Вы уверены, что вас не взломали?
Ответ даст сервис поиска следов компрометации
Автор: Илья Болдырев, эксперт по развитию и продвижению сервисов для крупных заказчиков и центров кибербезопасности, «Лаборатория Касперского».
Содержание |
Болдырев
Введение
От специалистов по кибербезопасности часто можно услышать:
 | Есть организации, которые стали жертвами взлома, и есть организации, которые про это до сих пор не знают. |  |
В последние годы актуальность данной фразы продолжает расти. Злоумышленники все тщательнее планируют свои атаки, изобретают новые изощренные тактики, техники, утилиты для проникновения в корпоративные сети организаций и дальнейшего закрепления в их инфраструктурах. При этом атакующие изо всех сил стремятся избежать обнаружения средствами защиты.
Статистика по реагированию на инциденты «Лаборатории Касперского» демонстрирует, что в некоторых случаях атаки длились более года до момента обнаружения. Очевидно, что чем раньше зловредная активность будет обнаружена, тем меньший ущерб понесет организация. Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 
Среди широко известных инцидентов, где атака была обнаружена спустя месяцы, а в некоторых случаях и намного дольше, есть яркие примеры серьезного ущерба, связанного с утечкой конфиденциальных данных и остановкой ключевых бизнес-процессов.
2018 год. Marriott. Украдено более 300 миллионов записей клиентов
Осенью 2018 года службы ИБ Marriott зарегистрировали инцидент, связанный с попыткой несанкционированного доступа к базе данных клиентов (Starwood Guest Reservation Database). Были украдены персональные данные клиентов, включая адреса, номера телефонов и кредитных карт. На текущий момент это один из крупнейших в истории случаев кражи персональных данных. Компания Starwood была приобретена Marriott в 2016 году, а расследование показало, что компрометация случилась еще за 2 года до приобретения. Таким образом злоумышленники имели доступ в инфраструктуру Starwood, а затем и в Marriott в течение 4 лет. Данный инцидент обошелся компании 28 млн долларов, правда большую часть убытков покрыла страховка.
2019 год. Сеть магазинов и автозаправок Wawa. Украдено 30 миллионов номеров кредитных карт
19 декабря 2019 года компания Wawa отправила уведомления клиентам, в которых сообщалось о взломе системы процессинга платежных карт. В результате пострадавшими оказались клиенты компании, которые оплачивали услуги в платежных терминалах на заправках. Были украдены данные дебетовых и кредитных карт, включая номера, сроки действия и имена владельцев. В ходе расследования выяснилось, что зловредное ПО, при помощи которого осуществлялась атака, присутствовало в инфраструктуре более девяти месяцев. Предположительно, в течение всего этого срока данные платежных карт клиентов утекали к злоумышленникам. В результате этого киберинцидента Wawa заплатила MasterCard 10,7 млн долларов.
2022 год. Rutube
Целью злоумышленников стал вывод ключевого сервиса видеохостинга из строя. Также атакующие украли внутреннюю информацию, чтобы в дальнейшем публично подтвердить факт атаки. Этот случай интересен тем, что киберпреступники присутствовали в инфраструктуре около двух месяцев — до 9 мая 2022 года, когда деструктивные процессы были запущены. В течение этого периода злоумышленники изучали инфраструктуру и готовили масштабный сбой видеохостинга. В итоге восстановление работы сервиса заняло почти три недели.
Все эти компании, скорее всего, имели хорошо выстроенные архитектуры информационной безопасности. По крайнее мере, должны были иметь…
Однако на сто процентов защититься невозможно, и всегда остается вероятность стать жертвой фишинга, атаки, связанной с уязвимостью нулевого дня или ошибкой недобросовестного бывшего сотрудника с привилегированным доступом в инфраструктуру.
Услуги анализа защищенности
Согласно одной из популярных концепций информационной безопасности Assume Breach (англ. предполагаемое нарушение), выстраивая систему кибербезопасности компании, следует допускать, что проникновение в инфраструктуру уже произошло. Конечно, создание эшелонированной защиты корпоративной инфраструктуры — важнейшая задача службы ИБ. Но также необходимо проводить регулярные проверки качества этой выстроенной защиты.
Проверить, как потенциальные злоумышленники могут атаковать компанию, можно с помощью услуг анализа защищенности. На рынке предлагается широкое разнообразие услуг, которые помогут проверить защищенность как отдельных устройств и приложений, так и IT-инфраструктуры в целом. Ниже рассказываем, каковы их особенности и предназначение.
Сканирование на наличие уязвимостей выполняется путем запуска сканера, на выходе генерируется отчет со списком выявленных уязвимостей и их уровнем критичности. Эту активность стоит выполнять на регулярной основе, взять это за привычку, как чистку зубов по утрам и вечерам.
Тестирование на проникновение покажет, как потенциальный злоумышленник может обойти развернутые в инфраструктуре средства защиты, проэксплуатировать существующие уязвимости и в результате получить высокопривилегированный доступ к критичным системам.
Red Teaming позволяет оценить эффективность процессов обнаружения инцидентов ИБ и реагирования на них во время симуляции полноценной целевой атаки.
Есть также более узкоспециализированные услуги, такие как анализ защищенности веб- или мобильных приложений, анализ защищенности ATM/POS-устройств, анализ защищенности IoT и многих других типов оборудования. Такие услуги помогут определить текущий уровень защищенности IT-инфраструктуры или отдельных активов, при этом они не дадут ответ на вопрос «не находитесь ли вы уже под атакой?». На этот вопрос поможет ответить услуга поиска следов компрометации.
Поиск следов компрометации для выявления скрытых атак
Устоявшейся общепризнанной методологии оказания услуги поиска следов компрометации (Compromise Assessment) пока не существует, в сравнении с упомянутыми выше сервисами анализа защищенности, где есть стандарты PTES, OWASP, OSSTMM и другие. Вы не найдете магических квадрантов Гартнера, относящихся к данной услуге. Каждый сервис-провайдер имеет свое видение и методику оказания услуги поиска следов компрометации.
«Лаборатория Касперского» предоставляет эту услугу под названием «Поиск целевых атак». В некотором роде это Health Check инфраструктуры компании. Для его проведения собирается телеметрия с рабочих станций, серверов, сетевого оборудования, различных СЗИ.
Большая часть данных собирается с помощью Kaspersky Endpoint Security. Для компаний, в которых продукты «Лаборатории Касперского» не используются, предлагается утилита Kaspersky Virus Removal Tool (KVRT). Данные инструменты собирают телеметрию с рабочих станций и серверов, при этом в случае использования KVRT не нужно устанавливать это ПО на компьютеры и инициировать процесс управления изменениями. Достаточно лишь запустить небольшой исполнительный файл, который соберет необходимую телеметрию и положит данные в общую сетевую папку. Для сбора сетевого трафика в инфраструктуре клиента может быть развернуто решение Kaspersky Anti-Targeted Attack Platform.
Собранная телеметрия отправляется в облачную инфраструктуру «Лаборатории Касперского», где производится обогащение данными Threat Intelligence, автоматическая корреляция и анализ на предмет наличия подозрительных событий. В случае выявления вредоносной активности проводится регистрация и классификация инцидента и запускается процесс раннего реагирования на инцидент, который позволит сдержать атаку и в конце концов избавиться от вредоносной активности.
Помимо поиска следов атаки непосредственно в инфраструктуре, аналитики «Лаборатории Касперского» собирают данные по компании в открытых источниках при помощи различных OSINT-методов. В частности, эксперты проверяют различные подпольные форумы на предмет наличия информации о текущей или планирующейся атаки на организацию.
Таким образом, услуга поиска целевых атак — это проактивная валидация состояния информационной безопасности. Она идентифицирует известные атаки и атаки нулевого дня, а также помогает подтвердить отсутствие в инфраструктуре организации злоумышленников или же выявить вредоносную активность и остановить атаку.
В среднем в рамках одного проекта по оказанию услуги «Поиск целевых атак» специалисты обнаруживают 14 инцидентов информационной безопасности. При этом некоторые из этих атак к моменту обнаружения длятся уже долгое время. Так, в одной из компаний-клиентов была обнаружена атака, запущенная за семь лет до начала работы специалистов «Лаборатории Касперского».
Когда поиск следов компрометации особенно необходим
В некоторых сценариях данная услуга будет особенно полезна. Например, если в отрасли участились целевые атаки на предприятия. Чтобы быть уверенным, что вашу организацию не затронули действия злоумышленников, стоит осуществить проверку на наличие компрометации, пока не дошло до серьезного инцидента.
Также, если организация проходит через этап слияния с другой компанией, то у CISO вполне могут быть вопросы к эффективности работы СЗИ, развернутых на другом предприятии. Вспомним случай, произошедший с Marriott. Если бы аудит на присутствие компрометации был проведен при приобретении компании Starwood, то инцидент, связанный с кражей данных клиентов, можно было предотвратить или по крайней мере смягчить его последствия.
Если подозрительные индикаторы компрометации уже обнаружены в сети, но нет четкого понимания, что с ними делать, то в данной ситуации надо достаточно оперативно принимать решение о старте оказания услуги. Даже если серьезных инцидентов в компании долго не происходило, все равно полезно периодически проводить проактивный поиск угроз, чтобы не пропустить возможный старт атаки. Тот же Marriott повторно взломали спустя два года после инцидента со Starwood.
Безусловно, услуга поиска целевых атак — это не панацея от всех бед и кибериммунитет она не обеспечит. Но при грамотном целостном подходе данная услуга может дать уверенность, что по крайней мере на текущий момент инфраструктура не атакована и злоумышленники в ней не присутствуют.
Показатели качественной услуги поиска следов компрометации
Качество оказания услуги зависит от множества факторов, которые необходимо учесть как при выборе сервис-провайдера, так и при определении объема работ. Покрытие услугой должно быть максимально полным. Не стоит ограничиваться только одной или небольшим набором подсетей, чтобы не пропустить место возможного присутствия злоумышленников.
Помимо инфраструктуры важно также проверить различные подпольные форумы, где могут продаваться украденные учетные записи или обсуждаться планы атаки на предприятие. На конечный результат оказания услуги повлияет и наличие собственной базы данных Threat Intelligence сервис-провайдера, наличие инструментов, которые он может адаптировать для поиска угроз, характерных для отрасли клиента. Также, разумеется, чем больше опыта оказания подобных услуг, а также опыта реагирования на инциденты у конкретного сервис-провайдера, тем выше шансы ничего не упустить и не оставить злоумышленникам возможностей сохранить свое присутствие в сети предприятия.
Если инцидент уже произошел, то нужно срочно «тушить пожар» и в этом поможет услуга реагирования на инциденты. Но в рамках реагирования на инцидент ведется работа с объектами, которые были затронуты атакой. И для того, чтобы быть уверенными, что злоумышленники не закрепились где-то еще в инфраструктуре, следует провести и анализ на наличие компрометации.
В случае же, когда в организации уже ведется проактивный поиск угроз на постоянной основе либо используется услуга MDR, то атаку, стартовавшую до того, как эти инструменты были запущены, выявить не получится. С этой задачей опять же справится услуга поиска следов компрометации. Кроме того, услуга поиска компрометации, оказанная другим вендором с другим набором инструментов и базой Threat Intelligence, может выявить следы атаки, пропущенные текущим поставщиком услуг мониторинга.
И в завершение пару слов о пресловутой модели Killchain, описывающей основные стадии целевых атак. Обычно на первых этапах — разведки и подготовки атаки ― пресечь киберпреступную деятельность проблематично. При этом, начиная со стадии доставки вредоносного ПО, можно вмешаться в деятельность злоумышленников. И если СЗИ пропустят зловредную активность, то качественно проведенный сервис поиска компрометации поможет купировать и остановить деятельность атакующих. В итоге цепь атаки будет сломана. Break the chain before they act!
