Как техническому специалисту реагировать на инциденты ИБ

Введение

0:00

Ильмар, заместитель директора экспертного центра безопасности, обсуждает тему реагирования на инциденты.
План вебинара: атаки, реагирование на инциденты, расследование инцидентов, технические аспекты.

Перелом в информационной безопасности

1:04

Осознание, что 100% атак предотвратить невозможно.
Новый подход: готовиться к взлому и минимизировать его последствия.

Дилемма защитника

1:54

У защиты нет права на ошибку, атакующим нужна одна успешная попытка.
Современные системы сложны, всегда есть риск уязвимостей.

Мотивы атак

5:18

Финансовая выгода: банки, бухгалтерии, бонусные программы.
Шпионаж: уникальные данные, государственные организации.
Активизм: протестные настроения, геополитика.
Промежуточное звено: компании с доступом к инфраструктуре клиентов.

Методы атак

8:01

ВПО: банковские трояны, шифровальщики, стиллеры.
Социальная инженерия: фишинг, бизнес-мейл компромат.
Взлом: эксплуатация уязвимостей, перебор паролей.
Утечки: базы утечек, одинаковые пароли.
Ошибки: конфигурации, пересылки, человеческий фактор.

Цикл атак

10:34

Начальная разведка: сбор публичной информации и создание цифрового профиля организации.
Проникновение: использование вредоносных рассылок, эксплуатация уязвимостей, подбор паролей.
Закрепление в системе: создание постоянной точки входа через украденные доступы, бэкдоры, VIP-шелы.

Повышение привилегий и внутренняя разведка

11:34

Повышение привилегий: получение дополнительных учётных записей с помощью парольных бамперов.
Внутренняя разведка: использование общедоступных систем для понимания ролей и процессов в организации.

Перемещение внутри периметра и поддержка доступов

12:24

Перемещение внутри сети: перебор паролей, эксплуатация новых уязвимостей, установка троянов.
Поддержка доступов: создание резервных доступов на случай обнаружения.

Контрмеры и управление поверхностью атаки

13:49

Использование методов управления поверхностью атаки для выявления наиболее уязвимых мест.
Применение традиционных инструментов безопасности: файерволы, защита конечных точек, песочницы.
Важность квалифицированного персонала для корректного использования и внедрения продуктов безопасности.

Своевременное обнаружение и реагирование

15:08

Необходимость команды по реагированию для предотвращения закрепления хакеров.
Использование трат-хантинга для обнаружения хакеров по слабым сигналам.
Применение подхода Zero Trust: сетевая сегментация, мультифакторная идентификация, харденинг систем.

Примеры атак

16:32

Группа Cobalt: специализация на ограблении банков через целевые рассылки и компрометацию систем переводов.
Кибершпионы: долгосрочный шпионаж в компаниях и государственных органах, использование собственных ВПО для развития атак.
Группировка, работающая в интересах китайского правительства: атаки типа Supply Chain через взлом партнёров и поставщиков.

Методы группировки

19:36

Взлом CSI Cleaner и атака на Intel, ЦСКА, Microsoft и другие компании.
Взлом системы обновления ASUS Life Update.
Использование ВПО от Curl Strike, Docker и собственной разработки для развития атак.

Техники проникновения

20:30

Использование Патрик Холл атак: компрометация сторонних ресурсов, таких как спортивные или новостные порталы.
Тонулирование трафика и использование легитимных доменов.
Применение украденных сертификатов для подписи ВПО.
Атаки на игровую индустрию и криптобиржи, использование шифровальщиков и майнеров.

Инциденты и взломы

21:41

Инцидент не всегда означает активность злоумышленников, иногда это легитимная деятельность.
Взлом — это инцидент или цепочка инцидентов, приводящих к несанкционированному доступу.
Не каждый инцидент приводит ко взлому.

Причины инцидентов

22:24

Человеческий фактор: ошибки пользователей, отсутствие обновлений, переход по недоверенным ссылкам.
Неэффективная система ИБ: отсутствие персонала, неправильно настроенные средства защиты.
Проблемы у подрядчиков и партнёров.
Сильная мотивация противника.

Реагирование на инциденты

24:16

Основная задача реагирования — минимизация последствий и нормализация операционной деятельности.
Важность своевременной реакции для предотвращения серьёзных последствий.
Раннее обнаружение признаков инцидента позволяет избежать серьёзных проблем.

Этапы реагирования

26:19

Первичное реагирование: подтверждение инцидента, сбор фактической информации, корреляция данных между источниками.
Расследование: установление причин инцидента, восстановление хронологии событий, анализ инструментов и возможностей атакующего.
Устранение последствий: создание и реализация плана устранения последствий, восстановление нормальной деятельности, выводы и меры для предотвращения подобных инцидентов в будущем.

Жизненный цикл реагирования

29:54

Подготовка: моделирование угроз, оценка рисков, планирование минимизации рисков.
Оценка защищённости и готовности к инцидентам.
Обнаружение инцидента: мониторинг инфраструктуры, использование ретроспективного анализа для выявления новых уязвимостей.
Проактивный подход: тред-хантинг, поиск хакерских методов опытными экспертами.

Восстановление после инцидента

33:22

Сдерживание развития инцидента и восстановление нормальной работоспособности системы.
Восстановление из резервных копий, перестановка операционных систем, изолирование систем, блокировка сетевого доступа и другие меры.

Мониторинг после инцидента

33:49

Необходимо продолжать мониторинг системы после инцидента, чтобы избежать повторных атак.
Примеры: возвращение сотрудника из отпуска и обнаружение скомпрометированного компьютера, восстановление системы из старой резервной копии.
Хакеры могут быстро вернуться, поэтому важно не затягивать с устранением недостатков.

Анализ причин инцидента

34:46

Промедление в устранении недостатков может быть опасным.
Анализ причин инцидента и процесса реагирования помогает улучшить информационную безопасность.
Реагирование на инцидент должно быть цикличным процессом улучшения политики безопасности.

План реагирования на инциденты

35:36

План превращает хаотичный процесс реакции в чётко отлаженный.
Включает категории инцидентов: DDoS-атака, заражение ПО, сетевая атака.
Важно предусмотреть реагирование на неизвестные категории инцидентов.

Роль и ответственность

36:18

Сбор команды для устранения инцидента, включая сторонних специалистов.
Продумывание привлечения необходимых людей и компаний.

Процедуры реагирования

36:44

Документирование процедур обнаружения, расследования, сдерживания и восстановления.
Уведомление сторонних лиц, включая взаимодействие с государственными органами.

Контакты и план коммуникации

37:23

Актуальность контактов всех необходимых людей на случай инцидента.
Договоренности о формате взаимодействия со сторонними организациями.
Альтернативные средства коммуникации при скомпрометированной сети.

Типичные ошибки при реагировании

38:19

Отсутствие управления активами: абстрактное описание бизнес-систем, отсутствие актуальной информации.
Отсутствие документации: недокументированные процессы, устоявшиеся связи.
Проблемы с инфраструктурой сбора событий: нехватка данных для расследования.

Ошибки при расследовании

41:24

Соблазн закрыть инцидент без глубокого анализа причин.
Упущенные инциденты: восстановление системы из скомпрометированного бэкапа, активация бэкдора у сотрудника.
Необдуманные действия неопытных сотрудников: блокировка систем, угрозы хакерам.

Отсутствие выводов после инцидента

43:07

Невыполнение выводов после инцидента приводит к его повторению.
Важность анализа причин и действий для предотвращения подобных инцидентов в будущем.

Обнаружение инцидентов

43:27

Обнаружение — ключевой этап в жизненном цикле инцидента.
Подходы к обнаружению: реактивный и проактивный.
Реактивный подход зависит от внешних факторов, например, отчётов об угрозах.
Проактивный подход, известный как тредхантинг, позволяет самостоятельно обнаруживать инциденты.

Цифровая форензика

45:04

Цифровая форензика — наука о сохранении, сборе, анализе и документировании цифровых данных.
Используется для восстановления хронологии действий хакеров.
Киберразведка анализирует данные и предоставляет контекст об атаках.

Анализ ВПО

46:03

Анализ ВПО помогает понять, как хакеры проникают в систему и перемещаются в сети.
Важные источники данных: конечные устройства, сетевые устройства, облачные инфраструктуры.
Резервные копии могут быть единственным источником данных.

Методология анализа данных

48:28

Постановка задачи: определение целей, ресурсов и заинтересованных лиц.
Уточнение вопросов: фокусировка на фактах и конкретных следах компрометации.
Ограничение масштаба расследования для избежания бесконечного анализа.

Нормализация данных

51:38

Определение доступных данных и их формата.
Нормализация: расшифровка, распаковка, конвертация данных.
Важность нормализации для дальнейшего анализа.

Анализ и оценка результатов

52:35

Выбор метода анализа данных.
Поиск признаков атак, подозрительной активности и аномалий.
Оценка результатов: проверка соответствия ответов на поставленные вопросы.
Непрерывная оценка результатов для своевременного исправления ошибок.

Методы анализа данных

53:26

Текирование данных: группировка и разбивка больших объёмов данных для выявления аномалий.
Агрегирование данных: сокращение объёма анализируемых данных с миллионов до сотен запросов.
Рейджинг: анализ редкой активности для выявления хакерских инструментов.

Сокращение объёма данных

54:28

Фильтрация, сортировка и белые списки помогают сократить объём данных.
Карвинг: извлечение данных из исходного представления, например, из дампа памяти или неразмеченного пространства диска.

Визуализация и обогащение данных

55:05

Визуализация с помощью графиков и диаграмм выявляет тренды и аномалии.
Обогащение данных: добавление дополнительного контекста, например, геолокации для IP-адресов.
Статистический анализ: выявление последовательностей и аномалий без знания, что искать.

Поиск по ключевым словам

55:55

Создание словарей из релевантных слов для поиска информации в доступных источниках.

Инструменты и автоматизация

56:11

Использование инструментов для упрощения анализа и экономии времени.
Важность ручного анализа для проверки автоматизированных инструментов.
Временной анализ: анализ близких по времени событий к исходному.

Мониторинг и расследование

57:16

Сбор и анализ событий и логов из множества систем.
Анализ логов сетевого оборудования для выявления скомпрометированных компьютеров.
Использование централизованных систем идентификации и управления инфраструктурой.

Тредхантинг

1:00:55

Поиск неизвестных угроз с помощью тредхантинга.
Разработка алгоритмов и методов обнаружения угроз.
Применение знаний для автоматизации и улучшения средств защиты.

Модель зрелости тредхантинга

1:02:00

Оценка организации по модели зрелости тредхантинга.
Уровни зрелости: от базовых возможностей до продвинутых и высших.
Подход «перпл тим» для улучшения информационной безопасности.

Жизненный цикл атак

1:05:03

Упоминание жизненного цикла атак, о котором говорилось в начале.

Данные и гипотезы в охоте на хакеров

1:05:10

Охотник должен понимать, как осуществляются атаки и на каком этапе им можно противодействовать.
Данные важны, но их сбор должен быть обоснован гипотезами.
Приоритетные системы — те, что поставляют сырые данные с минимумом пост-обработки.

Инструменты для работы с данными

1:05:53

Используются системы больших данных, такие как Hadoop, Elastic, S3, облачные решения.
Алгоритмы машинного обучения помогают применять новые подходы в анализе данных.

Ловушки для хакеров

1:06:46

Ловушки эмулируют настоящие системы и заманивают хакеров.
Любое событие в ловушке является стопроцентным попаданием.

Признаки аномальной активности

1:07:09

Хакеры меняют нормальное поведение системы, что позволяет искать признаки аномальной активности.
Примеры признаков: трафик по нестандартным протоколам и портам, процессы, выполняющие временные папки пользователя.

Индикаторы компрометации

1:07:45

Индикаторы компрометации — объекты, обнаружение которых свидетельствует о компрометации устройства.
Концепция пирамиды хакеров описывает иерархию индикаторов по их пользе и сложности обхода.

Хэши файлов и их ограничения

1:08:58

Хэши файлов уникально идентифицируют файлы, но их эффективность ограничена из-за возможности изменения одного бита файла.
Полиморфные вирусы постоянно модифицируют себя, изменяя хэши.

IP-адреса и домены

1:09:56

Чёрные списки IP-адресов используются для обнаружения хакерской активности, но хакеры легко их меняют.
Домены легко регистрируются, что усложняет их использование как индикаторов.

Артефакты атак

1:11:59

Артефакты остаются в сети и на хостах после атак, их сложно изменить.
Сторонние инструменты могут оставлять артефакты, которые можно использовать для обнаружения атак.

Тактики и техники хакеров

1:12:53

Тактики и техники — самый эффективный способ обнаружения хакерской активности.
Примеры тактик: целевые рассылки по почте, использование техники PAZZ Hash, выгрузка данных из запароленных архивов.

Френсика и расследование инцидентов

1:14:40

Френсика занимается анализом цифровых устройств в контексте криминалистики и внутренних расследований.

Анализ хостовых артефактов

1:17:24

Анализ файловой системы и системных компонентов, таких как реестр.
Восстановление удалённых файлов.
Анализ оперативной памяти для получения ключевых фактов.

Сетевая форенсика

1:18:34

Анализ сетевого трафика, атак и метаданных.
Специализированные подходы к анализу облачной инфраструктуры и специализированных устройств.
Детальное понимание принципов работы устройств.

Жизненный цикл форенсики

1:19:39

Идентификация данных и подготовка к сбору информации.
Получение доступа к устройству и копирование данных.
Анализ информации и представление результатов в виде отчёта.

Лайф респонс

1:20:45

Точечный сбор артефактов и системной информации с работающей системы.
Выявление ключевых систем для детального анализа.
Использование инструментов для облегчения сбора данных.

Традиционная форенсика для судебных разбирательств

1:22:37

Важность целостности и неизменности данных в судебных разбирательствах.
Необходимость традиционного подхода с правильным документированием.

Аналитика угроз

1:22:57

Сбор, анализ и обмен актуальной информацией об угрозах.
Оценка рисков для организации и приоритизация ресурсов защиты.
Тактический уровень: технические индикаторы компрометации, правила и сигнатуры обнаружения.

Операционный уровень аналитики угроз

1:24:41

Информация с коротким сроком жизни, быстро устаревающая.
Примеры: индикаторы, чёрные списки.
Публикация индикаторов в отчётах.

Информация об инструментах и тактиках хакеров

1:24:55

Отчёты содержат данные о проникновении группировок в инфраструктуру, используемых инструментах, протоколах и уязвимостях.
Потребители: специалисты по расследованию, охотники за угрозами и аналитики угроз.
Помогает эффективно обнаруживать инциденты и приоритизировать устранение уязвимостей.

Стратегический уровень аналитики

1:25:53

Информация о причастности группировок к инцидентам, глобальные тренды и статистика по атакам.
Анализ геополитических событий и их влияния на киберугрозы.
Полезен для руководителей информационной безопасности и топ-менеджмента.

Жизненный цикл аналитики угроз

1:27:23

Формирование требований: определение потребителей, активов и угроз.
Сбор и анализ данных.
Подготовка продукта в удобном формате: отчёт, список индикаторов, презентация.
Важность релевантности и своевременности продукта.

Анализ вредоносного ПО

1:29:06

ВПО содержит хакерские техники и индикаторы компрометации.
Анализ функционала позволяет оценить потенциальный ущерб и выявить уязвимости.
Реверс-инженеры разрабатывают методы обнаружения и автоматизируют анализ.

Статический анализ ВПО

1:32:02

Анализ свойств файла: антивирусная проверка, получение хэша, определение формата и языка разработки.
Анализ строк для извлечения индикаторов компрометации.
Декомпиляция и десаблирование для анализа кода на разных языках.

Динамический анализ ВПО

1:34:54

Выполнение кода и анализ его поведения в окружении.
Системы песочниц: запуск файла в виртуальной среде для выявления подозрительной активности.
Минусы: хакеры знают о системах песочниц и умеют их обходить, не все песочницы дублируют рабочее окружение, невозможно выполнить все функции кода.

Самостоятельный анализ ВПО

1:36:05

Возможность создания ручной песочницы с помощью виртуальной машины и приложений для мониторинга событий операционной системы.
Примеры приложений: Warshark для захвата стека трафика, набор для мониторинга активности процессов и файловых операций.

Метод отладки

1:36:46

Отладка используется для поиска ошибок и анализа ВПО.
Программа-отладчик позволяет пошагово выполнять инструкции и модифицировать параметры.
Отладка помогает извлечь зашифрованную информацию без глубокого понимания алгоритма.

Пример расследования

1:37:32

Компания СМИ обратилась с просьбой расследовать инциденты с шифровальщиками.
Обнаружено, что сеть была скомпрометирована, хакеры перемещались с учёткой доменного админа.
На серверах найдены веб-шеллы и другие хакерские утилиты.

Анализ угроз

1:38:29

Команда аналитиков угроз проанализировала шифровальщик, который не был общеизвестным семейством.
Хакеры пытались усложнить расследование, зачищая логи и модифицируя время создания файлов.
Выяснено, что хакеры присутствовали в сети два года и манили криптовалюты.

Атрибуция атаки

1:39:24

Вирусные аналитики обнаружили уязвимость алгоритма шифрования.
Команда атрибуции угроз выяснила, что за атакой стоит китайская APT-группа.
Проведена зачистка инфраструктуры от угрозы.

Выводы

1:40:17

Инциденты случаются у всех, нужно уметь с ними бороться.
Проактивный подход и подготовка к инцидентам заранее важны.
Борьба с инцидентами — постоянный процесс, требующий улучшения.

Вопросы и ответы

1:41:18

Статистика собирается аналитиками из публичных данных и собственных исследований.
Хакеры могут закрепляться в инфраструктуре через ферм-оборудование, но это сложно обнаружить.
Методики по написанию плана реагирования на инцидент нет, но можно адаптировать существующие подходы.

Коммуникация с подразделениями

1:42:52

Для эффективной коммуникации нужен заинтересованный руководитель или топ-менеджер.
Административный ресурс помогает снять барьеры и мотивировать сотрудников.

Услуги и ресурсы

1:43:57

Команда оказывает услуги по расследованию инцидентов.
Для идентификации APT-группировок можно использовать индикаторы и отчёты, например, из базы Maitre.
Существуют ресурсы, собирающие индикаторы в общую базу, например, у Allen Volta.

Автоматизированные системы

1:45:37

Автоматизированные системы обычно закрытые, но есть частично бесплатные ресурсы, например, у Allen Volta.
Поиск в интернете часто приводит к отчётам о группировках.

Риски при установке обновлений

1:46:24

Рекомендуется использовать процесс тестирования обновлений перед установкой.
Необходимо взвешивать риски: риск взлома или риск получения вредоносного кода в обновлении.
Для критичных систем на периметре важно быстро реагировать на уязвимости.

Тестирование обновлений

1:47:02

Обновления следует тестировать на виртуальной машине перед установкой на реальные системы.
Важно учитывать баланс между тестированием и своевременным реагированием на уязвимости.
Если в обновлении содержится вредоносный код, это может привести к взлому системы.

Роль одного администратора

1:48:21

Один администратор не способен эффективно администрировать средства защиты, заниматься мониторингом и аналитикой угроз.
Эти задачи требуют комплексного подхода и команды специалистов.

Атака на микроток

1:49:24

Атака на микроток была сложной для обнаружения и представляла новый вектор атаки.
Сетевые устройства, такие как файрволы, часто остаются незамеченными и могут быть точкой входа для злоумышленников.

Требования ИБ в России

1:50:15

Международные стандарты ИБ теряют актуальность из-за ухода внешних аудиторов и отсутствия международной сертификации.
Возможно, потребуется переход на местные стандарты ИБ.

Не задекларированные возможности

1:51:32

В продуктах Microsoft нет задекларированных возможностей, но в сторонних опенсорсных библиотеках они встречаются.
После событий февраля были случаи внедрения вредоносного кода в популярные приложения, активирующегося для русскоязычных пользователей.

Понимание рисков руководством

1:52:31

Руководство часто не осознаёт риски для бизнеса и зависимость от цифровых систем.
Примеры показывают, что отсутствие резервных копий и шифрования данных может привести к потере бизнеса.

Хардинг и аудит ИБ

1:53:55

Некоторые клиенты интересуются аудитом ИБ и хотят минимизировать риски взлома.
Правильная настройка систем важна для повышения уровня безопасности.

Проблемы Active Directory

1:54:50

Active Directory имеет архитектурные проблемы, которые сложно устранить превентивно.
Патчи и митигешины могут помочь, но не решают все проблемы.

Различия в реагировании для разных ОС

1:56:13

Реагирование на атаки отличается для Windows, Linux и мобильных платформ.
Технические аспекты требуют углублённого изучения и использования специализированных инструментов.