Лекція №15

Оцінка попереджень.
Робота з даними безпеки

мережі
Оцінка попереджень
© Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. Конфиденциальная информация корпорации Cisco 2
Джерела попереджень
Рішення Security Onion
 Security Onion - комплект інструментів
моніторингу безпеки мережі (NSM) з
відкритим вихідним кодом, який працює в ОС
Ubuntu Linux.
 Деякі компоненти рішення Security Onion є
власністю корпорацій, таких як Cisco і
Riverbend Technologies, і керуються ними, але
їх вихідний код зроблений відкритим.
Джерела поперджень
Інструменти виявлення для збору даних
 CapME надає аналітику в області кібербезпеки
прості для читання засоби перегляду всього сеансу Архитектура решения
рівня 4.
Security Onion
 Snort використовує правила і підписи для створення
попереджень.
 Bro використовує політики в формі сценаріїв, які
визначають, які дані слід реєструвати в журналі і
коли видавати попереджуючі повідомлення.
 OSSEC виконує активний моніторинг
функціонування хост-систем, включаючи моніторинг
цілісності файлів, моніторинг локальних журналів,
моніторинг системних процесів і виявлення руткітів.
 Suricata використовує власну многопоточность, яка
дозволяє розподіляти обробку потокової передачі
пакетів по декільком ядрам процесора.
Інструменти аналізу
Архитектура решения Security Onion  Sguil - надає аналітику в області
кібербезпеки високого рівня консоль для
вивчення попереджень системи безпеки від
різноманітних джерел.
 ELSA - можна налаштувати джерела
ведення журналів, такі як HIDS, NIDS,
міжмережеві екрани, клієнти і сервери
syslog, служби домену та інші, щоб їх
журнали стали доступні для баз даних
ELSA.
 Wireshark - додаток перехоплення пакетів,
інтегроване в комплект Security Onion.
Створення попереджень
 Попередження в Security Onion створюються Окно Sguil
багатьма джерелами, включаючи Snort, Bro,
Suricata, OSSEC і інші.
 Sguil представляє консоль, яка об'єднує
попередження від різних джерел в чергу з мітками
часу.
 Попередження зазвичай включають інформацію,
що складається з наступних п'яти елементів.
• SrcIP - IP-адреса джерела для даної події.
• SPort - порт (локальний) рівня 4 джерела для даної
події.
• DstIP - IP-адреса призначення для даної події.
• DPort - порт призначення рівня 4 для даної події.
• Pr - номер протоколу IP для даної події.
Правила и предупреждения
 Попередження можуть надходити з багатьох джерел.
• NIDS - Snort, Bro і Suricata
• HIDS - OSSEC
• Управління та моніторинг ресурсів - система пасивного виявлення ресурсів (PADS)
• Транзакції HTTP, DNS і TCP - реєструються Bro і pcap
• Повідомлення системних журналів - кілька джерел
Структура правил Snort
 Правила Snort складаються з заголовка
правила і параметрів правила.
• Заголовок правила містить інформацію про
дії, протоколі, адресації і портах
• Параметри правила включають текстове
повідомлення, яке ідентифікує
попередження, а також метадані про це
попередження.
 Правила Snort надходять з різних джерел,
в тому числі від Emerging Threats (ET),
SourceFire і Cisco Talos.
 PulledPork - компонент рішення Security
Onion, який може завантажити нові
правила автоматично з веб-сайту snort.org.
Огляд оцінки попереджень
Необхідність оцінки попереджень
 Експлойти неминуче будуть ухилятися від
заходів захисту, якими б досконалими вони
не були.
 Правила виявлення повинні бути гранично
консервативні.
 Необхідно, щоб кваліфіковані аналітики в
сфері кібербезпеки досліджували
попередження, щоб визначити, чи дійсно
мав місце експлойт.
 Аналітики з кібербезпеки 1-го рівня будуть
працювати з чергами повідомлень в такому
інструменті, як Sguil, і перемикатися на
такі інструменти, як Bro, Wireshark і ELSA.
Оцінка попереджень
 Попередження можна класифікувати в такий спосіб.
• Істинно позитивне. Попередження перевірено і підтверджено як справжня подія
безпеки.
• Хибно позитивне. Попередження не вказує на справжню подію безпеки.
• Істинно негативне. Подія безпеки відсутня.
• Псевдонегативне. Сталося невиявлена подія.
Детермінований аналіз і імовірнісний аналіз
 Для оценки вероятности успеха эксплойтов в конкретной сети можно использовать статистические
методы.
• Детерминированный анализ. Оценка риска выполняется на основе того, что известно об уязвимости.
• Вероятностный анализ. Оценка потенциального успеха эксплойта путем оценки вероятности того, что,
если один шаг в эксплойте был успешно завершен, следующий шаг также будет успешным.
Детермінований аналіз і імовірнісний аналіз
 Для оцінки ймовірності успіху експлойтів в конкретній мережі можна використовувати
статистичні методи.
• Детермінований аналіз. Оцінка ризику виконується на основі того, що відомо про вразливість.
• Імовірнісний аналіз. Оцінка потенційного успіху експлойта шляхом оцінки ймовірності того, що, якщо
один крок в експлойтів був успішно завершений, наступний крок також буде успішним.
Робота з даними безпеки
мережи
Загальна платформа даних
ELSA
 Пошук і архівація журналів в
корпоративному середовищі (ELSA) - це
інструмент корпоративного рівня для
пошуку та архівування даних NSM, що
походять з декількох джерел.
 ELSA може впорядкувати записи файлів
журналів в загальну схему, яку потім
можна відобразити в веб-інтерфейсі
ELSA.
 ELSA отримує журнали по протоколу
Syslog-NG, зберігає їх в базах даних
MySQL і індексує за допомогою пошуку
Sphinx.
Скорочення даних
 Скорочення даних - це визначення
даних, які необхідно збирати і
зберігати, щоб зменшити
навантаження на системи.
 В результаті обмеження обсягу даних
інструменти, наприклад ELSA,
стануть істотно більш корисними.
Нормалізація даних
 Нормалізація даних - це процес об'єднання даних з декількох джерел в
загальний формат для індексування та пошуку.
Архівація даних
 Нескінченне зберігання даних NSM
неможливо через проблеми зі зберіганням
даних і доступом до них.
 Архітектури забезпечення відповідності
можуть вимагати зберігання даних протягом
певного періоду часу.
 ELSA можна налаштувати для збереження
даних протягом деякого періоду часу. За
замовчуванням цей період становить 90 днів.
 Дані попереджень Sguil за замовчуванням
зберігаються протягом 30 днів.
Дослідження мережевих даних
Робота в Sguil
 У рішенні Security Onion перше місце,
куди аналітик з кібербезпеки перейде
для перевірки попереджень, - це Sguil.
 Sguil автоматично зіставляє аналогічні
попередження в один рядок і надає
спосіб для перегляду пов'язаних подій,
представлених в цьому рядку.
Запити в Sguil
 Запити в Sguil можна створювати за допомогою будівника запитів Query Builder, який
спрощує цей процес.
 Аналітики з кібербезпеки повинні знати імена цих полів і типові можливі проблеми з
їх значеннями.
Вивод з Sguil
 Sguil надає можливість «вивести»
дослідження в інші інструменти, такі
як ELSA, Wireshark або Bro.
 Файли журналів доступні в ELSA,
відповідні перехоплені пакети можна
відобразити в Wireshark, а також
доступні протоколи сеансів TCP і
відомості Bro.
Обробка подій в Sguil
 У Sguil можна виконувати три
задачі управління
попередженнями.
 Для попереджень, які
опинилися помилковими,
можна встановити статус
«закінчився термін дії».
 Можна підвищувати рівень
події, натиснувши клавішу F9.
 Можна встановити категорію
для події.
Робота в ELSA
 ELSA надає доступ до великої кількості
записів файлів журналів.
 ELSA буде витягувати тільки перші 100
записів за попередні 48 годин.
 Щоб переглянути детальну інформацію в
ELSA найпростіше використовувати
вбудовані запити, які відображаються в
лівій частині вікна ELSA. Для цього
треба видати запит, потім налаштувати
дати і повторно відправити запит за
допомогою кнопки Submit Query
(Відправити запит).
Запитив ELSA
 ELSA представляє сводку полів і важливу інформацію про значення кожного поля,
проіндексованого в результатах запиту. Це дозволяє уточнювати запити на основі широкого
діапазону значень.
 При натисканні запису в стовпці Value (Значення) буде відображено запит зі значенням,
доданим в попередній запит. Цей процес можна повторювати, що дозволяє легко звузити
результати пошуку.
 Регулярні вирази виконуються в ELSA за допомогою функції grep.
Процес дослыдження або API-визови
 Якщо шкідливе ПЗ може обманом змусити ядро
ОС дозволити йому виконувати системні виклики,
стають можливі багато експлойтів.
 Правила OSSEC виявляють зміни параметрів на
рівні хоста, таких як виконання програмних
процесів, зміни користувальницьких прав, зміни
реєстру і інших.
 Правила OSSEC будуть активувати попередження
в Sguil.
 Вибір OSSEC в якості вихідної програми в ELSA
дозволяє отримати уявлення подій OSSEC, що
сталися на хості.
Дослідження відомостей о файлі
 При відкритті ELSA безпосередньо для запитів Files (Файли) відображається окремий ярлик.
 Для того щоб отримати список типів завантажених файлів, слід відкрити запити Files (Файли) і
вибрати в меню пункт Mime Types (Типи Mime).
 Для завантажених файлів також доступні хеши MD5 і SHA-1.
 Хеш-значення файлів можна відправляти на спеціальні сайти в Інтернеті, щоб визначити, чи не є

файл відомого шкідливого ПЗ.
Дослідження відомостей о файлі
 При открытии ELSA напрямую для запросов Files (Файлы) отображается отдельный ярлык.
 Для того чтобы получить список типов загруженных файлов, следует открыть запросы Files
(Файлы) и выбрать в меню пункт Mime Types (Типы Mime).
 Для загруженных файлов также доступны хеши MD5 и SHA-1.
 Хеш-значения файлов можно отправлять на специальные сайты в Интернете, чтобы

определить, не является ли файл известного вредоносного ПО.
Исследование сетевых данных
Лабораторная работа. Практическое занятие по регулярным выражениям
Исследование сетевых данных
Лабораторная работа. Извлечение исполнимого файла из PCAP
Повышение эффективности работы аналитиков по кибербезопасности
Инструментальные панели и визуализации
 Панели управления предоставляют интерактивное сочетание данных и визуализаций,
предназначенное для извлечения ценной информации из больших объемов информации.
 Аналитики могут сосредоточиться на конкретных деталях и определенной информации.
 В ELSA предусмотрена возможность создания настраиваемых панелей управления.
 Squert предоставляет визуальный интерфейс.
 Cisco Talos предоставляет интерактивную

панель управления.
Повышение эффективности работы аналитиков по кибербезопасности
Управление рабочими процессами
 В мониторинге безопасности сети требуются управляемые рабочие процессы.
• Повышается эффективность рабочей группы киберопераций.
• Повышается ответственность персонала.
• Гарантируется правильная обработка всех потенциальных предупреждений.
• Каждое предупреждение должно в установленном порядке назначаться, обрабатываться
и документироваться.
 Sguil предоставляет базовые возможности управления рабочими процессами, но плохо
подходит для больших организаций. Можно также использовать сторонние настраиваемые
системы.
 Автоматизированные запросы повышают эффективность рабочего процесса.
• Поиск сложных событий безопасности, которые могут обойти другие инструменты.
• Запрос ELSA можно настроить как правило предупреждения и запускать на регулярной основе.
• Этот запрос можно создать на языке сценариев, таком как Python.
12.3. Цифровая техническая
экспертиза
Обработка доказательств и атрибуция атак
Цифровая техническая экспертиза
 Аналитик по кибербезопасности должен находить доказательства преступной
деятельности.
• Необходимо определить хакеров, сообщить о них в соответствующие органы и предоставить
доказательства для поддержки судебного преследования.
• Обычно первыми обнаруживаются правонарушения.
 Цифровая техническая экспертиза ― это восстановление и исследование информации,
обнаруженной на цифровых устройствах и свидетельствующей о преступной деятельности.
• Это могут быть данные на устройствах хранения, в энергозависимой памяти компьютера, или следы
киберпреступности в сетевых данных, таких как pcap и журналы.
 Киберпреступная деятельность может быть квалифицирована как ведущаяся изнутри или извне
организации.
 Согласно HIPAA пострадавшие лица должны быть уведомлены о нарушении.
 Аналитики должны знать требования, касающиеся сохранения и обработки доказательств.
Процесс цифровой технической экспертизы
 NIST описывает процесс цифровой технической экспертизы как состоящий из четырех этапов.
1. Сбор — выявление потенциальных источников данных для технической экспертизы, а также сбор,
обработка и хранение этих данных.
2. Проверка ― оценка собранных данных и извлечение из них соответствующей информации. Может
потребоваться распаковка и расшифровка.
3. Анализ — извлечение выводов из данных (люди, места, время, события и т. д.).
4. Отчеты — подготовка и представление информации. Должны быть сделаны предложения для
дальнейшего исследования и следующих действий.
Типы доказательств
 В судопроизводстве доказательства классифицируются следующим
образом.
• Прямое доказательство. Бесспорно, находилось в распоряжении
обвиняемого или было засвидетельствовано показаниями очевидца
преступного поведения.
• Лучшее доказательство. Это доказательство в своем исходном
состоянии.
• Подкрепляющее доказательство. Подтверждает утверждение, сделанное
на основе лучшего доказательства.
• Косвенное доказательство. В сочетании с другими фактами
устанавливает гипотезу. Также называется косвенной уликой.
Порядок сбора доказательств
 Сбор цифровых доказательств должен начинаться с наиболее Приоритет сбора
подверженных изменениям доказательств и двигаться доказательств
к доказательствам, менее подверженным изменениям.
 Данные в оперативной памяти наиболее подвержены изменениям.
 Пример порядка сбора от наиболее изменчивых к наименее

изменчивым:
1. Регистры памяти, кеш
2. Таблица маршрутизации, кеш ARP, таблица процессов, статистика ядра,
оперативная память
3. Временные файлы системы
4. Энергонезависимые носители, постоянные и съемные
5. Данные удаленного мониторинга и удаленных журналов
6. Физические межсоединения и топологии
7. Архивные носители, ленты или другие резервные копии
Порядок передачи и хранения
 Порядок передачи и хранения доказательств включает сбор, обработку и надежное
хранение доказательств.
 Кто обнаружил доказательство.
 Все сведения об обработке доказательства, включая время, место и участвующий персонал.
 Кто несет основную ответственность за доказательства, когда ответственность была назначена и когда
забота о сохранности изменялась.
 Кто имеет физический доступ к доказательству, пока оно находится на хранении? Доступ должен быть
ограничен только самым необходимым персоналом.
Целостность и сохранность данных
 Цифровое доказательство должно сохраняться в своем первоначальном состоянии.
• Исходное доказательство необходимо скопировать и проводить анализ только по копии.
• Метки времени могут быть частью доказательства, поэтому следует избегать открытия файлов с оригинального
носителя.
 Процесс создания копий доказательства должен быть зарегистрирован.
 Должны использоваться специальные инструменты для сохранения доказательства технической

экспертизы, чтобы не потерять доказательство при выключении устройства.
 Пользователи не должны отключать, отсоединять или выключать питание зараженного
компьютера, пока сотрудники отдела безопасности не укажут сделать это.
Атрибуция атак
 Атрибуция угроз — это процесс определения человека, организации или группы людей,
ответственных за успешное вторжение или атаку.
 Выявление хакеров должно осуществляться путем принципиального и систематического
исследования доказательств.
 В ходе основанного на фактических доказательствах расследования рабочая группа
реагирования на инциденты соотносит тактику, методы и процедуры (ТМП), которые
использовались в инциденте, с другими известными эксплойтами для выявления хакеров.
 Аспектами угрозы, которые могут помочь в атрибуции, являются расположение исходных
хостов или доменов, особенности кодов во вредоносных программах, используемые
инструменты и другие методы.
12.4. Заключение
Заключение
Лабораторная работа. Интерпретация данных HTTP и DNS для
изоляции хакера
Лабораторная работа. Изоляция скомпрометированного хоста
с помощью 5 элементов
Обзор главы
 Решение Security Onion предоставляет интегрированную среду NSM для исследования
событий безопасности, которые создаются различными системами.
 Аналитик по кибербезопасности уровня 1 оценивает предупреждения системы безопасности,
чтобы проверить, действительно ли такие события безопасности имели место.
 ELSA предоставляет общую платформу данных для агрегации файлов журналов из
различных источников.
 Sguil предоставляет аналитическую консоль, которая позволяет исследовать
предупреждения, переключаясь между разными инструментами.
 Аналитики уровня 1 могут обнаружить нелегальную деятельности в сети и должны
обработать, сохранить и проанализировать доказательства технической экспертизы.
 Цифровые доказательства технической экспертизы могут привести к установлению
хакеров, вызвавших события кибербезопасности.
Глава 12
Новые термины и команды
• Атрибуция атак
• Лучшее доказательство • ELSA
• CapME • Ложноотрицательное
• порядок передачи и хранения • Ложноположительное
• Подкрепляющее доказательство • Косвенное доказательство
• Панель управления • OSSEC
• Нормализация данных • Вероятностный анализа
• Детерминированный анализ • Suricata
• Цифровая техническая экспертиза • Истинно отрицательное
• Истинно положительное
Сертификация Cybersecurity Operations
 В этой главе рассматриваются следующие темы, которые охватываются сертификацией
Cybersecurity Operations.
 Из курса 210-250 SECFND ― Understanding Cisco Cybersecurity Fundamentals:
 Тема 5. Мониторинг безопасности

• 5.2. Описание типов данных, используемых в мониторинге безопасности:
• Полный перехват пакетов
• Данные сеанса
• Данные транзакций
• Статистические данные
• Извлеченное содержимое
• Данные предупреждений
 В этой главе рассматриваются следующие темы, которые охватываются сертификацией Cybersecurity
Operations.
 Из курса 210-255 SECFND ― Implementing Cisco Cybersecurity Operation:
 Тема 2. Анализ вторжений в сеть

• 2.8. Сравнение и сопоставление влияния и отсутствия влияния для следующих предупреждений:
• ложноположительных;
• ложноотрицательных;
• истинно положительных;
• истинно отрицательных.
 Тема 4. Анализ данных и событий

• 4.1. Описание процесса нормализации данных
• 4.2. Преобразование значений общих данных в универсальный формат
• 4.3. Описание 5-элементной корреляции
• 4.4. Применение 5-элементного подхода для изоляции скомпрометированного хоста в сгруппированном наборе
журналов
 Тема 4. Анализ данных и событий

• 4.1. Описание процесса нормализации данных
• 4.2. Преобразование значений общих данных в универсальный формат
• 4.3. Описание 5-элементной корреляции
• 4.4. Применение 5-элементного подхода для изоляции скомпрометированного хоста
в сгруппированном наборе журналов
• 4.9. Сравнение и сопоставление детерминированного и вероятностного анализа
 Тема 5. Обработка инцидентов

• 5.2. Применение для события процесса обработки инцидентов NIST.SP800-61 r2
• 5.3. Определение следующих действий, относящихся к обработке инцидентов:
• Идентификация
• Оценка
• Сдерживание
• Устранение угроз
• Защита на основе собственного опыта
• Отчетность
 Тема 5. Обработка инцидентов

• 5.4. Описание следующих понятий, задокументированных в NIST SP800-86:
• Порядок сбора доказательств
• Целостность данных
• Сохранение данных
• Сбор кратковременных данных

Лекція №15

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Лекція №15

Uploaded by

Copyright:

Available Formats

Оцінка попереджень.

Робота з даними безпеки

 Хеш-значення файлів можна відправляти на спеціальні сайти в Інтернеті, щоб визначити, чи не є

 Хеш-значения файлов можно отправлять на специальные сайты в Интернете, чтобы

 В ELSA предусмотрена возможность создания настраиваемых панелей управления.

 Squert предоставляет визуальный интерфейс.

 Cisco Talos предоставляет интерактивную

 Аналитики должны знать требования, касающиеся сохранения и обработки доказательств.

 Пример порядка сбора от наиболее изменчивых к наименее

 Должны использоваться специальные инструменты для сохранения доказательства технической

 Тема 5. Мониторинг безопасности

 Тема 2. Анализ вторжений в сеть

 Тема 4. Анализ данных и событий

 Тема 4. Анализ данных и событий

 Тема 5. Обработка инцидентов

 Тема 5. Обработка инцидентов

You might also like