Логи в действии: как выявить сложные атаки и снизить риски

[BOOX]

Сложные атаки, такие как APT (Advanced Persistent Threats), часто проходят незамеченными в огромных массивах логов.

Распознать их позволяет не только техническая инфраструктура, но и знание ключевых событий, которые сигнализируют о наличии угрозы. В статье рассказываем, как идентифицировать сложные атаки, снизить количество ложных срабатываний и настроить анализ логов так, чтобы минимизировать риски пропустить важное событие.

Почему важно своевременно выявлять сложные атаки​

Сложные атаки, такие как APT, представляют собой одну из самых опасных угроз для компаний. Они действуют скрытно, преследуя цель длительного присутствия в инфраструктуре для сбора данных, компрометации систем или нарушения их работы. Своевременное выявление таких атак — не просто способ предотвратить потери, но и ключевой фактор для обеспечения устойчивости работы компаний.

С января по октябрь 2024 года количество инцидентов сложных атак выросло на

Для просмотра ссылки необходимо нажать Вход или Регистрация

по сравнению с тем же периодом 2023 года. Количество отраслей экономики, в которых работают атакованные организации, выросло с 4 до 16. Чаще всего под угрозу попадают государственные органы, промышленные компании и телеком-операторы. При этом опасность от подобного рода угроз типа APT заключается в том, что они часто маскируются под легитимный трафик, но указывают на себя необычным сочетанием действий. Они могут представлять собой длительные сессии с низкой активностью, попытки доступа к привилегированным учетным записям, у которых не должно было быть доступа, необычные запросы DNS и HTTP, активность в нерабочее время, использование туннелирования и обфускации, а также изменение настроек системы безопасности. Для эффективного обнаружения APT-атак важно анализировать корреляцию этих событий и использовать специализированные инструменты для выявления аномалий и подозрительных паттернов поведения.

Логи безопасности играют важную роль в противодействии APT. Эти данные фиксируют активность в системах и сети, создавая цифровую хронику, которая помогает выявить отклонения в поведении пользователей и систем. Анализ логов позволяет обнаружить аномалии, указывающие на активность злоумышленников: подозрительные запросы, нетипичные действия с привилегиями или попытки использования уязвимостей. Без грамотной работы с логами компании остаются беззащитными перед атаками, которые могут разрушить их репутацию и вызвать значительные убытки.

Ключевые события в логах, указывающие на сложные атаки​

Для обнаружения APT и других сложных угроз важно внимательно анализировать ключевые события в логах. Эти сигналы могут указать на попытки взлома, скрытного присутствия или подготовку инфраструктуры к атаке.

APT (Advenced Persistent Threat) часто характеризуются многоступенчатым процессом реализации атаки и длительным присутствием в корпоративной инфраструктуре. Ключевыми событиями, которые косвенно или напрямую указывают на реализацию сложных, целенаправленных атак, можно считать:

1. Аномальную сетевую активность. Например, при внешней и внутренней разведке инфраструктуры организации; взаимодействие с неизвестными доменами и IP-адресами.
2. Подозрительные записи об авторизации в журналах безопасности. К примеру, успешный вход после многократных неудачных попыток может означать успешную реализацию атаки с подбором пароля. Неожиданная активность «заброшенных» учетных записей или авторизация с IP-адресов, не связанных с расположением центрального офиса компании, дочерних обществ и самих сотрудников, также вызывает подозрение.
3. Подозрительная активность на устройствах сотрудников. Нелегитимная активность может включать в себя запуски новых процессов на устройстве, изменения в конфигурации системы, попытки отключить системы безопасности.
4. Активность, указывающая на реализацию этапа постэксплуатации. Например, создание новых привилегированных учетных записей, перемещение между учетными записями, попытки или успешное извлечение больших объемов корпоративных данных.

Также внимание сотрудников информационной безопасности должны привлечь изменения в привилегиях и политике безопасности. Необоснованное повышение прав доступа пользователя, добавление новых учетных записей с повышенными привилегиями или изменение политик безопасности могут свидетельствовать о том, что злоумышленник готовится закрепить свое присутствие или расширить доступ. Эти события необходимо фиксировать и анализировать в первую очередь.

Еще один вариант настораживающих событий в логах — использование легитимных инструментов в нетипичных целях. Логи могут показывать выполнение команд через PowerShell, использование WMI или других инструментов администрирования в системах, где их обычно не применяют. Это один из способов злоумышленников замаскировать свои действия под деятельность сотрудников. Попытки скрыть следы, такие как удаление части логов, изменение их содержимого или отключение логирования для конкретных процессов, также являются явным сигналом о сложной атаке.

Одно отдельное событие может вовсе не привлекать внимание, поэтому стоит смотреть шире на всю картину происходящего. Каждая сложная атака состоит из цепочки последовательных и взаимосвязанных действий, которые совместно формируют вектор атаки. Можно выделить общие признаки, характерные для действий злоумышленников на всех этапах атаки:

1. Обфускация. Использование методов обфускации (запутывания) кода и трафика для затруднения обнаружения.
2. Использование легитимных учетных записей. Злоумышленники часто используют украденные или скомпрометированные учетные записи для доступа к системе.
3. Длительный период активности. APT-атаки характеризуются длительным периодом скрытной активности в сети.

Обнаружить подобные активности помогают разнообразные инструменты мониторинга. Помимо SIEM, который и так всем понятен, важны инструменты анализа сетевого трафика. Также важно использовать решения EDR/XDR, системы анализа поведения пользователей UEBA, и системы анализа вредоносного ПО sandbox. Необходимо не забывать и о человеческом факторе — опытных специалистах по анализу безопасности, использующих собственные знания и интуицию.

Поведение, характерное для сложных атак APT, включает в себя признаки, которые можно выделить при анализе логов. Например, злоумышленники могут проводить длительное и низкоинтенсивное сканирование сетевых ресурсов, избегая резких аномалий, чтобы остаться незамеченными. Часто наблюдаются повторяющиеся попытки подключения к одним и тем же IP-адресам, но с разных сегментов сети, что может указывать на попытки установить скрытый канал связи. Также особое внимание следует уделять появлению неизвестных процессов или приложений, особенно если они взаимодействуют с внешними серверами или проводят нестандартные операции.

Отдельно взятые, несвязанные события редко указывают на сложные атаки. Если говорить про саму атаку, то «сложной» ее делает kill-chain. Если в рамках анализа мы можем выявить события, которые «выстраиваются» в единую цепочку событий в рамках отдельно взятой методологии (например, Cyber Kill Chain или Unified Kill Chain), то мы можем говорить о наличии признаков «зрелого» злоумышленника.

Дальнейшее исследование событий позволяет выявить индикаторы, которые на основе открытых источников можно сопоставить с известными группами, или APT. Примеров подобной активности может быть много, а их выявление зависит как от настроек логирования инфраструктуры, так и от опыта аналитика, проводящего исследование.

Пример: события неудачного входа на Windows хост 4625, для отдельно взятой УЗ, сменяются событием 4624 («успешный брутфорс»); через некоторое время в логах proxy сервера обнаруживается подключение к удаленному серверу с известной С2 сигнатурой, источником которого является тот же хост. В подобном примере мы, согласно Unified Kill Chain, можем наблюдать этап первоначального закрепления с использованием техник брутфорса и установлением контроля через С2-сервер.

Есть и обратный пример: на периметре фиксируется исходящее соединение к IP адресу, который, согласно бюллетеням безопасности регулятора, может быть вредоносным. Детальный анализ событий показывает множественные попытки подключения к хосту (RDP, SM, однако успешных входов нет. Исследование истории исходящих соединений показывает подключения через браузер пользователя к легитимному домену, который хостится на том же адресе, что и нелегитимный. Единой цепочки событий не было, соответственно, говорить об APT или сложной атаке нельзя.

Безусловно, категоризация события как связанного с APT может быть осуществлена и на основе всего одного события — удаленного подключения к ранее атрибутированным IP адресу или домену. Однако стоит учитывать актуальность таких индикаторов, так как с течением времени домены могут быть разделегированы, а IP адреса переданы в использование другим лицам.

Эти события и их взаимосвязи помогают специалистам по безопасности идентифицировать сложные угрозы, даже если злоумышленники стараются замаскировать свои действия.

Снижение ложных срабатываний​

В процессе анализа логов одной из главных проблем является высокая доля ложных срабатываний. Это мешает специалистам сосредоточиться на действительно важных инцидентах и может приводить к игнорированию угроз.

К основным причинам ложных срабатываний относят следующие:

1. Большое количество данных. Современные системы генерируют огромные объемы логов, в которых сложно выделить ключевые сигналы угроз.
2. Сложные настройки. Некорректная конфигурация систем мониторинга может приводить к регистрации событий, не связанных с безопасностью.
3. Одинаковое отношение к разным событиям. Отсутствие приоритизации логов создает «шум», когда все события рассматриваются как критические.
4. Недостаток контекста. Отсутствие связанной информации о действиях пользователей, сервисов или приложений затрудняет понимание причин событий.

Фильтрация шума в логах и настройка систем анализа играют ключевую роль в повышении эффективности обнаружения угроз. Один из методов — тщательная настройка фильтров, включая создание правил корреляции и исключение безопасных событий, чтобы снизить уровень ложных тревог. Контекстуализация данных также важна: учитываются привычное поведение пользователей, расписания работы и стандартные IP-адреса, чтобы события лучше соответствовали реальной деятельности. Использование черных и белых списков помогает фокусироваться на подозрительных действиях, исключая из анализа проверенные процессы, приложения и пользователей.

Поскольку ложные срабатывания являются не причиной, а следствием какой-либо проблемы, очевидно, что самым первым шагом для снижения их числа необходимо разобраться в причинах их появления. В случае когда исправить ситуацию обычными правилами обнаружения или корректной настройкой политик аудитов уже не удается, можно:

• применять профилирование (поведенческую аналитику) для пользователей и систем;
• использовать динамические пороги, например, в зависимости от времени суток или контекста;
• использовать алгоритмы машинного обучения для выявления аномалий или для скоринга инцидентов;
• группировать похожие или последовательные события в одно событие более высокого уровня абстракции.

В любом случае выбор способа, который действительно поможет снизить количество ложных срабатываний, будет сильно зависеть от причины этих срабатываний.

Современные подходы включают использование машинного обучения, которое позволяет выявлять аномальные паттерны поведения, опираясь на исторические данные. Поведенческий анализ помогает различать нормальный и подозрительный трафик, а ранжирование по критичности позволяет системе выделять инциденты, требующие немедленного реагирования. Чтобы модели работали максимально эффективно, их дополняют экспертной настройкой, что учитывает уникальные особенности конкретного бизнеса и инфраструктуры.

Борьба с ложными срабатываниями — ключевая задача, от которой зависит эффективность системы мониторинга и качество работы аналитиков SOC. Для этого применяется целый комплекс мер. Среди них можно выделить базовые:

1. Профилирование инфраструктуры на этапе подключения мониторинга. Детектирующая логика адаптируется с учетом особенностей инфраструктуры. Также вносятся базовые исключения.
2. Регулярная работа с исключениями в процессе мониторинга. Все ложные срабатывания должны оцениваться на применимость исключений.
3. Выстроенный процесс разработки контента (правил корреляции). Гипотезы должны проверяться, а разрабатываемые правила в обязательном порядке проходить процедуру тестирования.
4. Использование автоматизаций и машинного обучения. Эти механизмы автоматически могут закрыть алерты, отнесенные к ложным срабатываниям, до того как аналитик приступит к анализу.

Снижение ложных срабатываний требует комплексного подхода: сочетания точной настройки систем, автоматизации на основе ИИ и вовлеченности экспертов для постоянного анализа и оптимизации.

Рекомендации для оптимизации анализа логов​

Эффективный мониторинг начинается с определения ключевых показателей нормального поведения. Настройка базового профиля системы позволяет выделять отклонения, которые могут быть сигналами угроз. Важно учитывать специфику работы компании, чтобы избежать ложных тревог. Регулярный пересмотр правил и автоматизированная адаптация к новым сценариям работы помогут поддерживать актуальность системы.

Использование систем управления информацией и событиями безопасности (SIEM) значительно упрощает обработку больших объемов логов. SIEM интегрирует данные из разных источников и использует корреляционные правила для выделения потенциально опасных событий. Для повышения эффективности рекомендуется регулярно обновлять правила и вводить новые шаблоны для анализа.

Заключение​

Для достижения максимальной эффективности анализа логов необходимо совмещать технологические решения с экспертизой специалистов. Оптимизация мониторинга, внедрение SIEM и регулярное совершенствование процессов помогут значительно повысить уровень безопасности и быстро реагировать на киберугрозы.

Для просмотра ссылки необходимо нажать Вход или Регистрация