Кібербезпека: освіта, наука, техніка (Dec 2021)

ПОТЕНЦІЙНІ ВІДВОЛІКАЮЧІ АТАКИ НА ОПЕРАЦІЙНІ ЦЕНТРИ БЕЗПЕКИ ТА SIEM СИСТЕМИ

  • Roman Drahuntsov,
  • Dmytro Rabchun

DOI
https://doi.org/10.28925/2663-4023.2021.14.614
Journal volume & issue
Vol. 2, no. 14
pp. 6 – 16

Abstract

Read online

В даній статі розглянуто деякі потенційні вектори атак, що можуть бути здійснені на системи моніторингу операційних центрів безпеки (SOC), зокрема системи SIEM. Широко розповсюджені проблеми таких центрів, такі як великі обсяги хибних позитивних спрацювань, або не абсолютно точна конфігурація кореляційних правил, можуть призводити до ситуацій в яких порушник має змогу спровокувати небажаний стан системи моніторингу. Ми виявили три потенційні вектори подолання моніторингу SOC, що здійснюється через SIEM. Перший вектор ґрунтується на механізмі, що використовується для збору даних про події - log collector: Некоректний стан роботи SIEM може бути досягнутий за допомогою генерації сторонніх беззмістовних даних про події та спрямування їх на SIEM. Потік підроблених даних може спровокувати появу помилкових інцидентів, який витрачає час та можливості для реагування відповідного персоналу. Другий вектор вимагає від агенту загрози певних знань про фактичну конфігурацію SIEM - експлуатація проблем кореляційний правил. Беручи до уваги той факт, що кореляційні правила SIEM створюються вручну, вони можуть містити логічні помилки - певні правила детектування можуть не спрацьовувати на всі необхідні індикатори шкідливої активності. Агент загрози, що знає про такі особливості, може задовольнити критерії не-детектування та таким чином замаскувати процес атаки під легітимну активність. Останній досліджений вектор базується на надлишково чутливих правилах детектування, що генерують істотний обсяг хибно позитивних повідомлень, але все одно залишаються активними. Агент загрози може провокувати хибні тривоги на постійній основі для відволікання аналітиків та проведення атак під "шумовим маскуванням". Усі три вектори були досліджені нами в ході аналізу практичних інсталяцій SIEM та процесів SOC, що визнані стандартами індустрії. На даний момент ми не маємо інформації про те, що дані атаки вже відбувались в реальному середовищі, але існує висока вірогідність появи таких тактик в майбутньому. Мета даного дослідження полягає у висвітленні можливих ризиків для операційних центрів безпеки, пов'язаних з поточними процесами та практиками, що використовуються в індустрії, та розробити стратегії подолання даних проблем у перспективі.

Keywords