Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»

CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2021


Реагирование на инциденты ИБ

На этапе подготовки к киберинциденту разрабатываются документы и настраиваются необходимые СЗИ.

 

СЗИ для обработки инцидентов ИБ:

  • SIEM - для сбора, хранения, корреляции, обогащения событий ИБ, включая модули поведенческого анализа (UEBA)

  • IRP - для автоматизации реагирования на инциденты ИБ

  • SOAR - для централизованного управления СЗИ при обработке инцидентов ИБ

  • SGRC - для автоматизации системы управления ИБ (управление активами, управление уязвимостями, управление конфигурациями, документация, проверка соответствия настроек СЗИ требованиям ИБ).

 

Документы для обеспечения реагирования на инциденты ИБ:

  • политика реагирования - высокоуровневый документ

  • регламенты реагирования для каждого из актуальных типов инцидентов - практические шаги и инструкции при выявлении инцидентов, например, DDoS, фишинг, вредоносная активность, несанкционированный доступ и т.д.

  • матрица эскалации - условия, при которых сотрудник на L1 может эскалировать инцидент на сотрудника L2, сотрудник L2 - еще выше: киберкриминалисту (форензик-эксперту), реверс-инженеру, в специализированные организации

  • матрица коммуникации при инциденте - с кем и как взаимодействовать при инциденте (ответственный за актив, владелец актива, руководство, ИТ, ИБ, СБ, юристы, PR, GR).

 

Этапы атаки (по модели MITRE ATT&CK):

  • первичная разведка (OSINT – Open Source INTelligence, разведка на основе данных из открытых источников)

  • подбор инструментов для атаки

  • первичный доступ (проникновение в инфраструктуру)

  • запуск (пользовательское действие и/или эксплойт) первичного модуля (например, дроппера для сбора информации о системе и подкачки дополнительных модулей)

  • анализ атакованной инфраструктуры

  • взаимодействие с командным сервером ВПО (C2 / C&C Server - Command and Control, сервер управления и контроля)

  • загрузка и запуск дополнительных вредоносных компонент (в т.ч. только в ОЗУ у бестелесных вирусов, не оставляющих следов на жестком диске)

  • сокрытие активности

  • закрепление

  • повышение привилегий

  • доступ к учетным данным

  • горизонтальное продвижение по сети

  • сбор данных

  • вывод данных (эксфильтрация)

  • нанесение прямого ущерба (например, шифрование, уничтожение всей инфраструктуры)

  • сокрытие следов.

 

Основные правила реагирования на инциденты ИБ:

  • поиск индикаторов компрометации по всем хостам в ЛВС (поиск в ОЗУ и на жестких дисках подозрительных объектов, например, с помощью YARA-правил или ПО для поиска подозрительных файлов)

  • сохранение всех относящихся к инциденту данных (в т.ч. находящихся в ОЗУ)

  • протоколирование для сбора доказательной базы - логи, дампы ОЗУ и образы жестких дисков, сами устройства, логи интернет/телеком-провайдеров, СКУД, записи систем видеонаблюдения

  • атрибуция - понимание того, кто атаковал (специализация, опасность и квалификация атакующих) для адекватных мер реагирования

  • широкое использование средств автоматизации (уменьшение времени реагирования => снижение ущерба)

  • быстрое восстановление в состояние «до инцидента»

  • обмен данными (Threat Intelligence фиды)

  • выводы из инцидента: перенастройка СЗИ, изменение регламентов реагирования, обучение.

 

Киберпреступность. APT-группировки

APT (Advanced Persistent Threat, усложненная устойчивая угроза или, коротко, целевая кибератака).

APT-группировка - устойчивое киберпреступное сообщество, в котором роли и обязанности атакующих четко распределены:

  • организаторы

  • программисты

  • специалисты в области социальной инженерии

  • дропы (занимаются обналичиванием выводимых денежных средств)

  • техподдержка/администраторы.

 

Разные APT-группы «специализируются» на определенных отраслях экономики:

кто-то атакует в основном банки и финансовые учреждения, кто-то - телеком, кто-то - научные и государственные организации и т.д.

 

APT-группировки могут размещать в Даркнете «заказы» на поиск информации об организации для более эффективной последующей атаки, вербовать сотрудников атакуемой компании, приобретать или разрабатывать специализированные инструменты для взлома целевой инфраструктуры.

 

Тренды киберпреступлений:

  • модели Cybercrime-as-a-Service, Ransomware-as-a-Serice (предоставление «услуг по подписке»)

  • продажа «доступов» - похищенных учетных данных к элементам атакованной инфраструктуры, в которой удалось надежно закрепиться (бэкдор с правами root / администратора домена)

  • «партнерки» - даркнет/дипвеб-площадки для обмена хакерским опытом, сотрудничества злоумышленников, перепродажи похищенной информации, учетных записей

  • использование вирусов-шифровальщиков для простой монетизации успешных атак - требование выкупа за предоставление ключа расшифрования (даже если такого ключа у хакеров нет)

  • кража учетных данных

  • вывод (эксфильтрация) ценной информации (коммерческая тайна, персональные данные и т.д.) с последующим анализом, продажей

  • требование выкупа за неразглашение похищенной информации

  • работа с анонимными криптовалютами, вывод через дропов или системы обналичивания

  • тесные связи с «классическими» преступниками.

 

Бот-сети из зараженных устройств:

  • «услуги» по организации DDoS-атак

  • установка шифровальщиков

  • кибер-шпионаж (мониторинг атакованной инфраструктуры)

  • кража информации, учетных данных

  • майнинг криптовалюты

  • IoT-ботнеты (IoT - Internet-of-Things, «Интернет вещей» - подключенные к Интернет ботовые устройства).

 

Объекты атак APT-группировок:

  • RDP-точки подключения (брутфорс - перебор паролей), особенно в период всеобщей удаленной работы

  • VPN-точки подключения (непропатченные сетевые устройства, к которым подключаются VPN-клиенты)

  • SSH-точки подключения (брутфорс, если не используются сертификаты)

  • веб-порталы (уязвимости в CMS, веб-серверах, открытых интерфейсах, JavaScript-снифферы для перехвата вводимых пользователями данных)

  • пограничное сетевое оборудование

  • фишинг (email), вишинг (голосовые звонки), смишинг (SMS-сообщения, сообщения в мессенджерах)

  • объекты КИИ: взломанные / выведенные из строя АСУТП, OT-сети (Operations Technology), SCADA-системы могут нанести ущерб здоровью и жизням людей (медицинское оборудование, системы энергообеспечения, транспорт, системы водоочистки, АЭС и т.д.)

  • изолированные ЛВС (air-gapped networks) - через зараженные устройства (USB, вирусы в микропрограммах комплектующих), атаки на цепочки поставок (закладки в установленном оборудовании).

 

Принцип Парето «80/20»:

20% усилий дают 80% результата

 

Защита от 80% атак:

  • процедуры управления уязвимостями (обновление ОС, ПО, СЗИ)

  • процедуры резервного копирования

  • использование мультифакторной аутентификации

  • обучение сотрудников (программы повышения осведомленности)

  • соблюдение рекомендаций вендоров в части защищенной настройки ОС, ПО, СЗИ.

Интересные публикации