Professional Documents
Culture Documents
Лекція №15
Лекція №15
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 2
Джерела попереджень
Рішення Security Onion
Security Onion - комплект інструментів
моніторингу безпеки мережі (NSM) з
відкритим вихідним кодом, який працює в ОС
Ubuntu Linux.
Деякі компоненти рішення Security Onion є
власністю корпорацій, таких як Cisco і
Riverbend Technologies, і керуються ними, але
їх вихідний код зроблений відкритим.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 3
Джерела поперджень
Інструменти виявлення для збору даних
CapME надає аналітику в області кібербезпеки
прості для читання засоби перегляду всього сеансу Архитектура решения
рівня 4.
Security Onion
Snort використовує правила і підписи для створення
попереджень.
Bro використовує політики в формі сценаріїв, які
визначають, які дані слід реєструвати в журналі і
коли видавати попереджуючі повідомлення.
OSSEC виконує активний моніторинг
функціонування хост-систем, включаючи моніторинг
цілісності файлів, моніторинг локальних журналів,
моніторинг системних процесів і виявлення руткітів.
Suricata використовує власну многопоточность, яка
дозволяє розподіляти обробку потокової передачі
пакетів по декільком ядрам процесора.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 4
Джерела попереджень
Інструменти аналізу
Архитектура решения Security Onion Sguil - надає аналітику в області
кібербезпеки високого рівня консоль для
вивчення попереджень системи безпеки від
різноманітних джерел.
ELSA - можна налаштувати джерела
ведення журналів, такі як HIDS, NIDS,
міжмережеві екрани, клієнти і сервери
syslog, служби домену та інші, щоб їх
журнали стали доступні для баз даних
ELSA.
Wireshark - додаток перехоплення пакетів,
інтегроване в комплект Security Onion.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 5
Джерела попереджень
Створення попереджень
Попередження в Security Onion створюються Окно Sguil
багатьма джерелами, включаючи Snort, Bro,
Suricata, OSSEC і інші.
Sguil представляє консоль, яка об'єднує
попередження від різних джерел в чергу з мітками
часу.
Попередження зазвичай включають інформацію,
що складається з наступних п'яти елементів.
• SrcIP - IP-адреса джерела для даної події.
• SPort - порт (локальний) рівня 4 джерела для даної
події.
• DstIP - IP-адреса призначення для даної події.
• DPort - порт призначення рівня 4 для даної події.
• Pr - номер протоколу IP для даної події.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 6
Джерела попереджень
Правила и предупреждения
Попередження можуть надходити з багатьох джерел.
• NIDS - Snort, Bro і Suricata
• HIDS - OSSEC
• Управління та моніторинг ресурсів - система пасивного виявлення ресурсів (PADS)
• Транзакції HTTP, DNS і TCP - реєструються Bro і pcap
• Повідомлення системних журналів - кілька джерел
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 7
Джерела попереджень
Структура правил Snort
Правила Snort складаються з заголовка
правила і параметрів правила.
• Заголовок правила містить інформацію про
дії, протоколі, адресації і портах
• Параметри правила включають текстове
повідомлення, яке ідентифікує
попередження, а також метадані про це
попередження.
Правила Snort надходять з різних джерел,
в тому числі від Emerging Threats (ET),
SourceFire і Cisco Talos.
PulledPork - компонент рішення Security
Onion, який може завантажити нові
правила автоматично з веб-сайту snort.org.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 8
Огляд оцінки попереджень
Необхідність оцінки попереджень
Експлойти неминуче будуть ухилятися від
заходів захисту, якими б досконалими вони
не були.
Правила виявлення повинні бути гранично
консервативні.
Необхідно, щоб кваліфіковані аналітики в
сфері кібербезпеки досліджували
попередження, щоб визначити, чи дійсно
мав місце експлойт.
Аналітики з кібербезпеки 1-го рівня будуть
працювати з чергами повідомлень в такому
інструменті, як Sguil, і перемикатися на
такі інструменти, як Bro, Wireshark і ELSA.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 9
Огляд оцінки попереджень
Оцінка попереджень
Попередження можна класифікувати в такий спосіб.
• Істинно позитивне. Попередження перевірено і підтверджено як справжня подія
безпеки.
• Хибно позитивне. Попередження не вказує на справжню подію безпеки.
• Істинно негативне. Подія безпеки відсутня.
• Псевдонегативне. Сталося невиявлена подія.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 10
Огляд оцінки попереджень
Детермінований аналіз і імовірнісний аналіз
Для оценки вероятности успеха эксплойтов в конкретной сети можно использовать статистические
методы.
• Детерминированный анализ. Оценка риска выполняется на основе того, что известно об уязвимости.
• Вероятностный анализ. Оценка потенциального успеха эксплойта путем оценки вероятности того, что,
если один шаг в эксплойте был успешно завершен, следующий шаг также будет успешным.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 11
Огляд оцінки попереджень
Детермінований аналіз і імовірнісний аналіз
Для оцінки ймовірності успіху експлойтів в конкретній мережі можна використовувати
статистичні методи.
• Детермінований аналіз. Оцінка ризику виконується на основі того, що відомо про вразливість.
• Імовірнісний аналіз. Оцінка потенційного успіху експлойта шляхом оцінки ймовірності того, що, якщо
один крок в експлойтів був успішно завершений, наступний крок також буде успішним.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 12
Робота з даними безпеки
мережи
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 13
Загальна платформа даних
ELSA
Пошук і архівація журналів в
корпоративному середовищі (ELSA) - це
інструмент корпоративного рівня для
пошуку та архівування даних NSM, що
походять з декількох джерел.
ELSA може впорядкувати записи файлів
журналів в загальну схему, яку потім
можна відобразити в веб-інтерфейсі
ELSA.
ELSA отримує журнали по протоколу
Syslog-NG, зберігає їх в базах даних
MySQL і індексує за допомогою пошуку
Sphinx.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 14
Загальна платформа даних
Скорочення даних
Скорочення даних - це визначення
даних, які необхідно збирати і
зберігати, щоб зменшити
навантаження на системи.
В результаті обмеження обсягу даних
інструменти, наприклад ELSA,
стануть істотно більш корисними.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 15
Загальна платформа даних
Нормалізація даних
Нормалізація даних - це процес об'єднання даних з декількох джерел в
загальний формат для індексування та пошуку.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 16
Загальна платформа даних
Архівація даних
Нескінченне зберігання даних NSM
неможливо через проблеми зі зберіганням
даних і доступом до них.
Архітектури забезпечення відповідності
можуть вимагати зберігання даних протягом
певного періоду часу.
ELSA можна налаштувати для збереження
даних протягом деякого періоду часу. За
замовчуванням цей період становить 90 днів.
Дані попереджень Sguil за замовчуванням
зберігаються протягом 30 днів.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 17
Дослідження мережевих даних
Робота в Sguil
У рішенні Security Onion перше місце,
куди аналітик з кібербезпеки перейде
для перевірки попереджень, - це Sguil.
Sguil автоматично зіставляє аналогічні
попередження в один рядок і надає
спосіб для перегляду пов'язаних подій,
представлених в цьому рядку.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 18
Дослідження мережевих даних
Запити в Sguil
Запити в Sguil можна створювати за допомогою будівника запитів Query Builder, який
спрощує цей процес.
Аналітики з кібербезпеки повинні знати імена цих полів і типові можливі проблеми з
їх значеннями.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 19
Дослідження мережевих даних
Вивод з Sguil
Sguil надає можливість «вивести»
дослідження в інші інструменти, такі
як ELSA, Wireshark або Bro.
Файли журналів доступні в ELSA,
відповідні перехоплені пакети можна
відобразити в Wireshark, а також
доступні протоколи сеансів TCP і
відомості Bro.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 20
Дослідження мережевих даних
Обробка подій в Sguil
У Sguil можна виконувати три
задачі управління
попередженнями.
Для попереджень, які
опинилися помилковими,
можна встановити статус
«закінчився термін дії».
Можна підвищувати рівень
події, натиснувши клавішу F9.
Можна встановити категорію
для події.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 21
Дослідження мережевих даних
Робота в ELSA
ELSA надає доступ до великої кількості
записів файлів журналів.
ELSA буде витягувати тільки перші 100
записів за попередні 48 годин.
Щоб переглянути детальну інформацію в
ELSA найпростіше використовувати
вбудовані запити, які відображаються в
лівій частині вікна ELSA. Для цього
треба видати запит, потім налаштувати
дати і повторно відправити запит за
допомогою кнопки Submit Query
(Відправити запит).
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 22
Дослідження мережевих даних
Запитив ELSA
ELSA представляє сводку полів і важливу інформацію про значення кожного поля,
проіндексованого в результатах запиту. Це дозволяє уточнювати запити на основі широкого
діапазону значень.
При натисканні запису в стовпці Value (Значення) буде відображено запит зі значенням,
доданим в попередній запит. Цей процес можна повторювати, що дозволяє легко звузити
результати пошуку.
Регулярні вирази виконуються в ELSA за допомогою функції grep.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 23
Дослідження мережевих даних
Процес дослыдження або API-визови
Якщо шкідливе ПЗ може обманом змусити ядро
ОС дозволити йому виконувати системні виклики,
стають можливі багато експлойтів.
Правила OSSEC виявляють зміни параметрів на
рівні хоста, таких як виконання програмних
процесів, зміни користувальницьких прав, зміни
реєстру і інших.
Правила OSSEC будуть активувати попередження
в Sguil.
Вибір OSSEC в якості вихідної програми в ELSA
дозволяє отримати уявлення подій OSSEC, що
сталися на хості.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 24
Дослідження мережевих даних
Дослідження відомостей о файлі
При відкритті ELSA безпосередньо для запитів Files (Файли) відображається окремий ярлик.
Для того щоб отримати список типів завантажених файлів, слід відкрити запити Files (Файли) і
вибрати в меню пункт Mime Types (Типи Mime).
Для завантажених файлів також доступні хеши MD5 і SHA-1.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 25
Дослідження мережевих даних
Дослідження відомостей о файлі
При открытии ELSA напрямую для запросов Files (Файлы) отображается отдельный ярлык.
Для того чтобы получить список типов загруженных файлов, следует открыть запросы Files
(Файлы) и выбрать в меню пункт Mime Types (Типы Mime).
Для загруженных файлов также доступны хеши MD5 и SHA-1.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 26
Исследование сетевых данных
Лабораторная работа. Практическое занятие по регулярным выражениям
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 27
Исследование сетевых данных
Лабораторная работа. Извлечение исполнимого файла из PCAP
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 28
Повышение эффективности работы аналитиков по кибербезопасности
Инструментальные панели и визуализации
Панели управления предоставляют интерактивное сочетание данных и визуализаций,
предназначенное для извлечения ценной информации из больших объемов информации.
Аналитики могут сосредоточиться на конкретных деталях и определенной информации.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 29
Повышение эффективности работы аналитиков по кибербезопасности
Управление рабочими процессами
В мониторинге безопасности сети требуются управляемые рабочие процессы.
• Повышается эффективность рабочей группы киберопераций.
• Повышается ответственность персонала.
• Гарантируется правильная обработка всех потенциальных предупреждений.
• Каждое предупреждение должно в установленном порядке назначаться, обрабатываться
и документироваться.
Sguil предоставляет базовые возможности управления рабочими процессами, но плохо
подходит для больших организаций. Можно также использовать сторонние настраиваемые
системы.
Автоматизированные запросы повышают эффективность рабочего процесса.
• Поиск сложных событий безопасности, которые могут обойти другие инструменты.
• Запрос ELSA можно настроить как правило предупреждения и запускать на регулярной основе.
• Этот запрос можно создать на языке сценариев, таком как Python.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 30
12.3. Цифровая техническая
экспертиза
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 31
Обработка доказательств и атрибуция атак
Цифровая техническая экспертиза
Аналитик по кибербезопасности должен находить доказательства преступной
деятельности.
• Необходимо определить хакеров, сообщить о них в соответствующие органы и предоставить
доказательства для поддержки судебного преследования.
• Обычно первыми обнаруживаются правонарушения.
Цифровая техническая экспертиза ― это восстановление и исследование информации,
обнаруженной на цифровых устройствах и свидетельствующей о преступной деятельности.
• Это могут быть данные на устройствах хранения, в энергозависимой памяти компьютера, или следы
киберпреступности в сетевых данных, таких как pcap и журналы.
Киберпреступная деятельность может быть квалифицирована как ведущаяся изнутри или извне
организации.
Согласно HIPAA пострадавшие лица должны быть уведомлены о нарушении.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 32
Обработка доказательств и атрибуция атак
Процесс цифровой технической экспертизы
NIST описывает процесс цифровой технической экспертизы как состоящий из четырех этапов.
1. Сбор — выявление потенциальных источников данных для технической экспертизы, а также сбор,
обработка и хранение этих данных.
2. Проверка ― оценка собранных данных и извлечение из них соответствующей информации. Может
потребоваться распаковка и расшифровка.
3. Анализ — извлечение выводов из данных (люди, места, время, события и т. д.).
4. Отчеты — подготовка и представление информации. Должны быть сделаны предложения для
дальнейшего исследования и следующих действий.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 33
Обработка доказательств и атрибуция атак
Типы доказательств
В судопроизводстве доказательства классифицируются следующим
образом.
• Прямое доказательство. Бесспорно, находилось в распоряжении
обвиняемого или было засвидетельствовано показаниями очевидца
преступного поведения.
• Лучшее доказательство. Это доказательство в своем исходном
состоянии.
• Подкрепляющее доказательство. Подтверждает утверждение, сделанное
на основе лучшего доказательства.
• Косвенное доказательство. В сочетании с другими фактами
устанавливает гипотезу. Также называется косвенной уликой.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 34
Обработка доказательств и атрибуция атак
Порядок сбора доказательств
Сбор цифровых доказательств должен начинаться с наиболее Приоритет сбора
подверженных изменениям доказательств и двигаться доказательств
к доказательствам, менее подверженным изменениям.
Данные в оперативной памяти наиболее подвержены изменениям.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 35
Обработка доказательств и атрибуция атак
Порядок передачи и хранения
Порядок передачи и хранения доказательств включает сбор, обработку и надежное
хранение доказательств.
Кто обнаружил доказательство.
Все сведения об обработке доказательства, включая время, место и участвующий персонал.
Кто несет основную ответственность за доказательства, когда ответственность была назначена и когда
забота о сохранности изменялась.
Кто имеет физический доступ к доказательству, пока оно находится на хранении? Доступ должен быть
ограничен только самым необходимым персоналом.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 36
Обработка доказательств и атрибуция атак
Целостность и сохранность данных
Цифровое доказательство должно сохраняться в своем первоначальном состоянии.
• Исходное доказательство необходимо скопировать и проводить анализ только по копии.
• Метки времени могут быть частью доказательства, поэтому следует избегать открытия файлов с оригинального
носителя.
Процесс создания копий доказательства должен быть зарегистрирован.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 37
Обработка доказательств и атрибуция атак
Атрибуция атак
Атрибуция угроз — это процесс определения человека, организации или группы людей,
ответственных за успешное вторжение или атаку.
Выявление хакеров должно осуществляться путем принципиального и систематического
исследования доказательств.
В ходе основанного на фактических доказательствах расследования рабочая группа
реагирования на инциденты соотносит тактику, методы и процедуры (ТМП), которые
использовались в инциденте, с другими известными эксплойтами для выявления хакеров.
Аспектами угрозы, которые могут помочь в атрибуции, являются расположение исходных
хостов или доменов, особенности кодов во вредоносных программах, используемые
инструменты и другие методы.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 38
12.4. Заключение
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 39
Заключение
Лабораторная работа. Интерпретация данных HTTP и DNS для
изоляции хакера
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 40
Заключение
Лабораторная работа. Изоляция скомпрометированного хоста
с помощью 5 элементов
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 41
Обзор главы
Заключение
Решение Security Onion предоставляет интегрированную среду NSM для исследования
событий безопасности, которые создаются различными системами.
Аналитик по кибербезопасности уровня 1 оценивает предупреждения системы безопасности,
чтобы проверить, действительно ли такие события безопасности имели место.
ELSA предоставляет общую платформу данных для агрегации файлов журналов из
различных источников.
Sguil предоставляет аналитическую консоль, которая позволяет исследовать
предупреждения, переключаясь между разными инструментами.
Аналитики уровня 1 могут обнаружить нелегальную деятельности в сети и должны
обработать, сохранить и проанализировать доказательства технической экспертизы.
Цифровые доказательства технической экспертизы могут привести к установлению
хакеров, вызвавших события кибербезопасности.
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 42
Глава 12
Новые термины и команды
• Атрибуция атак
• Лучшее доказательство • ELSA
• CapME • Ложноотрицательное
• порядок передачи и хранения • Ложноположительное
• Подкрепляющее доказательство • Косвенное доказательство
• Панель управления • OSSEC
• Нормализация данных • Вероятностный анализа
• Детерминированный анализ • Suricata
• Цифровая техническая экспертиза • Истинно отрицательное
• Истинно положительное
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 43
Сертификация Cybersecurity Operations
В этой главе рассматриваются следующие темы, которые охватываются сертификацией
Cybersecurity Operations.
Из курса 210-250 SECFND ― Understanding Cisco Cybersecurity Fundamentals:
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 44
Сертификация Cybersecurity Operations
В этой главе рассматриваются следующие темы, которые охватываются сертификацией Cybersecurity
Operations.
Из курса 210-255 SECFND ― Implementing Cisco Cybersecurity Operation:
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 45
Сертификация Cybersecurity Operations
В этой главе рассматриваются следующие темы, которые охватываются сертификацией
Cybersecurity Operations.
Из курса 210-255 SECFND ― Implementing Cisco Cybersecurity Operation:
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 46
Сертификация Cybersecurity Operations
В этой главе рассматриваются следующие темы, которые охватываются сертификацией
Cybersecurity Operations.
Из курса 210-255 SECFND ― Implementing Cisco Cybersecurity Operation:
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 47
Сертификация Cybersecurity Operations
В этой главе рассматриваются следующие темы, которые охватываются сертификацией
Cybersecurity Operations.
Из курса 210-255 SECFND ― Implementing Cisco Cybersecurity Operation:
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 48