SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Руслан Рахметов, Security Vision


Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»


Реагирование на инциденты ИБ

На этапе подготовки к киберинциденту разрабатываются документы и настраиваются необходимые СЗИ.

 

СЗИ для обработки инцидентов ИБ:

   - SIEM - для сбора, хранения, корреляции, обогащения событий ИБ, включая модули поведенческого анализа (UEBA)
   - IRP - для автоматизации реагирования на инциденты ИБ
   - SOAR - для централизованного управления СЗИ при обработке инцидентов ИБ
   - SGRC - для автоматизации системы управления ИБ (управление активами, управление уязвимостями, управление конфигурациями, документация, проверка соответствия настроек СЗИ требованиям ИБ).

 

Документы для обеспечения реагирования на инциденты ИБ:

- политика реагирования - высокоуровневый документ
- регламенты реагирования для каждого из актуальных типов инцидентов - практические шаги и инструкции при выявлении инцидентов, например, DDoS, фишинг, вредоносная активность, несанкционированный доступ и т.д.
- матрица эскалации - условия, при которых сотрудник на L1 может эскалировать инцидент на сотрудника L2, сотрудник L2 - еще выше: киберкриминалисту (форензик-эксперту), реверс-инженеру, в специализированные организации
- матрица коммуникации при инциденте - с кем и как взаимодействовать при инциденте (ответственный за актив, владелец актива, руководство, ИТ, ИБ, СБ, юристы, PR, GR).

 

Этапы атаки (по модели MITRE ATT&CK):

- первичная разведка (OSINT – Open Source INTelligence, разведка на основе данных из открытых источников)
- подбор инструментов для атаки
- первичный доступ (проникновение в инфраструктуру)
- запуск (пользовательское действие и/или эксплойт) первичного модуля (например, дроппера для сбора информации о системе и подкачки дополнительных модулей)
- анализ атакованной инфраструктуры
- взаимодействие с командным сервером ВПО (C2 / C&C Server - Command and Control, сервер управления и контроля)
- загрузка и запуск дополнительных вредоносных компонент (в т.ч. только в ОЗУ у бестелесных вирусов, не оставляющих следов на жестком диске)
- сокрытие активности
- закрепление
- повышение привилегий
- доступ к учетным данным
- горизонтальное продвижение по сети
- сбор данных
- вывод данных (эксфильтрация)
- нанесение прямого ущерба (например, шифрование, уничтожение всей инфраструктуры)
- сокрытие следов.

 

Основные правила реагирования на инциденты ИБ:

- поиск индикаторов компрометации по всем хостам в ЛВС (поиск в ОЗУ и на жестких дисках подозрительных объектов, например, с помощью YARA-правил или ПО для поиска подозрительных файлов)
- сохранение всех относящихся к инциденту данных (в т.ч. находящихся в ОЗУ)
- протоколирование для сбора доказательной базы - логи, дампы ОЗУ и образы жестких дисков, сами устройства, логи интернет/телеком-провайдеров, СКУД, записи систем видеонаблюдения
- атрибуция - понимание того, кто атаковал (специализация, опасность и квалификация атакующих) для адекватных мер реагирования
- широкое использование средств автоматизации (уменьшение времени реагирования => снижение ущерба)
- быстрое восстановление в состояние «до инцидента»
- обмен данными (Threat Intelligence фиды)
- выводы из инцидента: перенастройка СЗИ, изменение регламентов реагирования, обучение.

 

Киберпреступность. APT-группировки

APT (Advanced Persistent Threat, усложненная устойчивая угроза или, коротко, целевая кибератака).

APT-группировка - устойчивое киберпреступное сообщество, в котором роли и обязанности атакующих четко распределены:

  • организаторы

  • программисты

  • специалисты в области социальной инженерии

  • дропы (занимаются обналичиванием выводимых денежных средств)

  • техподдержка/администраторы.

 

Разные APT-группы «специализируются» на определенных отраслях экономики:

кто-то атакует в основном банки и финансовые учреждения, кто-то - телеком, кто-то - научные и государственные организации и т.д.

 

APT-группировки могут размещать в Даркнете «заказы» на поиск информации об организации для более эффективной последующей атаки, вербовать сотрудников атакуемой компании, приобретать или разрабатывать специализированные инструменты для взлома целевой инфраструктуры.

 

Тренды киберпреступлений:

  • модели Cybercrime-as-a-Service, Ransomware-as-a-Serice (предоставление «услуг по подписке»)

  • продажа «доступов» - похищенных учетных данных к элементам атакованной инфраструктуры, в которой удалось надежно закрепиться (бэкдор с правами root / администратора домена)

  • «партнерки» - даркнет/дипвеб-площадки для обмена хакерским опытом, сотрудничества злоумышленников, перепродажи похищенной информации, учетных записей

  • использование вирусов-шифровальщиков для простой монетизации успешных атак - требование выкупа за предоставление ключа расшифрования (даже если такого ключа у хакеров нет)

  • кража учетных данных

  • вывод (эксфильтрация) ценной информации (коммерческая тайна, персональные данные и т.д.) с последующим анализом, продажей

  • требование выкупа за неразглашение похищенной информации

  • работа с анонимными криптовалютами, вывод через дропов или системы обналичивания

  • тесные связи с «классическими» преступниками.

 

Бот-сети из зараженных устройств:

  • «услуги» по организации DDoS-атак

  • установка шифровальщиков

  • кибер-шпионаж (мониторинг атакованной инфраструктуры)

  • кража информации, учетных данных

  • майнинг криптовалюты

  • IoT-ботнеты (IoT - Internet-of-Things, «Интернет вещей» - подключенные к Интернет ботовые устройства).

 

Объекты атак APT-группировок:

  • RDP-точки подключения (брутфорс - перебор паролей), особенно в период всеобщей удаленной работы

  • VPN-точки подключения (непропатченные сетевые устройства, к которым подключаются VPN-клиенты)

  • SSH-точки подключения (брутфорс, если не используются сертификаты)

  • веб-порталы (уязвимости в CMS, веб-серверах, открытых интерфейсах, JavaScript-снифферы для перехвата вводимых пользователями данных)

  • пограничное сетевое оборудование

  • фишинг (email), вишинг (голосовые звонки), смишинг (SMS-сообщения, сообщения в мессенджерах)

  • объекты КИИ: взломанные / выведенные из строя АСУТП, OT-сети (Operations Technology), SCADA-системы могут нанести ущерб здоровью и жизням людей (медицинское оборудование, системы энергообеспечения, транспорт, системы водоочистки, АЭС и т.д.)

  • изолированные ЛВС (air-gapped networks) - через зараженные устройства (USB, вирусы в микропрограммах комплектующих), атаки на цепочки поставок (закладки в установленном оборудовании).

 

Принцип Парето «80/20»:

20% усилий дают 80% результата

 

Защита от 80% атак:

  • процедуры управления уязвимостями (обновление ОС, ПО, СЗИ)

  • процедуры резервного копирования

  • использование мультифакторной аутентификации

  • обучение сотрудников (программы повышения осведомленности)

  • соблюдение рекомендаций вендоров в части защищенной настройки ОС, ПО, СЗИ.

ИБ для начинающих Киберриски (Cyber Risk, RM) Угрозы ИБ Нарушители ИБ СЗИ IRP SGRC SIEM SOAR MITRE

Похожие статьи

CyBOK. Глава 1. Введение
CyBOK. Глава 1. Введение
Безопасность приложений
Безопасность приложений
Методы поиска уязвимостей и виды сканеров
Методы поиска уязвимостей и виды сканеров
Какие цели злоумышленники задают ВПО
Какие цели злоумышленники задают ВПО
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и безопасность
Интернет вещей и безопасность
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности

Похожие статьи

CyBOK. Глава 1. Введение
CyBOK. Глава 1. Введение
Безопасность приложений
Безопасность приложений
Методы поиска уязвимостей и виды сканеров
Методы поиска уязвимостей и виды сканеров
Какие цели злоумышленники задают ВПО
Какие цели злоумышленники задают ВПО
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и безопасность
Интернет вещей и безопасность
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности