OSCD 2019: фокус на Threat Detection
Первый спринт OSCD прошёл осенью прошлого года. Он был полностью посвящён теме Threat Detection и ставил две цели:
- улучшить покрытие фреймворка MITRE ATT&CK правилами проекта Sigma;
- продвинуть культуру использования правил Sigma.
Тогда участники сосредоточились исключительно на разработке и улучшении существующих правил для GitHub-репозитория Sigma. В итоге он пополнился 144 новыми правилами, а часть существующих была допилена для усиления их эффективности.
Проект Sigma
Sigma
это общий и открытый формат написания правил выявления инцидентов
ИБ для SIEM-систем, который позволяет описывать алгоритм
детектирования для событий любых журналов в простой форме. Основная
цель репозитория Sigma на GitHub предоставить структурированную
форму, с помощью которой исследователи и аналитики могли бы
делиться разработанными правилами для SIEM и предлагать улучшения к
существующим. Большинство правил, описанных в проекте, имеют
маппинг с фреймворком MITRE ATT&CK.
Что нового было на OSCD 2020
В этом году организаторы OSCD предложили развить сразу несколько направлений практической безопасности:
- Threat Detection (обнаружение угроз);
- Adversary Simulation (симуляция действий злоумышленников);
- Incident Response (реагирование на инциденты).
Помимо развития направления Threat Detection в части наполнения репозитория Sigma Project, на этот раз участникам предложили подключиться к созданию материалов и для других открытых проектов.
Например, в части Adversary Simulation стояла задача создания тестов для проекта Atomic Red Team.
Atomic Red Team
Atomic Red Team это набор портативных
тестов, симулирующих действия злоумышленников для проверки
возможностей по обнаружению угроз, с привязкой к MITRE
ATT&CK.
Помимо создания самих тестов ART, необходимо было разработать правила Sigma для обнаружения той или иной техники. В итоге разработанные материалы должны были взаимно дополнять друг друга. То есть каждому тесту ART, эмулирующему активности злоумышленников, должно было соответствовать правило Sigma по выявлению этой активности, и наоборот.
Последнее направление Incident Response содержало наиболее трудоёмкие по времени задачи (да, бэклог был поделён ещё и по времени решения задач). В рамках IR стояли задачи по разработке модулей реагирования (TheHive Responders) для проекта открытой Incident Response Platform (IRP) TheHive. Например, нужно было разработать скрипт для автоматической блокировки вредоносных сущностей на межсетевом экране Palo Alto, интегрированном с TheHive.
Чем еще отличался второй спринт
В прошлом году все вопросы и задачи мы обсуждали в real-time в специальном оперативном чате, который организаторы создали в Slack. Часть создаваемого контента предварительно правилась организаторами вручную, результаты заносились в репозиторий.
В этом году подход изменился: отправной точкой стало использование возможностей GitHub как платформы для совместной разработки. В Issues был прописан детальный бэклог, обсуждения участников по задачам велись как в самих Issues, так и в Pull-запросах репозитория. Координаторы пользовались теми же механизмами взаимодействия, просматривали и принимали Pull-запросы. Подход унифицировался, однако, на наш взгляд, требования к новым участникам повысились.
По предварительным итогам спринта можно сказать, что в мероприятии приняло участие заметно больше энтузиастов (61 человек против 30), заметно возросло и количество разработанных правил (+229 новых правил), разработаны новые ART-тесты и контент для TheHive.
Зачем мы участвовали
Есть несколько причин, из-за которых мы второй год подряд (и думаем, не последний) принимаем участие в OSCD.
1. Делаем мир безопаснее
Как бы банально это ни звучало, но каждый, кто вносит свой вклад в тот или иной проект по задачам OSCD, действительно делает мир чуточку безопаснее.
Многие участники OSCD настоящие профессионалы в своей сфере, именно поэтому очень важно, что в рамках спринта они делятся с сообществом своей экспертизой открыто и безвозмездно. Нам в Jet CSIRT тоже есть чем поделиться с сообществом, поэтому мы решили помочь проекту Sigma и создали несколько правил для выявления угроз в событиях на все распространенные платформы: Windows, Linux и macOS.
Нужно сказать, что несмотря на развитие, сам синтаксис написания правил Sigma по-прежнему ограничен. Например, часть фич, которых не хватало для написания поддерживаемой логики в рамках прошлого спринта, пока еще не были реализованы. Несмотря на это, формат Sigma уже де-факто стал стандартом написания правил выявления инцидентов для SIEM-систем, и существуют даже конвертеры, которые могут перегнать правило Sigma в готовый код под решения многих вендоров.
2. При плотном взаимодействии с сообществом рождаются новые идеи
Проект OSCD даёт возможность не только поделиться с сообществом своим контентом, но и адаптировать наработки участников для собственных нужд. Обсуждение задач и результатов абсолютно открыто. Каждый участник может зайти в любой Issue или Pull-запрос и поделиться видением решения задачи или предложить объединить усилия для решения какой-либо задачи. Последнее особенно актуально для задач IR, приблизительное время решения которых составляет от 4 до 16 часов.
Затем модераторы просматривают каждый Pull-запрос и в случае обнаружения проблем просят внести исправления. Когда ошибки исправлены, решение о включении разработанного участниками контента (Merge) принимает владелец того или иного проекта.
3. Довольно высокая степень свободы в выборе того, что делаешь
OSCD имеет структурированный бэклог задач, которые нужно решить, однако это не ограничивает участников в создании контента. Если участник создал контент, который нельзя однозначно отнести к решению той или иной задачи, но сообщество посчитает его полезным, такая контрибуция будет только приветствоваться.
Заключение
Инициатива OSCD объединяет специалистов по кибербезопасности со всего мира, которые на безвозмездной основе делятся с сообществом экспертизой в ключевых областях ИБ. Можно с уверенностью сказать, что нынешний спринт прошёл не менее продуктивно, чем прошлогодний. Надеюсь, что в следующем году инициатива OSCD приобретёт ещё больший масштаб и поможет ещё большему числу ИБ-шных проектов.
До встречи на следующем спринте!
Команда Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT Инфосистемы Джет
