SIEM
Значительное количество современных инцидентов начинается с компрометации учетных записей. С тех пор как брокеры первоначального доступа стали отдельной преступной отраслью, атакующие могут значительно проще организовывать атаки на инфраструктуру компаний, просто закупая наборы из паролей и логинов сотрудников. А повсеместная практика использования различных методов организации удаленного доступа еще больше облегчила их задачу. При этом начальные этапы атаки часто выглядят как вполне легитимные действия сотрудников и долго остаются незамеченными классическими средствами защиты.
Надеяться исключительно на средства защиты учетных записей и парольные политики — не вариант. Всегда есть шанс, что злоумышленники доберутся до учетных данных ваших сотрудников при помощи разнообразных фишинговых атак, зловредов-инфостилеров или просто за счет небрежности сотрудников, которые используют один и тот же пароль для рабочих и личных аккаунтов и не особенно следят за утечками на сторонних сервисах, где у них имеются учетные записи.
В результате для выявления атак на инфраструктуру компании нужны инструменты, способные выявлять не только отдельные сигнатуры атаки, но и системы поведенческого анализа, способные детектировать отклонения от нормальных процессов пользователей и систем.
Использование ИИ в SIEM для выявления компрометации учетных записей
Как мы уже писали в предыдущем посте, для выявления атак, связанных с компрометацией учетных записей, мы оснастили нашу SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (KUMA) пакетом правил UEBA, предназначенным для выявления аномалий в процессах аутентификации, в сетевой активности и при запуске процессов на рабочих станциях и серверах под управлением Windows. И в очередном обновлении мы продолжили развитие системы в том же направлении, добавив использование ИИ-подходов.
Система формирует модель нормального поведения пользователей при аутентификации и отслеживает отклонения от привычных сценариев: нетипичное время входа, необычные цепочки событий, аномальные попытки доступа. Такой подход позволяет выявлять как попытки аутентификации с украденными учетными данными, так и использование уже скомпрометированных аккаунтов, включая сложные сценарии, которые раньше могли оставаться незамеченными.
Вместо поиска отдельных индикаторов система анализирует отклонения от привычных паттернов. Это позволяет раньше обнаруживать сложные атаки и одновременно снижать количество ложных срабатываний. Это значительно снижает операционную нагрузку на SOC-команды.
Раньше при использовании UEBA-правил для выявления аномальности приходилось делать несколько правил, которые выполняют предварительную работу, а также формируют дополнительные листы, сохраняющие промежуточные данные. Сейчас же в новой версии SIEM c новым коррелятором появилась возможность реализовать детектирование угона учетной записи при помощи одного специализированного правила.
Другие обновления в Kaspersky Unified Monitoring and Analysis Platform
Чем сложнее инфраструктура и больше объем событий, тем критичнее становятся требования к производительности платформы, гибкости управления доступами и удобству ежедневной работы. Современная SIEM-система должна не только точно обнаруживать угрозы, но и оставаться «выносливой» без необходимости постоянно наращивать оборудование и перестраивать процессы. Поэтому в версии 4.2 мы сделали еще один шаг в сторону практичности и адаптивности платформы. Обновления затронули архитектуру, механизмы детектирования и пользовательский опыт:
Добавление гибких ролей и гранулярного контроля доступа
Одно из ключевых нововведений в новой версии SIEM — гибкая ролевая модель. Теперь заказчики могут создавать собственные роли для разных пользователей системы, дублировать существующие и настраивать набор прав доступа под задачи конкретных специалистов. Это позволяет точнее разделять зоны ответственности между аналитиками SOC, администраторами и менеджерами, снижать риск избыточных привилегий и лучше отражать внутренние процессы компании в настройках SIEM.
Новый коррелятор и, как следствие, повышение устойчивости платформы
В релизе 4.2 мы представили бета-версию нового корреляционного движка (2.0). Он быстрее обрабатывает события и требует меньше аппаратных ресурсов. Для заказчиков это означает:
- стабильную работу при высоких нагрузках;
- возможность обрабатывать большие объемы данных без необходимости срочного расширения инфраструктуры;
- более предсказуемую производительность.
Покрытие TTP по матрице MITRE ATT&CK
Мы также планомерно продолжаем расширять покрытие матрицы техник, тактик и процедур MITRE ATT&CK: сегодня KUMA закрывает более 60% всей матрицы. Правила обнаружения регулярно обновляются и сопровождаются рекомендациями по реагированию. Это помогает заказчикам понимать, какие сценарии атак уже находятся под контролем, и планировать развитие защиты на основе общепринятой индустриальной модели.
Прочие усовершенствования
В версии 4.2 также появилась возможность резервного копирования и восстановления событий, а также экспорт данных в защищенные архивы с сохранением целостности, что особенно важно для расследований, аудита и выполнения требований регуляторов. Для повышения удобства аналитиков реализованы фоновые поисковые запросы. Теперь сложные и ресурсоемкие поиски можно запускать в фоновом режиме, не влияя на приоритетные задачи. Это ускоряет анализ больших массивов данных.
Мы продолжаем регулярно обновлять Kaspersky SIEM, расширяя возможности обнаружения, улучшая архитектуру и добавляя ИИ-функциональность, чтобы платформа максимально соответствовала реальным условиям работы команд информационной безопасности и помогала не только реагировать на инциденты, но и выстраивать устойчивую модель защиты на будущее. Следите за обновлениями нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform на официальной странице продукта.
