Co řeší dohledové centrum SOC365?

SOC365 si tedy lze představit jako specializované kompetenční centrum k řešení bezpečnostních situací organizované do procesně oddělených rolí – operátor, analytik, incident manažer, technický specialista a člen CSIRT týmu.

Z pohledu zákazníka se do SOC365 soustředí veškeré rutinní činnosti zaměřené na monitoring prostředí, posuzování zjištěných stavů a situací, detekce anomálií a lokalizace příčin jejich vzniku, správa alertů a incidentů, koordinace vyšetřování anomálií a zvládání následků incidentů, průběžný reporting ze všech sledovaných oblastí požadovaných zákonnými normami a požadovaných zákazníkem.

Cílem centra je poskytovat službu SOC365 pro zajištění nezbytné bezpečnosti ICT, předcházení výskytu kybernetických incidentů a provozních selhání ICT služeb. Dosažení tohoto cíle je zajištěno díky neustálým monitorováním datové sítě zákazníků pomocí hardwarových a softwarových prostředků centra SOC365 a vyhodnocování dění v datové síti tak, aby byl zajištěn spolehlivý provoz a bezpečný chod IT zákazníků. O průběhu dění v kybernetickém prostředí zákazník dostává pravidelně informace a reporty.

Kdo SOC365 „ovládá“

Centrum SOC365 je sestaveno z profesionálního personálu postupujícího podle certifikovaných procesů. Ke své práci má k dispozici specializované softwarové nástroje pro kybernetickou bezpečnost a pro datovou analytiku. Podstata centra SOC365 je založena na znalostech v oblasti kybernetické bezpečnosti, architektury informačních systémů, datové analytiky, profesionálního dohledu nad důvěryhodným sběrem dat.

Kdo potřebuje SOC365

Společnosti začínají stále více řešit doposud tolik podceňovanou kybernetickou bezpečnost, ať již více, či méně úspěšně. Medializované útoky z posledních měsíců ukazují, že současné řešení je ve spoustě společností absolutně nedostatečné. Přestává být otázka, zda se něco v podobě kybernetického útoku stane, ale kdy k němu dojde. Další otázkou je, jak zajistit bezpečnost služeb a bezproblémový provoz a chod informačních systémů.

Security Operation Centrum SOC365 využívají v současnosti klienti z nezbytných potřeb zákona o kybernetické bezpečnosti a také cca třetina připojených klientů se sítí s kritickou infrastrukturou.

Proč a jak SOC365 funguje

Je již všeobecně známo, že kybernetické útoky zpravidla probíhají ve třech fázích, ale často tyto fáze společnosti systematicky neřeší. Jde o tyto fáze:

• průnik do systému;

• sběr informací a šíření infiltrace v systému nebo do dalších systémů;

• šifrování souborů pro monetizaci kooperace na jejich obnově, pokud klient nemá jejich zálohu.

Vlastní průnik do systémů může začít i několik měsíců předem, aniž by o tom v dotčené společnosti kdokoliv věděl. Jde o využití situace, jelikož malé procento společností má nějaké řešení na sběr potřebných dat a fundovaného pracovníka k jejich vyhodnocování.

Typovým problém pro snadnost útoků je, že mnoho klíčových znalostí o bezpečnosti společnosti je vloženo do klíčových bezpečnostních systémů, jako jsou firewall, centrální switch, Microsoft Active Directory, ale přístup k nim mají pouze správci těchto systémů, nikoliv celý ICT tým společnosti v procesně řízeném režimu (jen na čtení). V každém bezpečnostním systému je sice podobná bezpečnostní funkce nastavena funkčně s dalšími navázanými bezpečnostními systémy, ale pojmenování nastavení je odlišné nebo nastavení není efektivní.

A zde právě pomáhá SOC365, kdy klient SOC je chráněn nejmodernějšími technologiemi na monitorování datových toků v síti, monitorování logových záznamů všech zařízení, monitorování IP adresního prostoru. Pro detekci bezpečnostních a provozních anomálií pracovníci SOC365 využívají datovou analytiku s praxí prověřenými detekčními mechanismy.

Jedinečnost služby SOC365 je v doručení efektivního řešení na přesně určený problém.

Co pracovníci SOC365 řeší

Jedním z typových útoků, které SOC365 v poslední době řešil, proběhl na informační systémy několika společností. Menšímu okruhu profesionálů je známo, že nejvíce tento útok postihl jednoho z největších distributorů ICT komponent v ČR. Podívejme se na tento útok podrobněji.

Útočníci se úspěšným útokem motivovali a podnikli další také na společnosti spojené s tímto postiženým distributorem. Především jedním z nich byl klient napojený ke službě Security Operation Centra SOC365.

Sekundární útok na klienta probíhal tak, že si nejdříve útočníci tzv. „oťukali prostředí“, tj. zjistili dostupnost služby IMAP. Poté následovala velmi nízká četnost pokusů o prolomení hesel vybraného množství uživatelských účtů na protokolu IMAP (dvakrát za minutu) pro cca 50 pracovníků společnosti. Trend četnosti pokusů k prolomení hesel se zvyšoval, až překonal detekční limit v Bezpečnostním dohledu a byl ohlášen bezpečnostní Alarm. Zde reagoval operátor SOC, který má povinnost prověřit jakýkoliv alarm či anomálii. Po prověření relevance a vyloučení možnosti falešného poplachu (False-Positive Alarm) informoval operátor SOC pověřenou osobu klienta (dle příslušné kontaktní matice) a taktéž kontaktoval analytika SOC k posouzení povahy útoku a jeho šíření. Analytik SOC po odborném prověření kontextu útoku, jeho rozsahu a zvyšujícího se trendu určil efektivní způsob reakce. Analytik SOC (dle kontaktní matice) kontaktoval osobu klienta odpovědnou za Emergency response.

Na straně klienta SOC nějakou chvíli probíhala diskuze, zdali deaktivovat službu IMAP, kterou používá top management k synchronizaci e-mailů na svých chytrých telefonech. Není neobvyklé, že se klient vzpouzí přijmout doporučené opatření. Typově jde o kolize priorit s jinými úkoly, které pověřená osoba klienta musí odložit, přeplánovat atp. Tudíž se u klientů obvykle usilovně argumentuje (typově technické pozice klienta), proč to opatření nejde realizovat.

Po konzultaci Analytika SOC přímo s majitelem společnosti o rizicích aktuálního útoku, který mezitím zesílil až na četnost 120krát za minutu už jen pro vybrané účty spojené právě s členy vedení společnosti, byla služba IMAP neprodleně odstavena.

Celý průběh řešení od detekce po potlačení útoku trval cca 30 minut. Ale klíčovým faktorem, jak ustát de facto jednoduchý útok, spočívá ve schopnosti dohledovat situaci s jejím vyhodnocením, co je, a co není útok. Následně pak koordinovaně reagovat na skutečnou situaci, tj. identifikovat, co je efektivním řešením v reakci na detekovaný útok.

Security Operation Centrum SOC365 má za tři roky provozu dostatek praxe v dohledování a dostatek proškolených profesionálů v pozicích operátor SOC a analytik SOC, nejen v dovednostech ovládat různé bezpečnostní nástroje, ale i znalosti v investigaci anomálií a praxi v reakci na incidenty.

Přesnější popis detekce a průběhu slovníkového útoku na mail službu klienta SOC365

• Operátory SOC365 byl díky detekci systému SIEM zaznamenán alert na možný slovníkový útok směřující na Exchange server zákazníka.

• Z log záznamů generovaných mail serverem nebylo možné jednoznačně určit zdroj neúspěšných přihlášení (log záznam o neúspěšném přihlášení vznikl na samotném mailovém serveru, kde chyběla informace o původci přihlášení – IP adresa útočníka).

• Z důkladnější analýzy log záznamů a díky znalosti kontextu provozního prostředí zákazníka bylo možné identifikovat, že se neúspěšná přihlášení generují pod reálnými uživatelskými jmény současných i bývalých zaměstnanců zákazníka.

• V log záznamech o neúspěšných přihlášeních bylo možné identifikovat, že cílem útoku byla služba IMAP.

• Díky korelacím log záznamů z mail serveru a z firewallu bylo dále identifikováno, že dochází k velkému množství komunikací právě na službu IMAP mailového serveru (cílový port 993) z velkého množství zdrojů z celého světa (za hodinu cca 300 unikátních IP adres).

• Díky těmto zjištěním bylo doporučeno neprodleně pozastavit službu IMAP na mailovém serveru (jde o dočasné, ale preventivní opatření – získá se čas k analýze situace a stanovení efektivních opatření k znovuobnovení služby).

• Po zastavení služby IMAP došlo také k zastavení tvorby neúspěšných přihlášení a k úplné eliminaci samotného útoku.

Reakce k detekovanému útoku

• Kontrola Firewallu klienta Fortigate a nalezení příslušného komunikačního pravidla pro forward portu 993 ve vazbě na interní server klienta.

• Přeposlání varování z týmu SOC365 na emergency response tým klienta.

• Vyžádání souhlasu top-managementu zablokovat komunikaci mail serveru protokolem IMAP, který je používán pro sychronizace mail zpráv mezi SmartPhone a mail serverem.

• Souhlas blokace protokolu IMAP byl top managementem udělen.

• Útok byl tímto zásahem zcela eliminován.