15 марта, 2019, BIS Journal №1(32)/2019

Инцидент: почему, как и что в итоге?


Гойденко Денис

старший специалист отдела реагирования на угрозы ИБ, PT Expert Security Center (Positive Technologies)

Каждый аспект требует работы

Подход, согласно которому система ИБ в теории способна защитить от всех возможных угроз, постепенно заменяется пониманием того, что даже хорошо выстроенная защита может иметь недостатки, чреватые инцидентами. В реальности ИБ спотыкается о банальное несоблюдение основ кибергигиены: в большинстве аудитов мы сталкиваемся с необновленным ПО, с отсутствием культуры патч-менеджмента, с дырявым периметром. Компании нередко рискуют потерять критичные данные и, в итоге, деньги и репутацию. Все это отчасти определило историю 2018 года, когда число инцидентов росло в среднем на треть[1] в квартал. Эффективная система реагирования на инциденты позволяет перевести эти события из разряда катастроф в неприятные, но разрешимые рабочие моменты. Но при ее создании стоит учесть ряд нюансов.

ПРИЧИНЫ ИНЦИДЕНТОВ

Доверчивость и любопытство

Один из главных рисков – люди, открывающие вложения в письмах, не думая об их безопасности. Более 25% сотрудников не только открывают фишинговые  письма, но и переходят по зараженным ссылкам[2]. Часто эти письма маскируют под приглашения на мероприятия, сообщения от регуляторов (например, ФинЦЕРТ) и других игроков банковского рынка. В 61% атак на банки в первой половине 2018 года мы отмечали именно эти методы. Ими пользуются небезызвестные группировки Cobalt[3] и Silence[4]. Наиболее вероятная мишень преступников при этом — банки среднего звена, у которых можно украсть значительные суммы денег и которые не готовы вкладывать сверхбюджеты в безопасность.

Аморфная инфраструктура

IT-инфраструктура — многокомпонентный механизм автоматизации бизнес-процессов финансовой организации. Но она же может стать источником проблем ИБ. Выставленные в интернет сервисы удаленного доступа, которые когда-то включили для «удобства», да так и оставили; аутентификация по словарным паролям; сетевое оборудование с дефолтными настройками; неправильно настроенные веб-сервисы вкупе с отсутствием сегментации внутренней сети и плохим управлением привилегиями — все это дает злоумышленнику простор для творчества. Более того, более 70% всех атак в финансовой сфере нацелены именно на инфраструктуру[5] организаций. В ходе анализа защищенности в прошлом году выявлялось в среднем не менее двух векторов проникновения во внутреннюю сеть конкретной организации[6], максимальное число обнаруженных векторов — 10, а возраст самой старой выявленной уязвимости около 18 лет. Надо понимать, что злоумышленнику зачастую достаточно всего лишь одной уязвимости, позволяющей преодолеть сетевой периметр и впоследствии получить контроль над инфраструктурой. В частности, по нашей статистике в 68% случаев внешний злоумышленник может преодолеть сетевой периметр, а получить полный контроль над локальной вычислительной сетью от имени внутреннего злоумышленника можно в 100% случаев.

Небезопасная информационная безопасность

Наше исследование показало, что современные подходы к защите характерны для финансовых организаций из топ-10 (по выделяемому бюджету), в остальных банках ситуация менее позитивна[7]. Так средства защиты веб-приложений применяют около 70% банков из топ-10 по ИБ-бюджету и 13% среди остальных; собственные SOC имеют все банки из нашего топ-10 и только 40% — среди остальных; SIEM-системы применяют 65% финансовых компаний (среди банков из топ-10 по бюджету на ИБ этот показатель 100%). Но даже если системы защиты установлены и развернуты, может быть неправильно настроена политика сбора и хранения логов, а их мониторингом никто не занимается. Не всегда уделяют должное внимание и разграничению прав пользователей. Если пользователь работает под администраторской учетной записью, вредоносному ПО легче обосноваться на его ПК в случае «пробоя» средств защиты. Если в организации нет разделения доступа пользователей к сетевым ресурсам в зависимости от их бизнес-ролей, злоумышленнику легче получить доступ к критичным данным. Бывает, что в организации не ведется работа по выявлению и устранению известных уязвимостей в ПО и ОС (у 25% опрошенных нами банков нет контроля установки обновлений ПО, а 8% в принципе не отслеживают информацию о новых уязвимостях). В итоге инфраструктура может стать добычей хакера, вооруженного эксплоитами десятилетней давности.

 Партнер с «сюрпризом»

Не всегда кибербезопасность организации зависит от самой организации. Например, в ходе работ мы часто встречаем атаки типа «supply chain», когда взламывают не саму организацию, а ее поставщиков и контрагентов, для того чтобы использовать их инфраструктуру и реальные учетные записи для развития атак. Эта тактика уже использовалась злоумышленниками, когда через инфраструктуру компании M.E.Doc распространялся вирус NotPetya[8]. Этот подход часто использует группировка Cobalt: один из последних ярких примеров – громкая атака на на банк «Юнистрим», которая обернулась фишинговой рассылкой от его имени[9] другим кредитным организациям. В среднем каждая вторая успешная атака, которую расследовал экспертный центр безопасности компании Positive Technologies, была проведена через скомпрометированный «ранее надежный» источник. Также внимания заслуживает VPN, особенно site-to-site – если у вас в инфраструктуре все хорошо, это не означает, что и у ваших партнеров тоже.

ТЕХНОЛОГИЧНЫЕ ИНСТРУМЕНТЫ  

Злоумышленник не сможет достичь своей цели, если атака будет вовремя выявлена и остановлена. Это возможно на любом ее этапе, если применяются соответствующие меры защиты. Например, системы выявления вредоносного ПО (типа PT MultiScanner) способны обнаружить и заблокировать фишинговые письма, средства анализа трафика (типа PT Network Attack Discovery) позволяют выявить атаку прямо в трафике. Выявить активность злоумышленника во внутренней сети (например, попытки горизонтального перемещения внутри инфраструктуры) в минимальные сроки также можно благодаря анализу трафика. А использование нестандартных портов, попытки эксплуатации уязвимостей или манипуляции с банкоматами на компьютере банковского специалиста во время его отсутствия зафиксирует система класса SIEM.

Однако система ИБ требует и уникальной экспертизы в области форензики и реагирования на инциденты, тактик и техник злоумышленников. Мало выявить и заблокировать вредоносное ПО, важно понять, что именно выявлено и каков был вектор заражения. Нужно выявить в потоке событий признаки, характерные для злоумышленников. На практике расследование инцидентов дополнительно осложняется тем, что злоумышленники для своих действий часто применяют штатные утилиты операционных систем, стараются действовать без сохранения файлов на диск, используют методы шифрования и стеганографии и пр.

РАССЛЕДОВАНИЕ ДО… ТОЧКИ

Инцидент – это почти всегда сочетание нескольких факторов. Поэтому планомерная работа по устранению недостатков в каждом из направлений построения ИБ увеличивает эффективность системы в целом. Всегда остается шанс, что злоумышленник использует уязвимости нулевого дня, но даже в этом случае грамотная система ИБ позволит быстрее выявить круг затронутых активов, провести локализацию и восстановление. При этом колоссальное значение имеет именно качественно проведенное расследование по итогам любого инцидента: необходимо анализировать всю инфраструктуру, а не только явно затронутые киберпреступниками сегменты, выявлять векторы проникновения, полную цепочку действий преступника. Это исключит возможность дальнейшего присутствия киберпреступника в инфраструктуре и существенно усложнит последующие попытки атак.


[1] «Кибербезопасность – 2018-2019: итоги и прогнозы», Positive Technologies, декабрь 2018 г.

[2] «Как социальная инженерия открывает хакеру двери в вашу организацию», Positive Technologies, март 2018 г.

[3] «Cobalt strikes back: новые атаки на финансовые организиции», Positive Technologies, август 2017 г.

[4]  «Кибербезопасность – 2018-2019: итоги и прогнозы», Positive Technologies, декабрь 2018 г.

[5] «Актуальные киберугрозы. III квартал 2018 года», Positive Technologies, январь 2019 г

[6] «Уязвимости корпоративных информационных систем», Positive Technologies, май 2018 г.

[7] «Сколько стоит безопасность», Positive Technologies, декабрь 2017 г.

[8] «Все, что вы хотели узнать о NotPetya, но боялись спросить», Positive Technologies, июнь 2017 г.

[9] «Юнистрим» позвонил дважды, КоммерсантЪ, 23.11.2018 г.

 

Смотрите также

Утечки данных

28 февраля, 2019
Подпишись на новости!
Подписаться