13 апреля, 2018, BIS Journal №1(28)/2018

Уроки Простоты


Бодрик Александр

заместитель генерального директора, CISA, ITIL Expert (ANGARA Professional Assistance)

Палей Лев

эксперт по информационной безопасности

Федотов Виктор

ANGARA Professional Assistance (руководитель отдела сервисных проектов)

Инцидент показал, что при защите технологии вторичны

Всеобщее увлечение популярными продуктами обеспечения ИБ – Sandbox, UEBA, SIEM, DLP – удивляет, ведь такие продукты могут быть эффективны только в операционной среде определенного уровня. В среде с четко заданными понятиями «хорошо» и «плохо», с регламентированными ИТ-процессами. Дабы не быть голословными, приведем пример одного из дней, когда, не смотря на наличие целого спектра систем ИБ (SIEM, host Anti-APT и многих других), инцидент ИБ реализовался и был обработан. Возьмем самый показательный пример – заражение вредоносом типа «ransomware» или попросту шифровальщиком-вымогателем.

Система координат: государственная компания, распределенная инфраструктура, десятки тысяч ПК, установленные и используемые средства ведущего российского производителя в качестве защиты конечных точек, известный российский сканер как система сканирования уязвимостей, еще десяток других средств защиты информации (СЗИ) (накопленный размер инвестиций в системы защиты информации за несколько лет составил более 500 миллионов рублей) и команда Managed Services (поддержка СЗИ) из 15 человек MSSP-провайдера.

Дата: 15-го сентября 2017 года.

Последовательность событий.

В 10:00 в MSSP-провайдер поступило сообщение о возможном вирусном заражении в государственной организации с компьютерным парком более 30 000 точек.
По результатам генерирования отчетности о сетевых атаках средствами Kaspersky Security Centre было выявлено 82 зараженных ПК в сети, 38 из которых принадлежали одному из филиалов. Первая атака датировалась 13-м сентября и была принята как точка отсчета.
Инструмент атакующих в соответствии с отчетом Kaspersky Security Centre фиксировался как «Kintrusion.win.ms17-tcp010.o», использующий нашумевшую уязвимость в SMBv1, закрытую Microsoft в патче MS-17010.
Причиной заражения и долгого периода обнаружения стало отсутствие ПК в домене, и как следствие – нераспространение политик по установке обновлений ОС и агентов антивирусного ПО на такие ПК.
Отсутствие ПК в домене, равно как и отсутствие антивирусного ПО, было вызвано недостаточной аппаратной мощностью десятков ПК.
Процесс реагирования был начат с 38 ПК, сосредоточенных в одном из удаленных филиалов (ЦФО). Производилось обновление ОС и установка антивирусных средств там, где позволяли мощности машин. При невозможности подключения к зараженным машинам, проблема эскалировалась выше с просьбой оказать содействие в отключении. Аналогичные рекомендации были переданы в другие филиалы компании, в которых были обнаружены зараженные ПК (еще 44 единицы).
Для выявления других зараженных машин также использовалось сканирование сканером защищенности на уязвимость к WannaCry. Полученный список был передан инженерам на объекте для установки обновлений.
В 15:00 появилась информация от работников пострадавшей компании, что выявленный вредонос не является WannaCry и не шифрует данные, а приводит к перезапуску серверов, вызванному ошибками операционной системы.
В 15:00 представители MSSP стали создавать групповую политику, отключающую службу mssecsvc2.0. Отключение этой службы заставляло вредонос «засыпать», т.е. обезвреживать вредонос даже на машинах без современного антивируса.
В 17:00 представителями MSSP предложено отключить все зараженные машины от сети. IP-адреса были известны, необходимо было вычислить MAC-адреса и отключить порты, на которых были зарегистрированы такие MAC.

Тело вредоноса было получено 18-го сентября с ПК с нестандартной политикой и без установленного антивируса. По итогам расследования были отмечены интересные моменты, дополняющие общую картину развития инцидента.

Файл на исходной машине в карантине детектируется как wanna.a, но при сохранении на другом ПК определяется как wanna.m.
Исходя из данных по результатам проверки файла на VirusTotal, лишь 48 из 63 антивирусных движков находят вирус (при этом с разными номенклатурами: и «m», и «a», и «h»), а сигнатурный анализ от 2-х из 4-х лидеров рынка NGFW (по версии Gartner) с актуальными базами определяет файл как «чистый».

Полученный опыт позволил сделать ряд однозначных выводов:

«Снова к основам». Никакие, даже самые дорогостоящие и функциональные средства защиты, не спасут, если нет основ – установленных обновлений, безопасной конфигурации рабочих станций и серверов, установленных и обновленных антивирусов.
«Подковать блоху». Даже в условиях отсутствия современного антивируса, экспертиза профессиональной команды может помочь остановить атаку.
«Время – деньги». Несмотря на предотвращенный ущерб от инцидента, атака длилась минимум 7 часов. Ее можно было остановить быстрее, будь у Заказчика свой SOC или подключение к сервисному SOC. В данном случае пришлось использовать традиционную команду Managed Services с несколько иным фокусом на администрирование СЗИ и без SLA на реагирование.

Общий вывод.  Защищенная корпоративная инфраструктура основывается на работе профессиональной команды защитников (желательно внутренней) и отлаженных процессах управления стандартами ИТ-инфраструктуры и взаимодействия ИТ и ИБ-подразделений. А уж технологии – фундаментально вторичны.