Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»

CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2021

Реагирование на инциденты ИБ

На этапе подготовки к киберинциденту разрабатываются документы и настраиваются необходимые СЗИ.

СЗИ для обработки инцидентов ИБ:

• SIEM - для сбора, хранения, корреляции, обогащения событий ИБ, включая модули поведенческого анализа (UEBA)

• IRP - для автоматизации реагирования на инциденты ИБ

• SOAR - для централизованного управления СЗИ при обработке инцидентов ИБ

• SGRC - для автоматизации системы управления ИБ (управление активами, управление уязвимостями, управление конфигурациями, документация, проверка соответствия настроек СЗИ требованиям ИБ).

Документы для обеспечения реагирования на инциденты ИБ:

• политика реагирования - высокоуровневый документ

• регламенты реагирования для каждого из актуальных типов инцидентов - практические шаги и инструкции при выявлении инцидентов, например, DDoS, фишинг, вредоносная активность, несанкционированный доступ и т.д.

• матрица эскалации - условия, при которых сотрудник на L1 может эскалировать инцидент на сотрудника L2, сотрудник L2 - еще выше: киберкриминалисту (форензик-эксперту), реверс-инженеру, в специализированные организации

• матрица коммуникации при инциденте - с кем и как взаимодействовать при инциденте (ответственный за актив, владелец актива, руководство, ИТ, ИБ, СБ, юристы, PR, GR).

Этапы атаки (по модели MITRE ATT&CK):

• первичная разведка (OSINT – Open Source INTelligence, разведка на основе данных из открытых источников)

• подбор инструментов для атаки

• первичный доступ (проникновение в инфраструктуру)

• запуск (пользовательское действие и/или эксплойт) первичного модуля (например, дроппера для сбора информации о системе и подкачки дополнительных модулей)

• анализ атакованной инфраструктуры

• взаимодействие с командным сервером ВПО (C2 / C&C Server - Command and Control, сервер управления и контроля)

• загрузка и запуск дополнительных вредоносных компонент (в т.ч. только в ОЗУ у бестелесных вирусов, не оставляющих следов на жестком диске)

• сокрытие активности

• закрепление

• повышение привилегий

• доступ к учетным данным

• горизонтальное продвижение по сети

• сбор данных

• вывод данных (эксфильтрация)

• нанесение прямого ущерба (например, шифрование, уничтожение всей инфраструктуры)

• сокрытие следов.

Основные правила реагирования на инциденты ИБ:

• поиск индикаторов компрометации по всем хостам в ЛВС (поиск в ОЗУ и на жестких дисках подозрительных объектов, например, с помощью YARA-правил или ПО для поиска подозрительных файлов)

• сохранение всех относящихся к инциденту данных (в т.ч. находящихся в ОЗУ)

• протоколирование для сбора доказательной базы - логи, дампы ОЗУ и образы жестких дисков, сами устройства, логи интернет/телеком-провайдеров, СКУД, записи систем видеонаблюдения

• атрибуция - понимание того, кто атаковал (специализация, опасность и квалификация атакующих) для адекватных мер реагирования

• широкое использование средств автоматизации (уменьшение времени реагирования => снижение ущерба)

• быстрое восстановление в состояние «до инцидента»

• обмен данными (Threat Intelligence фиды)

• выводы из инцидента: перенастройка СЗИ, изменение регламентов реагирования, обучение.

Киберпреступность. APT-группировки

APT (Advanced Persistent Threat, усложненная устойчивая угроза или, коротко, целевая кибератака).

APT-группировка - устойчивое киберпреступное сообщество, в котором роли и обязанности атакующих четко распределены:

• организаторы

• программисты

• специалисты в области социальной инженерии

• дропы (занимаются обналичиванием выводимых денежных средств)

• техподдержка/администраторы.

Разные APT-группы «специализируются» на определенных отраслях экономики:

кто-то атакует в основном банки и финансовые учреждения, кто-то - телеком, кто-то - научные и государственные организации и т.д.

APT-группировки могут размещать в Даркнете «заказы» на поиск информации об организации для более эффективной последующей атаки, вербовать сотрудников атакуемой компании, приобретать или разрабатывать специализированные инструменты для взлома целевой инфраструктуры.

Тренды киберпреступлений:

• модели Cybercrime-as-a-Service, Ransomware-as-a-Serice (предоставление «услуг по подписке»)

• продажа «доступов» - похищенных учетных данных к элементам атакованной инфраструктуры, в которой удалось надежно закрепиться (бэкдор с правами root / администратора домена)

• «партнерки» - даркнет/дипвеб-площадки для обмена хакерским опытом, сотрудничества злоумышленников, перепродажи похищенной информации, учетных записей

• использование вирусов-шифровальщиков для простой монетизации успешных атак - требование выкупа за предоставление ключа расшифрования (даже если такого ключа у хакеров нет)

• кража учетных данных

• вывод (эксфильтрация) ценной информации (коммерческая тайна, персональные данные и т.д.) с последующим анализом, продажей

• требование выкупа за неразглашение похищенной информации

• работа с анонимными криптовалютами, вывод через дропов или системы обналичивания

• тесные связи с «классическими» преступниками.

Бот-сети из зараженных устройств:

• «услуги» по организации DDoS-атак

• установка шифровальщиков

• кибер-шпионаж (мониторинг атакованной инфраструктуры)

• кража информации, учетных данных

• майнинг криптовалюты

• IoT-ботнеты (IoT - Internet-of-Things, «Интернет вещей» - подключенные к Интернет ботовые устройства).

Объекты атак APT-группировок:

• RDP-точки подключения (брутфорс - перебор паролей), особенно в период всеобщей удаленной работы

• VPN-точки подключения (непропатченные сетевые устройства, к которым подключаются VPN-клиенты)

• SSH-точки подключения (брутфорс, если не используются сертификаты)

• веб-порталы (уязвимости в CMS, веб-серверах, открытых интерфейсах, JavaScript-снифферы для перехвата вводимых пользователями данных)

• пограничное сетевое оборудование

• фишинг (email), вишинг (голосовые звонки), смишинг (SMS-сообщения, сообщения в мессенджерах)

• объекты КИИ: взломанные / выведенные из строя АСУТП, OT-сети (Operations Technology), SCADA-системы могут нанести ущерб здоровью и жизням людей (медицинское оборудование, системы энергообеспечения, транспорт, системы водоочистки, АЭС и т.д.)

• изолированные ЛВС (air-gapped networks) - через зараженные устройства (USB, вирусы в микропрограммах комплектующих), атаки на цепочки поставок (закладки в установленном оборудовании).

Принцип Парето «80/20»:

20% усилий дают 80% результата

Защита от 80% атак:

• процедуры управления уязвимостями (обновление ОС, ПО, СЗИ)

• процедуры резервного копирования

• использование мультифакторной аутентификации

• обучение сотрудников (программы повышения осведомленности)

• соблюдение рекомендаций вендоров в части защищенной настройки ОС, ПО, СЗИ.