Всем известен классический сюжет фильмов ужасов: герои спешно запирают двери и окна, но обнаруживают, что чудовище уже в доме. Специалистам по ИТ-безопасности полезно пересмотреть эти кадры и поразмышлять о том, какое отношение они имеют к их работе. Сейчас многие компании тратят миллионы долларов, укрепляя периметр защиты, чтобы не допустить проникновения злоумышленников в свою сеть, но не уделяют достаточного внимания пользователям, которые уже находятся внутри компании.
Опасность уже внутри, независимо от того, знаете вы об этом или нет. Согласно документу Cyber Security Intelligence Index (https://www-01.ibm.com/marketing/iwm/dre/signup?source=ibm-WW_Security_Services&S_PKG=ov47123&S_TACT=000000NJ&&S_OFF_CD=10000254), внутренние угрозы составляют 60% всех атак. Насколько быстро вы можете обнаружить и блокировать действия сотрудника или подрядчика, злоупотребляющего своими привилегиями? Использует ли взломщик учетные данные, полученные в результате фишинга? Программа-шантажист шифрует ваши ценные файлы? Проходят минуты, а риск сопряженных с серьезными убытками потерь данных резко увеличивается. Насколько серьезными? По данным исследования Ponemon 2017 Cost of Data Breach Study (https://www.ibm.com/security/infographics/data-breach/), средний размер убытков от одного взлома достигает величины в 25 млн рублей.
На рынке представлено много решений, разработчики которых обещают помочь. Но в большинстве из них используется простой подход на основе правил, и пользователь тонет в потоке предупреждений (в основном ложных), проанализировать которые совершенно невозможно. Например, пытаясь обнаружить атаку методом подбора, программа будет предупреждать вас всякий раз, когда какой-либо пользователь вводит неверный пароль семь раз, хотя в большинстве случаев это просто ошибки ввода с клавиатуры со стороны сотрудников, вернувшихся из отпуска. Для точного определения реальных угроз необходимо принимать во внимание более широкий контекст поведения пользователя и текущей последовательности действий, а не отдельно взятое событие.
Change Auditor Threat Detection
Change Auditor Threat Detection — необычный продукт. В нем используется машинное обучение и анализ поведения пользователей и сущностей User and Entity Behavioral Analytics (UEBA), позволяющий выделить из огромного массива данных аудита активность, указывающую на настоящего злоумышленника или скомпрометированную учетную запись. Затем выявляются наиболее подозрительные пользователи и выдаются предупреждения, чтобы можно было быстро и эффективно среагировать на опасность. В частности, данное решение определяет базовый уровень нормального поведения каждого пользователя — обычное время регистрации в системе, к каким папкам и файлам он обращается, типы изменений, вносимых им в Active Directory (AD) и т. д. Затем машинное обучение без управления, анализ поведения пользователя, SMART-корреляция и набор заранее определенных индикаторов угрозы используются для анализа последующего поведения пользователя в реальном времени и обнаружения истинных угроз.
Например, в одной реально существующей среде с 7000 пользователей описываемое решение за 45 дней выделило 42 потенциально опасных пользователя на основе 46 млн исходных событий (см. рисунок).
Рисунок. Change Auditor Threat Detection выбирает из огромного массива данных аудита пригодное для обработки число предупреждений SMART |
Далее в статье будет описано девять самых важных шаблонов подозрительного поведения, которые может обнаружить Change Auditor Threat Detection.
- Ненормальная активность в службе каталогов AD.
- Атака методом подбора.
- Пользователь, ведущий наблюдение.
- Несанкционированное копирование, передача, извлечение или уничтожение данных.
- Повышение прав.
- Использование привилегированной учетной записи на основе сценариев.
- Необычный доступ к системе.
- Вредоносные программы.
- Боковое смещение.
Угроза № 1. Ненормальная активность в AD
Active Directory принадлежит ведущая роль в проверке подлинности, поэтому важно иметь возможность обнаружить подозрительную пользовательскую активность именно в AD. Например, взломщики, получающие высокопривилегированный доступ к домену Active Directory или контроллеру домена, могут уничтожить целый лес, так как любые изменения, вносимые ими в базу данных AD, будут реплицированы на все другие контроллеры домена. И даже учетные записи с меньшими привилегиями открывают доступ к конфиденциальным данным, повреждение или потеря которых может нанести ущерб бизнесу и привести к ошибкам в обеспечении соответствия требованиям.
Change Auditor Threat Detection может обнаружить многие признаки ненормальной активности AD, в том числе:
- резкий всплеск количества изменений, вносимых в AD пользователем, по сравнению с его обычной нормой, возможно указывающий, что учетная запись скомпрометирована и используется для уничтожения критических данных каталога (экран 1);
- привилегированные пользователи, выполняющие административные действия, которые не являются их обычной обязанностью, например сотрудник службы поддержки первого уровня, ответственный только за разблокировку учетных записей пользователей и сброс их паролей, внезапно начинает создавать новые учетные записи пользователей или изменять членство в группах (экран 2);
- изменение пользователями членства в конфиденциальных привилегированных группах AD, что может указывать на несанкционированную эскалацию привилегий;
- значительное увеличение количества изменений учетных записей AD, за которым может скрываться использование интерактивной привилегированной учетной записи для запуска сценариев;
- ненормальное число неудачных изменений AD, что может указывать на попытку использовать скомпрометированные учетные данные.
Экран 1. Change Auditor Threat Detection не только обнаруживает подозрительные действия, но и оценивает риск в контексте обычного поведения пользователя |
Экран 2. Change Auditor Threat Detection может обнаружить необычные всплески активности AD |
Угроза № 2. Атака методом подбора
Атаки методом подбора проводятся в разнообразных формах. В случае традиционного взлома пароля предпринимаются многократные попытки отгадать пароль пользователя; взломщик рискует быть обнаруженным после многочисленных неудачных попыток, но благодаря знаниям о прежних паролях жертвы у него есть шанс успешно пройти проверку подлинности. Атаки методом подбора могут быть запущены изнутри сети «червями» и другими вредоносными программами, предназначенными для обнаружения учетных записей пользователей и взлома паролей с помощью специальных словарей.
Однако неудобно получать предупреждения всякий раз, когда при регистрации с учетной записью пользователя происходит несколько неудачных попыток ввода пароля, так как это не всегда свидетельствует об атаке методом подбора. На самом деле обычно это результат неудачной настройки сети или ошибок пользователя при вводе пароля. Поэтому Change Auditor Threat Detection оценивает индикаторы угрозы в контексте других необычных действий, и предупреждения выдаются, только если обнаружено действительно подозрительное поведение, что резко сокращает количество ложных срабатываний.
Кроме того, каждое предупреждение об атаке методом подбора содержит весь контекст вызвавших его событий безопасности, поэтому не составляет труда выяснить, откуда исходят попытки входа и не совершает ли их законный владелец учетной записи.
Угроза № 3. Пользователь, ведущий наблюдение
Снупинг (snooping) — это несанкционированный доступ к данным. Например, излишне любопытный сотрудник может попытаться просмотреть серверы и папки, к которым он не должен обращаться, например с информацией о зарплате или планах реорганизации компании. Целеустремленный вредитель может активно пытаться обнаружить и украсть ценную корпоративную информацию ради личного обогащения или по иным причинам. В более сложных методах снупинга используются программы для удаленного мониторинга действий, выполняемых на компьютере, или автоматизируется обнаружение файловых ресурсов.
Change Auditor Threat Detection выделяет не только неудачные попытки доступа к данным, для которых у пользователя явно нет разрешений, но и успешные попытки доступа к данным, находящимся вне компетенции пользователя, в случаях, когда разрешения определены недостаточно строго (экран 3).
Экран 3. Change Auditor Threat Detection предупреждает об обращении к данным с повышением прав |
Индикаторы такой активности следующие:
- большое число попыток доступа к файлам в течение короткого времени;
- большое число событий неудачного доступа к файлам;
- попытки доступа к файловому серверу и папкам, к которым пользователь редко или никогда не обращался в прошлом.
Угроза № 4. Несанкционированное копирование, передача или уничтожение данных
Несанкционированное копирование или передача (exfiltration) данных из компьютера или сервера выполняется с использованием нескольких методов. Таким приемом часто пользуются киберпреступники в Интернете, но недобросовестные сотрудники тоже могут украсть ценные корпоративные данные, чтобы использовать их в личных целях, передать своему новому работодателю, сторонним лицам или продать преступникам. Уволенные сотрудники могут быть больше заинтересованы в уничтожении данных, нежели в их краже, в надежде создать хаос в компании (экран 4).
Экран 4. Change Auditor Threat Detection отмечает пользователей, которые могут попытаться уничтожить ценные данные |
Индикаторы подобной активности:
- чрезмерное число событий доступа к файлам и перемещения файлов, что может указывать на копирование конфиденциальных файлов из сервера;
- чрезмерное число событий удаления файлов, что может указывать на намеренное уничтожение данных.
Угроза № 5. Повышение прав
Взломщики часто проникают в корпоративную сеть через обычные учетные записи пользователей, которые, как правило, проще скомпрометировать, чем административные, а затем повышают уровень привилегий этих учетных записей, чтобы получить доступ к интересующим их данным или системам. Аналогично недобросовестные сотрудники часто пытаются повысить свои права или получить нужные права доступа скрытым образом, создавая новую учетную запись и добавляя ее во вложенную привилегированную группу.
Всегда необходимо внимательно отслеживать добавление пользователя в привилегированную группу, но большинство таких событий законные. Change Auditor Threat Detection выделяет действительно подозрительные события, сопоставляя добавление в привилегированную группу с соответствующей подозрительной активностью. Например, если непосредственно перед тем, как пользователь создал учетную запись и добавил ее в привилегированную группу, был выполнен вход из необычного места после нескольких подряд ошибок при проверке подлинности, то вы получите предупреждение вверху списка и сможете быстро начать расследование.
Основные индикаторы повышения привилегий:
- пользователь добавляется в критическую встроенную привилегированную группу, напрямую или через членство во вложенной группе;
- пользователю напрямую назначаются повышенные разрешения.
Угроза № 6. Использование привилегированной учетной записи в сценарии
Иногда интенсивность действий с какой-нибудь учетной записью настолько велика, что их определенно не может выполнять пользователь в интерактивном режиме. Поэтому вероятно, что с учетными данными пользователя работает программа или сценарий, возможно с целью внести разрушительные изменения в AD или ценные данные в файлах (экран 5).
Экран 5. Слишком большое число попыток доступа из учетной записи пользователя подозрительно |
Грамотно спроектированные программа или сценарий могут завладеть учетной записью пользователя и работать медленнее, чтобы не вызвать предупреждения в результате простого превышения порога. Но даже эта тактика не позволит обойти Change Auditor Threat Detection. Данное решение постоянно сравнивает текущее поведение пользователя с индивидуальным базовым шаблоном, и ненормальное число попыток доступа или внесения изменений будет сразу отмечено как вероятная атака.
К индикаторам такой активности относится чрезмерное число успешных или неудачных попыток:
- изменить пользователей или группы в Active Directory;
- выполнить доступ, переместить или удалить файлы;
- проверить подлинность учетных данных пользователей;
- выполнить доступ к различным компьютерам и серверам.
Угроза № 7. Необычный доступ к системе
Если учетная запись пользователя обращается к сети из необычной географической точки или неожиданной рабочей станции, это один из признаков, что внешнему взломщику удалось скомпрометировать учетную запись. Однако в большинстве случаев это вовсе не атака, поэтому выдача тревожных сообщений при каждом ненормативном событии доступа погребет вас под лавиной ложных предупреждений.
Change Auditor Threat Detection связывает необычное место доступа с последующей подозрительной активностью, например снупингом или внесением необычных изменений в AD. Таким образом, аномальное место доступа предоставляет дополнительный контекст, который повышает уровень предупреждения, и становится очевидной необходимость быстро расследовать событие (экран 6).
Экран 6. Change Auditor Threat Detection отображает динамический список наиболее подозрительных действий |
Индикаторы такой активности:
- пользователь пытается выполнить проверку подлинности с рабочей станции, которую он редко или никогда не использовал раньше;
- пользователь пытается выполнить вход из географической точки, необычной для него или его компании.
Угроза № 8. Вредоносные программы
Внешние злоумышленники и обиженные или легкомысленные сотрудники — не единственные угрозы, о которых приходится беспокоиться. Как видно из недавних заголовков новостей, компании также подвергаются атакам программ-шантажистов и вредоносных программ других типов. После того как такая программа внедрилась в компьютер, она пытается скомпрометировать учетные записи пользователя, чтобы получить доступ ко всем ресурсам, для которых у этих учетных записей есть разрешения.
Индикаторы подобной активности:
- чрезмерное число попыток входа в многочисленные учетные записи пользователя с одного компьютера или IP-адреса;
- чрезмерное число попыток входа на многочисленные серверы, контроллеры домена и домены с одного компьютера или IP-адреса;
- чрезмерное число переименований файлов во многих папках и серверах из одной учетной записи пользователя.
Угроза № 9. Расширение зоны интереса
Получив доступ к сети (с помощью украденных учетных данных, атаки методом подбора или другого метода), взломщики предпринимают попытки выполнить вход на различные серверы в поисках ценных данных, которые можно украсть, и дополнительных учетных данных. Обычно у них достаточно времени, чтобы найти то, что им нужно. При подготовке исследования 2017 Cost of Data Breach Study институтом Ponemon (https://www.ponemon.org/library/2017-cost-of-data-breach-study-united-states) выяснилось, что среднее время обнаружения успешного взлома составляет 191 день, то есть более шести месяцев. И еще два месяца (66 дней) требуется, чтобы устранить уязвимость.
Change Auditor Threat Detection устанавливает базовый уровень нормального поведения для каждого пользователя и составляет шаблоны поведения, а не рассматривает отдельно взятые события, поэтому удается быстро обнаружить учетные записи, которыми завладели злоумышленники. Эти учетные записи будут выделены на панели мониторинга угроз, чтобы вы могли принять меры для защиты ценных активов.
Индикаторы такой активности:
- многочисленные неудачные или успешные попытки входа на различные серверы;
- попытки доступа к серверам, к которым пользователи никогда не обращались в прошлом;
- вход в многочисленные учетные записи пользователя с одного компьютера или IP-адреса.
Современные ИТ-среды ежедневно регистрируют миллионы необработанных событий. Большинство из них отражают совершенно нормальные и законные действия, но в этом никогда нельзя быть уверенным, учитывая лавину предупреждений, которые выдает большинство решений для обнаружения угроз. Аналитики тратят драгоценное время на ложные срабатывания, а тем временем взломщики и недобросовестные сотрудники действуют безнаказанно.
Change Auditor Threat Detection устраняет «отвлекающий шум» и обнаруживает действительные угрозы в вашей среде. Благодаря пониманию какие шаблоны поведения нормальны для данного пользователя и применению многочисленных заранее определенных индикаторов угроз данное решение точно идентифицирует подозрительную активность, которая может свидетельствовать об атаке методом подбора, извлечении данных, повышении привилегий, вредоносных программах или других типичных сценариях нападения.