Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"

Руслан Рахметов, Security Vision

В предыдущих статьях мы рассказали об общем порядке реагирования на инциденты ИБ в соответствии с рекомендациями публикации NIST SP 800-61 (часть 1, часть 2). В текущей статье описаны этапы реагирования на частный, но распространенный тип киберинцидента - заражение вредоносным ПО. Документ NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops", Rev.1 («Руководство по предотвращению и обработке инцидентов заражения ВПО на десктопах и лэптопах», версия 1) дает рекомендации по реагированию на киберинциденты, связанные с вредоносным программным обеспечением (ВПО), включая описание основных тактик защиты от ВПО и фаз реагирования (подготовка, выявление, анализ, сдерживание, устранение, восстановление, анализ причин). Документ был выпущен в 2013 году, поэтому некоторые его детали уже потеряли свою актуальность, но в целом общий подход при реагировании на инциденты заражения ВПО можно применять и сегодня.

В публикации NIST SP 800-83 дается краткое описание классов ВПО, актуальных на момент релиза документа:

· Вирусы, включая подклассы скомпилированных (в виде PE-файлов) и интерпретируемых вирусов (например, в виде вредоносного макроса, powershell/javascript-кода);

· Черви, включая подклассы сетевых и почтовых червей;

· Вирусы-троянцы;

· Вредоносный мобильный код (ВПО на базе Java, ActiveX);

· ВПО смешанного типа.

В качестве типов инструментов атакующих в документе перечислены:

· Бэкдоры (ВПО для удаленного управления зараженным устройством-ботом);

· Кейлоггеры (ВПО для записи нажатий на клавиатуру, создания снимков экрана);

· Руткиты (ВПО для скрытия вредоносной активности, которое запускается до загрузки ОС);

· Вредоносные плагины для браузеров (ВПО для осуществления несанкционированного доступа к данным веб-сайтов, отображающихся в интернет-браузере атакованного устройства);

· Генераторы email (для дальнейшего распространения ВПО или спама как в пределах атакованной сети, так и вовне);

· Тулкиты (наборы хакерских утилит и скриптов).

Авторы документа NIST SP 800-83 справедливо полагают, что для эффективного противостояния столь разнородным видам ВПО следует прежде всего применять превентивные меры для недопущения первичного заражения ВПО. Типы мер для предотвращения заражения ВПО могут быть следующими:

1. Разработка внутренней политики для предотвращения заражения ВПО:

Данный документ должен быть, с одной стороны, достаточно гибким для исключения частого редактирования, с другой стороны, в нем должны быть описаны конкретные шаги и мероприятия, которые реализуются компанией для предотвращения заражения ВПО. В политике должны быть прописаны, например, такие требования:

1.1. Требования по предварительному сканированию съемных накопителей перед их использованием на оборудовании компании;

1.2. Требования по предварительному сканированию email-вложений перед их открытием;

1.3. Запрет на пересылку и получение определенных типов файлов (таких как .exe, .lnk, .bat, .ps1, .vbs, .js, .hta и т.д.; при этом не следует забывать о часто используемой атакующими уловке по пересылке ВПО в запароленном архиве, который не подвергается указанной почтовой фильтрации);

1.4. Ограничение или запрет на использование работниками компании ПО, не требующегося для выполнения служебных обязанностей (например, ПО для облачного файлообмена, мессенджеры);

1.5. Запрет на использование съемных накопителей на корпоративных устройствах, особенно на серверах, критичных АРМ или устройствах, доступных за пределами контролируемой зоны (например, на терминалах в торговых залах);

1.6. Определение типов средств антивирусной защиты и их политик/настроек, которые обязательно должны быть установлены, обновлены и исправны на определенных типах устройств (например, на АРМ, рядовых серверах, критичных серверах, мобильных устройствах);

1.7. Ограничение или запрет на использование работниками компании личных устройств для удаленного доступа к ресурсам компании.

2. Проведение программ повышения осведомленности:

Awareness-программы используются для доведения до работников правил корректного использования вычислительных ресурсов, устройств и информации компании, а также описывают типы и признаки работы ВПО, действия при обнаружении ВПО, действия по выявлению пользователями атак методом социальной инженерии. В программе повышения осведомленности могут быть затронуты такие темы, как:

2.1. Запрет на открытие вложений и переход по ссылкам из неожиданных, подозрительных email-сообщений; запрет на посещение веб-сайтов, которые могут содержать ВПО;

2.2. Запрет на переход по ссылкам из всплывающих окон;

2.3. Запрет на открытие подозрительных типов файлов (таких как .exe, .lnk, .bat, .ps1, .vbs, .js, .hta и т.д.);

2.4. Запрет на отключение защитного функционала на устройствах (антивируса, межсетевого экрана, системы контентной фильтрации и т.д.);

2.5. Запрет на использование учетных записей с административными полномочиями;

2.6. Запрет на скачивание и запуск ПО из недоверенных источников;

2.7. Методы выявления признаков фишинговых сообщений, правила работы с ними (запрет на открытие файлов, вступление в диалог, сообщение информации; необходимость передачи информации о фишинге в службу ИТ/ИБ-поддержки);

2.8. Методы выявления фишинговых веб-сайтов, запрет на ввод персональных данных, учётных данных, одноразовых паролей, ПИН-кодов и т.д. на них;

2.9. Методы выявления распространения ВПО даже от известных email-отправителей, необходимость уточнения информации по альтернативным каналам связи;

2.10. Выявление иных методов атак методом социальной инженерии (звонки, сообщения в мессенджерах, СМС и т.д.).

3. Управления уязвимостями:

Поскольку ВПО зачастую использует уязвимости ПО, а скорость обнаружения уязвимостей во многих случаях не позволяет компаниям-разработчикам своевременно выпускать обновления, компаниям следует предусмотреть различные способы обработки уязвимостей, такие как установка обновлений, применение workaround до выхода обновлений, отключение уязвимого функционала, изоляция уязвимых сервисов, виртуальный патчинг. Также следует использовать средства автоматизации для контроля применения рекомендуемых вендором настроек политик безопасности, включая принудительное применение защищенных конфигураций (это может быть реализовано, например, с помощью технологии auto-SGRC). Кроме этого, следует применять следующие практики для снижения вероятности возникновения инцидентов ВПО:

3.1. Применение принципа наименьших полномочий для исключения предоставления пользователям избыточных привилегий, которые могут быть использованы ВПО при атаке;

3.2. Отключение или удаление избыточных, дополнительных сервисов, служб, которые не используются для реализации бизнес-процессов, но могут использоваться ВПО для развития атаки;

3.3. Отключение незащищенных общих файловых папок, которые часто используются ВПО;

3.4. Смена или отключение учетных записей и паролей по умолчанию;

3.5. Отключение автозапуска исполняемых файлов и скриптов;

3.6. Смена файловых ассоциаций для наиболее часто используемых атакующими типов файлов (например, установка notepad.exe как средства запуска по умолчанию для файлов типа .pif, .vbs, .js);

3.7. Предусмотреть возможность автоматизированного изменения настроек ПО на наиболее безопасные в случае появления эксплуатируемой уязвимости или при распространении ВПО по сети.

4. Снижение вероятности успешного заражения ВПО:

Несмотря на усилия по устранению уязвимостей, уменьшению поверхности атаки и обучению пользователей, у создателей ВПО есть шансы на реализацию успешной кибератаки благодаря ошибкам сотрудников, уязвимости контрагентов, отсутствию целостных процессов ИБ. Следовательно, требуется применять средства защиты информации, задача которых - снижение вероятности успешного заражения ВПО. Такими решениями (по состоянию на год публикации документа) были:

4.1. Средства антивирусной защиты, с функционалом сканирования критичных системных компонент хоста, сканирования объектов в режиме реального времени при создании и запуске, контроля поведения прикладного ПО на хосте, сканирования на наличие ВПО и хакерских утилит, помещения подозрительных объектов в карантин или лечения;

4.2. Средства предотвращения вторжений (IPS), работающие на уровне устройства, на уровне сети, а также системы поведенческого анализа трафика;

4.3. Межсетевые экраны (сетевые и хостовые);

4.4. Системы контентной фильтрации и инспекции трафика для выявления и блокирования опасных файлов и содержимого веб-страниц;

4.5. Системы контроля запуска приложений для запрета на запуск несогласованного или непроверенного ПО пользователями и администраторами.

5. Кроме использования средств антивирусной защиты, авторы документа NIST SP 800-83 предлагают организациям также использовать дополнительные меры защиты, такие как:

5.1. Защита BIOS / UEFI для защиты и контроля целостности микропрограмм, которые могут подвергаться целенаправленной модификации при реализации сложных кибератак или атак на цепочки поставок;

5.2. Применение сред изолированного запуска (песочниц) для изоляции подозрительных объектов, изучения поведения подозрительных объектов, быстрого восстановления в исходное безопасное состояние;

5.3. Использование и регулярное обновление различных браузеров для различных задач, что поможет снизить риск компрометации данных или учетных записей при использовании корпоративных веб-приложений и посещении интернет-ресурсов на одном устройстве;

5.4. Использование средств виртуализации, таких как гостевые ОС и VDI, поможет отделить потенциально рискованные действия с недоверенным контентом (например, интернет-браузинг или работа с email) от конфиденциальной работы (например, интернет-банкинг или администрирование ОС и сетевых устройств).

В следующем разделе авторы NIST SP 800-83 справедливо утверждают, что, несмотря на все предпринимаемые меры, кибератака с использованием ВПО все же может произойти, и в таком случае чрезвычайно важно корректно и оперативно обработать данный инцидент ИБ. Следуя общему фреймворку управления киберинцидентами из публикации NIST SP 800-61, действия при реагировании на инцидент ВПО можно разделить на следующие этапы:

1. Подготовка:

1.1. Развитие навыков и компетенций по анализу ВПО, включая реверс-инжиниринг, выделение сэмплов ВПО, формирование индикаторов компрометации конкретного образца ВПО;

1.2. Обеспечение коммуникации и координации действий путем назначения группы сотрудников для реагирования и оповещения пользователей, предоставления сведений руководителям компании, обработки запросов пользователей;

1.3. Приобретение специализированных инструментов для реагирования на инциденты ВПО (включая тестовые устройства для запуска образцов ВПО, интерактивного анализа запущенного ВПО, форензики зараженного устройства).

2. Детектирование и анализ:

2.1. Определение характеристик инцидента ВПО для приоритизации инцидента путем сбора информации об активности предполагаемого ВПО от средств антивирусной защиты, от IDS, из иных источников (через SIEM) для выяснения типа угрозы (категории ВПО, название сигнатуры), каталога обнаружения подозрительного объекта, типа и имени атакованного устройства. Если известна сигнатура, то на порталах антивирусных лабораторий можно получить подробности о данном типе ВПО (эксплуатируемые уязвимости, используемые протоколы и порты, имена и хэши модулей, методы распространения ВПО, оказываемые негативные воздействия на атакованное устройство).

2.2. Выявление всех зараженных устройств следующими способами:

2.2.1. Форензик-выявление путем поиска признаков и следов вредоносной активности по данным от антивирусов, IDS, SIEM, по данным DNS-запросов, журналов аудита на конечных точках, сетевых снифферов, журналов соединений на сетевых устройствах.

2.2.2. Активная идентификация путем автоматизированного поиска индикаторов компрометации на конечных устройствах, создания уникальных IDS-правил для обнаружения конкретного сэмпла ВПО, применения сетевых снифферов и анализаторов трафика для выявления характерных паттернов сетевого взаимодействия ВПО.

2.2.3. Идентификация в ручном режиме с помощью предоставления ответственным сотрудникам инструментов выявления (например, антивирусного ПО на съемном накопителе), запуск проверки в ручном режиме на всех потенциально атакованных устройствах.

2.3. Приоритизация реагирования на инцидент ВПО в зависимости от прогнозируемого ущерба и характеристик ВПО (методы распространения, тип ВПО, какие действия выполняет ВПО, какие устройства и сети могут быть атакованы далее).

2.4. Анализ ВПО, который может проводиться в активном режиме (через запуск в контролируемой среде) или с помощью форензики (анализ состояния устройства после воздействия ВПО).

3. Сдерживание:

При сдерживании ВПО следует остановить распространение ВПО по сети и предотвратить нанесение дальнейшего ущерба уже зараженным устройствам. При сдерживании ВПО, которое не распространяется по сети компании, будет достаточно изолировать атакованные хосты от сети. При угрозе сетевого распространения вируса следует в максимально короткие сроки обеспечить защиту от заражения других устройств в сети, тем самым снизив наносимый вред и уменьшив время восстановления инфраструктуры в нормальное состояние. Следует также иметь ввиду, что некоторые образцы ВПО могут обнаружить меры сдерживания, например, потерю доступа к C&C-серверу атакующих в результате мер сетевой изоляции, и выполнить деструктивные действия на зараженном хосте для сокрытия следов и индикаторов атаки. Кроме того, следует заранее продумать, кто будет обладать полномочиями по выполнению мероприятий сдерживания во время инцидента ВПО, при каких условиях те или иные мероприятия могут производиться, на какой период времени подобные ограничивающие меры могут быть задействованы. Меры сдерживания можно условно разделить на следующие категории (допускается одновременное использование мер из различных категорий):

3.1. Сдерживание с помощью участия конечных пользователей может быть полезным при отсутствии централизованного управления устройствами и средствами защиты (например, на удаленных площадках, при работе на личных устройствах), однако такой метод подразумевает подготовку детальных инструкции и утилит, а также повышение нагрузки на ИТ/ИБ-поддержку для оказания помощи сотрудникам.

3.2. Сдерживание при помощи автоматизированных средств: антивирусных решений (после отправки в антивирусную лабораторию сэмпла незадетектированного ВПО и обновления базы антивирусных сигнатур), систем контентной фильтрации (они будут эффективны только для статического ВПО и для способов распространения с неизменными атрибутами), сетевых IPS (после написания и включения кастомной сигнатуры для выявления текущего ВПО), блокирования исполняемых файлов (по имени файла, хэшу, подписи издателя или путем блокирования всех недоверенных приложений в целом).

3.3. Сдерживание путем отключения служб или сервисов может нарушить бизнес-процессы, но в случае атаки опасного ВПО может быть действенной мерой: следует рассмотреть возможность полного отключения сервиса (например, email или веб-почты в случае уязвимости на Exchange), отключения части функционала, блокирования портов для определенного типа трафика. Например, при сдерживании атаки вируса WannaCry было целесообразно отключить прослушивание входящих SMB-подключений на сетевом периметре и ограничить SMB-трафик внутри сети.

3.4. Сдерживание при помощи ограничения сетевой связности можно реализовать либо блокированием внешних доменов и IP-адресов атакующих или IP-адреса атакованного хоста в ЛВС, либо с помощью сетевой изоляции (программными средствами или физически отключая Ethernet-кабель или прерывая Wi-Fi-подключение), либо с помощью сетевого оборудования (помещение атакованного хоста в карантинный VLAN, деаутентификация хоста через 802.1X, блокирование беспроводного подключения на Wi-Fi-контроллере, запрет на сетевые подключения между сегментами по определенным портам и протоколам, проведение оценки «здоровья» хоста перед и во время предоставления доступа к корпоративной сети).

4. Устранение:

Меры устранения угрозы тесно связаны с мерами сдерживания и должны включать в себя мероприятия по удалению текущей угрозы и недопущению повторного заражения: запуск антивирусного средства на всех устройствах и удаление ВПО и всех его компонентов, установка обновлений и перенастройка СЗИ, ОС, ПО (в первую очередь на всех атакованных хостах, затем на всех устройствах в сети). В случаях, когда нет уверенности в достаточности выполненных действий, следует переустановить ОС на всех затронутых инцидентом устройствах из "золотого образа" с установкой необходимых патчей, а также восстановить информацию из резервных копий, которые гарантированно не содержат ВПО. Критериями необходимости выполнения переустановки ОС могут быть следующие характеристики инцидента:

· Атакующие получили доступ к устройству с административными полномочиями;

· Несанкционированный доступ административного уровня к устройству был возможен для неустановленного числа лиц (например, через бэкдор);

· Системные файлы были заменены на модифицированные версии;

· Устройство функционирует ненормально после проведения действий по восстановлению;

· Есть сомнения относительно типа / масштаба заражения и возможного несанкционированного доступа.

5. Восстановление:

В рамках действий по восстановлению проводится восстановление функционирования приложений и данных на инфицированных хостах, а также снятие временно установленных сдерживающих ограничений. Следует учитывать допустимое количество ресурсов и времени, которое может затрачено компанией на восстановление в случае масштабного инцидента, и выбирать соответствующую стратегию восстановления: восстановление путем удаления ВПО и устранения уязвимостей, восстановление из бэкапов, полное восстановление «с нуля» с переустановкой ОС и с восстановлением информации из архивных копий. Снятие ограничительных мер, например, восстановление сетевого доступа или включение сервисов, следует выполнять после оценки полноты действий по устранению угрозы на всех затронутых инцидентов устройствах, учитывая вероятность того, что не все угрозы были выявлены и некоторые хосты все еще заражены. С одной стороны, преждевременное снятие ограничительных мер может спровоцировать новую волную заражений ВПО, но с другой стороны, простой бизнес-процессов может нанести бизнесу гораздо больший ущерб, чем повторный инцидент ВПО на ограниченном масштабе инфраструктуры.

6. Пост-инцидентные действия:

После завершения действий по обработке инцидента ВПО ключевым членам команды реагирования и руководителям следует провести встречу для обсуждения выполненных действий, анализа принятых мер, выработки списка «выученных уроков». В результате обсуждения могут быть выработаны следующие рекомендации:

6.1. Внесение изменений, актуализация политик ИБ в компании для устранения организационных и логических уязвимостей в процессах кибербезопасности (например, внесение запрета на использование личных съемных накопителей, ограничение полномочий, перестройка бизнес-процессов);

6.2. Внесение изменений в программы повышения осведомленности работников для повышения бдительности и выполнения корректных действий при наступлении инцидента;

6.3. Перенастройка ОС и ПО для соответствия актуализированным политикам ИБ;

6.4. Перенастройка средств антивирусной защиты, включая повышение частоты получения обновлений сигнатур, повышение точности детектирования угроз и снижение ложноположительных срабатываний, увеличение границ мониторинга угроз в инфраструктуре (сегменты сети, типы устройств, типы контролируемых объектов), изменение действий по умолчанию при обнаружении ВПО, повышение эффективности доставки обновлений до всех устройств;

6.5. Закупка и развертывание новых типов средств защиты информации, которые защищают от актуальных киберугроз и снижают киберриски инцидентов ВПО.