Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»

Реагирование на инциденты ИБ

На этапе подготовки к киберинциденту разрабатываются документы и настраиваются необходимые СЗИ.

СЗИ для обработки инцидентов ИБ:

   - SIEM - для сбора, хранения, корреляции, обогащения событий ИБ, включая модули поведенческого анализа (UEBA)
   - IRP - для автоматизации реагирования на инциденты ИБ
   - SOAR - для централизованного управления СЗИ при обработке инцидентов ИБ
   - SGRC - для автоматизации системы управления ИБ (управление активами, управление уязвимостями, управление конфигурациями, документация, проверка соответствия настроек СЗИ требованиям ИБ).

Документы для обеспечения реагирования на инциденты ИБ:

- политика реагирования - высокоуровневый документ
- регламенты реагирования для каждого из актуальных типов инцидентов - практические шаги и инструкции при выявлении инцидентов, например, DDoS, фишинг, вредоносная активность, несанкционированный доступ и т.д.
- матрица эскалации - условия, при которых сотрудник на L1 может эскалировать инцидент на сотрудника L2, сотрудник L2 - еще выше: киберкриминалисту (форензик-эксперту), реверс-инженеру, в специализированные организации
- матрица коммуникации при инциденте - с кем и как взаимодействовать при инциденте (ответственный за актив, владелец актива, руководство, ИТ, ИБ, СБ, юристы, PR, GR).

Этапы атаки (по модели MITRE ATT&CK):

- первичная разведка (OSINT – Open Source INTelligence, разведка на основе данных из открытых источников)
- подбор инструментов для атаки
- первичный доступ (проникновение в инфраструктуру)
- запуск (пользовательское действие и/или эксплойт) первичного модуля (например, дроппера для сбора информации о системе и подкачки дополнительных модулей)
- анализ атакованной инфраструктуры
- взаимодействие с командным сервером ВПО (C2 / C&C Server - Command and Control, сервер управления и контроля)
- загрузка и запуск дополнительных вредоносных компонент (в т.ч. только в ОЗУ у бестелесных вирусов, не оставляющих следов на жестком диске)
- сокрытие активности
- закрепление
- повышение привилегий
- доступ к учетным данным
- горизонтальное продвижение по сети
- сбор данных
- вывод данных (эксфильтрация)
- нанесение прямого ущерба (например, шифрование, уничтожение всей инфраструктуры)
- сокрытие следов.

Основные правила реагирования на инциденты ИБ:

- поиск индикаторов компрометации по всем хостам в ЛВС (поиск в ОЗУ и на жестких дисках подозрительных объектов, например, с помощью YARA-правил или ПО для поиска подозрительных файлов)
- сохранение всех относящихся к инциденту данных (в т.ч. находящихся в ОЗУ)
- протоколирование для сбора доказательной базы - логи, дампы ОЗУ и образы жестких дисков, сами устройства, логи интернет/телеком-провайдеров, СКУД, записи систем видеонаблюдения
- атрибуция - понимание того, кто атаковал (специализация, опасность и квалификация атакующих) для адекватных мер реагирования
- широкое использование средств автоматизации (уменьшение времени реагирования => снижение ущерба)
- быстрое восстановление в состояние «до инцидента»
- обмен данными (Threat Intelligence фиды)
- выводы из инцидента: перенастройка СЗИ, изменение регламентов реагирования, обучение.

Киберпреступность. APT-группировки

APT (Advanced Persistent Threat, усложненная устойчивая угроза или, коротко, целевая кибератака).

APT-группировка - устойчивое киберпреступное сообщество, в котором роли и обязанности атакующих четко распределены:

• организаторы

• программисты

• специалисты в области социальной инженерии

• дропы (занимаются обналичиванием выводимых денежных средств)

• техподдержка/администраторы.

Разные APT-группы «специализируются» на определенных отраслях экономики:

кто-то атакует в основном банки и финансовые учреждения, кто-то - телеком, кто-то - научные и государственные организации и т.д.

APT-группировки могут размещать в Даркнете «заказы» на поиск информации об организации для более эффективной последующей атаки, вербовать сотрудников атакуемой компании, приобретать или разрабатывать специализированные инструменты для взлома целевой инфраструктуры.

Тренды киберпреступлений:

• модели Cybercrime-as-a-Service, Ransomware-as-a-Serice (предоставление «услуг по подписке»)

• продажа «доступов» - похищенных учетных данных к элементам атакованной инфраструктуры, в которой удалось надежно закрепиться (бэкдор с правами root / администратора домена)

• «партнерки» - даркнет/дипвеб-площадки для обмена хакерским опытом, сотрудничества злоумышленников, перепродажи похищенной информации, учетных записей

• использование вирусов-шифровальщиков для простой монетизации успешных атак - требование выкупа за предоставление ключа расшифрования (даже если такого ключа у хакеров нет)

• кража учетных данных

• вывод (эксфильтрация) ценной информации (коммерческая тайна, персональные данные и т.д.) с последующим анализом, продажей

• требование выкупа за неразглашение похищенной информации

• работа с анонимными криптовалютами, вывод через дропов или системы обналичивания

• тесные связи с «классическими» преступниками.

Бот-сети из зараженных устройств:

• «услуги» по организации DDoS-атак

• установка шифровальщиков

• кибер-шпионаж (мониторинг атакованной инфраструктуры)

• кража информации, учетных данных

• майнинг криптовалюты

• IoT-ботнеты (IoT - Internet-of-Things, «Интернет вещей» - подключенные к Интернет ботовые устройства).

Объекты атак APT-группировок:

• RDP-точки подключения (брутфорс - перебор паролей), особенно в период всеобщей удаленной работы

• VPN-точки подключения (непропатченные сетевые устройства, к которым подключаются VPN-клиенты)

• SSH-точки подключения (брутфорс, если не используются сертификаты)

• веб-порталы (уязвимости в CMS, веб-серверах, открытых интерфейсах, JavaScript-снифферы для перехвата вводимых пользователями данных)

• пограничное сетевое оборудование

• фишинг (email), вишинг (голосовые звонки), смишинг (SMS-сообщения, сообщения в мессенджерах)

• объекты КИИ: взломанные / выведенные из строя АСУТП, OT-сети (Operations Technology), SCADA-системы могут нанести ущерб здоровью и жизням людей (медицинское оборудование, системы энергообеспечения, транспорт, системы водоочистки, АЭС и т.д.)

• изолированные ЛВС (air-gapped networks) - через зараженные устройства (USB, вирусы в микропрограммах комплектующих), атаки на цепочки поставок (закладки в установленном оборудовании).

Принцип Парето «80/20»:

20% усилий дают 80% результата

Защита от 80% атак:

• процедуры управления уязвимостями (обновление ОС, ПО, СЗИ)

• процедуры резервного копирования

• использование мультифакторной аутентификации

• обучение сотрудников (программы повышения осведомленности)

• соблюдение рекомендаций вендоров в части защищенной настройки ОС, ПО, СЗИ.