02.11.2016

Окно Джохари и методы обнаружения угроз для SOC

В 1955-м году два американских психолога Джозеф Лифт и Харингтон Инхам разработали технику, которая позволяет людям лучше понять взаимосвязь между своими личными качествами и тем, как их воспринимают окружающие. В соответствии с методикой, названной "Окном Джохари", у каждого человека имеются четыре зоны: Открытая, Слепая, Спрятанная и Неизвестная:
  • В открытой зоне находятся качества, известные самому человеку и которые признают за ним окружающие.
  • В спрятанной зоне находятся качества, известные человеку, но неизвестные окружающим.
  • В слепой зоне находятся качества человека, которые известны окружающим, но неизвестные самому человеку.
  • В неизвестной зоне находятся качества, неизвестные ни самому человеку, ни окружающим.
Используемое обычно для саморазвития "окно Джохари" может быть применено и в области обнаружения вредоносной активности, в деятельности Security Operations Center.


Идея применения "окна Джохари" очень проста. Если посмотреть на картинку выше, то мы увидим, что обычно в ИБ мы имеем дело с открытой зоной - когда все всем известно. Это как раз то, что хорошо описывается известными индикаторами компрометации, о которых я писал вчера. Они известны аналитикам, они известны и злоумышленникам, которые могут попытаться модифицировать свои действия, чтобы не попасть под известный индикатор.


Пробелы в организации системы защиты (нехватка логов, плохо организованные процессы, отсутствие интеграции между средствами защиты, отсутствие или плохо настроенная система корреляции, а также ошибки первого и второго рода) приводят к тому, что аналитик SOC не видит отдельных событий, а то и инцидентов безопасности.

Спрятанная зона дает аналитику преимущество, так как он знает то, чего не знают другие (те же самые злоумышленники) - состояние инвентаризации активов, контекст, эталонное поведение сети, пользователей и процессов, а также результаты анализа всей совокупности данных ИБ.

Неизвестная зона - это проблема проблем в ИБ. Очень хорошо ее озвучил бывший министр обороны США Дональд Рамсфельд: "Есть известные известные — вещи, о которых мы знаем, что знаем их. Есть также известные неизвестные — вещи, о которых мы знаем, что не знаем. Но еще есть неизвестные неизвестные — это вещи, о которых мы не знаем, что не знаем их". В ИБ таких событий огромное количество. Это и 0-Days, по которым в прошлой заметке я призывал не напрягаться, так как мы все равно не способны повлиять на их присутствие или отсутствие. Это и события, для которых еще нет сигнатур или иных решающих правил.


Для того, чтобы эффективно бороться с угрозами, аналитик SOC должен расширить открытую и сузить все остальные зоны. Для такого сужения необъодимо применения различных технологий и инструментов, которые позволяют видеть то, что ранее оставалось за пределами и средств защиты, и систем управления событиями безопасности, и SOC.


Опираясь на "окно Джохари" и то, что видит аналитик SOC с помощью имеющихся у него возможностей, можно говорить о зрелости или поколениях SOC. Но об этом уже в другой заметке...