WO2021194370A1 - Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент - Google Patents

Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент Download PDF

Info

Publication number
WO2021194370A1
WO2021194370A1 PCT/RU2020/000165 RU2020000165W WO2021194370A1 WO 2021194370 A1 WO2021194370 A1 WO 2021194370A1 RU 2020000165 W RU2020000165 W RU 2020000165W WO 2021194370 A1 WO2021194370 A1 WO 2021194370A1
Authority
WO
WIPO (PCT)
Prior art keywords
incident
response
host
level
module
Prior art date
Application number
PCT/RU2020/000165
Other languages
English (en)
French (fr)
Inventor
Дмитрий Александрович ВОЛКОВ
Original Assignee
Общество с ограниченной ответственностью "Группа АйБи ТДС"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "Группа АйБи ТДС" filed Critical Общество с ограниченной ответственностью "Группа АйБи ТДС"
Priority to EP20927373.9A priority Critical patent/EP3964990A4/en
Priority to SG11202112984XA priority patent/SG11202112984XA/en
Publication of WO2021194370A1 publication Critical patent/WO2021194370A1/ru
Priority to US17/579,297 priority patent/US20220159034A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Definitions

  • the present technical solution relates to the field of computing, in particular, to a method and system for making a decision on the need for an automated response to an incident.
  • the method includes: controlling the client computer at least one module of the protection suite, which is adapted to protect information stored on the client computer, and to detect cases of security incidents.
  • the client computer registers records at the event level, representing the activity of at least one module of the security suite.
  • An incident affecting information security on a client computer is detected by at least one protection suite module, detection is performed based on the incident detection criteria.
  • the events selected from the level records are associated by the client computer with the incident, and the association is performed based on the incident association criteria.
  • the client computer is provided with events selected from the level records to the remote server for analysis.
  • the client computer receives at least one recommendation for corrective actions to be automatically performed on the client computer.
  • Recommendations for corrective actions are received from the remote server, including instructions for resolving the incident. Carry out automatic execution by the client computer of instructions to eliminate the incident. Instructions are received by the client computer to update at least one of the incident detection criteria, the incident association criteria, or a combination thereof, with a new set of corresponding criteria.
  • the detection of an incident occurs in the response system itself.
  • the signal about the found incident is transmitted to the automated response system along with the properties of the threats, through third-party threat search systems.
  • the technical problem to be solved by the claimed technical solution is the creation of a computer-implemented method and system for making a decision on the need for an automated response to an incident, which are described in independent claims. Additional embodiments of the present invention are presented in the dependent claims.
  • the technical result consists in the implementation of an automated response to an incident.
  • the claimed result is achieved through the implementation of a computer-implemented method for making a decision on the need for an automated response to an incident, containing the stages at which: when receiving from third-party systems, through an interface module, a signal about at least one incident, information about the incident is transmitted to the analytical module , where: determine whether the incident was previously prevented, and if not, then determine the hazard level of the incident, and if the hazard level exceeds a predetermined threshold, carry out, through the analytical module and the response module, the response to the incident.
  • the information about the incident contains at least the category of the incident, the threat level of the incident, the name of the host on which the incident occurred, and the degree of confidence that the incident is not a false positive.
  • the incident category is additionally referred to one of three response categories.
  • the malicious process is stopped and the host is isolated.
  • the incident belongs to the second category of response, then by means of the analytical module it is determined from which account the activity takes place, and if the account does not belong to privileged accounts, then it is blocked.
  • the degree of confidence is compared with a predetermined threshold, and if the degree of confidence is less than a predetermined threshold, then the privileged account is blocked.
  • a privileged account is blocked if the number of blocked privileged accounts for a predetermined time is less than Ni records.
  • the incident belongs to the third category of response, then it is determined, by means of the analytical module, which process generated the incident, and whether the server operating system of the host on which the incident occurred is.
  • the incident is generated by a system process, and the host operating system is server-based, then the contents of the RAM are removed by means of the response module.
  • the contents of the random access memory are removed if less than N 2 responses have been made in a predetermined time.
  • the incident is not generated by a system process, but the host operating system is server-side, then by means of the response module, the contents of the RAM are removed and the process is stopped.
  • the contents of the random access memory are removed and the process is stopped if less than N 3 reactions have been completed in a predetermined time.
  • the host operating system is not a server one, the host on which the incident is detected is isolated from the network by means of the response module.
  • the host is isolated from the network if less than N 4 hosts were isolated in a predetermined time.
  • the automatic response process by means of the response module, is carried out at the file, host and corporate network level.
  • the file-level response includes, in whole or in part, the following steps: blocking at least one malicious file and sending it to quarantine; send at least one malicious file for dynamic analysis in an isolated environment; looking for at least one malicious file, which is a child, on at least one host, and delete it; terminate the malicious process.
  • the response at the host level includes, in whole or in part, the following steps: collect information about the incident; create a copy of the contents of the RAM; create a sector-by-sector copy of the non-volatile storage device; isolate the host from the network; block the launch of any applications, except for the original programs developed by the manufacturer of the operating system.
  • information about the incident includes at least information about programs automatically loaded when the operating system is loaded, Prefetch files, running processes, system event logs, and the contents of temporary directories.
  • the response at the corporate network level includes, in whole or in part, the following steps: block the user account at the domain level; run script files for dealing with incidents; send a report.
  • the declared result is also achieved due to the system for making a decision on the need for an automated response to an incident, consisting of the following functional modules: an interface module designed to receive signals from external systems about the detection of an incident; an analytical module capable of defining conditions and choosing rules for an automated response; a response module configured to perform an automated response when performing the above method.
  • Figure 1 illustrates a system for making a decision on the need for an automated response to an incident.
  • FIG. 2 illustrates a computer-implemented method for deciding whether an automated response to an incident is required.
  • FIG. 3 illustrates one of the possible algorithms for a computer-implemented method for making a decision on the need for an automated response to an incident.
  • FIG. 4 illustrates an example of a general arrangement of a computing device.
  • the claimed computer-implemented method is intended to be implemented as a separate algorithm in the operation of a large multicomponent system.
  • a multi-component system can be implemented in different ways and contain different functional blocks or subsystems, including, for example, antivirus software, an isolated environment (sandbox), a malware detonation platform, have a connection to a rapid response center (CERT), and etc.
  • CERT rapid response center
  • a computer-implemented method for making a decision on the need for an automated response to an incident is carried out by means of a decision-making system on the need for an automated response to an incident, presented in Fig. 1, which consists of the following functional modules: an interface module configured to receive signals from external systems about detection of an incident (S10), an analytical module made with the ability to determine the conditions and select methods of automated response (S20), as well as with the ability to access the database (S25) with the provision of obtaining data from it and saving data to it, and the response module ( S30) configured to perform an automated response when performing the above method.
  • an interface module configured to receive signals from external systems about detection of an incident (S10)
  • an analytical module made with the ability to determine the conditions and select methods of automated response (S20), as well as with the ability to access the database (S25) with the provision of obtaining data from it and saving data to it
  • the response module S30 configured to perform an automated response when performing the above method.
  • the claimed computer-implemented method for making a decision on the need for an automated response to an incident (100) is implemented as follows.
  • Automated response is implemented in case of detection of a threat or other incident of computer security. This assumes that the actual search and detection of a threat or incident is performed by external systems. When a threat is detected, an appropriate signal is sent to the described system, after which this system performs an automated response.
  • step 110 at least one incident is signaled by the interface module (S10 in FIG. 1).
  • An incident signal has at least one of the following properties.
  • Category of threat The category indicates which incident was detected: the operation of a certain type of malicious program, for example,
  • Threat level The level usually depends on the threat category. For example, if an unwanted program is detected, such as adware, adware, the threat level may be low. At the same time, if a ransomware or worm is detected, the threat level can be high.
  • the threat level score is generated by the system that detected the threat, such as a malware detonation platform known as TDS Polygon, or a sandboxed environment.
  • the rating can be binary (0 or 1), or categorical, when any threat belongs to one of four, for example, predetermined categories, such as, for example, critical, high, medium, low.
  • the degree of confidence (Reliability). This is a numerical indicator that corresponds to the confidence of the external system that detected the threat that the verdict on detecting the threat is not a false positive.
  • a host is understood as a network node.
  • Hosts can be physical devices - computers, servers, laptops, smartphones, tablets, game consoles, TVs, printers, network hubs, switches, routers, arbitrary devices, united by 1oT ("Internet of Things"), etc., - so and hardware and software solutions that allow organizing several network nodes on one physical device, for example, the so-called Apache virtual hosts, etc.
  • an incident signal may contain additional information, for example, the name and checksum of the file of the malicious program whose operation was detected, the IP address or domain name of a web server external to the protected network, to which a request was sent from one of the hosts on the protected network, the name of the account from which there is movement across the protected network, etc.
  • step 120 as shown in FIG. 2, by means of the analytical module (S20 in Fig. 1) it is determined whether this incident was previously prevented or not (step 121 on FIG. 3).
  • This step is aimed at eliminating the response in cases where the incident obviously does not pose a threat. For example, when a malicious program is triggered in a sandbox, in an isolated environment, or a previously blocked malicious file is rediscovered. In such cases, there is no automated incident response.
  • Determining whether a given incident is a threat is performed by the analytical module (S20 in Fig. 1) by checking against the database (S25 in Fig. 1).
  • This database contains information about all hosts that are part of the network in which the described system operates, as well as about all response procedures performed by the system for a predetermined period of time, for example, for the last day.
  • the file name or checksum of the malicious program detected to be triggered matches one of the names or checksums of the malware files already blocked by the system on this host during one of the response procedures completed within the specified time period, then the incident is considered averted and no response is made.
  • the incident signal does not contain the name or checksum of the malware file, for example, if the incident is a network movement, a request to an external IP address (included in the list of malicious addresses), or signs of APT development, the incident is considered is not prevented and a response is necessary.
  • the severity level of the incident is determined (step 130 in FIG. 2). If the severity level of the incident is less than a predetermined value, then no response is performed. In the event that the value of the severity level of the incident is greater than the predetermined value, an automated response is performed (step 140 in FIG. 2). Depending on the reported incident, the automated response can be performed in different ways. A non-limiting example of further possible steps of the automated response algorithm is shown in FIG. It should be understood that the algorithm shown in Fig. 3 is just an example, and numerous variants of alternative ways of implementing the described system are possible.
  • the number of the listed categories of response can be more or less three.
  • a Trojan propagation incident and an APT incident may belong to two different response categories.
  • incidents such as “spreading a worm,” “launching a data destruction program,” and “launching an encryptor” can belong to three different response categories, and so on.
  • the grouping of different types of incidents by response category may also differ from that shown in FIG. 3.
  • a Trojan propagation incident step 153 in FIG. 3
  • a worm propagation incident step 151 in FIG. 3
  • Reacting is performed at the following levels: at the file level; at the host level; at the corporate network level.
  • File-level responsiveness includes:
  • Host-level responsiveness includes:
  • Information about the incident contains at least information about startup programs, Prefetch files, running processes, system event logs, the contents of temporary directories;
  • Enterprise-level responsiveness includes:
  • response at different levels is carried out depending on the incident that occurred, its properties, as well as the appropriateness of the implementation of specific measures.
  • the response at different levels includes the implementation of the above steps in whole or in part.
  • step 130 proceeds to define the category of the incident (step 150 in FIG. 3).
  • the category of the incident step 150 in FIG. 3
  • at least three response categories can be defined, as shown in FIG. 3.
  • the first category of response (151) in this example includes incidents generated by threats of the following types, but not limited to: ransomware, worm, data destruction program.
  • the second category of response (152) in this example includes incidents associated with the movement of an account across the network.
  • the third category (153) of the response in this example includes all other incidents that do not belong to the first or second category of response, for example, "Trojan”, "ART” and so on.
  • step 140 in accordance with FIG. 2 the malicious process is stopped at the file level (step 141 in FIG. 3), then the host is isolated at the host's damage (step 142 in FIG. 3).
  • One of the employees of an organization whose computer network is protected by a cybersecurity system that includes a system that implements this method receives from the address of the domain administrator whose account was compromised an e-mail with an attachment and text containing an urgent request familiarize yourself with the attached document.
  • the employee opens the attached document, as a result of which his computer is infected with a worm-type malware. The latter begins to spread over the local network.
  • At least one of the "external” systems is constantly looking for threats.
  • the "external” system will generate and transmit the incident signal to the system implementing the described method, which will be sent to the interface module of the system (S10 in Fig. 1) that implements the described method.
  • This signal will have the following properties:
  • Category of threat (Category): "worm";
  • the network segment where the computer on which the incident occurred is located the name of the segment
  • step 121 the analysis module (S20 in Fig. 1) will determine that the malicious program was not triggered in the sandbox and that the malicious file was not previously blocked. Therefore, the system according to FIG. 3, at step 130 will assess the level of threat and since it exceeds the low level set in this example, at step 150 it will conduct an automated incident response.
  • step 141 the following steps will be performed: blocking the malicious file and sending it to quarantine; additionally, a malicious file can be sent for dynamic analysis (depending on whether this type of "worm" is known); search for original and child files on all computers and delete them; termination of a malicious process.
  • step 142 the following steps can be performed: isolating the host from the network (to stop the spread of the worm); collecting the necessary evidence.
  • An archive containing information necessary for operational research data on startup programs, Prefetch files, running processes, system event logs, contents of temporary directories, etc.
  • the worm does not carry any additional load, that is, other malicious programs that spread along with it (suppose it does not), then removing the contents of the RAM and creating a sector-by-sector copy of the volatile storage device may not be performed.
  • step 152 in Fig. 3 If it turns out that the incident belongs to the second category of response (step 152 in Fig. 3), then it is determined, by means of the analytical module (S20 in Fig. 1), from which account the activity is taking place, and if the account does not belong to privileged accounts , which is determined at step 148 (Fig. 3), and the number of blocked accounts for a predetermined time is less than Ni records, where Ni is a predetermined integer number, then it is blocked (step 143 in Fig. 3) at the corporate network level by means of the module response (S30 in FIG. 1), which corresponds to step 140 in FIG. 2. In the event that the number of blocked privileged accounts for a predetermined time is more than Ni records, then the incident response is not performed.
  • a privileged account means an account that has the right to install, modify and manage any information system or device.
  • system administrators for example, system administrators, administrators of applications, databases, cloud services, websites, as well as managers of some departments, for example, the security department, the cybersecurity department, etc., can have a privileged account.
  • the incident belongs, in a non-limiting example, to the third response category (step 153 in FIG. 3), then it is determined, by means of the analysis module (S20 in FIG. 1), which process generated the incident (step 122 in FIG. 3), and is the server operating system of the host on which the incident occurred (step 123 in FIG. 3).
  • the response module S30 in Fig. 1
  • the contents of the main memory are removed in the order of response at the host level (step 144 in Fig. 3).
  • the contents of the random access memory are removed if less than N2 responses have been made in a predetermined time, where N2 is some predetermined integer. If more than N2 responses were made in a predetermined time, then the incident response is not performed.
  • the incident response module S30 in Fig. 1
  • the contents of the main memory step 145 in FIG. 3
  • stop the malicious process step 146 in FIG. 3
  • the contents of the RAM are removed and the process is stopped if less than N3 reactions have been completed in a predetermined time, where N3 is some predetermined integer. If less than N3 responses have not been completed in a predetermined time, then the incident response is not performed.
  • the host (step 147 in FIG. 3) at which the incident was detected.
  • the host is isolated from the network if less than N4 hosts were isolated in a predetermined time, where N4 is some predetermined integer, otherwise the incident is not responded to.
  • cmd.exe command line interpreter included with the Windows operating system. It sequentially executes the following commands on the host under its control: cmd.exe / with hostname cmd.exe / with whoami cmd.exe / with ver cmd.exe / with ipconfig -all cmd.exe / with ping www.google.com cmd.exe / s query user cmd.exe / s net user cmd.exe / s net view cmd.exe / s net view / domain cmd.exe / s reg query " HKCU ⁇ SOFTWARE ⁇ Microsoft ⁇ Windows ⁇ CurrentVersion ⁇ Internet Settings cmd. exe / with tasklist / svc cmd.exe / with netstat -ano
  • This signal will have the following parameters:
  • APT directed attack
  • the network segment where the computer on which the incident occurred is located the name of the segment
  • the analysis module (S20 in Fig. 1) will determine that the incident did not occur in the sandbox and that there are no malicious files, but the threat is not averted.
  • the analytic module will determine that the threat level is high and an automated incident response is needed. Since the threat category in this case will have the value "ART", the response in this example will be carried out along the branch of the algorithm corresponding to step 153 in Fig. 3, to which APT belongs in this example.
  • an archive can be compiled and sent to the control ("external") server, which includes the information necessary for operational research.
  • this can be information about all currently running processes, about the shortcuts present in the startup, Prefetch files, system event logs, the contents of temporary directories, etc.
  • the host After receiving the archive, the host will be isolated from the network, as a result of which the attacker who gained control over the system will lose the ability to continue reconnaissance actions, since the remote connection will be interrupted, without the possibility of recovery.
  • FIG. 4 a general diagram of a computing device (400) will be presented that provides data processing necessary for the implementation of the claimed solution.
  • the device (400) contains components such as: one or more processors (401), at least one memory (402), data storage means (403), input / output interfaces (404), I / O means ( 405), networking tools (406).
  • processors 401
  • memory 402
  • data storage means 403
  • input / output interfaces 403
  • I / O means 405
  • networking tools 406
  • the processor (401) of the device performs the basic computational operations necessary for the operation of the device (400) or the functionality of one or more of its components.
  • the processor (401) executes the necessary computer readable instructions contained in the main memory (402).
  • Memory (402) is made in the form of RAM and contains the necessary program logic that provides the required functionality.
  • the data storage medium (403) can be performed in the form of HDD, SSD disks, raid array, network storage, flash memory, optical information storage devices (CD, DVD, MD, Blue-Ray disks), etc.
  • the means (403) allows performing long-term storage of various types of information, for example, the aforementioned files with data sets obtained from different database hosts containing records recorded at different periods for each user of time intervals, user IDs, and the like.
  • Interfaces (404) are standard means for connecting and working with the server side, for example, USB, RS232, RJ45, LPT, COM, HDMI, PS / 2, Lightning, FireWire, etc.
  • interfaces (404) depends on the specific implementation of the device (400), which can be a personal computer, mainframe, server cluster, thin client, smartphone, laptop, etc.
  • I / O data can be used: keyboard, joystick, display (touch screen), projector, touchpad, mouse, trackball, light pen, speakers, microphone, etc.
  • Networking means (406) are selected from a device that provides network reception and transmission of data, and can be, for example, an Ethernet card, WLAN / Wi-Fi module, Bluetooth module, BLE module, NFC module, IrDa, RFID module, GSM modem etc.
  • the means (406) provide the organization of data exchange via a wired or wireless data transmission channel, for example, WAN, PAN, LAN, Intranet, Internet, WLAN, WMAN or GSM.
  • the components of the device (400) are interfaced via a common data bus (410).
  • a common data bus (410) In the present application materials, the preferred disclosure of the implementation of the claimed technical solution has been presented, which should not be used as limiting other, particular embodiments of its implementation, which do not go beyond the scope of the claimed scope of legal protection and are obvious to specialists in the relevant field of technology.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Настоящее техническое решение относится к области вычислительной техники, в частности, к способу и системе принятия решения о необходимости автоматизированного реагирования на инцидент. Технический результат заключается в осуществлении автоматизированного реагирования на инцидент. Компьютерно-реализованный способ принятия решения о необходимости автоматизированного реагирования на инцидент, содержащий этапы, на которых: при получении, посредством интерфейсного модуля, сигнала по меньшей мере об одном инциденте, сведения об инциденте передают в аналитический модуль, где: определяют, был ли инцидент предотвращен ранее, и если нет, то определяют уровень опасности инцидента, и если уровень опасности превышает заранее заданный порог, осуществляют, посредством аналитического модуля и модуля реагирования, реагирование на инцидент.

Description

СПОСОБ И СИСТЕМА ПРИНЯТИЯ РЕШЕНИЯ О НЕОБХОДИМОСТИ
АВТОМАТИЗИРОВАННОГО РЕАГИРОВАНИЯ НА ИНЦИДЕНТ
ОБЛАСТЬ ТЕХНИКИ
Настоящее техническое решение относится к области вычислительной техники, в частности, к способу и системе принятия решения о необходимости автоматизированного реагирования на инцидент.
УРОВЕНЬ ТЕХНИКИ
Из источника информации RU 2610395 С1, 09.02.2017, известен способ, в котором загружают данные о системных событиях из всех компьютеров пользователей на сервер безопасности, регистрируют среди этих событий по меньшей мере одно системное событие, вызвавшее инцидент безопасности. Анализируют загруженные события путем поиска среди них таких, которые аналогичны событиям, предшествующим уже зарегистрированному инциденту безопасности. Проводят корреляционный анализ данных о событиях, распределенных по времени и месту, с использованием дополнительных правил, включающих следующие действия: задают фоновые условия и уровень глубины анализа, формируют исходное множество правил для выполнения корреляционного анализа, производят отбор значимых правил в действующее множество, выявляют и устраняют конфликты среди отобранных правил, проверяют для каждого правила из действующего множества соответствие фактической глубины анализа, проводят поиск и применяют решения для устранения последствий и предотвращения инцидента безопасности. Формируют отчет об инциденте безопасности.
Из источника информации US 8,776,241 В2, 08.07.02014, известен способ автоматического реагирования на инциденты, связанные с безопасностью в компьютерных сетях. Способ включает: управление клиентским компьютером по меньшей мере одним модулем набора защиты, который приспособлен для защиты информации, хранящейся на клиентском компьютере, и для обнаружения случаев инцидентов, связанных с безопасностью. Осуществляют регистрацию клиентским компьютером записей на уровне событий, представляющих активность по меньшей мере одного модуля набора защиты. Обнаруживают, по меньшей мере, одним модулем набора защиты, инцидент, влияющий на информационную безопасность на клиентском компьютере, обнаружение выполняется на основе критериев обнаружения инцидента. В ответ на обнаружение инцидента, связывают клиентским компьютером выбранные из записей уровня, события с инцидентом, причем ассоциирование выполняется на основе критериев ассоциирования инцидента. Предоставляют клиентским компьютером выбранные из записей уровня, удаленному серверу, события для анализа. Получают клиентским компьютером, по меньшей мере, одну рекомендацию о корректирующих действиях, которые должны автоматически выполняться на клиентском компьютере. Рекомендации о корректирующих действиях, принимаются с удаленного сервера, в том числе инструкции по устранению инцидента. Осуществляют автоматическое выполнение клиентским компьютером инструкций по устранению инцидента. Получают клиентским компьютером инструкции по обновлению, по меньшей мере, одного из: критериев обнаружения инцидентов, критериев ассоциирования инцидентов или их комбинации, с новым набором соответствующих критериев.
В известных из уровня техники источниках обнаружение инцидента происходит в самой системе реагирования. В предлагаемом решении, сигнал о найденном инциденте передают в систему автоматизированного реагирования вместе со свойствами угрозами, посредством сторонних систем поиска угроз. Кроме того, в предлагаемом решении, определяется, предотвращена найденная угроза или нет, и в случае определения, что угроза не предотвращена, выбирают одну из заранее определенных категорий реагирования, где для каждой категории есть свои инструкции по реагированию.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
Технической проблемой, на решение которой направлено заявленное техническое решение, является создание компьютерно-реализуемого способа и системы принятия решения о необходимости автоматизированного реагирования на инцидент, которые охарактеризованы в независимых пунктах формулы. Дополнительные варианты реализации настоящего изобретения представлены в зависимых пунктах изобретения.
Технический результат заключается в осуществлении автоматизированного реагирования на инцидент.
Заявленный результат достигаются за счет осуществления компьютерно- реализуемого способ принятия решения о необходимости автоматизированного реагирования на инцидент, содержащий этапы, на которых: при получении от сторонних систем, посредством интерфейсного модуля, сигнала по меньшей мере об одном инциденте, информацию об инциденте передают в аналитический модуль, где: определяют, был ли инцидент предотвращён ранее, и если нет, то определяют уровень опасности инцидента, и если уровень опасности превышает заранее заданный порог, осуществляют, посредством аналитического модуля и модуля реагирования, реагирование на инцидент.
В частном варианте реализации описываемого способа, сведения об инциденте содержат, по меньшей мере, категорию инцидента, уровень угрозы инцидента, имя хоста, на котором произошёл инцидент и степень уверенности в том, что инцидент не является ложным срабатыванием.
В другом частном варианте реализации описываемого способа, дополнительно относят категорию инцидента к одной из трёх категорий реагирования.
В другом частном варианте реализации описываемого способа, если инцидент относится к первой категории реагирования, то посредством модуля реагирования останавливают вредоносный процесс и изолируют хост.
В другом частном варианте реализации описываемого способа, если инцидент относится ко второй категории реагирования, то посредством аналитического модуля определяют с какой учетной записи происходит активность, и если учетная запись не относится к привилегированным учетным записям, то ее блокируют.
В другом частном варианте реализации описываемого способа, если активность происходит с привилегированной учетной записи, то степень уверенности сравнивают с заранее заданным порогом, и если степень уверенности меньше заранее заданного порога, то привилегированную учетную запись блокируют.
В другом частном варианте реализации описываемого способа, блокируют привилегированную запись, если количество заблокированных привилегированных учетных записей за заранее заданное время менее Ni записей.
В другом частном варианте реализации описываемого способа, если инцидент относится к третьей категории реагирования, то определяют, посредством аналитического модуля, каким процессом порождён инцидент, и является ли серверной операционная система хоста, на котором произошёл инцидент.
В другом частном варианте реализации описываемого способа, если инцидент порожден системным процессом, и операционная система хоста серверная, то посредством модуля реагирования снимают содержимое оперативной памяти.
В другом частном варианте реализации описываемого способа, снимают содержимое оперативной памяти, если за заранее заданное время было совершено менее N2 реагирований.
В другом частном варианте реализации описываемого способа, если инцидент порожден не системным процессом, а операционная система хоста серверная то посредством модуля реагирования снимают содержимое оперативной памяти и останавливают процесс.
В другом частном варианте реализации описываемого способа, снимают содержимое оперативной памяти и останавливают процесс, если за заранее заданное время было совершено менее N3 реагирований.
В другом частном варианте реализации описываемого способа, если операционная система хоста не серверная, то посредством модуля реагирования изолируют от сети хост, на котором обнаружен инцидент.
В другом частном варианте реализации описываемого способа, изолируют хост от сети, если за заранее заданное время было изолированного менее N4 хостов.
В другом частном варианте реализации описываемого способа, процесс автоматического реагирования, посредством модуля реагирования, осуществляют на уровне файла, хоста и корпоративной сети.
В другом частном варианте реализации описываемого способа, реагирование на уровне файла включает в себя, полностью или частично, следующие шаги: блокируют по меньше мере один вредоносный файл и оправляют его в карантин; отправляют по меньше мере один вредоносный файл на динамический анализ в изолированную среду; ищут по меньше мере один вредоносный файл, являющийся дочерним, на по меньшей мере одном хосте, и удаляют его; завершают вредоносный процесс.
В другом частном варианте реализации описываемого способа, реагирование на уровне хоста включает в себя, полностью или частично, следующие шаги: собирают сведения об инциденте; создают копию содержимого оперативной памяти; создают посекторную копию энергонезависимого запоминающего устройства; изолируют хост от сети; блокируют запуск любых приложений, кроме оригинальных программ, разработанных производителем операционной системы.
В другом частном варианте реализации описываемого способа, информация об инциденте включают в себя, по меньшей мере, сведения о программах, автоматически загружаемых при загрузке операционной системы, Prefetch-файлы, запущенные процессы, системные журналы событий, содержимое временных директорий.
В другом частном варианте реализации описываемого способа, реагирование на уровне корпоративной сети включает в себя, полностью или частично, следующие шаги: блокируют учетную запись пользователя на уровне домена; запускают файлы сценария по работе с инцидентами; отправляют отчет.
Заявленный результат также достигается за счет системы для принятия решения о необходимости автоматизированного реагирования на инцидент, состоящая из следующих функциональных модулей: интерфейсный модуль, выполненный с возможностью получения от внешних систем сигналов об обнаружении инцидента; аналитический модуль, выполненный с возможностью определять условия и выбирать правила автоматизированного реагирования; модуль реагирования, выполненный с возможностью выполнения автоматизированного реагирования при выполнении вышеуказанного способа.
ОПИСАНИЕ ЧЕРТЕЖЕЙ
Реализация изобретения будет описана в дальнейшем в соответствии с прилагаемыми чертежами, которые представлены для пояснения сути изобретения и никоим образом не ограничивают область изобретения. К заявке прилагаются следующие чертежи:
Фиг.1, иллюстрирует систему принятия решения о необходимости автоматизированного реагирования на инцидент.
Фиг.2, иллюстрирует компьютерно-реализуемый способ принятия решения о необходимости автоматизированного реагирования на инцидент.
Фиг. 3, иллюстрирует один из возможных алгоритмов компьютерно-реализуемого способа принятия решения о необходимости автоматизированного реагирования на инцидент.
Фиг. 4, иллюстрирует пример общей схемы вычислительного устройства.
ДЕТАЛЬНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ
В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту, будет очевидно каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях хорошо известные методы, процедуры и компоненты не были описаны подробно, чтобы не затруднять излишне понимание особенностей настоящего изобретения. Кроме того, из приведенного изложения будет ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, будут очевидными для квалифицированных в предметной области специалистов.
Заявленный компьютерно-реализуемый способ предназначен для реализации в виде обособленного алгоритма в работе большой многокомпонентной системы. Многокомпонентная система может быть выполнена по-разному и содержать разные функциональные блоки или подсистемы, в том числе, например, антивирусную программу, изолированную среду («песочницу»), платформу детонации вредоносного программного обеспечения, иметь подключение к центру быстрого реагирования (CERT), и так далее. Эти и другие функциональные блоки или подсистемы, не входящие в состав описываемой системы автоматизированного реагирования на инцидент, далее в тексте данной заявки будут называться «внешними системами». При этом подразумевается, что они действуют согласованно с описываемой системой, но сами по себе не входят в её состав.
Компьютерно-реализуемый способ принятия решения о необходимости автоматизированного реагирования на инцидент, осуществляется посредством системы принятия решения о необходимости автоматизированного реагирования на инцидент, представленной на Фиг.1, которая состоит из следующих функциональных модулей: интерфейсный модуль, выполненный с возможностью получения от внешних систем сигналов об обнаружении инцидента (S10), аналитический модуль, выполненный с возможностью определять условия и выбирать способы автоматизированного реагирования (S20), а также с возможностью доступа к базе данных (S25) с обеспечением получения из неё данных и сохранения в неё данных, и модуль реагирования (S30), выполненный с возможностью выполнения автоматизированного реагирования при выполнении вышеуказанного способа.
Как представлено на Фиг.2, заявленный компьютерно-реализуемый способ принятия решения о необходимости автоматизированного реагирования на инцидент (100) реализован следующим образом.
Автоматизированное реагирование реализуется в случае обнаружения угрозы или иного инцидента компьютерной безопасности. При этом подразумевается, что собственно поиск и обнаружение угрозы или инцидента выполняется внешними системами. При обнаружении угрозы на описываемую систему подается соответствующий сигнал, после чего данной системой выполняется автоматизированное реагирование. б На этапе 110, как показано на Фиг.2, посредством интерфейсного модуля (S10 на Фиг.1) получают сигнал по меньшей мере об одном инциденте. Сигнал об инциденте характеризуется по меньшей мере одним из следующих свойств.
Категория угрозы (Category). Категория указывает, какой именно инцидент обнаружен: работа вредоносной программы определённого вида, например,
«шифровальщика», «червя», «трояна», вредоносная активность, связанная с перемещением по сети, признаки развития целенаправленной хакерской атаки (так называемой APT), и так далее.
Уровень угрозы (Severity). Уровень обычно зависит от категории угрозы. Например, при обнаружении работы нежелательной программы, такой как рекламная программа, adware, уровень угрозы может быть низким. В то же время, при обнаружении работы программы-шифровальщика или «червя» уровень угрозы может быть высоким. Оценка уровня угрозы формируется той системой, которая обнаружила угрозу, например, платформой детонации вредоносного программного обеспечения, известной как TDS Polygon, или изолированной средой - «песочницей». Оценка может быть бинарной (0 или 1), либо категорийной, когда любая угроза относится к одной из четырёх, например, наперёд заданных категорий, таких, например, как критическая, высокая, средняя, низкая.
Степень уверенности (Reliability). Это численный показатель, соответствующий уверенности внешней системы, обнаружившей угрозу, в том, что вердикт об обнаружении угрозы не является ложным срабатыванием.
Имя или адрес хоста, на котором произошел инцидент. В материалах настоящей заявки, под хостом понимается узел сети. Хостами могут быть как физические устройства — компьютеры, серверы, ноутбуки, смартфоны, планшеты, игровые приставки, телевизоры, принтеры, сетевые концентраторы, коммутаторы, роутеры, произвольные устройства, объединённые 1оТ («интернетом вещей») и т.п., — так и программно- аппаратные решения, позволяющие организовать несколько узлов сети на одном физическом устройстве, например, так называемые виртуальные хосты Apache и т.д.
Также сигнал об инциденте может содержать дополнительные сведения, например, имя и контрольную сумму файла вредоносной программы, срабатывание которой обнаружено, IP-адрес или доменное имя внешнего по отношению к защищаемой сети веб- сервера, к которому отправлен запрос с одного из хостов защищаемой сети, название учетной записи, со стороны которой наблюдается перемещение по защищаемой сети и т.д.
Далее поступившие сведения об инциденте передают в аналитический модуль (S20 на Фиг.1). На этапе 120, как показано на Фиг. 2, посредством аналитического модуля (S20 на Фиг. 1) определяют, был ли предотвращен данный инцидент ранее, или нет (шаг 121 на Фиг. 3). Данный шаг направлен на исключение реагирования в тех случаях, когда инцидент заведомо не несёт угрозы. Например, когда срабатывание вредоносной программы произошло в «песочнице», в изолированной среде, или повторно обнаружен уже заблокированный ранее вредоносный файл. В таких случаях автоматизированное реагирование на инцидент не проводится.
Определение, несёт ли данный инцидент угрозу, выполняется аналитическим модулем (S20 на Фиг. 1) путём проверки по базе данных (S25 на Фиг. 1). Данная база содержит сведения обо всех хостах, входящих в состав сети, в которой работает описываемая система, а также обо всех процедурах реагирования, выполненных системой за заранее заданный период времени, например, за последние сутки.
Если имя или адрес хоста, на котором произошел инцидент, совпадает с одним из имен или адресов хостов, на которых расположены «песочницы», системы детонации вредоносных программ и т.п. изолированные среды, то считается, что инцидент предотвращён и реагирование на инцидент не производится.
Если имя или контрольная сумма файла вредоносной программы, срабатывание которой обнаружено, совпадает с одним из имён или контрольных сумм файлов вредоносных программ, уже заблокированных системой на данном хосте в ходе одной из процедур реагирования, выполненных за заданный период времени, то считается, что инцидент предотвращен и реагирование не производится.
В тех случаях, когда сигнал об инциденте не содержит имени или контрольной суммы файла вредоносной программы, например, если инцидент представляет собой перемещение по сети, запрос к внешнему IP-адресу (входящему в список вредоносных адресов) или признаки развития APT, считается, что инцидент не предотвращён, и реагирование необходимо.
Такое же решение принимается в тех случаях, когда инцидент происходит на хосте, не являющемся «песочницей» или когда ранее проведённое реагирование на данный вредоносный файл не зафиксировано.
Если определяется, что инцидент не предотвращен, то определяется уровень опасности инцидента (этап 130 на Фиг. 2). Если уровень опасности инцидента меньше, чем заранее заданное значение, то реагирование не выполняется. В случае, если значение уровня опасности инцидента больше, чем заранее заданное значение, выполняется автоматизированное реагирование (этап 140 на Фиг. 2). В зависимости от поступивших сведений об инциденте, автоматизированное реагирование может выполняться различным образом. Неограничивающий пример дальнейших возможных шагов алгоритма автоматизированного реагирования показан на Фиг.З. При этом следует понимать, что алгоритм, показанный на Фиг.З, является именно примером, и возможны многочисленные варианты альтернативных способов реализации описанной системы.
В частности, количество перечисленных категорий реагирования (ветвей алгоритма на Фиг.З) может быть более или менее трёх. Например, в отличие от Фиг.З, инцидент вида «распространение трояна» и инцидент вида « APT » могут принадлежать к двум различным категориям реагирования. Аналогично, инциденты вида «распространение червя», «запуск программы уничтожения данных» и «запуск шифровальщика» могут принадлежать к трём различным категориям реагирования, и т.д.
Альтернативно, группировка инцидентов различных видов по категориям реагирования также может отличаться от показанной на Фиг.З. Например, в одном из возможных вариантов реализации описанной системы, инцидент вида «распространение трояна» (шаг 153 на Фиг.З) и инцидент вида «распространение червя» (шаг 151 на Фиг.З) могут быть помещены в одну категорию реагирования, а не в разные, как в нижеописанном случае.
Реагирование выполняется на следующих уровнях: на уровне файла; на уровне хоста; на уровне корпоративной сети.
Реагирование на уровне файла включает:
• блокировку вредоносного файла и отправку его в карантин;
• отправку вредоносного файла на динамический анализ в изолированную среду (в «песочницу» любого известного вида или в платформу детонации вредоносного программного обеспечения любого известного вида, например, в TDS Polygon).
• осуществление поиска оригинальных и дочерних вредоносных файлов на всех хостах и осуществление их удаления;
• остановку вредоносного процесса.
Реагирование на уровне хоста включает:
• сбор информации об инциденте, которая необходима для оперативного исследования. Информация об инциденте, содержит, по меньшей мере, сведения о программах в автозагрузке, Prefetch-файлах, запущенных процессах, системные журналы событий, содержимое временных директорий;
• снятие содержимого оперативной памяти; • создание посекторной копии энергозависимого запоминающего устройства (например, HDD, SDD и т.д.);
• изолирование хоста от сети;
• блокировку запуска любых приложений, кроме оригинальных программ, разработанных производителем операционной системы.
Реагирование на уровне корпоративной сети включает:
• блокировку учетной записи пользователя на уровне домена;
• запуск файлов сценария по работе с инцидентами. Например, добавление в черный список серверов рассылки вредоносных писем или блокировка IP-адресов серверов управления вредоносным программным обеспечением на уровне межсетевых экранов.
Реагирование на разных уровнях осуществляется в зависимости от инцидента, который произошел, его свойств, а также целесообразности выполнения конкретных мер. Так, реагирование на разных уровнях включает выполнение вышеописанных шагов полностью или частично.
Далее в ходе этапа 130 (на Фиг. 2) переходит к определению категории инцидента (шаг 150 на Фиг. 3). В рамках неограничивающего примера возможной реализации заявленного изобретения может быть определено, по меньшей мере три категории реагирования, как показано на Фиг. 3.
К первой категории реагирования (151) в рамках данного примера, относят инциденты, порожденные угрозами следующих видов, но не ограничиваясь: «шифровальщик», «червь», программа для уничтожения данных.
Ко второй категории реагирования (152) в рамках данного примера, относят инциденты, связанные с перемещением учетной записи по сети.
К третьей категории (153) реагирования в рамках данного примера, относят все остальные инциденты, не относящиеся к первой или второй категории реагирования, например, «троян», «АРТ» и так далее.
Если инцидент в рамках данного примера относится к первой категории реагирования (151), то посредством модуля реагирования (S30 на Фиг. 1), на этапе 140 в соответствии с Фиг. 2, на уровне файла останавливают вредоносный процесс (шаг 141 на Фиг. 3), затем на уроне хоста изолируют хост (шаг 142 на Фиг. 3).
Пример реализации.
Один из сотрудников организации, компьютерная сеть которой находится под защитой системы кибербезопасности, включающей в себя систему, реализующую данный способ, получает с адреса администратора домена, чья учётная запись была скомпрометирована, e-mail с вложением и текстом, содержащим просьбу срочно ознакомиться с вложенным документом. Сотрудник открывает вложенный документ, в результате чего происходит заражение его компьютера вредоносной программой типа «червь». Последний начинает распространяться в локальной сети.
На по меньшей мере одной из «внешних» систем постоянно осуществляется поиск угроз. При обнаружении распространения «червя» «внешняя» система сформирует и передаст системе, реализующей описываемый способ, сигнал об инциденте, который поступит на интерфейсный модуль системы (S10 на Фиг.1), реализующей описываемый способ.
Данный сигнал будет иметь следующие свойства:
Уровень угрозы (Severity): критический;
Категория угрозы (Category): «червь»;
Степень уверенность (Reliability): 99%;
Сегмент сети, где находится компьютер, на котором произошел инцидент: название сегмента;
Рабочая группа \ домен, к которой он принадлежит: имя домена \ рабочей группы;
Чьим (по должности) рабочим местом является этот компьютер: компьютер сотрудника.
Таких сигналов в системе может быть больше, поскольку какие-то ещё компьютеры в локальной сети тоже могут оказаться заражёнными «червём» до срабатывания системы реагирования на инцидент. Действия описываемой системы по каждому из таких сигналов будут идентичны.
В соответствии с Фиг.З, шаг 121, аналитический модуль (S20 на Фиг.1) определит, что срабатывание вредоносной программы произошло не в «песочнице» и что данный вредоносный файл ранее заблокирован не был. Поэтому система в соответствии с Фиг. 3, на шаге 130 оценит уровень угрозы и поскольку он превышает установленный в данном примере низкий уровень, на шаге 150 проведёт автоматизированное реагирование на инцидент.
Поскольку категория угрозы «червь», в описываемом примере дальнейшее реагирование будет производиться по первой категории реагирования (шаг 151 на Фиг.З).
На уровне файла на шаге 141 (Фиг.З) будут выполнены следующие шаги: блокировка вредоносного файла и отправка его в карантин; дополнительно может быть выполнена также отправка вредоносного файла на динамический анализ (зависит от того, известна ли данная разновидность «червя»); поиск оригинального и дочерних файлов на всех компьютерах и их удаление; завершение вредоносного процесса. На уровне хоста на шаге 142 (Фиг.З) могут быть выполнены следующие шаги: изоляция хоста от сети (чтобы остановить распространение «червя»); сбор необходимых доказательств. Архив, включающий в себя информацию, необходимую для оперативного исследования (данные о программах в автозагрузке, Prefetch-файлах, запущенных процессах, системные журналы событий, содержимое временных директорий и т.п) может быть создан на данном шаге для изучения способа проникновения вредоносной программы;
Если «червь» не несёт какой-либо дополнительной нагрузки, то есть других вредоносных программ, распространяющихся вместе с ним (предположим, не несёт), то снятие содержимого оперативной памяти и создание посекторной копии энергозависимого запоминающего устройства могут не выполняться.
На уровне корпоративной сети будет выполнена отправка отчётности о результатах реагирования ответственным лицам. На этом автоматизированное реагирование на описанный инцидент завершится (конец примера реализации).
Если окажется, что инцидент относится ко второй категории реагирования (шаг 152 на Фиг.З), то определяется, посредством аналитического модуля (S20 на Фиг.1), с какой учетной записи происходит активность, и если учетная запись не относится к привилегированным учетным записям, что определяется на шаге 148 (Фиг.З), и количество заблокированных учетных записей за заранее заданное время менее Ni записей, где Ni некоторое заранее заданное целое число, то ее блокируют (шаг 143 на Фиг.З) на уровне корпоративной сети посредством модуля реагирования (S30 на Фиг.1), что соответствует этапу 140 на Фиг.2. В том случае, если количество заблокированных привилегированных учетных записей за заранее заданное время более Ni записей, то реагирование на инцидент не выполняют.
В материалах настоящей заявки, под привилегированной учетной записью понимается учетная запись, которая имеет право устанавливать, изменять и управлять какой-либо информационной системой или устройством. В корпоративной ИТ- инфраструктуре иметь привилегированную учетную запись могут, например, системные администраторы, администраторы приложений, баз данных, облачных сервисов, веб- сайтов, а также руководители некоторых отделов, например, отдела безопасности, отдела кибербезопасности и т.д.
В том случае, если активность происходит с привилегированной учетной записи, то степень уверенности (Reliability) угрозы на шаге 148 (Фиг.З) сравнивают с заранее заданным порогом (например, значение порога R=80%) и если степень уверенности меньше, чем заранее заданный порог, а также если количество заблокированных привилегированных учетных записей за заранее заданное время менее ^записей, то посредством модуля реагирования (S30 на Фиг.1), в соответствии с этапом140 на Фиг.2, на уровне корпоративной сети, привилегированную учетную запись блокируют (шаг 143 на Фиг.З) на уровне корпоративной сети. В том случае, если количество заблокированных привилегированных учетных записей за заранее заданное время более Ni записей, то реагирование на инцидент не выполняют.
Если инцидент относится, в рамках неограничивающего примера, к третьей категории реагирования (шаг 153 на Фиг.З), то определяют, посредством аналитического модуля (S20 на Фиг.1), каким процессом порождён инцидент (шаг 122 на Фиг.З), и является ли серверной операционная система хоста, на котором произошёл инцидент (шаг 123 на Фиг.З).
В том случае, если инцидент порожден системным процессом, и операционная система хоста серверная, то посредством модуля реагирования (S30 на Фиг.1), в соответствии с этапом 140 на Фиг.2, в порядке реагирования на уровне хоста снимают содержимое оперативной памяти (шаг 144 на Фиг.З). Содержимое оперативной памяти снимают, если за заранее заданное время было совершено менее N2 реагирований, где N2 некоторое заранее заданное целое число. Если за заранее заданное время было совершено более N2 реагирований, то реагирование на инцидент не выполняют.
В том случае, если инцидент порожден не системным процессом, а операционная система хоста серверная, то посредством модуля реагирования (S30 на Фиг.1), в соответствии с этапом 140 на Фиг.2, в порядке реагирования на уровне хоста снимают содержимое оперативной памяти (шаг 145 на Фиг.З) и останавливают вредоносный процесс (шаг 146 на Фиг.З). Содержимое оперативной памяти снимают и останавливают процесс, если за заранее заданное время было совершено менее N3 реагирований, где N3 некоторое заранее заданное целое число. Если за заранее заданное время не было совершено менее N3 реагирований, то реагирование на инцидент не выполняют.
В том случае, если операционная система хоста, на котором произошел инцидент, не серверная, то посредством модуля реагирования (S30 на Фиг.1), в соответствии с этапом 140 на Фиг.2, в порядке реагирования на уровне хоста изолируют от сети хост (шаг 147 на Фиг.З), на котором обнаружен инцидент. Хост изолируют от сети в том случае, если за заранее заданное время было изолированного менее N4 хостов, где N4 некоторое заранее заданное целое число, в ином случае реагирование на инцидент не выполняют.
Пример реализации.
Злоумышленник получил удалённый доступ к операционной системе одного из хостов контролируемой сети под привилегированной учётной записью, например, под учетной записью администратора домена. Злоумышленник начинает собирать данные о системе и сетевом окружении, и для этого использует интерпретатор командной строки cmd.exe, входящий в комплект ОС Windows. Он последовательно выполняет на подконтрольном ему хосте следующие команды: cmd.exe /с hostname cmd.exe /с whoami cmd.exe /с ver cmd.exe /с ipconfig -all cmd.exe /с ping www.google.com cmd.exe /с query user cmd.exe /с net user cmd.exe /с net view cmd.exe /с net view /domain cmd.exe /с reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings cmd.exe /с tasklist /svc cmd.exe /с netstat -ano |find TCP
Каждая из этих команд сама по себе легитимна. Но такая последовательность выполнения легитимных команд штатными средствами операционной системы является вредоносной. На по меньшей мере одной из «внешних» систем, постоянно осуществляющих поиск угроз, при обнаружении такой последовательности команд сработает правило. Срабатывание правила означает формирование «внешней» системой сигнала об инциденте, который поступит на интерфейсный модуль системы, реализующей описываемый способ.
Данный сигнал будет иметь следующие параметры:
Уровень угрозы (Severity): высокий;
Категория угрозы (Category, что именно происходит): направленная атака (APT);
Степень уверенности (Reliability): 87%;
Сегмент сети, где находится компьютер, на котором произошел инцидент: название сегмента;
Рабочая группа \ домен, к которой он принадлежит: имя домена \ рабочей группы;
Чьим (по должности) рабочим местом является этот компьютер: компьютер администратора домена.
В соответствии с шагом 121 на Фиг.З, аналитический модуль (S20 на Фиг.1) определит, что инцидент произошёл не в «песочнице» и что вредоносные файлы отсутствуют, но угроза не является предотвращённой. Далее на шаге 130 аналитический модуль определит, что уровень угрозы высокий, и автоматизированное реагирование на инцидент необходимо. Поскольку категория угрозы в данном случае будет иметь значение «АРТ», то реагирование в данном примере будет производиться по ветви алгоритма, соответствующей шагу 153 на Фиг.З, к которому в рассматриваемом примере относится APT. Поскольку инцидент произошёл не в системном процессе (процессы интерпретатора cmd.exe к системным не относятся), а операционная система хоста, на котором произошел инцидент, не является серверной, дополнительно проверяется, изолировали ли сегодня (в день обнаружения угрозы) N4 хостов; допустим, N4=5. Системой в текущий день ещё не было изолировано 5 хостов, поэтому реагирование будет проведено по типу «изолировать хост» (шаг 147 на Фиг.З).
Поскольку вредоносные файлы в данном инциденте не задействованы, реагирование на уровне файла не производится.
На уровне хоста может быть проведён сбор необходимых доказательств, составлен и отправлен на управляющий («внешний») сервер архив, включающий в себя информацию необходимые для оперативного исследования. В данном случае это может быть информация обо всех запущенных в настоящий момент процессах, о присутствующих в автозагрузке ярлыках, Prefetch-файлах, системные журналы событий, содержимое временных директорий и т.п. После получения архива будет выполнена изоляция хоста от сети, вследствие этого злоумышленник, получивший контроль над системой, утратит возможность продолжать разведывательные действия, поскольку удалённое соединение при этом будет прервано, без возможности восстановления.
Поскольку вредоносные файлы в данном инциденте не задействованы, снятие содержимого оперативной памяти и посекторной копии энергозависимого запоминающего устройства может не выполняться.
На уровне корпоративной сети будет выполнена блокировка учетной записи пользователя, чьи учетные данные скомпрометированы, на уровне домена. Кроме того, отчётность о результатах реагирования будет отправлена ответственным лицам. На этом автоматизированное реагирование на инцидент завершится (конец примера реализации).
На Фиг. 4 далее будет представлена общая схема вычислительного устройства (400), обеспечивающего обработку данных, необходимую для реализации заявленного решения.
В общем случае устройство (400) содержит такие компоненты, как: один или более процессоров (401), по меньшей мере одну память (402), средство хранения данных (403), интерфейсы ввода/вывода (404), средство В/В (405), средства сетевого взаимодействия (406).
Процессор (401) устройства выполняет основные вычислительные операции, необходимые для функционирования устройства (400) или функциональности одного или более его компонентов. Процессор (401) исполняет необходимые машиночитаемые команды, содержащиеся в оперативной памяти (402).
Память (402), как правило, выполнена в виде ОЗУ и содержит необходимую программную логику, обеспечивающую требуемый функционал.
Средство хранения данных (403) может выполняться в виде HDD, SSD дисков, рейд массива, сетевого хранилища, флэш-памяти, оптических накопителей информации (CD, DVD, MD, Blue-Ray дисков) и т.п. Средство (403) позволяет выполнять долгосрочное хранение различного вида информации, например, вышеупомянутых файлов с наборами данных, полученных с разных хостов базы данных, содержащих записи зафиксированные в разные периоды для каждого пользователя временных интервалов, идентификаторов пользователей и т.п.
Интерфейсы (404) представляют собой стандартные средства для подключения и работы с серверной частью, например, USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, FireWire и т.п.
Выбор интерфейсов (404) зависит от конкретного исполнения устройства (400), которое может представлять собой персональный компьютер, мейнфрейм, серверный кластер, тонкий клиент, смартфон, ноутбук и т.п.
В качестве средств В/В данных (405) могут использоваться: клавиатура джойстик, дисплей (сенсорный дисплей), проектор, тачпад, манипулятор мышь, трекбол, световое перо, динамики, микрофон и т.п.
Средства сетевого взаимодействия (406) выбираются из устройства, обеспечивающий сетевой прием и передачу данных, и могут представлять собой, например, Ethernet карту, WLAN/Wi-Fi модуль, Bluetooth модуль, BLE модуль, NFC модуль, IrDa, RFID модуль, GSM модем и т.п. С помощью средств (406) обеспечивается организация обмена данными по проводному или беспроводному каналу передачи данных, например, WAN, PAN, ЛВС (LAN), Интранет, Интернет, WLAN, WMAN или GSM.
Компоненты устройства (400) сопряжены посредством общей шины передачи данных (410). В настоящих материалах заявки было представлено предпочтительное раскрытие осуществление заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.

Claims

Формула
1. Компьютерно-реализованный способ принятия решения о необходимости автоматизированного реагирования на инцидент, содержащий этапы, на которых: при получении от сторонних систем, посредством интерфейсного модуля, сигнала по меньшей мере об одном инциденте, сведения об инциденте передают в аналитический модуль, где: определяют, был ли инцидент предотвращён ранее, и если нет, то определяют уровень опасности инцидента, и если уровень опасности превышает заранее заданный порог, осуществляют, посредством аналитического модуля и модуля реагирования, реагирование на инцидент.
2. Способ по п.1, отличающийся тем, что сведения об инциденте содержат, по меньшей мере, категорию инцидента, уровень угрозы инцидента, имя или адрес хоста, на котором произошёл инцидент и степень уверенности в том, что инцидент не является ложным срабатыванием.
3. Способ по п.2, отличающийся тем, что дополнительно относят категорию инцидента к одной из нескольких заранее определенных категорий реагирования.
4. Способ по п. 3, отличающийся тем, что если инцидент относится к первой категории реагирования, то посредством модуля реагирования останавливают вредоносный процесс и изолируют хост.
5. Способ по п.З, отличающийся тем, что если инцидент относится ко второй категории реагирования, то посредством аналитического модуля определяют с какой учетной записи происходит активность, и если учетная запись не относится к привилегированным учетным записям, то ее блокируют.
6. Способ по п.5, отличающийся тем, что если активность происходит с привилегированной учетной записи, то степень уверенности сравнивают с заранее заданным порогом, и если степень уверенности меньше заранее заданного порога, то привилегированную учетную запись блокируют.
7. Способ по п.6, отличающийся тем, что блокируют привилегированную запись, если количество заблокированных привилегированных учетных записей за заранее заданное время менее Ni записей.
8. Способ по п.З, отличающийся тем, что если инцидент относится к третьей категории реагирования, то определяют, посредством аналитического модуля, каким процессом порождён инцидент, и является ли серверной операционная система хоста, на котором произошёл инцидент.
9. Способ по п.8, отличающийся тем, что если инцидент порожден системным процессом, и операционная система хоста серверная, то посредством модуля реагирования снимают содержимое оперативной памяти.
10. Способ по п. 9 отличающийся тем, что снимают содержимое оперативной памяти, если за заранее заданное время было совершено менее N2 реагирований.
11. Способ по п.8, отличающийся тем, что если инцидент порожден не системным процессом, а операционная система хоста серверная то посредством модуля реагирования снимают содержимое оперативной памяти и останавливают процесс.
12. Способ по п.11, отличающийся тем, что снимают содержимое оперативной памяти и останавливают процесс, если за заранее заданное время было совершено менее N3 реагирований.
13. Способ по п.8, отличающийся тем, что если операционная система хоста не серверная, то посредством модуля реагирования изолируют от сети хост, на котором обнаружен инцидент.
14. Способ по п.13, отличающийся тем, что изолируют хост от сети, если за заранее заданное время было изолированного менее N4 хостов.
15. Способ по п. 1, отличающийся тем, что процесс автоматического реагирования, посредством модуля реагирования, осуществляют на уровне файла, на уровне хоста и на уровне корпоративной сети.
16. Способ по п. 15, отличающийся тем, что реагирование на уровне файла включает в себя, полностью или частично, следующие шаги: блокируют по меньше мере один вредоносный файл и оправляют его в карантин; отправляют по меньше мере один вредоносный файл на динамический анализ в изолированную среду; ищут по меньше мере один вредоносный файл, являющийся дочерним, на по меньшей мере одном хосте, и удаляют его; завершают вредоносный процесс.
17. Способ по п. 15, отличающийся тем, что реагирование на уровне хоста включает в себя, полностью или частично, шаги, на которых: собирают информацию об инциденте; создают копию содержимого оперативной памяти; создают посекторную копию энергонезависимого запоминающего устройства; изолируют хост от сети; блокируют запуск любых приложений, кроме оригинальных программ, разработанных производителем операционной системы.
18. Способ по п.17, отличающийся тем, что информация об инциденте включает в себя, по меньшей мере, сведения о программах, автоматически загружаемых при загрузке операционной системы, Prefetch-файлы, запущенные процессы, системные журналы событий, содержимое временных директорий.
19. Способ по п.15, отличающийся тем, что реагирование на уровне корпоративной сети включает в себя, полностью или частично, следующие шаги, на которых: блокируют учетную запись пользователя; запускают файлы сценария по работе с инцидентами; отправляют отчет.
20. Система для принятия решения о необходимости автоматизированного реагирования на инцидент, состоящая из следующих функциональных модулей: интерфейсный модуль, выполненный с возможностью получения от внешних систем сигналов об обнаружении инцидента; аналитический модуль, выполненный с возможностью определять условия и выбирать способы автоматизированного реагирования; модуль реагирования, выполненный с возможностью выполнения автоматизированного реагирования по пп. 1-19 вышеуказанного способа.
PCT/RU2020/000165 2020-03-25 2020-03-27 Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент WO2021194370A1 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
EP20927373.9A EP3964990A4 (en) 2020-03-25 2020-03-27 PROCESS AND SYSTEM FOR DECISION-MAKING ON THE NEED FOR AN AUTOMATED INCIDENT RESPONSE
SG11202112984XA SG11202112984XA (en) 2020-03-25 2020-03-27 Method and system for making a decision of automated incident response
US17/579,297 US20220159034A1 (en) 2020-03-25 2022-01-19 Method and system for determining an automated incident response

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2020112223 2020-03-25
RU2020112223A RU2738334C1 (ru) 2020-03-25 2020-03-25 Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US17/579,297 Continuation US20220159034A1 (en) 2020-03-25 2022-01-19 Method and system for determining an automated incident response

Publications (1)

Publication Number Publication Date
WO2021194370A1 true WO2021194370A1 (ru) 2021-09-30

Family

ID=73834847

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/RU2020/000165 WO2021194370A1 (ru) 2020-03-25 2020-03-27 Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент

Country Status (5)

Country Link
US (1) US20220159034A1 (ru)
EP (1) EP3964990A4 (ru)
RU (1) RU2738334C1 (ru)
SG (1) SG11202112984XA (ru)
WO (1) WO2021194370A1 (ru)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11734431B2 (en) * 2020-04-27 2023-08-22 Saudi Arabian Oil Company Method and system for assessing effectiveness of cybersecurity controls in an OT environment
US20230344860A1 (en) * 2022-04-24 2023-10-26 Microsoft Technology Licensing, Llc Organization-level ransomware incrimination
US12026204B2 (en) * 2022-05-31 2024-07-02 Acronis International Gmbh Automatic incident dispatcher

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090044024A1 (en) * 2007-08-06 2009-02-12 The Regents Of The University Of Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
US8776241B2 (en) 2011-08-29 2014-07-08 Kaspersky Lab Zao Automatic analysis of security related incidents in computer networks
US8856927B1 (en) * 2003-07-22 2014-10-07 Acronis International Gmbh System and method for using snapshots for rootkit detection
US20150365438A1 (en) * 2014-06-11 2015-12-17 Accenture Global Services Limited Method and System for Automated Incident Response
RU2610395C1 (ru) 2015-12-24 2017-02-09 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ расследования распределенных событий компьютерной безопасности

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2011293160B2 (en) * 2010-08-26 2015-04-09 Verisign, Inc. Method and system for automatic detection and analysis of malware
US9258321B2 (en) * 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods
US11165812B2 (en) * 2014-12-03 2021-11-02 Splunk Inc. Containment of security threats within a computing environment
US11349852B2 (en) * 2016-08-31 2022-05-31 Wedge Networks Inc. Apparatus and methods for network-based line-rate detection of unknown malware
US11263544B2 (en) * 2018-08-20 2022-03-01 Microsoft Technology Licensing, Llc Similarity based approach for clustering and accelerating multiple incidents investigation
US11176276B1 (en) * 2019-05-22 2021-11-16 Ca, Inc. Systems and methods for managing endpoint security states using passive data integrity attestations

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856927B1 (en) * 2003-07-22 2014-10-07 Acronis International Gmbh System and method for using snapshots for rootkit detection
US20090044024A1 (en) * 2007-08-06 2009-02-12 The Regents Of The University Of Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
US8776241B2 (en) 2011-08-29 2014-07-08 Kaspersky Lab Zao Automatic analysis of security related incidents in computer networks
US20150365438A1 (en) * 2014-06-11 2015-12-17 Accenture Global Services Limited Method and System for Automated Incident Response
RU2610395C1 (ru) 2015-12-24 2017-02-09 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ расследования распределенных событий компьютерной безопасности

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP3964990A4

Also Published As

Publication number Publication date
SG11202112984XA (en) 2021-12-30
EP3964990A1 (en) 2022-03-09
US20220159034A1 (en) 2022-05-19
RU2738334C1 (ru) 2020-12-11
EP3964990A4 (en) 2023-07-19

Similar Documents

Publication Publication Date Title
US11055411B2 (en) System and method for protection against ransomware attacks
US9639693B2 (en) Techniques for detecting a security vulnerability
US11003775B2 (en) Methods for behavioral detection and prevention of cyberattacks, and related apparatus and techniques
JP6960037B2 (ja) データ処理における侵入検知および侵入軽減
US9418222B1 (en) Techniques for detecting advanced security threats
EP3430556B1 (en) System and method for process hollowing detection
US10320818B2 (en) Systems and methods for detecting malicious computing events
US9800606B1 (en) Systems and methods for evaluating network security
US20180359272A1 (en) Next-generation enhanced comprehensive cybersecurity platform with endpoint protection and centralized management
US11579985B2 (en) System and method of preventing malware reoccurrence when restoring a computing device using a backup image
EP3039609B1 (en) Systems and methods for identifying private keys that have been compromised
US20100077481A1 (en) Collecting and analyzing malware data
RU2738334C1 (ru) Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент
US10963583B1 (en) Automatic detection and protection against file system privilege escalation and manipulation vulnerabilities
US9178904B1 (en) Systems and methods for detecting malicious browser-based scripts
US8955138B1 (en) Systems and methods for reevaluating apparently benign behavior on computing devices
CN106055976B (zh) 文件检测方法及沙箱控制器
US20180302430A1 (en) SYSTEM AND METHOD FOR DETECTING CREATION OF MALICIOUS new USER ACCOUNTS BY AN ATTACKER
US11477232B2 (en) Method and system for antivirus scanning of backup data at a centralized storage
US9483643B1 (en) Systems and methods for creating behavioral signatures used to detect malware
US20240267405A1 (en) Detecting malware infection path in a cloud computing environment utilizing a security graph
US9141795B2 (en) Techniques for detecting malicious activity
Kono et al. An unknown malware detection using execution registry access
Anand et al. Malware Exposed: An In-Depth Analysis of its Behavior and Threats
Hovmark et al. Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20927373

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2020927373

Country of ref document: EP

Effective date: 20211203

NENP Non-entry into the national phase

Ref country code: DE