Топ 10 аномалий в поведении пользователей на рабочих станциях в части кибербезопасности

Всем привет!

Очень часто, когда к нам в DEF.HUB приходят новые запросы на мониторинг рабочих станций в части кибербезопасности, мы сталкиваемся с вопросами о минимальных гигиенических контролях безопасности, которые можно внедрить для пользовательских машин.

Конечно есть такие монументальные стандарты, как CIS Control, NIST, OWASP, которые помогают построить дорожную карту по внедрению контролей безопасности, включая область защиты пользователей. Мы же здесь хотели бы поделиться нашим топом базовых, простых но важных для детектирования аномалий в поведении пользователей, который позволит быстро минимизировать часть рисков даже в тех организациях, где, например, нет Security Operations Center.

1. Подозрительная активность в нерабочее время — попытки входа, подключение к корпоративным ресурсам или запуск приложений в ночное время или выходные дни могут указывать на компрометацию учетной записи. Особенно, если активность в нерабочее время носит линейный характер. Например, каждый час видны попытки подключения конкретного пользователя.

   

   Детектировать такие подключения можно в Windows event log — если у вас рабочие станции в домене и на базе операционной системы Windows по датам logon'а. Либо, если мы говорим про удаленное подключение сотрудников — то в событиях VPN сервера по успешным и неуспешным подключениям.

2. Множественные неудачные попытки входа — частые неудачные попытки входа в систему с одного IP‑адреса или учетной записи могут свидетельствовать о брутфорсе паролей злоумышленником.

   

   Во всех системах должно быть настроены ограничения на количество неуспешных попыток входа, после чего, в зависимости от критичности учетной записи, данная учетная запись (или другой атрибут, связанный с брутфорсом, например IP‑адрес) должна быть временно или навсегда заблокирована до выяснения обстоятельств. Аномалия детектируется по росту количества событий типа authentication failure в любых системах.

   Кстати, если вы развернете VPS в облаке, то уже через 5–10 минут в нее начнут ломиться гости с попытками подобрать логин и пароль.

3. Попытки подключения к незнакомым или запрещенным ресурсам  — обращения к ресурсам в интернете, облачным хранилищам или зарубежным сайтам, не связанным с рабочими задачами, может указывать на компрометацию рабочей станции и попытку загрузки вредоносных данных.

   Здесь сложно обойтись без средств защиты, чаще всего детектировать такие попытки доступа можно с помощью решений endpoint security, установленных на рабочие машины сотрудников, или на уровне NGFW / Security Gateway, если пользователи подключаются из корпоративной сети или через VPN клиент без сплита трафика. В средства защиты, чаще всего, встроены репутационные базы ресурсов, которые сразу могут показать подключение с рабочего ноутбука к C&C злоумышленника.

4. Необычно большой исходящий или входящий трафик, множественные подключения к внешним ресурсам может указывать на внутреннего злоумышленника или компрометацию рабочей машины.

   Детектирование подобных аномалий чаще всего можно настроить на сетевом оборудовании, например на NGFW. Такие аномалии быстро становятся заметными даже человеческому глазу, если они являются нетиповыми для пользователей.

   

   Отдельная история — это аналогичные сетевые аномалии, связанные с доступом к базам данных. Скачивание большого объема данных из БД или большое количество маленьких но частых запросов к БД, могут свидетельствовать о попытках несанкционированной выгрузке БД. Такие аномалии заметить значительно сложнее, встроенные средства СУБД чаще всего не позволяю логировать такие аномалии, в связи с чем потребуется внедрение дополнительного решения класса DBFW.

5. Активность пользователя на нестандартных портах может указывать на попытки исследования инфраструктуры внутренним или внешним злоумышленником.

   Детектировать такую активность можно на уровне сетевого оборудования или с применением host‑based firewall. Моя же рекомендация — запретить хотя бы обычным пользователям вообще все не требующиеся для их работы исходящие сетевые запросы на уровне host‑based firewall, особенно такие порты как 22, 3389, порты management plane к инфраструктуре и, в частности, к СУБД (MySQL — порт 3306, PostgreSQL — порт 5432, Microsoft SQL Server — порт 143, Oracle Database — порт 152 и т. п.).

6. Нетипичный характер удаленного доступа сотрудника, source ip, географическое расположение, нетиповое устройство доступа — все эти триггеры могут свидетельствовать о компрометации учетной записи пользователя и подключении злоумышленника к инфраструктуре.

   Must have в части кибербезопасности удаленного доступа — внедрение второго фактора для аутентификации пользователей при удаленном подключении и ко всем ресурсам организации, опубликованным в интернет. Этот поинт доехал и в последний CIS Control 8 — Control #6: Access Control Management

   «Требуется принудительное применение MFA для всех внешних корпоративных или сторонних приложений, где это поддерживается...»

   (кстати, загрузить CIS Control 8 целиком можно здесь — https://www.cisecurity.org/controls/v8)

7. Нетипичные для пользователя действия — выполнение действий, не характерных для профиля пользователя, например, доступ к конфиденциальным данным, которые не имею отношения к рабочим обязанностям сотрудника, запуск привилегированных процессов или изменение конфигурационных настроек.

   Подобные действия детектировать достаточно сложно, чаще всего требуются такие инструменты как endpoint detection and response (EDR), которое предназначено для детектирование подозрительных запусков процессов или обращений по сети, свидетельствующих о компрометации рабочей станции.

   Мы предлагаем нашим клиентам обнаружение таких аномалий на базе нашего сервиса DEF.HUB MDR, в рамках которого наша команда обеспечивает регулярный мониторинг событий кибербезопасности на уровне рабочих машин и серверов.

   

8. Подозрительные действия с файлами — создание, удаление или изменение большого количества файлов, особенно в нетипичных для пользователя директориях, может свидетельствовать о заражении вредоносным ПО.

   Детектировать подобные аномалии крайне сложно. На уровне рабочих станций пользователей могут использоваться решения по контролю целостности, которые при корректной настройке позволят обнаружить нетипично большое количество созданных или измененных файлов. Из open source инструментов, подобные детекты позволяет реализовать решение Wazuh.

   В дополнение хотелось бы уточнить, что сценарий, в котором изменяется большое количество файлов в короткий промежуток времени, очень характерен для поведения вредоносного кода типа ransomware, шифрующего файлы. Алерты на подобные аномалии позволяет обнаружить шифровальщик, если по каким‑то причинам его не детектировало антивирусное.

9. Попытки обхода средств защиты — действия, направленные на отключение антивируса, host‑based firewall, EDR или других средств безопасности, могут свидетельствовать о намерениях злоумышленника запустить вредоносное ПО.

   Детектирование подобных попыток должно быть настроено как критические алерты кибербезопасности во всех средствах защиты. Также, важно при наличии встроенных функций самозащиты средств защиты, обязательно применять их. Такая самозащита доступна, например в большинстве популярных антивирусных решений и EDR.

10. Действия под учетной записью с редкой активностью, например, если учетку не использовали несколько месяцев, после чего появились события активности данной учетной записи, это может свидетельствовать о ее компрометации.

    Такая активность типична для учетных записей пользователей, которые могут быть в простом или длительном отпуске, но и для таких учетных записей целесообразно определить нетиповой период бездействия. Однако, критичным алертом может стать активность после длительного бездействия сервисной или привилегированной учетной записи.

    Конечно, гигиеническим минимумом является конфигурирование систем авторизации таким образом, чтобы после длительного отсутствия событий logon'а (например 90 дней) учетная запись была заблокирована.