Выявление атак COVID-19
с помощью SIEM

Хаджиев Дмитрий,
инженер отдела средств защиты информации
Введение

На данный момент мы можем наблюдать стремительный роста числа кибератак, связанных с темой COVID-19. Компании столкнулись с огромным количеством проблем связанных с информационной безопасностью. Сейчас киберпреступники стремятся воспользоваться хаосом и проводят целевые атаки, используя тематику COVID-19, такие как:

  • Фишинговые рассылки, основанные на теме COVID-19.
  • Распространение программ-вымогателей.
  • Преступники маскируются под государственные организации, ВОЗ, медицинские учреждения для кражи денег или конфиденциальной информации.
  • Взломы веб конференций, конф-коллов, что влечет за собой угрозу кражи коммерческой тайны
  • DDoS атаки на VPN шлюзы и системы аутентификации
  • Попытки взлома 2х факторной аутентификации.

Конечно, от всего этого можно защититься, но при условии, что все защитные меры развернуты должным образом и настроены корректно. Для эффективного противодействия новым угрозам в компании должны использоваться следующие средства защиты: системы контроля доступа и безопасности данных (межсетевые экраны и VPN), SIEM-система, Web application firewall (WAF), система анализа сетевого трафика NTA, DLP-система, система анализа поведения пользователей и сущностей (UEBA). Но что делать, если по каким-либо причинам в компании может не оказаться одного или нескольких важных средств защиты информации? Возможным выходом из данной ситуации может стать использование OpenSource СЗИ, либо реализация недостающих функций с помощью уже имеющихся средств. И на эту роль удачно подходит SIEM. Тем более, что SIEM имеется в арсенале почти любой службы ИБ. Дело в том, что настраиваемые в SIEM правила корреляции позволяют реализовать почти любые виды контроля и мониторинга.

В данной статье мы расскажем, как наши Заказчики могут использовать собственную SIEM систему для реализации защиты от кибератак, связанных с темой COVID-19 (на примере SIEM ArcSight). Для раннего обнаружения угроз SIEM лучше усилить платформой киберразведки (TI) и контентом для выявления техник атак от MITRE ATT&CK.

Связка SIEM, матрицы MITRE ATT & CK и платформы CIRCL MISP

В 2013 году корпорация MITRE анонсировала базу знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — тактики, техники и общеизвестные знания о злоумышленниках, как способ описания и категоризации поведения злоумышленников, основанный на анализе реальных атак. ATT&CK представляет собой структурированный список известных поведений злоумышленников, скомпилированый в тактики и методы, и выраженный в виде таблиц. Поскольку этот список представляет собой довольно полное представление о поведении злоумышленников, он будет полезен для различных наступательных и защитных мер. В частности, ATT&CK может быть полезен в киберразведке, поскольку он позволяет стандартизировано описывать поведение злоумышленников. Это существенно упрощает жизнь аналитикам информационной безопасности. Более того вы можете изучить рекомендации по устранению этих угроз. SIEM, который включает в себя структуру MITRE ATT&CK, является более умным, более того это поможет вашей команде ИБ говорить на одном и том же кибер-языке.

В области ИБ мы также можем воспользоваться инструментами киберразведки - Threat Intelligence (TI). Сейчас на рынке довольно много поставщиков данных TI, у которых вы можете купить подписку. Но есть и бесплатные поставщики, например - Open Source Threat Intelligence and Sharing Platform MISP, которая собирает информацию с различных источников TI и делится ею через CIRCL (центр реагирования на компьютерные инциденты - Люксембург). Использование платформы киберразведки (Threat Intelligence Platform), таких как MISP, помогут быстрее выявлять новые атаки.

Поэтому связка SIEM, матрицы MITRE ATT & CK и платформы CIRCL MISP может повысить уровень защит от атак, в том числе, связанных с темой COVID-19. Компания Micro Focus выпустила для своих продуктов ArcSight программные пакеты MITRE ATT & CK и CIRCL MISP, которые помогают аналитикам компании визуализировать атаки, позволяя прорабатывать их вектора и используемые техники. На рисунке 1 показана техника атаки T1193 - Spearphishing Attachment (целевые фишинговые вложения).
Рис. 1
Выбрав интересующую нас технику, мы можем построить канал со списком подозрений на инциденты, связанных с данной техникой - рисунок 2.
Рис. 2
Выявление инцидентов выполняется с помощью индикаторов компрометации, полученных из TI платформы CIRCL MISP - рисунок 3.
Рис. 3
Аналитик информационной безопасности может прямо из консоли ArcSight проверить подозрительный файл по hash на ресурсе VirusTotal - рисунок 4.
Рис. 4
Также можно проверить данные в MISP, скопировав hash из консоли Arcsight ESM - рисунок 5, 6.
Рис. 5
Рис. 6
Программные пакеты MITRE ATT & CK и CIRCL MISP, включают в себя панели мониторинга и правила корреляции, для детектирования сложных TTP, связанных с COVID-19, и позволяют выявлять следующие UseCase.

1. Запуск подозрительных файлов, связанных с COVID-19:
  • Макросы, встроенные в офисные документы, связанные с темой COVID-19
  • Подозрительные файлы, запущенные на хосте.

2. Подозрительный трафик и электронная почта, связанные с COVID-19. Основано на данных TI платформы MISP:

  • Переход на подозрительные URL-адреса, связанных с темой COVID-19
  • Отправка e-mail на подозрительные адреса, связанных с COVID-19
  • Входящий трафик с подозрительного адреса, связанного с COVID-19
  • Входящий трафик с подозрительного домена, связанного с COVID-19
  • Исходящий трафик на подозрительный адрес, связанного с COVID-19
  • Исходящий трафик на подозрительный домен, связанного с COVID-1
  • Получение электронного письма от подозрительных адресов, связанных с COVID-19

3. Данные пакеты позволяют выявлять следующие техники по матрице MITER ATT & CK:

  • T1048-Exfiltration Over Alternative Protocol
  • T1064-Scripting
  • T1190-Exploit Public-Facing Application
  • T1192-Spearphishing Link
  • T1193-Spearphishing Attachmen
  • T1204-User Execution
Рис. 7
Инструкция по установке и настройке интеграции MISP и ArcSight доступна по ссылке Using MISP Threat Intelligence with ArcSight ESM.

Аналогичные пакеты экспертизы есть и у других производителей SIEM, например, у наших партнеров, компаний Positive Technologies и ELK SIEM.
ПОДЕЛИТЬСЯ В СОЦСЕТЯХ