Руслан Рахметов, Security Vision
Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Реагирование на инциденты ИБ
На этапе подготовки к киберинциденту разрабатываются документы и настраиваются необходимые СЗИ.
СЗИ для обработки инцидентов ИБ:
- SIEM - для сбора, хранения, корреляции, обогащения событий ИБ, включая модули поведенческого анализа (UEBA)
- IRP - для автоматизации реагирования на инциденты ИБ
- SOAR - для централизованного управления СЗИ при обработке инцидентов ИБ
- SGRC - для автоматизации системы управления ИБ (управление активами, управление уязвимостями, управление конфигурациями, документация, проверка соответствия настроек СЗИ требованиям ИБ).
Документы для обеспечения реагирования на инциденты ИБ:
- политика реагирования - высокоуровневый документ
- регламенты реагирования для каждого из актуальных типов инцидентов - практические шаги и инструкции при выявлении инцидентов, например, DDoS, фишинг, вредоносная активность, несанкционированный доступ и т.д.
- матрица эскалации - условия, при которых сотрудник на L1 может эскалировать инцидент на сотрудника L2, сотрудник L2 - еще выше: киберкриминалисту (форензик-эксперту), реверс-инженеру, в специализированные организации
- матрица коммуникации при инциденте - с кем и как взаимодействовать при инциденте (ответственный за актив, владелец актива, руководство, ИТ, ИБ, СБ, юристы, PR, GR).
Этапы атаки (по модели MITRE ATT&CK):
- первичная разведка (OSINT – Open Source INTelligence, разведка на основе данных из открытых источников)
- подбор инструментов для атаки
- первичный доступ (проникновение в инфраструктуру)
- запуск (пользовательское действие и/или эксплойт) первичного модуля (например, дроппера для сбора информации о системе и подкачки дополнительных модулей)
- анализ атакованной инфраструктуры
- взаимодействие с командным сервером ВПО (C2 / C&C Server - Command and Control, сервер управления и контроля)
- загрузка и запуск дополнительных вредоносных компонент (в т.ч. только в ОЗУ у бестелесных вирусов, не оставляющих следов на жестком диске)
- сокрытие активности
- закрепление
- повышение привилегий
- доступ к учетным данным
- горизонтальное продвижение по сети
- сбор данных
- вывод данных (эксфильтрация)
- нанесение прямого ущерба (например, шифрование, уничтожение всей инфраструктуры)
- сокрытие следов.
Основные правила реагирования на инциденты ИБ:
- поиск индикаторов компрометации по всем хостам в ЛВС (поиск в ОЗУ и на жестких дисках подозрительных объектов, например, с помощью YARA-правил или ПО для поиска подозрительных файлов)
- сохранение всех относящихся к инциденту данных (в т.ч. находящихся в ОЗУ)
- протоколирование для сбора доказательной базы - логи, дампы ОЗУ и образы жестких дисков, сами устройства, логи интернет/телеком-провайдеров, СКУД, записи систем видеонаблюдения
- атрибуция - понимание того, кто атаковал (специализация, опасность и квалификация атакующих) для адекватных мер реагирования
- широкое использование средств автоматизации (уменьшение времени реагирования => снижение ущерба)
- быстрое восстановление в состояние «до инцидента»
- обмен данными (Threat Intelligence фиды)
- выводы из инцидента: перенастройка СЗИ, изменение регламентов реагирования, обучение.
Киберпреступность. APT-группировки
APT (Advanced Persistent Threat, усложненная устойчивая угроза или, коротко, целевая кибератака).
APT-группировка - устойчивое киберпреступное сообщество, в котором роли и обязанности атакующих четко распределены:
-
организаторы
-
программисты
-
специалисты в области социальной инженерии
-
дропы (занимаются обналичиванием выводимых денежных средств)
-
техподдержка/администраторы.
Разные APT-группы «специализируются» на определенных отраслях экономики:
кто-то атакует в основном банки и финансовые учреждения, кто-то - телеком, кто-то - научные и государственные организации и т.д.
APT-группировки могут размещать в Даркнете «заказы» на поиск информации об организации для более эффективной последующей атаки, вербовать сотрудников атакуемой компании, приобретать или разрабатывать специализированные инструменты для взлома целевой инфраструктуры.
Тренды киберпреступлений:
-
модели Cybercrime-as-a-Service, Ransomware-as-a-Serice (предоставление «услуг по подписке»)
-
продажа «доступов» - похищенных учетных данных к элементам атакованной инфраструктуры, в которой удалось надежно закрепиться (бэкдор с правами root / администратора домена)
-
«партнерки» - даркнет/дипвеб-площадки для обмена хакерским опытом, сотрудничества злоумышленников, перепродажи похищенной информации, учетных записей
-
использование вирусов-шифровальщиков для простой монетизации успешных атак - требование выкупа за предоставление ключа расшифрования (даже если такого ключа у хакеров нет)
-
кража учетных данных
-
вывод (эксфильтрация) ценной информации (коммерческая тайна, персональные данные и т.д.) с последующим анализом, продажей
-
требование выкупа за неразглашение похищенной информации
-
работа с анонимными криптовалютами, вывод через дропов или системы обналичивания
-
тесные связи с «классическими» преступниками.
Бот-сети из зараженных устройств:
-
«услуги» по организации DDoS-атак
-
установка шифровальщиков
-
кибер-шпионаж (мониторинг атакованной инфраструктуры)
-
кража информации, учетных данных
-
майнинг криптовалюты
-
IoT-ботнеты (IoT - Internet-of-Things, «Интернет вещей» - подключенные к Интернет ботовые устройства).
Объекты атак APT-группировок:
-
RDP-точки подключения (брутфорс - перебор паролей), особенно в период всеобщей удаленной работы
-
VPN-точки подключения (непропатченные сетевые устройства, к которым подключаются VPN-клиенты)
-
SSH-точки подключения (брутфорс, если не используются сертификаты)
-
веб-порталы (уязвимости в CMS, веб-серверах, открытых интерфейсах, JavaScript-снифферы для перехвата вводимых пользователями данных)
-
пограничное сетевое оборудование
-
фишинг (email), вишинг (голосовые звонки), смишинг (SMS-сообщения, сообщения в мессенджерах)
-
объекты КИИ: взломанные / выведенные из строя АСУТП, OT-сети (Operations Technology), SCADA-системы могут нанести ущерб здоровью и жизням людей (медицинское оборудование, системы энергообеспечения, транспорт, системы водоочистки, АЭС и т.д.)
-
изолированные ЛВС (air-gapped networks) - через зараженные устройства (USB, вирусы в микропрограммах комплектующих), атаки на цепочки поставок (закладки в установленном оборудовании).
Принцип Парето «80/20»:
20% усилий дают 80% результата
Защита от 80% атак:
-
процедуры управления уязвимостями (обновление ОС, ПО, СЗИ)
-
процедуры резервного копирования
-
использование мультифакторной аутентификации
-
обучение сотрудников (программы повышения осведомленности)
-
соблюдение рекомендаций вендоров в части защищенной настройки ОС, ПО, СЗИ.