Innostage Group
Компания
  • О компании
  • Команда
  • Клиенты
  • Партнеры
  • Лицензии
  • Реквизиты
  • Карьера
  • Контакты
Услуги
  • Кибербезопасность
    • Мониторинг событий информационной безопасности
    • Анализ и контроль защищённости
    • Обеспечение безопасности данных предприятия
    • Обеспечение сетевой безопасности
  • Безопасность промышленных систем
    • Аудит информационной безопасности систем промышленной автоматизации
    • Создание систем обеспечения информационной безопасности АСУ ТП
    • Внедрение специализированных средств защиты информации АСУ ТП
    • Разработка методического обеспечения ИБ АСУ ТП
  • ИТ-инфраструктура
    • Виртуализация ИТ-инфраструктуры
    • Технологии обеспечения высокой доступности ИТ
    • Базовые инфраструктурные сервисы
    • Управление ИТ-инфраструктурой
    • Облачные решения
    • Решения OpenSource и импортозамещение ИТ-инфраструктуры
    • Серверы и СХД
  • Построение и модернизация ЦОД
    • Информационная инфраструктура
    • Инженерная инфраструктура
    • Информационная безопасность ЦОД
  • Инженерные системы зданий
    • Создание систем обеспечения физической безопасности
    • Создание систем обеспечения пожарной безопасности
    • Создание информационных систем
    • Создание инженерных систем
  • Бизнес-решения
    • Управление корпоративным контентом (ECM)
    • Управление бизнес-процессами (BPM)
    • Анализ данных (Data analytics)
    • Заказная разработка
    • Управление ресурсами предприятия (ERP)
    • Автоматизация прикладных бизнес-процессов
  • Внедрение средств защиты информации
    • Сетевые средства защиты
    • Средства защиты сервисов прикладного уровня
    • Средства защиты от целевых кибератак
  • Инфокоммуникационные решения
    • Построение сетевой инфраструктуры
    • Создание инфокоммуникационной среды
  • Решения промышленного Интернета вещей
    • Промышленный интернет вещей (IIoT)
Решения
  • Информационная безопасность
  • Бизнес-решения - ГК Innostage
СyberART
Новости
  • Пресс-релизы
  • Мы в СМИ
Блог
Мероприятия
Карьера
AG Team
Ещё
    Задать вопрос
    +7 (843) 567-42-90
    Заказать звонок
    info@innostage-group.ru
    Казань, ул. Подлужная, 60
    • Вконтакте
    • Telegram
      • Официальный канал
        ГК Инностейдж
      • Канал Секьюрист
    • YouTube
    +7 (843) 567-42-90
    Заказать звонок
    Innostage Group
    Компания
    • О компании
    • Команда
    • Клиенты
    • Партнеры
    • Лицензии
    • Реквизиты
    • Карьера
    • Контакты
    Услуги
    • Кибербезопасность
      Кибербезопасность
      • Мониторинг событий информационной безопасности
      • Анализ и контроль защищённости
      • Обеспечение безопасности данных предприятия
      • Обеспечение сетевой безопасности
    • Безопасность промышленных систем
      Безопасность промышленных систем
      • Аудит информационной безопасности систем промышленной автоматизации
      • Создание систем обеспечения информационной безопасности АСУ ТП
      • Внедрение специализированных средств защиты информации АСУ ТП
      • Разработка методического обеспечения ИБ АСУ ТП
    • ИТ-инфраструктура
      ИТ-инфраструктура
      • Виртуализация ИТ-инфраструктуры
      • Технологии обеспечения высокой доступности ИТ
      • Базовые инфраструктурные сервисы
      • Управление ИТ-инфраструктурой
      • Облачные решения
      • Решения OpenSource и импортозамещение ИТ-инфраструктуры
      • Серверы и СХД
    • Построение и модернизация ЦОД
      Построение и модернизация ЦОД
      • Информационная инфраструктура
      • Инженерная инфраструктура
      • Информационная безопасность ЦОД
    • Инженерные системы зданий
      Инженерные системы зданий
      • Создание систем обеспечения физической безопасности
      • Создание систем обеспечения пожарной безопасности
      • Создание информационных систем
      • Создание инженерных систем
    • Бизнес-решения
      Бизнес-решения
      • Управление корпоративным контентом (ECM)
      • Управление бизнес-процессами (BPM)
      • Анализ данных (Data analytics)
      • Заказная разработка
      • Управление ресурсами предприятия (ERP)
      • Автоматизация прикладных бизнес-процессов
    • Внедрение средств защиты информации
      Внедрение средств защиты информации
      • Сетевые средства защиты
      • Средства защиты сервисов прикладного уровня
      • Средства защиты от целевых кибератак
    • Инфокоммуникационные решения
      Инфокоммуникационные решения
      • Построение сетевой инфраструктуры
      • Создание инфокоммуникационной среды
    • Решения промышленного Интернета вещей
      Решения промышленного Интернета вещей
      • Промышленный интернет вещей (IIoT)
    Решения
    • Информационная безопасность
      Информационная безопасность
    • Бизнес-решения - ГК Innostage
      Бизнес-решения - ГК Innostage
    СyberART
    Новости
    • Пресс-релизы
    • Мы в СМИ
    Блог
    Мероприятия
    Карьера
    AG Team
      Innostage Group
      Компания
      • О компании
      • Команда
      • Клиенты
      • Партнеры
      • Лицензии
      • Реквизиты
      • Карьера
      • Контакты
      Услуги
      • Кибербезопасность
        Кибербезопасность
        • Мониторинг событий информационной безопасности
        • Анализ и контроль защищённости
        • Обеспечение безопасности данных предприятия
        • Обеспечение сетевой безопасности
      • Безопасность промышленных систем
        Безопасность промышленных систем
        • Аудит информационной безопасности систем промышленной автоматизации
        • Создание систем обеспечения информационной безопасности АСУ ТП
        • Внедрение специализированных средств защиты информации АСУ ТП
        • Разработка методического обеспечения ИБ АСУ ТП
      • ИТ-инфраструктура
        ИТ-инфраструктура
        • Виртуализация ИТ-инфраструктуры
        • Технологии обеспечения высокой доступности ИТ
        • Базовые инфраструктурные сервисы
        • Управление ИТ-инфраструктурой
        • Облачные решения
        • Решения OpenSource и импортозамещение ИТ-инфраструктуры
        • Серверы и СХД
      • Построение и модернизация ЦОД
        Построение и модернизация ЦОД
        • Информационная инфраструктура
        • Инженерная инфраструктура
        • Информационная безопасность ЦОД
      • Инженерные системы зданий
        Инженерные системы зданий
        • Создание систем обеспечения физической безопасности
        • Создание систем обеспечения пожарной безопасности
        • Создание информационных систем
        • Создание инженерных систем
      • Бизнес-решения
        Бизнес-решения
        • Управление корпоративным контентом (ECM)
        • Управление бизнес-процессами (BPM)
        • Анализ данных (Data analytics)
        • Заказная разработка
        • Управление ресурсами предприятия (ERP)
        • Автоматизация прикладных бизнес-процессов
      • Внедрение средств защиты информации
        Внедрение средств защиты информации
        • Сетевые средства защиты
        • Средства защиты сервисов прикладного уровня
        • Средства защиты от целевых кибератак
      • Инфокоммуникационные решения
        Инфокоммуникационные решения
        • Построение сетевой инфраструктуры
        • Создание инфокоммуникационной среды
      • Решения промышленного Интернета вещей
        Решения промышленного Интернета вещей
        • Промышленный интернет вещей (IIoT)
      Решения
      • Информационная безопасность
        Информационная безопасность
      • Бизнес-решения - ГК Innostage
        Бизнес-решения - ГК Innostage
      СyberART
      Новости
      • Пресс-релизы
      • Мы в СМИ
      Блог
      Мероприятия
      Карьера
      AG Team
        Innostage Group
        Innostage Group
        • Компания
          • Назад
          • Компания
          • О компании
          • Команда
          • Клиенты
          • Партнеры
          • Лицензии
          • Реквизиты
          • Карьера
          • Контакты
        • Услуги
          • Назад
          • Услуги
          • Кибербезопасность
            • Назад
            • Кибербезопасность
            • Мониторинг событий информационной безопасности
            • Анализ и контроль защищённости
            • Обеспечение безопасности данных предприятия
            • Обеспечение сетевой безопасности
          • Безопасность промышленных систем
            • Назад
            • Безопасность промышленных систем
            • Аудит информационной безопасности систем промышленной автоматизации
            • Создание систем обеспечения информационной безопасности АСУ ТП
            • Внедрение специализированных средств защиты информации АСУ ТП
            • Разработка методического обеспечения ИБ АСУ ТП
          • ИТ-инфраструктура
            • Назад
            • ИТ-инфраструктура
            • Виртуализация ИТ-инфраструктуры
            • Технологии обеспечения высокой доступности ИТ
            • Базовые инфраструктурные сервисы
            • Управление ИТ-инфраструктурой
            • Облачные решения
            • Решения OpenSource и импортозамещение ИТ-инфраструктуры
            • Серверы и СХД
          • Построение и модернизация ЦОД
            • Назад
            • Построение и модернизация ЦОД
            • Информационная инфраструктура
            • Инженерная инфраструктура
            • Информационная безопасность ЦОД
          • Инженерные системы зданий
            • Назад
            • Инженерные системы зданий
            • Создание систем обеспечения физической безопасности
            • Создание систем обеспечения пожарной безопасности
            • Создание информационных систем
            • Создание инженерных систем
          • Бизнес-решения
            • Назад
            • Бизнес-решения
            • Управление корпоративным контентом (ECM)
            • Управление бизнес-процессами (BPM)
            • Анализ данных (Data analytics)
            • Заказная разработка
            • Управление ресурсами предприятия (ERP)
            • Автоматизация прикладных бизнес-процессов
          • Внедрение средств защиты информации
            • Назад
            • Внедрение средств защиты информации
            • Сетевые средства защиты
            • Средства защиты сервисов прикладного уровня
            • Средства защиты от целевых кибератак
          • Инфокоммуникационные решения
            • Назад
            • Инфокоммуникационные решения
            • Построение сетевой инфраструктуры
            • Создание инфокоммуникационной среды
          • Решения промышленного Интернета вещей
            • Назад
            • Решения промышленного Интернета вещей
            • Промышленный интернет вещей (IIoT)
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
          • Бизнес-решения - ГК Innostage
        • СyberART
        • Новости
          • Назад
          • Новости
          • Пресс-релизы
          • Мы в СМИ
          • Блог
        • Блог
        • Мероприятия
        • Карьера
        • AG Team
        • +7 (843) 567-42-90
        info@innostage-group.ru
        Казань, ул. Подлужная, 60
        • Вконтакте
        • Telegram
          • Официальный канал
            ГК Инностейдж
          • Канал Секьюрист
        • YouTube
        • Главная
        • Новости
        • Блог
        • Технический материал
        • Выявление атак COVID-19 с помощью SIEM

        Выявление атак COVID-19 с помощью SIEM

        Выявление атак COVID-19 с помощью SIEM
        Технический материал
        В данной статье мы расскажем, как наши Заказчики могут использовать собственную SIEM систему для реализации защиты от кибератак, связанных с темой COVID-19 (на примере SIEM ArcSight). Для раннего обнаружения угроз SIEM лучше усилить платформой киберразведки (TI) и контентом для выявления техник атак от MITRE ATT&CK.

        На данный момент мы можем наблюдать стремительный роста числа кибератак, связанных с темой COVID-19. Компании столкнулись с огромным количеством проблем связанных с информационной безопасностью. Сейчас киберпреступники стремятся воспользоваться хаосом и проводят целевые атаки, используя тематику COVID-19, такие как:

        • Фишинговые рассылки, основанные на теме COVID-19.
        • Распространение программ-вымогателей.
        • Преступники маскируются под государственные организации, ВОЗ, медицинские учреждения для кражи денег или конфиденциальной информации.
        • Взломы веб конференций, конф-коллов, что влечет за собой угрозу кражи коммерческой тайны
        • DDoS атаки на VPN шлюзы и системы аутентификации
        • Попытки взлома 2х факторной аутентификации.

        Конечно, от всего этого можно защититься, но при условии, что все защитные меры развернуты должным образом и настроены корректно. Для эффективного противодействия новым угрозам в компании должны использоваться следующие средства защиты: системы контроля доступа и безопасности данных (межсетевые экраны и VPN), SIEM-система, Web application firewall (WAF), система анализа сетевого трафика NTA, DLP-система, система анализа поведения пользователей и сущностей (UEBA). Но что делать, если по каким-либо причинам в компании может не оказаться одного или нескольких важных средств защиты информации? Возможным выходом из данной ситуации может стать использование OpenSource СЗИ, либо реализация недостающих функций с помощью уже имеющихся средств. И на эту роль удачно подходит SIEM. Тем более, что SIEM имеется в арсенале почти любой службы ИБ. Дело в том, что настраиваемые в SIEM правила корреляции позволяют реализовать почти любые виды контроля и мониторинга.

        В данной статье мы расскажем, как наши Заказчики могут использовать собственную SIEM систему для реализации защиты от кибератак, связанных с темой COVID-19 (на примере SIEM ArcSight). Для раннего обнаружения угроз SIEM лучше усилить платформой киберразведки (TI) и контентом для выявления техник атак от MITRE ATT&CK.

        Связка SIEM, матрицы MITRE ATT & CK и платформы CIRCL MISP

        В 2013 году корпорация MITRE анонсировала базу знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — тактики, техники и общеизвестные знания о злоумышленниках, как способ описания и категоризации поведения злоумышленников, основанный на анализе реальных атак. ATT&CK представляет собой структурированный список известных поведений злоумышленников, скомпилированый в тактики и методы, и выраженный в виде таблиц. Поскольку этот список представляет собой довольно полное представление о поведении злоумышленников, он будет полезен для различных наступательных и защитных мер. В частности, ATT&CK может быть полезен в киберразведке, поскольку он позволяет стандартизировано описывать поведение злоумышленников. Это существенно упрощает жизнь аналитикам информационной безопасности. Более того вы можете изучить рекомендации по устранению этих угроз. SIEM, который включает в себя структуру MITRE ATT&CK, является более умным, более того это поможет вашей команде ИБ говорить на одном и том же кибер-языке.

        В области ИБ мы также можем воспользоваться инструментами киберразведки - Threat Intelligence (TI). Сейчас на рынке довольно много поставщиков данных TI, у которых вы можете купить подписку. Но есть и бесплатные поставщики, например - Open Source Threat Intelligence and Sharing Platform MISP, которая собирает информацию с различных источников TI и делится ею через CIRCL (центр реагирования на компьютерные инциденты - Люксембург). Использование платформы киберразведки (Threat Intelligence Platform), таких как MISP, помогут быстрее выявлять новые атаки.

        Поэтому связка SIEM, матрицы MITRE ATT & CK и платформы CIRCL MISP может повысить уровень защит от атак, в том числе, связанных с темой COVID-19. Компания Micro Focus выпустила для своих продуктов ArcSight программные пакеты MITRE ATT & CK и CIRCL MISP, которые помогают аналитикам компании визуализировать атаки, позволяя прорабатывать их вектора и используемые техники. На рисунке 1 показана техника атаки T1193 - Spearphishing Attachment (целевые фишинговые вложения).

        1.png

        Рис. 1

        Выбрав интересующую нас технику, мы можем построить канал со списком подозрений на инциденты, связанных с данной техникой - рисунок 2.

        22.png

        Рис. 2

        Выявление инцидентов выполняется с помощью индикаторов компрометации, полученных из TI платформы CIRCL MISP - рисунок 3.

        33.png

        Рис. 3

        Аналитик информационной безопасности может прямо из консоли ArcSight проверить подозрительный файл по hash на ресурсе VirusTotal - рисунок 4.

        44.png

        Рис. 4

        Также можно проверить данные в MISP, скопировав hash из консоли Arcsight ESM - рисунок 5, 6.

        55.png

        Рис. 5

        66.jpg

        Рис. 6

        Программные пакеты MITRE ATT & CK и CIRCL MISP, включают в себя панели мониторинга и правила корреляции, для детектирования сложных TTP, связанных с COVID-19, и позволяют выявлять следующие UseCase.

        1. Запуск подозрительных файлов, связанных с COVID-19:

        • Макросы, встроенные в офисные документы, связанные с темой COVID-19
        • Подозрительные файлы, запущенные на хосте.
        2. Подозрительный трафик и электронная почта, связанные с COVID-19. Основано на данных TI платформы MISP:
        • Переход на подозрительные URL-адреса, связанных с темой COVID-19
        • Отправка e-mail на подозрительные адреса, связанных с COVID-19
        • Входящий трафик с подозрительного адреса, связанного с COVID-19
        • Входящий трафик с подозрительного домена, связанного с COVID-19
        • Исходящий трафик на подозрительный адрес, связанного с COVID-19
        • Исходящий трафик на подозрительный домен, связанного с COVID-1
        • Получение электронного письма от подозрительных адресов, связанных с COVID-19
        3. Данные пакеты позволяют выявлять следующие техники по матрице MITER ATT & CK:
        • T1048-Exfiltration Over Alternative Protocol
        • T1064-Scripting
        • T1190-Exploit Public-Facing Application
        • T1192-Spearphishing Link
        • T1193-Spearphishing Attachmen
        • T1204-User Execution

        7.png

        Рис. 7

        Инструкция по установке и настройке интеграции MISP и ArcSight доступна по ссылке Using MISP Threat Intelligence with ArcSight ESM.

        Аналогичные пакеты экспертизы есть и у других производителей SIEM, например, у наших партнеров, компаний Positive Technologies и ELK SIEM.

        Задать вопрос эксперту

        Наши специалисты ответят на любой интересующий вопрос

        Задать вопрос
        Теги
        Мониторинг и анализ событий ИБ

        Услуги

        Средства защиты от целевых кибератак
        Назад к списку
        Услуги
        Кибербезопасность
        Безопасность промышленных систем
        ИТ-инфраструктура
        Построение и модернизация ЦОД
        Инженерные системы зданий
        Бизнес-решения
        Внедрение средств защиты информации
        Инфокоммуникационные решения
        Решения промышленного Интернета вещей
        Решения
        Информационная безопасность
        Бизнес-решения - ГК Innostage
        Компания
        О компании
        Команда
        Клиенты
        Партнеры
        Лицензии
        Реквизиты
        Карьера
        Контакты
        Мероприятия
        Новости
        Контакты
        +7 (843) 567-42-90
        Заказать звонок
        info@innostage-group.ru
        Казань, ул. Подлужная, 60
        • Вконтакте
        • Telegram
          • Официальный канал
            ГК Инностейдж
          • Канал Секьюрист
        • YouTube
        Политика конфиденциальности
        © 2023 Все права защищены.