Jak zespoły SOC wykorzystują telemetrię?

Historia pokazuje, że ataki cybernetyczne (np. phishingowe) potrafią przejść przez systemy tak cicho jak kot po dywanie, dlatego wgląd w same logi systemowe już nie wystarcza, ze względu na ogromną ich ilość.

Zespoły SOC (w rozumieniu zewnętrznych i wewnętrznych Security Operations Center) potrzebują szerszego obrazu z wykorzystaniem technologii telemetrycznych, dostarczając informację o tym „co się stało”, „dlaczego” oraz „jak to wykryć szybciej następnym razem”.

Czym jest telemetria?

Słowo „telemetria” najczęściej kojarzy się z technologią, którą NASA wykorzystuje do śledzenia satelitów. I słusznie, bo to prawda, ale w kontekście cyberbezpieczeństwa działa bardzo podobnie, lecz satelitę zastępuje nam np. sieć firmowa, a same sygnały to strumień logów z setek źródeł, takich jak np. stacje robocze, serwery, chmura, aplikacje webowe itd.

W praktyce telemetria oznacza więc ciągłe zbieranie szczegółowych danych o działaniu systemów IT.

W odróżnieniu od klasycznych dzienników zdarzeń, telemetria jest o wiele bogatsza, zawiera kontekst, metadane i wiele dodatkowych parametrów, które pomagają specjalistom SOC zarejestrować incydent oraz lepiej go zrozumieć.

Skąd bierzemy dane?

To proste, w obecnych czasach najczęściej technologia telemetryczna wykorzystywana w cyberobronie pochodzi np. z:

• EDR/XDR – Endpoint Detection & Response / Extended Detection & Response, które monitorują zachowanie stacji roboczych i serwerów.
• SIEM – Security Information and Event Management, czyli systemy zbierające, korelujące i analizujące logi w czasie rzeczywistym.
• NDR – Network Detection & Response, które analizują ruch w sieci.

Wszystkie powyższe technologie wykorzystują mechanizmy, które pozwalają kompleksowo reagować na zagrożenia dzięki zastosowaniu technologii telemetrii.

Po co to jest?

Zespoły SOC wykorzystują telemetrię głównie w kilku najważniejszych celach:

• Wczesne wykrywanie anomalii – dane telemetryczne pozwalają zauważyć nietypowe wzorce zanim pojawią się rzeczywiste szkody.
• Analiza kontekstu – pozwala na uzyskanie informacji, że np. użytkownik „jan.kowalski” zalogował się o 3:00 z adresu IP w Wietnamie oraz, że trzy sekundy później pobrał 2 GB danych z jakiegoś repozytorium.
• Rekonstrukcja incydentów – po ataku można odtworzyć rzeczywisty przebieg zdarzeń (jak w czarnej skrzynce samolotu).
• Automatyzacja – integracja danych telemetrycznych zebranych przez systemy typu SIEM/XDR z systemami typu SOAR (Security Orchestration, Automation and Response) umożliwia wiele operacji jak np. automatyczne izolowanie hostów, blokowanie kont itd.

W praktyce możemy sobie np. wyobrazić, że kampania phishingowa podszywała się pod wewnętrzne powiadomienia HR. Co było dalej?

Dane telemetryczne zebrane przez NDR i EDR pokazały, że otwarcie załącznika .docx prowadziło do uruchomienia makra pobierającego payload dopiero po kilku godzinach bezczynności komputera – co miało ominąć standardowe sandboxy.

Dzięki odpowiednio zabezpieczonej infrastrukturze udało się uniknąć incydentu.

Oczywiście, nic nie jest bez wad i mogą występować pewne problemy, które wynikają z braku odpowiednich narzędzi, typu swoisty szum informacyjny, spowodowany zbyt dużą ilością danych czy koszty retencji samych logów, które mogą sięgać setek terabajtów danych.

Trend jest jasno widoczny, praktycznie wszystkie zespoły SOC w ujęciu globalnym przeszły z klasycznych dzienników zdarzeń na pełną telemetrię z wielu warstw infrastruktury. Swoje trzy grosze dokładają też rozwiązania AI (jak ML i UEBA) zawarte w systemach cyberbezpieczeństwa, które potrafią automatycznie wykrywać odchylenia od normy i przewidywać potencjalne wektory ataku.

Chcesz dowiedzieć się, które rozwiązanie wykorzystujące telemetrię najlepiej pasuje do Twojej infrastruktury? Skontaktuj się z nami!