Detection engineering: программный подход к выявлению киберугроз

инжиниринг обнаружения кибербезопасность Soc ии автоматизация Mitre Att&ck csoonline.com

Инжиниринг обнаружения угроз (detection engineering) превратился из нишевой практики в ключевую компетенцию для организаций. Он заключается в создании систем для выявления угроз в специфической среде без ложных срабатываний, используя принципы разработки ПО и поведенческий анализ.

Инжиниринг обнаружения угроз (detection engineering), который некогда был нишевой практикой, применявшейся в основном крупными компаниями, по всей видимости, превратился в компетенцию, которую организации во всех отраслях теперь считают неотъемлемой частью своих операций по обеспечению безопасности.

Что такое инжиниринг обнаружения угроз?

Инжиниринг обнаружения угроз — это создание и внедрение систем для выявления потенциальных угроз безопасности в специфической технологической среде организации без утопания в ложных срабатываниях. Это написание интеллектуальных правил, способных определить, когда в сетях или системах организации происходит нечто потенциально подозрительное или вредоносное, и обеспечение полезности этих оповещений. Процесс обычно включает моделирование угроз, понимание тактик, техник и процедур (TTP) злоумышленников, написание, тестирование и валидацию правил обнаружения, а также адаптацию средств обнаружения на основе новых угроз и техник атак.

Небольшой опрос 264 специалистов по кибербезопасности, проведенный Институтом SANS и Anvilogic, показал, что 80% организаций — и 85% крупных предприятий — активно инвестируют в инжиниринг обнаружения угроз, причем 60% уже имеют для этого выделенные команды. Более двух третей (67%) сообщили о сильной поддержке этой практики со стороны руководства в своих организациях.

Данные опроса показали, что многие компании не просто приняли практики инжиниринга обнаружения угроз, но и сделали его стратегическим направлением усилий по снижению киберрисков. «Всего десять лет назад инжиниринг обнаружения угроз был относительно неизвестной ролью в кибербезопасности», — говорится в отчете. «Теперь он становится одной из самых критически важных ролей в операциях по обеспечению безопасности».

Больше, чем обычные практики обнаружения угроз

Сторонники утверждают, что инжиниринг обнаружения угроз отличается от традиционных практик обнаружения угроз подходом, методологией и интеграцией с жизненным циклом разработки. Процессы обнаружения угроз, как правило, более реактивны и полагаются на готовые правила и сигнатуры от поставщиков, которые предлагают ограниченные возможности настройки для использующих их организаций. В отличие от этого, инжиниринг обнаружения угроз применяет принципы разработки программного обеспечения для создания и поддержки пользовательской логики обнаружения, соответствующей специфической среде и ландшафту угроз организации. Вместо того чтобы полагаться на статические, общие правила и известные индикаторы компрометации (IOC), цель инжиниринга обнаружения угроз — разработать адаптированные механизмы для выявления угроз по мере их фактического проявления в конкретной среде организации.

Часто это включает более сильный акцент на обнаружении на основе поведения, интеграцию разведывательных данных об угрозах (threat intelligence) для создания средств обнаружения, соответствующих тактике реальных противников, и использование моделирования угроз для прогнозирования потенциальных путей атаки, говорит Хит Ренфроу, CISO и соучредитель Fenix24, фирмы по восстановлению после киберкатастроф. «В отличие от традиционного обнаружения угроз, которое часто опирается на статические сигнатуры и готовые правила, инжиниринг обнаружения управляем поведением, осведомлен о контексте и адаптирован к уникальному ландшафту угроз организации», — говорит Ренфроу. «Он включает в себя сочетание операций по обеспечению безопасности, разведывательных данных об угрозах и науки о данных для создания более адаптивных и устойчивых возможностей обнаружения».

В отчете SANS-Anvilogic описывается эволюция практик инжиниринга обнаружения угроз: от чрезмерной зависимости от консолей конкретных поставщиков и проприетарных языков к включению принципов жизненного цикла разработки программного обеспечения (SDLC) и непрерывной интеграции/непрерывного развертывания (CI/CD). Это позволяет командам более эффективно тестировать, развертывать и совершенствовать средства обнаружения, сохраняя при этом аудируемые журналы изменений.

Факторы, стимулирующие внедрение инжиниринга обнаружения угроз

Существует несколько факторов, стимулирующих внедрение практик инжиниринга обнаружения угроз. Самый главный — это тот факт, что готовые средства обнаружения недостаточно хороши. Они не создают базовую модель среды, не снижают количество ложных срабатываний и, что тревожно, не всегда оповещают о действительно важных вещах, говорит Джонатон Миллер, вице-президент по операциям безопасности в Lumifi Cyber.

Общие оповещения, не учитывающие контекст организации, стали серьезной проблемой и способствуют усталости от ложных срабатываний во многих командах безопасности. Например, 64% организаций в опросе Anvilogic сообщили о высоком уровне ложных срабатываний; 61% столкнулись с проблемами из-за отсутствия точности обнаружения относительно среды; а 34% заявили о задержках в обновлениях и улучшениях.

«Традиционные методы обнаружения угроз исторически были статичными: если a=a, создать оповещение», — говорит Кевин Гонсалес, вице-президент по безопасности, операциям и данным в Anvilogic. «Они часто представляют собой жесткие, «черные ящики», которым не хватает гибкости в настройке. Хотя они в некоторой степени полезны, эти подходы становятся неуправляемыми в масштабе, особенно в организациях с гибридными средами», — отмечает он.

Растущий объем и изощренность угроз — еще одна проблема. Злоумышленники используют более продвинутые и скрытные методы — включая бестекстовое вредоносное ПО (fileless malware), подходы «жизни за счет системы» (living off the land), эксплойты нулевого дня и атаки через цепочку поставок программного обеспечения — что делает обнаружение на основе сигнатур в значительной степени недостаточным. Рост использования облачных технологий также привнес новые уязвимости и создал слепые зоны, которые устаревшие методы обнаружения часто не могут охватить.

Рост числа сложных устойчивых угроз (APT), атак на цепочки поставок и программ-вымогателей сделал традиционные реактивные подходы недостаточными, говорит Ренфроу. «Организации теперь понимают, что проактивный инжиниринг обнаружения угроз сокращает время нахождения в системе (dwell time), улучшает возможности реагирования и повышает общую киберустойчивость. Кроме того, нормативные базы и поставщики киберстрахования все чаще подчеркивают важность надежных стратегий обнаружения».

Отрасли, внедряющие инжиниринг обнаружения угроз

К числу ведущих сторонников практик инжиниринга обнаружения угроз относятся организации из секторов банковского дела и финансов, информационных технологий, компании, занимающиеся кибербезопасностью, и, в меньшей степени, медицинские учреждения. Многие из них работают в секторах, которые сталкиваются с регуляторным контролем или часто становятся целями изощренных угроз. Но реальность такова, что большинство организаций, особенно крупные, могут извлечь выгоду из внедрения систематического подхода к разработке механизмов обнаружения, соответствующих их специфическому профилю угроз.

Любое крупное предприятие со сложной ИТ-инфраструктурой может извлечь выгоду из инжиниринга обнаружения угроз. Центры операций по безопасности (SOC) должны постоянно совершенствовать и максимизировать свою позицию обнаружения. «Наряду с меняющимся ландшафтом угроз, их собственные внутренние ИТ-инфраструктуры постоянно меняются, что может привести к «дрейфу обнаружения» (detection drift), когда правила обнаружения нарушаются и перестают срабатывать или оповещать», — говорит Майкл Мумчуоглу, генеральный директор CardinalOps.

Эксперты по безопасности выделяют несколько ключевых требований для создания возможностей инжиниринга обнаружения угроз. Самое главное из них — данные. Для успеха командам инжиниринга обнаружения угроз необходим доступ к журналам и данным событий безопасности с конечных точек, сетей, облачных сред и инструментов безопасности, а также к централизованной SIEM или платформе управления журналами для агрегации и нормализации данных о безопасности. Эффективные возможности инжиниринга обнаружения угроз также подразумевают наличие квалифицированного персонала, включая инженеров по обнаружению, аналитиков и исследователей угроз, для разработки и уточнения правил обнаружения. Также важны формальные процессы для моделирования угроз, тестирования и интеграции разведывательных данных об угрозах с реагированием на инциденты.

Цель должна состоять в том, чтобы выйти за рамки статических сигнатур и сосредоточиться на том, как действуют злоумышленники, уделяя первоочередное внимание обнаружению угроз на основе поведения. Используйте такие фреймворки, как MITRE ATT&CK, для сопоставления охвата обнаружения с известными техниками противника и применяйте инструменты эмуляции противника, такие как Atomic Red Team, для проверки эффективности, говорит Ренфроу. «Инжиниринг обнаружения работает лучше всего, когда операции по обеспечению безопасности, разведка угроз и ИТ-команды работают сообща», — отмечает Ренфроу.

Как могут помочь ИИ и автоматизация

ИИ/МО также может играть ключевую роль в настройке правил и автоматизации. Около 45% респондентов опроса описали свои организации как использующие ИИ в программах инжиниринга обнаружения угроз для таких целей, как обнаружение аномалий, генерация правил и сортировка оповещений. Почти девять из десяти (88%) полагали, что ИИ окажет большое влияние на их программы инжиниринга обнаружения угроз в ближайшие три года. «Одним из самых сильных вариантов использования [ИИ] является анализ огромных объемов данных для выявления аномалий, особенно при использовании пользовательской языковой модели», — говорит Гленн Торп, старший директор по исследованиям безопасности и инжинирингу обнаружения в GreyNoise Intelligence. «В зависимости от модели угроз и толерантности к риску организации, применение ИИ с хорошо обученной LLM может значительно повысить эффективность защитников внутри организации».

ИИ — не единственное изменение. Все больше организаций также внедряют автоматизированные процессы для инжиниринга обнаружения угроз. Области, которые организации автоматизируют, включают сопоставление охвата обнаружения с фреймворком MITRE ATT&CK, выявление нарушенных или неправильно настроенных средств обнаружения, а также возможность операционализации разведывательных данных об угрозах и преобразования их в действенные правила обнаружения, говорит Мумчуоглу. Девяносто три процента респондентов опроса Anvilogic сообщили, что в настоящее время они используют или планируют использовать автоматизацию в своем рабочем процессе инжиниринга обнаружения угроз для разработки правил, настройки существующих средств обнаружения и поиска угроз (threat hunting).

Торп предостерегает организации от поиска какого-либо универсального подхода к созданию возможностей инжиниринга обнаружения угроз. «Вместо этого творческий склад ума, разнообразие мыслей и опыта, а также любопытство жизненно важны для построения эффективной команды».

Хорошее место для начала — это определение основных данных вашей организации и поиск людей, которые могут анализировать эти данные с разных точек зрения. Разработайте реалистичное понимание того, чего вы не знаете, и начните устранять эти информационные пробелы. «Вы можете обнаружить, что небольшие изменения могут значительно улучшить вашу видимость и понимание сетевого трафика», — отмечает Торп.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: