OSCD 2020: как это было

OSCD 2019: фокус на Threat Detection

Первый спринт OSCD прошёл осенью прошлого года. Он был полностью посвящён теме Threat Detection и ставил две цели:

• улучшить покрытие фреймворка MITRE ATT&CK правилами проекта Sigma;
• продвинуть культуру использования правил Sigma.

Тогда участники сосредоточились исключительно на разработке и улучшении существующих правил для GitHub-репозитория Sigma. В итоге он пополнился 144 новыми правилами, а часть существующих была «допилена» для усиления их эффективности.

Что нового было на OSCD 2020

В этом году организаторы OSCD предложили развить сразу несколько направлений практической безопасности:

• Threat Detection (обнаружение угроз);
• Adversary Simulation (симуляция действий злоумышленников);
• Incident Response (реагирование на инциденты).

Помимо развития направления Threat Detection в части наполнения репозитория Sigma Project, на этот раз участникам предложили подключиться к созданию материалов и для других открытых проектов.

Например, в части Adversary Simulation стояла задача создания тестов для проекта Atomic Red Team.

Помимо создания самих тестов ART, необходимо было разработать правила Sigma для обнаружения той или иной техники. В итоге разработанные материалы должны были взаимно дополнять друг друга. То есть каждому тесту ART, эмулирующему активности злоумышленников, должно было соответствовать правило Sigma по выявлению этой активности, и наоборот.

Последнее направление — Incident Response — содержало наиболее трудоёмкие по времени задачи (да, бэклог был поделён ещё и по времени решения задач). В рамках IR стояли задачи по разработке модулей реагирования (TheHive Responders) для проекта открытой Incident Response Platform (IRP) — TheHive. Например, нужно было разработать скрипт для автоматической блокировки вредоносных сущностей на межсетевом экране Palo Alto, интегрированном с TheHive.

Чем еще отличался второй спринт

В прошлом году все вопросы и задачи мы обсуждали в real-time в специальном оперативном чате, который организаторы создали в Slack. Часть создаваемого контента предварительно правилась организаторами вручную, результаты заносились в репозиторий.

В этом году подход изменился: отправной точкой стало использование возможностей GitHub как платформы для совместной разработки. В Issues был прописан детальный бэклог, обсуждения участников по задачам велись как в самих Issues, так и в Pull-запросах репозитория. Координаторы пользовались теми же механизмами взаимодействия, просматривали и принимали Pull-запросы. Подход унифицировался, однако, на наш взгляд, требования к новым участникам повысились.

По предварительным итогам спринта можно сказать, что в мероприятии приняло участие заметно больше энтузиастов (61 человек против 30), заметно возросло и количество разработанных правил (+229 новых правил), разработаны новые ART-тесты и контент для TheHive.

Зачем мы участвовали

Есть несколько причин, из-за которых мы второй год подряд (и думаем, не последний) принимаем участие в OSCD.

1. Делаем мир безопаснее

Как бы банально это ни звучало, но каждый, кто вносит свой вклад в тот или иной проект по задачам OSCD, действительно делает мир чуточку безопаснее.

Многие участники OSCD — настоящие профессионалы в своей сфере, именно поэтому очень важно, что в рамках спринта они делятся с сообществом своей экспертизой открыто и безвозмездно. Нам в Jet CSIRT тоже есть чем поделиться с сообществом, поэтому мы решили помочь проекту Sigma и создали несколько правил для выявления угроз в событиях на все распространенные платформы: Windows, Linux и macOS.

Нужно сказать, что несмотря на развитие, сам синтаксис написания правил Sigma по-прежнему ограничен. Например, часть фич, которых не хватало для написания поддерживаемой логики в рамках прошлого спринта, пока еще не были реализованы. Несмотря на это, формат Sigma уже де-факто стал стандартом написания правил выявления инцидентов для SIEM-систем, и существуют даже конвертеры, которые могут перегнать правило Sigma в готовый код под решения многих вендоров.

2. При плотном взаимодействии с сообществом рождаются новые идеи

Проект OSCD даёт возможность не только поделиться с сообществом своим контентом, но и адаптировать наработки участников для собственных нужд. Обсуждение задач и результатов абсолютно открыто. Каждый участник может зайти в любой Issue или Pull-запрос и поделиться видением решения задачи или предложить объединить усилия для решения какой-либо задачи. Последнее особенно актуально для задач IR, приблизительное время решения которых составляет от 4 до 16 часов.

Затем модераторы просматривают каждый Pull-запрос и в случае обнаружения проблем просят внести исправления. Когда ошибки исправлены, решение о включении разработанного участниками контента (Merge) принимает владелец того или иного проекта.

3. Довольно высокая степень свободы в выборе того, что делаешь

OSCD имеет структурированный бэклог задач, которые нужно решить, однако это не ограничивает участников в создании контента. Если участник создал контент, который нельзя однозначно отнести к решению той или иной задачи, но сообщество посчитает его полезным, такая контрибуция будет только приветствоваться.

Заключение

Инициатива OSCD объединяет специалистов по кибербезопасности со всего мира, которые на безвозмездной основе делятся с сообществом экспертизой в ключевых областях ИБ. Можно с уверенностью сказать, что нынешний спринт прошёл не менее продуктивно, чем прошлогодний. Надеюсь, что в следующем году инициатива OSCD приобретёт ещё больший масштаб и поможет ещё большему числу ИБ-шных проектов.

До встречи на следующем спринте!

Команда Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет»