Image from Google Jackets

Potential disguisingattack vectors on security operation centers and SIEM systems = Потенційні відволікаючі атаки на операційні центри безпеки та SIEM системи / R. Drahuntsov, D. Rabchun

За: Інтелектуальна відповідальність: Вид матеріалу: Комп’ютерний файлКомп’ютерний файлISSN:
Тематика(и): Електронне місцезнаходження та доступ: Available additional physical forms: У: Кібербезпека: освіта, наука, техніка : електронне наукове видання / Київський університет імені Бориса Грінченка 2021, N 14 С. 6-16;Зведення: В даній статі розглянуто деякі потенційні вектори атак, що можуть бути здійснені на системи моніторингу операційних центрів безпеки (SOC), зокрема системи SIEM. Широко розповсюджені проблеми таких центрів, такі як великі обсяги хибних позитивних спрацювань, або не абсолютно точна конфігурація кореляційних правил, можуть призводити до ситуацій в яких порушник має змогу спровокувати небажаний стан системи моніторингу. Ми виявили три потенційні вектори подолання моніторингу SOC, що здійснюється через SIEM. Перший вектор ґрунтується на механізмі, що використовується для збору даних про події -log collector: Некоректний стан роботи SIEM може бути досягнутий за допомогою генерації сторонніх беззмістовних даних про події та спрямування їх на SIEM. Потік підроблених даних може спровокувати появу помилкових інцидентів, який витрачає час та можливості для реагування відповідного персоналу. Другий вектор вимагає від агенту загрози певних знань про фактичну конфігурацію SIEM -експлуатація проблем кореляційний правил. Беручи до уваги той факт, що кореляційні правила SIEM створюються вручну, вони можуть містити логічні помилки -певні правила детектування можуть не спрацьовувати на всі необхідні індикатори шкідливої активності. Агент загрози, що знає про такі особливості, може задовольнити критерії не-детектування та таким чином замаскувати процес атаки під легітимну активність. Останній досліджений вектор базується на надлишково чутливих правилах детектування, що генерують істотний обсяг хибно позитивних повідомлень, але все одно залишаються активними. Агент загрози може провокувати хибні тривоги на постійній основі для відволікання аналітиків та проведення атак під "шумовим маскуванням". Усі три вектори були досліджені нами в ході аналізу практичних інсталяцій SIEM та процесів SOC, що визнані стандартами індустрії. На даний момент ми не маємо інформації про те, що дані атаки вже відбувались в реальному середовищі, але існує висока вірогідність появи таких тактик в майбутньому. Мета даного дослідження полягає у висвітленні можливих ризиків для операційних центрів безпеки, пов'язаних з поточними процесами та практиками, що використовуються в індустрії, та розробити стратегії подолання даних проблем у перспективіЗведення: In this article we highlight several potential vectors of attacks that can be carried out on a monitoring capacities powered by SOC SIEM using its common features and misconfigurations. Widely spread problems like excessive amounts of false positive alerts or not absolutely accurate configuration of the correlation rules may lead to situation where an attacker is able to trigger an undesired state of the monitoring system. We've find three potential vectors for evasion the SIEM powered SOCs monitoring. The first vector grounds on mechanisms used to collect event data -log collectors: the malfunctioning SIEM state can be achieved with generating and submitting the bogus event data to the processing party like SIEM. Fake data flow may cause generation of mistaken alerts which can confuse the analytics stuff. The second vector employs some of the attacker's knowledge about actual SIEM configuration -exploitation of correlation rule flaws. Taking into account the fact that correlation rules are mostly hand-written, they are prone to some logic flaws -certain detection rules may not be triggered by all of the malicious attack indicators. An attacker with knowledge about that feature may fulfill the unrecorded conditions and trick the SIEM to treat the attack flow as benign activity. The last researched vector is based on redundantly sensitive detection rules which produce a lot of false positive alarms but are not removed. An attacker may trigger the malfunctioning alarm continuously to distract the analytics stuff and perform its actions under the cover of noise. Those discussed vectors are derived from analysis of the actual SIEM installations and SOC processes used as best practices. We have no actual indicators that those attacks are carried out "in wild" at the moment of issuing of this article, but it is highly probable that those tactics may be used in the future. The purpose of this research is to highlight the possible risks for the security operation centers connected with actual processes and practices used in industry and to develop the remediation strategy in perspective
Мітки з цієї бібліотеки: Немає міток з цієї бібліотеки для цієї назви. Ввійдіть, щоб додавати мітки.
Оцінки зірочками
    Середня оцінка: 0.0 (0 голос.)
Немає реальних примірників для цього запису

В даній статі розглянуто деякі потенційні вектори атак, що можуть бути здійснені на системи моніторингу операційних центрів безпеки (SOC), зокрема системи SIEM. Широко розповсюджені проблеми таких центрів, такі як великі обсяги хибних позитивних спрацювань, або не абсолютно точна конфігурація кореляційних правил, можуть призводити до ситуацій в яких порушник має змогу спровокувати небажаний стан системи моніторингу. Ми виявили три потенційні вектори подолання моніторингу SOC, що здійснюється через SIEM. Перший вектор ґрунтується на механізмі, що використовується для збору даних про події -log collector: Некоректний стан роботи SIEM може бути досягнутий за допомогою генерації сторонніх беззмістовних даних про події та спрямування їх на SIEM. Потік підроблених даних може спровокувати появу помилкових інцидентів, який витрачає час та можливості для реагування відповідного персоналу. Другий вектор вимагає від агенту загрози певних знань про фактичну конфігурацію SIEM -експлуатація проблем кореляційний правил. Беручи до уваги той факт, що кореляційні правила SIEM створюються вручну, вони можуть містити логічні помилки -певні правила детектування можуть не спрацьовувати на всі необхідні індикатори шкідливої активності. Агент загрози, що знає про такі особливості, може задовольнити критерії не-детектування та таким чином замаскувати процес атаки під легітимну активність. Останній досліджений вектор базується на надлишково чутливих правилах детектування, що генерують істотний обсяг хибно позитивних повідомлень, але все одно залишаються активними. Агент загрози може провокувати хибні тривоги на постійній основі для відволікання аналітиків та проведення атак під "шумовим маскуванням". Усі три вектори були досліджені нами в ході аналізу практичних інсталяцій SIEM та процесів SOC, що визнані стандартами індустрії. На даний момент ми не маємо інформації про те, що дані атаки вже відбувались в реальному середовищі, але існує висока вірогідність появи таких тактик в майбутньому. Мета даного дослідження полягає у висвітленні можливих ризиків для операційних центрів безпеки, пов'язаних з поточними процесами та практиками, що використовуються в індустрії, та розробити стратегії подолання даних проблем у перспективі

In this article we highlight several potential vectors of attacks that can be carried out on a monitoring capacities powered by SOC SIEM using its common features and misconfigurations. Widely spread problems like excessive amounts of false positive alerts or not absolutely accurate configuration of the correlation rules may lead to situation where an attacker is able to trigger an undesired state of the monitoring system. We've find three potential vectors for evasion the SIEM powered SOCs monitoring. The first vector grounds on mechanisms used to collect event data -log collectors: the malfunctioning SIEM state can be achieved with generating and submitting the bogus event data to the processing party like SIEM. Fake data flow may cause generation of mistaken alerts which can confuse the analytics stuff. The second vector employs some of the attacker's knowledge about actual SIEM configuration -exploitation of correlation rule flaws. Taking into account the fact that correlation rules are mostly hand-written, they are prone to some logic flaws -certain detection rules may not be triggered by all of the malicious attack indicators. An attacker with knowledge about that feature may fulfill the unrecorded conditions and trick the SIEM to treat the attack flow as benign activity. The last researched vector is based on redundantly sensitive detection rules which produce a lot of false positive alarms but are not removed. An attacker may trigger the malfunctioning alarm continuously to distract the analytics stuff and perform its actions under the cover of noise. Those discussed vectors are derived from analysis of the actual SIEM installations and SOC processes used as best practices. We have no actual indicators that those attacks are carried out "in wild" at the moment of issuing of this article, but it is highly probable that those tactics may be used in the future. The purpose of this research is to highlight the possible risks for the security operation centers connected with actual processes and practices used in industry and to develop the remediation strategy in perspective

Оригінал запису за посиланням

https://kubg.libs.net.ua/kubg_recs/0000083785.txt

Немає коментарів для цієї одиниці.

для можливості публікувати коментарі.