ПОТЕНЦІЙНІ ВІДВОЛІКАЮЧІ АТАКИ НА ОПЕРАЦІЙНІ ЦЕНТРИ БЕЗПЕКИ ТА SIEM СИСТЕМИ
DOI:
https://doi.org/10.28925/2663-4023.2021.14.614Ключові слова:
Security Operation Center; SIEM; Обхід; Маскування; Моніторинг; Defense evasion; Тактики супротивникаАнотація
В даній статі розглянуто деякі потенційні вектори атак, що можуть бути здійснені на системи моніторингу операційних центрів безпеки (SOC), зокрема системи SIEM. Широко розповсюджені проблеми таких центрів, такі як великі обсяги хибних позитивних спрацювань, або не абсолютно точна конфігурація кореляційних правил, можуть призводити до ситуацій в яких порушник має змогу спровокувати небажаний стан системи моніторингу. Ми виявили три потенційні вектори подолання моніторингу SOC, що здійснюється через SIEM. Перший вектор ґрунтується на механізмі, що використовується для збору даних про події - log collector: Некоректний стан роботи SIEM може бути досягнутий за допомогою генерації сторонніх беззмістовних даних про події та спрямування їх на SIEM. Потік підроблених даних може спровокувати появу помилкових інцидентів, який витрачає час та можливості для реагування відповідного персоналу. Другий вектор вимагає від агенту загрози певних знань про фактичну конфігурацію SIEM - експлуатація проблем кореляційний правил. Беручи до уваги той факт, що кореляційні правила SIEM створюються вручну, вони можуть містити логічні помилки - певні правила детектування можуть не спрацьовувати на всі необхідні індикатори шкідливої активності. Агент загрози, що знає про такі особливості, може задовольнити критерії не-детектування та таким чином замаскувати процес атаки під легітимну активність. Останній досліджений вектор базується на надлишково чутливих правилах детектування, що генерують істотний обсяг хибно позитивних повідомлень, але все одно залишаються активними. Агент загрози може провокувати хибні тривоги на постійній основі для відволікання аналітиків та проведення атак під "шумовим маскуванням". Усі три вектори були досліджені нами в ході аналізу практичних інсталяцій SIEM та процесів SOC, що визнані стандартами індустрії. На даний момент ми не маємо інформації про те, що дані атаки вже відбувались в реальному середовищі, але існує висока вірогідність появи таких тактик в майбутньому. Мета даного дослідження полягає у висвітленні можливих ризиків для операційних центрів безпеки, пов'язаних з поточними процесами та практиками, що використовуються в індустрії, та розробити стратегії подолання даних проблем у перспективі.
Завантаження
Посилання
Butler, M. (2009). Benchmarking Security Information Event Management (SIEM). SANS.
(2019). The impact of security alert overload. CriticalStart.
Swift, D. (2010). Successful SIEM and log management strategies for audit and compliance. SANS.
Sacher, D. (2020). Fingerpointing false positives. Digital Threats: Research and Practice, 1(1), 1–7. https://doi.org/10.1145/3370084
2014 SIEM Efficiency Report. (2014). Netwrix.
Hardening siem solutions. (2019). NSA
The critical elements of improving the effectiveness of a security operation center. (2021). SecureOps.
Zimmerman, C. (2014). Ten Strategies of a World-Class Cybersecurity Operations Center. Bedford.
Bojana Vilendečić, Ratko Dejanović & Predrag Ćurić. (2017). The impact of human factors in the implementation of SIEM systems. J. Of Electrical Engineering, 5(4). https://doi.org/10.17265/2328-2223/2017.04.004
Improving the Effectiveness of the Security Operations Center. (2019). Ponemon Institute LLC.
Vielberth, M., Bohm, F., Fichtinger, I., & Pernul, G. (2020). Security Operations Center: A Systematic Study and Open Challenges. IEEE Access, 8, 227756–227779. https://doi.org/10.1109/access.2020.3045514
Attacking SIEM with Fake Logs -. (2020). LetsDefend Blog. https://letsdefend.io/blog/attacking-siem-with-fake-logs/