Статья

Awesome Image
Awesome Image

19 августа 2019


Эксперт по кибербезопасности CyberART Антон Калинин делится мнением о open-source продукте, который можно использовать для построения платформы реагирования на инциденты ИБ


Случаи кибератак ежегодно учащаются, вместе с ними возрастают масштабы негативных последствий для бизнеса. По результатам исследования глобальных тенденций информационной безопасности PricewaterhouseCoopers, бизнесу в редких случаях удается определить источники кибератаки. Лишь 39% участников глобального опроса заявили, что уверены в том, кому вменять киберпреступление, в России только в 19% случаев. Поэтому на первый план выходит усиление устойчивости компаний к кибератакам. И в первую очередь становится актуальна тематика автоматизации большинства процессов в области информационной безопасности. Одним из таких средств автоматизации является IRP. Incident Response Platform (IRP) – это класс платформ, позволяющих автоматизировать процессы управления и реагирования ни компьютерные инциденты. Предпосылками внедрения IRP стали реальные проблемы: это и отсутствие единой системы сбора данных об инцидентах, и потеря времени при расследовании инцидентов ручными способами, низкая скорость реакции инженеров мониторинга при просмотре тысяч событий безопасности, а в связи с этим и высокий процент пропущенных инцидентов, кроме того отсутствие статистики и средств аналитики.


"Лидером среди открытых решений является платформа the Hive"


На текущий момент рынок IRP представлен в основном коммерческими продуктами, но есть возможность использовать и open-source решения. Лидером среди открытых решений является платформа the Hive.


Характеристики платформы The Hive

В 2016 году CERT Banque de France (команда быстрого реагирования на инциденты ИБ Центрального банка Франции) выложила в открытый доступ The Hive - платформу расследования инцидентов ИБ на всем жизненном цикле: от поступления сигнала об угрозе до устранения инцидента. Платформа позиционируется как продукт 4-in-1 и содержит в себе:

  • Ядро всей системы The Hive, где походят основные рабочие процессы по управлению инцидентами;
  • Специализированный поисковик Cortex, позволяющий обогащать информацию об инцидентах как из внешних анализаторов, так и из внутренних систем, таких как CMDB;
  • Агрегатор информации об угрозах Hippocampe, собирающий индикаторы компрометации из множества открытых источников;
  • API клиент для Python TheHive4Py, предлагающий огромный набор различных функций для доработок и интеграций со смежными системами. Нельзя не упомянуть о тесном сотрудничестве и глубокой интеграции с системой MISP – платформой по управлению информацией об угрозах.

The Hive написан на Scala и использует ElasticSearch 2.x для хранения данных. Клиентская часть системы использует AngularJS с Bootstrap. Предоставленные анализаторы в Cortex пишутся на Python. По состоянию на 2019 год из коробки доступно более 120 различных способов анализа ваших объектов компрометации. Дополнительные анализаторы могут быть написаны на том же языке или на любом другом, поддерживаемом Linux. В рамках единой экосистемы платформа постоянно заполняется новыми сервисами. За счет плотной интеграции с техническими средствами расследования The Hive применим для поиска и расследования сложных угроз. При работе с платформой нет необходимости оплачивать лицензию и продлевать ежегодную поддержку.

 

Полное взаимодействие

Каждый зафиксированный инцидент на платформе The Hive может маркироваться не только индикатором компрометации, но и любым другим объектом, который вы хотели бы отслеживать в рамках процесса управления инцидентами ИБ – это как стандартные IoC в виде ссылок, IP, доменов, семплов вредоносных файлов, хэшей, так и учетные записи пользователей, имена рабочих станций, дескрипторв подсетей и так далее. Через анализ поступивших сведений Cortex обогащает данные инцидента. Аналитики безопасности, умеющие писать сценарии, могут легко добавлять свои собственные анализаторы (и вносить их обратно в сообщество, поскольку делиться своими достижениями очень полезно) для автоматизации скучных или утомительных действий, которые должны выполняться над наблюдаемыми объектами или IOC. Разбиение в соответствие с TLP позволяет влиять на то, кому дозволено передавать полученную информацию об угрозах. Красный цвет означает запрет на распространение, желтый – доступность только внутри участников организации, зеленый – внутри сообщества и белый цвет – доступность для всех. Например, файл, добавленный как наблюдаемый, может быть отправлен в VirusTotal, если связанный TLP — БЕЛЫЙ или ЗЕЛЕНЫЙ. Если это ЖЕЛТЫЙ, вычисляется только его хэш и передается VT, но не сам файл. Если TLP - КРАСНЫЙ, то поиск по VirusTotal не выполняется. В связке с платформой киберразведки MISP платформа способна реализовать гибкий механизм реагирования на инциденты ИБ с возможностью создавать кейсы из событий MISP.


Цикл киберразведки

На входе в систему из различных источников поступают события информационной безопасности: будь это ваша SIEM-система, события IDS или сканера безопасности. Кейсы создаются с нуля сотрудником ИБ вручную либо поступают из любых систем посредством API TheHive4Py. Особенностью TheHive является совместная работа. Несколько сотрудников могут одновременно работать над одним и тем же кейсом и отслеживать статусы изменения благодаря The Flow, своего рода Twitter’а, который держит всех участников процесса в курсе происходящего в режиме реального времени. Возьмем наглядный пример – кейс «DDoS-атаки на сайт». Антивирус на рабочем компьютере находит подозрительный файл, сотрудник ИБ вносит файл в The Hive и регистрирует инцидент (Case). Инцидент делится на задачи (Tasks), например, «Отключить автоматизированное рабочее место от сети», «Проверить рабочую почту сотрудника» и так далее. Пока задачами отключения и проверки занимается сотрудник IT-подразделения, аналитик ИБ с помощью Cortex определяет: количество антивирусов, обнаруживших файл на VirusTotal, в какой вредоносной кампании файл участвовал и попал в пульс AlienVault OTX, точную дату вредоносной кампании, метаданные файла. Далее файл отправляется в Cuckoo Sandbox и проходит 8-10 проверок. Все перечисленные действия запускаются нажатием всего на одну кнопку. Внесенный сотрудником ИБ файл в инцидент может быть отправлен на проверку через песочницы Cuckoo Sandbox или Joe Sandbox. Данные по закрытым подтвержденным инцидентам попадают в MISP, после чего рекомендации по реагированию автоматически отправляются в территориально удаленные подразделения компании, в том числе с возможностью активной блокировки обнаруженных паттернов вредоносной компании: на Firewall – IP-адрес управляющего сервера вируса, на рабочей станции — блокировка файла по хешу антивирусом. Кроме того, The Hive автоматически идентифицирует объекты, которые уже были замечены в предыдущих проверках через систему MISP. Встроенные в платформу The Hive механизмы метрик анализируют работу групп мониторинга и реагирования на инциденты по обозначенным для этого процесса KPI. Для использования TheHive, вы можете:

TheHive использует ElasticSearch для хранения данных. Обе программы используют Java виртуальную машину. Мы рекомендуем использовать виртуальную машину с 8vCPU, 8 GB RAM оперативной памяти и 60 GB свободного места на жестком диске. Вы также можете использовать физическую машину с такими же характеристиками.