На SOC Forum эксперты BI.ZONE рассказали о том, кто атаковал корпоративные сети в России в 2023 году, как изменился ландшафт киберугроз и с помощью чего проводить анализ Linux-систем на компрометацию. А также поделились опытом выстраивания мониторинга сетевой инфраструктуры и подготовки к запуску багбаунти.
Новые инструменты злоумышленников и критерии полезных киберразведданных
В 2023 году эксперты BI.ZONE следили более чем за 40 группировками. Олег Скулкин, руководитель управления киберразведки BI.ZONE, выступил на SOC Forum с докладами «Кто, как и зачем атаковал корпоративные сети в России в 2023 году» и «Как отличить хорошие киберразведданные от плохих».
В первом докладе спикер рассказал об одном из главных трендов в действиях злоумышленников — это переход от ВПО и хакерских инструментов к использованию легитимных учетных записей, скомпрометированных у подрядчиков. Кроме того, выросло количество атак с применением коммерческого ВПО, приобретенного на теневых форумах.
Во втором докладе Олег Скулкин рассказал о пяти самых важных критериях полезных киберразведданых. Они должны быть точными, полными, достоверными, актуальными и своевременными.
Новый инструмент для анализа Linux-систем на компрометацию
О другом важном тренде в действиях злоумышленников рассказал в своем выступлении Теймур Хеирхабаров, директор департамента BI.ZONE по мониторингу, реагированию и исследованию киберугроз.
Злоумышленники все чаще атакуют Linux-системы. Поэтому специалистам по кибербезопасности важно уметь анализировать их на компрометацию: получать качественные данные с хоста и понимать, что в них искать.
В докладе «Практика проведения оценки на компрометацию Linux-систем» спикер рассказал, что собирать нужно, например, информацию о запущенных процессах, файлах в автозагрузке, историю вводимых команд.
C получением информации может помочь бесплатная утилита BI.ZONE Triage. Она позволяет собирать данные для анализа хоста, а также осуществлять проверку с помощью YARA-правил. BI.ZONE Triage уже доступна на GitHub.
Подготовка компании к Bug Bounty
Чтобы эффективно защищаться от растущего количества киберугроз, организациям важно быть уверенными в безопасности внешнего периметра. Евгений Волошин, директор департамента BI.ZONE по анализу защищенности и противодействию мошенничеству, принял участие в открытой дискуссии «Try hack me: как подготовить компанию к Bug Bounty».
Участники отметили, что начинать работу с инструментом следует с запуска приватной программы. Она позволяет познакомиться с багбаунти, настроить процесс обработки отчетов и подготовиться к выходу публичной программы, которая открыта для всех исследователей платформы.
Мониторинг IT-инфраструктуры
Андрей Шаляпин, руководитель управления BI.ZONE по мониторингу киберугроз, рассказал, как правильно организовать мониторинг IT-инфраструктуры. В своем докладе «Как построить мониторинг ИБ и не утонуть в бесполезных логах» он поделился опытом выбора источников событий кибербезопасности для подключения к SIEM-системе.
Например, стоит опираться на совокупность критериев, таких как: охват видимости инфраструктуры, количество и критичность релевантного детектирующего контента, полезность данных от источника на этапах анализа уже обнаруженного инцидента для получения дополнительного контекста.
Это основные критерии, которые определяют полноту покрытия событий SOC и качество работы детектирующего контента.
Инструменты корреляции событий кибербезопасности для построения качественного SOC
Залогом качественного построения SOC является хорошо выстроенный процесс выявления угроз не только на основе отдельных событий, но и в рамках потока всех событий.
Андрей Штапаук, специалист BI.ZONE по реагированию и расследованию инцидентов кибербезопасности, рассказал об одном из самых эффективных потоковых обработчиков данных — ПО с открытым исходным кодом Apache Flink.
Он выступил с докладом «Создание и внедрение системы корреляции событий ИБ на основе программы с открытым исходным кодом Apache Flink» и рассказал о том, как правильно использовать Apache Flink в качестве коррелятора событий кибербезопасности, и поделился своим опытом работы с инструментами.
