Владимир Ротанов, Инфосистемы Джет: Для наилучшей оценки полноты покрытия SOC подходит формат Purple Team

Владимир Ротанов, руководитель группы практического анализа защищенности компании «Инфосистемы Джет» специально для портала Cyber Media, подробно рассказал о том, как проверить готовность центра мониторинга кибербезопасности ко встрече с реальными злоумышленниками.

Cyber Media: Как изменились техники и тактики злоумышленников в 2022 году?

Владимир Ротанов: На самом деле техники практически не изменились. По-прежнему для получения первоначального доступа к системам компании хакеры эксплуатируют новые уязвимости с помощью методов социальной инженерии. Это некоторая неизменная база.

Если говорить о российском сегменте, то больше всего стало атак, направленных на отказ в обслуживании.

Cyber Media: Какова основная мотивация атакующих? Изменилась ли по сравнению с предыдущим годом?

Владимир Ротанов: Мотивация сейчас такая же, как и раньше, — получить деньги. Хакеры могут продавать персональные данные, либо доступ к каким-либо информационным системам. Отдельно можно выделить DDoS-атаки — эта проблема сегодня особенно актуальна для российских компаний. Некоторые злоумышленники проводят такие кибератаки исключительно ради собственного веселья либо для того, чтобы почувствовать себя в составе «крутой тусовки».

Cyber Media: Насколько фатален урон от хактивистов?

Владимир Ротанов: 80% таких хактивистов — это неподготовленные люди. Если брать DDoS-атаки, то зачастую их реализуют следующим образом: «Вот вам exe-файл, туда нужно вбить правильный IP-адрес, и все готово». В целом, высокого уровня компетенций для работы в этом направлении не нужно. Однако такой атаки достаточно, чтобы нарушить работу веб-приложения без защиты от DDoS. Правда, думать, что все хактивисты ничего не умеют с точки зрения кибербезопасности, будет ошибкой. Действительно, среди них есть хорошие специалисты. Как и в ИБ-отрасли в целом: есть начинающие специалисты, есть эксперты.

По своему опыту взаимодействия с различными командами безопасности могу сказать, что начинающих около 30%, средних — 60%, экспертов — 10%. Но эксперты в таком случае — это те, кто действительно глубоко разбираются в своей теме. Например, могут разработать эксплойт с нуля на основе сравнения уязвимого ПО и вышедшего патча.

Cyber Media: Почему пентест не подходит для оценки эффективности SOC?

Владимир Ротанов: Пожалуй, не соглашусь с этим. Пентест может использоваться, с «большой звездочкой». Начнем с простого: типовой пентест представляет собой модель нарушителя, из которой злоумышленник развивается, и конечную цель, которую необходимо достичь.

В результате злоумышленник будет сфокусирован на достижении этой цели. Если эксплуатация каких-либо уязвимостей (техник и тактик), по предположению исполнителя, не приведет к достижению цели, они могут быть не эксплуатированы. В результате получаем оценку SOC только в части покрытия узкого перечня техник и атак.

Cyber Media: Какие самые действенные способы проверки готовности SOC к реальным кибератакам?

Владимир Ротанов: Оценивать эффективность SOC можно различными способами. Во-первых, можно оценить полноту, компетентность самих сотрудников и скорость реагирования. Наш доклад был связан с покрытием. Если рассматривать эффективность SOC с этой точки зрения, то нужно использовать метод Purple Team.

Сейчас компании выбирают формат Red Team, который представляет собой имитацию целенаправленной кибератаки. Также сейчас появилась отдельная разновидность этого формата: команда, проводящая работы, предоставляет службе безопасности временные метки ключевых действий (Timeline). Основной недостаток такого подхода, на мой взгляд, заключается в том, что это разовая история: SOC получил один раз этот Timeline, скорректировал настройку СЗИ на детектирование определенных атак, но нет возможности повторно убедиться, что подобные атаки будут зафиксированы.

На мой взгляд, для наилучшей оценки полноты покрытия SOC подходит формат Purple Team.

Cyber Media: Можете назвать 3 преимущества Purple Team над Red Team?

Владимир Ротанов: Первое, и самое главное, — команды Blue Team и Red Team работают совместно. Компетенции обеих команд объединяются, они направлены на то, чтобы прокачать компетенции службы безопасности.

Формат Purple Team объединяет навыки специалистов Red Team, которые знают разновидности атак, их суть, какие артефакты остаются в результате эксплуатации, и компетенции команды SOC, которые направлены как раз на работу с СЗИ — их тонкую настройку, донастройку правил корреляции, чтобы снизить количество ложноположительных результатов.

Второе преимущество — гибкость формата. В формате Purple Team мы можем плотно взаимодействовать с командой SOC. И если на определенном этапе мы понимаем, что научились фиксировать все базовые атаки, то можем их усложнить и посмотреть, справляются ли ранее разработанные правила с новым видом атаки.

Третье — формат Purple Team предполагает итеративность. То есть в рамках работы мы циклично можем проводить работы либо из нескольких сегментов, либо используя различные модели нарушителя. В духе: «Окей, научились детектировать все действия удаленного злоумышленника, но будут ли они же фиксироваться из сегмента рядового пользователя?»

Cyber Media: С какими техниками хуже всего справляется SOC? А с какими лучше? Почему?

Владимир Ротанов: Лучше всего SOC справляется с наиболее распространенными атаками. Это должны быть атаки, которые достаточно известны, по ним легко найти какой-либо дополнительный материал — взять ту же атаку Kerberoasting. Намного сложнее SOC справляются с атаками, которые подразумевают отклонение от стандартного шаблона: низкое количество запросов в работе атаки, шифрование трафика, нестандартные способы передачи данных из инфраструктуры заказчика.