Руслан Рахметов, Security Vision
В современных условиях агрессивного киберландшафта и множества киберугроз нельзя полагаться только на предупредительные, директивные и превентивные механизмы. Подход Assumed Breach («предполагаемое нарушение») далеко не нов, но актуален — ни одна компания не может быть на 100% уверена в своей кибербезопасности, поэтому логично уделять внимание детективным, сдерживающим, корректирующим, восстановительным, расследовательным мерам защиты. В случае, если атакующие всё же проникли в инфраструктуру, их не поздно остановить до момента, когда компании будет нанесен критичный ущерб. В этой статье мы обсудим методы управления инцидентами ИБ, способы расследования киберинцидентов и использование соответствующих специализированных инструментов.
Итак, в соответствии с положениями документа NIST SP 800-61 Computer Security Incident Handling Guide («Руководство по обработке инцидентов компьютерной безопасности»), управление инцидентами ИБ состоит из следующих этапов:
1. Подготовка;
2. Обнаружение;
3. Анализ;
4. Сдерживание;
5. Устранение;
6. Восстановление;
7. Пост-инцидентные действия.
Для выстраивания процесса управления киберинцидентами необходимо сформировать политику реагирования на инциденты ИБ, которая позволит корректно и бесшовно встроить процесс управления ИБ в общую структуру системы управления ИБ (СУИБ) в компании. Важно, чтобы в рамках этапов подготовки к реагированию на инциденты и пост-инцидентных действий выполнялись действия, которые повышают уровень киберзащищенности компании. Так, в рамках подготовки собираются и систематизируются сведения о защищаемой инфраструктуре (включая карту сети и схему информационных потоков), зависимостях бизнес-процессов и ответственных лицах, что, соответственно, приводит к выполнению работ по актуализации данной информации и к сопутствующему повышению прозрачности и контролируемости ИТ-инфраструктуры. Кроме того, в документе NIST SP 800-61 отдельно подчеркивается, что инцидент проще предотвратить, чем разбираться с его последствиями, поэтому знания и опыт аналитиков SOC-центра или членов команды реагирования можно и нужно применять для недопущения киберинцидентов и повышения киберустойчивости компании. Среди наиболее эффективных способов предотвращения киберинцидентов перечисляются такие, как комплексное управление киберрисками, обеспечение безопасности конечных точек (в том числе за счет управления уязвимостями, обновлениями, конфигурациями, журналирования событий ИБ и мониторинга состояния хостов), обеспечение сетевой безопасности (в том числе путем реализации принципа «Нулевого доверия» - Zero Trust), проведение Awareness-тренингов для работников компании. В рамках пост-инцидентных действий важно проанализировать причины возникновения инцидента, сформировать план устранения выявленных недостатков, использовать результаты анализа для перенастройки отдельных СЗИ, оптимизации элементов СУИБ, переоценки киберрисков, проведения дополнительного ИБ-обучения.
В рамках подготовки к реагированию на инциденты ИБ важно корректно настроить следующие СЗИ и функции безопасности, которые будут использоваться для выявления инцидентов и дальнейших действий по реагированию:
1. На конечных устройствах (серверах и ПК), на сетевых устройствах, в бизнес-приложениях, в средах виртуализации и контейнеризации должно быть настроено логирование событий ИБ. Список событий, которые целесообразно сохранять и затем передавать в SIEM-системы, для каждой системы может отличаться, поэтому разумно будет обратиться к лучшим практикам и документации, в которых эксперты и разработчики приводят рекомендуемые настройки журналирования. Также следует заранее продумать способы и инструменты удаленного запуска различных скриптов и команд на устройствах в рамках реагирования на инциденты (например, для получения списка текущих процессов, создания дампа памяти, поиска индикаторов компрометации, сетевой изоляции хоста). Такими инструментами могут быть утилита PsExec, технология PowerShell Remoting, удаленное подключение по SSH, запуск IoC-сканеров (таких как SPARK, THOR, Loki, rastrea2r и другие).
2. Системы управления событиями информационной безопасности (SIEM, Security Information and Event Management), которые используются для сбора событий ИБ, их парсинга, хранения и эффективного поиска по событиям ИБ, а также анализа, обогащения, корреляции событий ИБ и формирования инцидентов ИБ.
3. Платформы реагирования на инциденты ИБ (SOAR, Security Orchestration, Automation and Response) - они используются для автоматизации управления инцидентами ИБ, в них настраиваются сценарии реагирования и соответствующие действия, которые выполняются либо непосредственно SOAR, либо средствами защиты, которые интегрированы с SOAR-платформой и могут управляться ею.
4. Системы анализа трафика (NTA, Network Traffic Analysis), которые позволяют выявлять угрозы в сетевом трафике, а также вести запись копии сетевого трафика для последующего изучения, что может пригодиться при расследовании инцидента.
5. Системы для проведения компьютерных криминалистических исследований, которые могут представлять собой программные продукты или программно-аппаратные комплексы для проведения форензик-анализа атакованных устройств (оперативной памяти и накопителей) и сохранения их образов для дальнейшего использования в судебных компьютерно-технических экспертизах.
6. Можно задействовать и заранее подготовить платформу управления данными киберразведки (TIP, Threat Intelligence Platform) — она позволит обработать данные аналитики киберугроз и обогатить инциденты ИБ данными из внешних аналитических сервисов, что поможет при проведении расследования кибератак.
При обнаружении инцидента, в случае корректно настроенного журналирования и пересылки логов в SIEM, инцидент будет сформирован в соответствии с правилами корреляции, а затем передан в SOAR-систему. Далее обработка инцидента производится в соответствии с настроенными сценариями реагирования (плейбуками), но, как правило, сначала L1-аналитик SOC-центра должен будет решить, не является ли инцидент ложноположительным, а данные по инциденту будут автоматически обогащаться из внутренних и внешних источников (например, данные по устройству подтянутся из корпоративной ITAM-системы, информация по пользователю будет импортирована из HR-системы, а из TIP и внешних аналитических сервисов загрузятся данные по хэшам файлов, внешним IP-адресам и DNS-именам).
В рамках этапа анализа командой SOC-центра (прежде всего, аналитиками L2) выполняются действия по категорированию и приоритизации инцидента в зависимости от его свойств и характеристик атакованного актива, производится непосредственно расследование инцидента, а затем — коммуникация с ответственными лицами и эскалация в зависимости от критичности инцидента. При расследовании аналитик старается определить вектор атаки, точку входа злоумышленников («нулевого пациента»), предугадать маршрут дальнейшего передвижения атакующих в сети и возможные варианты действия. На этапе расследования нужно получить необходимый и достаточный минимум информации для того, чтобы оперативно локализовать и устранить угрозу до того, как компании будет нанесен ущерб (например, будут удалены или похищены данные). Глубокое расследование с форензик-анализом скомпрометированных устройств может затянуться на несколько дней, но если устройство заражено вирусом-шифровальщиком в результате фишинга, то важно как можно скорее отключить его от корпоративной сети для того, чтобы не допустить распространения вируса по всей инфраструктуре. Затем надо будет проверить, нет ли других получателей того же фишингового письма в компании, нет ли признаков компрометации других хостов, не успел ли атакующий горизонтально переместиться по сети. Уже после этого атакованный ПК можно будет детально исследовать, предварительно сняв образ жесткого диска и оперативной памяти. Специализированными инструментами для глубокого расследования и форензик-анализа являются такие решения, как FTK Imager, Belkasoft RAM Capturer, Autopsy / The Sleuth Kit, Volatility Framework, Rekall Framework, NetworkMiner, утилиты из набора Эрика Циммермана (Eric Zimmerman), дистрибутивы REMnux и SANS Investigative Forensic Toolkit, а также иные инструменты, неисчерпывающий список которых представлен на GitHub-странице проекта Awesome Forensics.
На этапах сдерживания и устранения важно использовать интеграционные возможности SOAR-решений для того, чтобы максимально быстро локализовать угрозу и привести инфраструктуру в безопасное состояние. Активными мерами противодействия могут быть сетевая изоляция атакованного устройства, блокирование скомпрометированной учетной записи, завершение подозрительного процесса, перенастройка межсетевого экрана, перемещение устройства в «карантинный» VLAN и т.д. На этапе восстановления помощь окажут системы резервного копирования и выполнение процедур обеспечения непрерывности бизнеса и восстановления деятельности. На этапе пост-инцидентных действий можно воспользоваться историей реагирования на инцидент, которая ведется в SOAR-системе – это поможет оценить корректность и своевременность выполненных действий, определить узкие места и запланировать оптимизацию процесса реагирования, а также предложить пути улучшения СУИБ и донастройки защитных мер для недопущения аналогичных инцидентов в будущем.