На данный момент мы можем наблюдать стремительный роста числа кибератак, связанных с темой COVID-19. Компании столкнулись с огромным количеством проблем связанных с информационной безопасностью. Сейчас киберпреступники стремятся воспользоваться хаосом и проводят целевые атаки, используя тематику COVID-19, такие как:
- Фишинговые рассылки, основанные на теме COVID-19.
- Распространение программ-вымогателей.
- Преступники маскируются под государственные организации, ВОЗ, медицинские учреждения для кражи денег или конфиденциальной информации.
- Взломы веб конференций, конф-коллов, что влечет за собой угрозу кражи коммерческой тайны
- DDoS атаки на VPN шлюзы и системы аутентификации
- Попытки взлома 2х факторной аутентификации.
Конечно, от всего этого можно защититься, но при условии, что все защитные меры развернуты должным образом и настроены корректно. Для эффективного противодействия новым угрозам в компании должны использоваться следующие средства защиты: системы контроля доступа и безопасности данных (межсетевые экраны и VPN), SIEM-система, Web application firewall (WAF), система анализа сетевого трафика NTA, DLP-система, система анализа поведения пользователей и сущностей (UEBA). Но что делать, если по каким-либо причинам в компании может не оказаться одного или нескольких важных средств защиты информации? Возможным выходом из данной ситуации может стать использование OpenSource СЗИ, либо реализация недостающих функций с помощью уже имеющихся средств. И на эту роль удачно подходит SIEM. Тем более, что SIEM имеется в арсенале почти любой службы ИБ. Дело в том, что настраиваемые в SIEM правила корреляции позволяют реализовать почти любые виды контроля и мониторинга.
В данной статье мы расскажем, как наши Заказчики могут использовать собственную SIEM систему для реализации защиты от кибератак, связанных с темой COVID-19 (на примере SIEM ArcSight). Для раннего обнаружения угроз SIEM лучше усилить платформой киберразведки (TI) и контентом для выявления техник атак от MITRE ATT&CK.
Связка SIEM, матрицы MITRE ATT & CK и платформы CIRCL MISP
В 2013 году корпорация MITRE анонсировала базу знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — тактики, техники и общеизвестные знания о злоумышленниках, как способ описания и категоризации поведения злоумышленников, основанный на анализе реальных атак. ATT&CK представляет собой структурированный список известных поведений злоумышленников, скомпилированый в тактики и методы, и выраженный в виде таблиц. Поскольку этот список представляет собой довольно полное представление о поведении злоумышленников, он будет полезен для различных наступательных и защитных мер. В частности, ATT&CK может быть полезен в киберразведке, поскольку он позволяет стандартизировано описывать поведение злоумышленников. Это существенно упрощает жизнь аналитикам информационной безопасности. Более того вы можете изучить рекомендации по устранению этих угроз. SIEM, который включает в себя структуру MITRE ATT&CK, является более умным, более того это поможет вашей команде ИБ говорить на одном и том же кибер-языке.
В области ИБ мы также можем воспользоваться инструментами киберразведки - Threat Intelligence (TI). Сейчас на рынке довольно много поставщиков данных TI, у которых вы можете купить подписку. Но есть и бесплатные поставщики, например - Open Source Threat Intelligence and Sharing Platform MISP, которая собирает информацию с различных источников TI и делится ею через CIRCL (центр реагирования на компьютерные инциденты - Люксембург). Использование платформы киберразведки (Threat Intelligence Platform), таких как MISP, помогут быстрее выявлять новые атаки.
Поэтому связка SIEM, матрицы MITRE ATT & CK и платформы CIRCL MISP может повысить уровень защит от атак, в том числе, связанных с темой COVID-19. Компания Micro Focus выпустила для своих продуктов ArcSight программные пакеты MITRE ATT & CK и CIRCL MISP, которые помогают аналитикам компании визуализировать атаки, позволяя прорабатывать их вектора и используемые техники. На рисунке 1 показана техника атаки T1193 - Spearphishing Attachment (целевые фишинговые вложения).
Рис. 1
Выбрав интересующую нас технику, мы можем построить канал со списком подозрений на инциденты, связанных с данной техникой - рисунок 2.
Рис. 2
Выявление инцидентов выполняется с помощью индикаторов компрометации, полученных из TI платформы CIRCL MISP - рисунок 3.
Рис. 3
Аналитик информационной безопасности может прямо из консоли ArcSight проверить подозрительный файл по hash на ресурсе VirusTotal - рисунок 4.
Рис. 4
Также можно проверить данные в MISP, скопировав hash из консоли Arcsight ESM - рисунок 5, 6.
Рис. 5
Рис. 6
Программные пакеты MITRE ATT & CK и CIRCL MISP, включают в себя панели мониторинга и правила корреляции, для детектирования сложных TTP, связанных с COVID-19, и позволяют выявлять следующие UseCase.
1. Запуск подозрительных файлов, связанных с COVID-19:
- Макросы, встроенные в офисные документы, связанные с темой COVID-19
- Подозрительные файлы, запущенные на хосте.
- Переход на подозрительные URL-адреса, связанных с темой COVID-19
- Отправка e-mail на подозрительные адреса, связанных с COVID-19
- Входящий трафик с подозрительного адреса, связанного с COVID-19
- Входящий трафик с подозрительного домена, связанного с COVID-19
- Исходящий трафик на подозрительный адрес, связанного с COVID-19
- Исходящий трафик на подозрительный домен, связанного с COVID-1
- Получение электронного письма от подозрительных адресов, связанных с COVID-19
- T1048-Exfiltration Over Alternative Protocol
- T1064-Scripting
- T1190-Exploit Public-Facing Application
- T1192-Spearphishing Link
- T1193-Spearphishing Attachmen
- T1204-User Execution
Рис. 7
Инструкция по установке и настройке интеграции MISP и ArcSight доступна по ссылке Using MISP Threat Intelligence with ArcSight ESM.
Аналогичные пакеты экспертизы есть и у других производителей SIEM, например, у наших партнеров, компаний Positive Technologies и ELK SIEM.