックの開発に関しては、このタスクには追加の意味があります。インシデントに対応するプロセスそのものは、ノードの種類とネットワークのどの部分にあるかによって直接異なります。
かなり基本的な事件、つまりホストウイルス感染について考えてみましょう。このホストが配置されている場所に応じて、重みと重要度が完全に異なります。
- – , ;
- VIP-, , – ;
- .
産業会社の対応プロセスには、さらに注意が必要です。マシンでのRATの起動に伴う同じインシデントは、ロジックによれば、たとえば技術プロセスオペレーターのワークステーションでは実行できないようなユーティリティが起動された場合、まったく異なるアクセントと重要性を獲得します。この場合、デフォルトの対応方法は、ホストを切断して分離し、ユーティリティを実行する理由を見つけ、外部の攻撃者による潜在的な侵害の兆候がないかホストを詳細に分析することです。
ヒント3.資産のインベントリを実行します。さまざまなクラスのインシデントをネットワークセグメントに重ね合わせます。したがって、インシデントの重要度のレベルがそのタイプのみによって決定される線形モデルではなく、組織に合わせてカスタマイズされた基本マトリックスを取得します。これは、時間の経過とともに改善および改良できます。
実際の応答と完全な応答
上記の状況は、重要な質問を浮き彫りにします。インシデントの結果と原因を確実に排除するために、内部チームはどの程度対応する準備ができていますか。マルウェア感染の例に戻りましょう。応答プロセスは次のようになります。
- マルウェア侵入チャネルの分析(メール/ウェブ/フラッシュドライブ)
- マルウェア自体に関する情報の取得-どのファミリ、潜在的な結果、関連するユーティリティの存在
- 特定のマルウェアに典型的な侵害の指標を特定し、隣接するマシンで指標を検索します(これは、アンチウイルス保護を備えたワークステーションとサーバーが完全にカバーされておらず、マルウェアがカバーされていないホストの1つに正常に侵入できる場合に特に重要です)
- インフラストラクチャと修復で関連するすべてのユーティリティを検索します
しかし、このアプローチをインフラストラクチャ内の各ウイルス体と各感染に適用すると、非常に大きな人件費が発生します。したがって、さまざまな外部パラメータに応じて、ここでは応答へのバランスの取れたアプローチが必要です。
- すでに述べた資産のモデルとその重要性
- 悪意のあるファミリの動作-ワーム、特に潜在的に破壊的な負荷を運ぶワームには、さらに注意が必要です
- ウイルスの「老齢」と抗ウイルス研究所の認識
- 会社または業界に関連するグループ化ツールキットに属します
これらすべてのパラメータに応じて、通常の車からのマルウェアの基本的な除去や重要なホストのリロードから、専門家が関与するより複雑な対応手順まで、決定を下すことができます。
ヒント4.「斧を研ぐ」ことを怠らないでください。追加の条件により、インシデントに対応する過程での優先順位とアクションのアルゴリズムを明確にすることができます。それらは、インシデントを特定して攻撃に対抗するために必要なすべての作業をより完全に実行するだけでなく、より単純な場合に不必要な動きを回避することもできます。
あなたの友達は誰なのか教えてください。
ええと、対応チームの専門知識の深さは、プレイブックの開発において確かに重要です。商用SOCとしての作業の開始時には、すべての通信は、顧客の情報セキュリティサービスの専任者を通じて構築されていました。今回は、専門教育を受けた若い学生でも、さまざまな事件に時折対応し、自らの専門知識を蓄積し、ますます効率的に仕事をしている社員の話をしました。
プレイブックは、条件付きでテクニカルとビジネスの2つのタイプに分けることができます。 1つ目は、インシデントに対処する際のプロセスフローについて説明し、信頼できる顧客からの対応チームのために作成されます。 2つ目は、インシデントに関与した一連の部門の説明であり、その消費者はむしろライン管理です。したがって、「聴衆を知る」ことは非常に重要です。そうしないと、理解と解釈に関連する「翻訳の難しさ」が生じます。
近年、顧客はますますIT部門、ビジネスユニット、技術者、さらにはヘルプデスクを直接対応プロセスに含めるようになっています。そして、これはしばしば事件につながります。パンデミックの開始時に、いくつかの顧客は(全国のように)予期せずにユーザーをリモートアクセスに大規模に転送することを余儀なくされました。認証の2番目の要素を迅速に実装できなかったため、一時的なスキームとして次のことが合意されました。各リモート特権接続は、ヘルプデスクが電話で確認しました。フィードバックがない場合、質問はシステムのビジネスオーナーにエスカレーションされました。ビジネスオーナーは、一貫性のないアクティビティの疑いがある場合に、状況が明らかになるまで作業を続行するか、アカウントをブロックするかを決定できました。ヘルプデスクのプレイブックには、事業主の連絡先に電話して検索する手順が可能な限り詳しく記載されています。しかし、彼らは、ヘルプデスクの従業員がアカウントをロックするコマンドを受け取ったときに何をすべきかを書いていませんでした(そしてサービスにはそのような権利がありました)。そして、インシデントの最初のテスト実行では、「不正、ブロック中」というメッセージが記載された手紙を受け取ったヘルプデスクのスペシャリストは、ブロックを実行せずにアプリケーションを閉じただけでした。
ヒント5.シンプルにしてください。対応チームのリソースの資格と「流動性」の詳細を考慮し、専門家向けの自由度のある基本的な指示から外部サービス向けの段階的な「アルファベット」までプレイブックを分解することが非常に重要です。対応プロセスの開発は、すべての企業にとって非常に創造的なことです。ただし、自分自身と他の人の両方の経験を考慮することは非常に便利です。そして、NISTがあなたと一緒にいるかもしれません。