Краткое руководство о том, как обнаружить атаку на внутреннюю инфраструктуру компании раньше всех и правильно отреагировать на нее
Число кибератак стремительно растет: если раньше их количество исчислялось десятками в месяц, сейчас насчитывают тысячи инцидентов только за одну неделю: «Касперский» заявляет о 8-кратном увеличении числа DDoS-атак на российские организации. В то же время недавнее исследование SearchInform сообщает, что из 900 опрошенных ими компаний 95% ограничиваются только антивирусом в вопросах защиты от кибератак. В таких условиях вероятность столкнуться с инцидентом ИБ значительно выше, чем может показаться. Поэтому все же стоит отбросить сомнения, вроде «да кому наша информация нужна», и заранее разобраться, что делать, если инцидент уже случился.
Как понять, что инцидент случился?
Из очевидного: мониторить события безопасности антивирусов и межсетевых экранов. Помимо этого, стоит обратить внимание на эти пункты.
Запуск ПО, неразрешенного к установке или запуску пользователям. Пример: если вы видите, что от имени учетной записи бухгалтера открыта сессия в powershell.exe\cmd.exe, это повод для беспокойства.
Неизвестный сетевой трафик. Пример: обращения узлов к несуществующим dns-серверам.
Активная деятельность пользователя в нерабочее время.
Подозрительная загруженность систем. Пример: аномальная загруженность процессора.
Подозрительные изменения в реестре. Пример: добавление программ в автозагрузку.
Сообщения о критической системной ошибке и перезагрузка систем. Это может свидетельствовать о попытках атаки на информационную систему компании.
Аномальная работа с файлами и программами. Пример: появление зашифрованных файлов или установка стороннего ПО, копирование файлов на внешние носители.
Подозрительное изменение настроек операционной системы, антивирусного и прикладного ПО. Пример: отключение антивируса на рабочем месте.
Неизвестная активность на электронной почте. Пример: здесь все просто – спам.
Аномалии в журналах авторизации. Пример: многократные попытки ввода неверных паролей.
Обнаружили кибератаку. Что дальше?
Сначала расставим приоритеты. Для этого нужно оценить уровень критичности скомпрометированных информационных ресурсов и технических средств: критичный, высокий, средний или низкий. От того, насколько серьезен ущерб, зависит количество времени, которое потребуется на расследование, и оперативность принятия решений.
Важный момент: если вы обнаружили кибератаку, ни в коем случае не отключайте технику от питания, это может привести к потере ценных индикаторов, необходимых для расследования, и сбою системы при запуске.
Теперь перейдем непосредственно к реагированию на кибератаку.
Этап 1. Изолируем скомпрометированный участок сети
В первую очередь, важно минимизировать количество скомпрометированных объектов инфраструктуры, ограничить дальнейшее продвижение злоумышленников по сети.
Способы изоляции
Перенастроить правила на маршрутизирующем оборудовании (в случае вирусной атаки лучше сделать это так, чтобы остался доступ в интернет, а возможность добраться до других машин в локальной сети – нет. Это нужно, чтобы предотвратить самоуничтожение вредоносного ПО и всех следов, которые оно может оставить);
Настроить правила на уровне межсетевого экрана операционной системы;
Отключить сетевой кабель;
Физически разорвать кабель (например, перерезать ножом, такой радикальный способ уместен, если нет быстрого доступа к портам технических средств; возможно, сервер находится в запертом на ключ шкафу).
Этап 2. Собираем свидетельства инцидента
На этом этапе важно сохранить как можно больше информации о состоянии инфраструктуры, составить отчет об инциденте и зафиксировать все данные. Это позволит использовать их в качестве юридически значимых свидетельств для привлечения злоумышленников к ответственности.
Что нужно собрать?
Журналы событий безопасности установленных средств защиты информации. Это возможно, только если в них было настроено логирование событий.
Журналы событий операционной системы (лог-файлы, даты создания\модификации файлов). Это нужно, чтобы понять, какие действия в системе были совершены и в какое время: попытки авторизации, запуск приложений и изменение файлов.
Дампы оперативной памяти, swap-раздела или pagefile.sys. Позволяет зафиксировать состояние системы в момент инцидента, чтобы можно было проанализировать его, пока система восстанавливается. Если вредоносная программа исполняется, не копируя себя на скомпрометированную систему, эти данные станут единственным доступным источником для расследования инцидента. Если же в систему проник вирус-шифровальщик, из оперативной памяти можно вытащить ключи шифрования для восстановления данных. Кроме того, дамп оперативной памяти покажет, какие действия совершал сотрудник в момент инцидента, это поможет доказать факт утечки данных.
Трафик маршрутизаторов и коммутационного оборудования. Эта информация пригодится для определения источника инцидента, уязвимостей, через которые удалось атаковать инфраструктуру, и вектора распространения. В случае утечки, по логам трафика можно понять, какие файлы похитили.
Посекторная копия физического диска. Полная копия диска компьютера со всеми журналами, пользовательскими и системными файлами – это возможность восстановить удаленные данные и изучить все связанные с потенциальным вредоносом файлы.
Этап 3. Восстанавливаем работу системы
Есть несколько способов это сделать. Все зависит от характера атаки и степени повреждения данных. При выборе метода не стоит забывать о трудозатратах и временных затратах, зачастую утраченная информация стоит меньше, чем потраченные на ее восстановление ресурсы.
Восстановление данных. Как это сделать?
Применить ПО для восстановления удаленной информации. Покупать его может быть невыгодно для компании, стоит оно дорого. Поэтому, если бесплатные решения не смогли восстановить поврежденную информацию, целесообразнее будет обратиться к специалистам.
Обратиться к специалистам по восстановлению данных.
Воспользоваться резервными копиями. Самый надежный и простой вариант. Но для этого в компании изначально должно быть настроено резервное копирование.
Переустановка конфигурации рабочей станции
На автоматизированном рабочем месте сотрудника рекомендуется полностью переустановить систему и все ПО. Это сэкономит время и деньги на восстановление поврежденных данных.
Автоматизированные средства удаления вредоносного ПО
Если причиной инцидента стало вредоносное ПО, можно задействовать сканирование антивирусным программным обеспечением. Если такой возможности нет, используйте отдельные портативные решения, которые решат проблему точечно.
Этап 4. Расследуем инцидент ИБ
Лучше по этому вопросу обратиться сразу к специалистам. Чтобы качественно изучить кибератаку, нужно обладать пулом специальных навыков и знаний об устройстве операционных систем, типичных видах атак и их особенностях.
Когда станет понятно, что стало причиной инцидента и где нашлись уязвимости, важно заняться их устранением. Иначе все ресурсы будут потрачены впустую, и за этим инцидентом последуют еще десятки. Это может стать пятым этапом реагирования.
Теперь на практике
Ждать, пока у вас случится инцидент, чтобы проверить все эти этапы на практике, мы, конечно, не будем. Просто пройдемся по готовому кейсу для понимания
Инцидент: в систему попал вредоносный файл.
Этап 1. Изоляция скомпрометированного участка сети
Ограничиваем скомпрометированное техническое устройство от локальной сети с сохранением доступа к интернету: настраиваем либо межсетевой экран, либо коммутирующее оборудование. На ОС семейства Windows это можно сделать с помощью команды в netsh:
advfirewall firewall add rule name="*TEMPORARY BLOCK*" dir=out protocol=tcp
interface=any action=block remoteip=<xxx.xxx.xxx.xxx>–<xxx.xxx.xxx.xxx>
Для ОС семейства Linux можно воспользоваться межсетевым экраном iptables:
iptables -A FORWARD -s <server_net> -d <local_net> -j DROP
<server_net> — сеть, в которой расположен сервер (например, 10.0.2.0/24),
<local_net> – сеть, в которую запрещен любой доступ с сервера (например,10.0.0.0/24).
Этап 2. Сбор и сохранение информации для расследования инцидента
Первое. Делаем дампы оперативной памяти (можно с помощью Belkasoft RAM Capturer). Созданные дампы лучше скопировать на диск и сохранить. Его можно будет использовать для приобщения к материалам проверки и для проведения компьютерно-технической экспертизы. Упаковка диска должна быть такой, чтобы к нему невозможно было получить доступ без видимого нарушению.
Второе. Копируем лог-файлы. Для ОС семейства Windows мы делаем это так:
Запускаем программу «Просмотр событий» (win+r, «eventvwr.msc»).
Выбираем необходимый журнал и нажимаем кнопку «Сохранить все события как…» в окне «Действия».
Если так сохранить лог-файлы не получается, можно просто скопировать все файлы из папки «С:/Windows/System32/winevt/Logs».
Третье. Сохраняем файлы реестра «SYSTEM», «SOFTWARE», «SAM», «SECURITY» из папки «\Windows\System32\config» и «NTUSER.DAT» из домашней папки пользователя «\Users\<имя учетной записи>\».
Четвертое. Сохраняем настроенные расширения браузеров. Их местоположения:
Google Chrome
«C:\Users\XXX\AppData\Local\Google\Chrome\User Data\Default\Extensions\»
«C:\Users\XXX\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\»
Mozilla Firefox
«C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\[profileID].default\addons.sqlite»
«C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\[profileID].default\extensions.sqlite»
Opera
«C:\Users\<USER>\AppData\Local\Opera\Opera\widgets\»
Для ОС семейства Linux нужно просто сохранить файлы из директории «/var/logs». Скопировать системные и недавно появившиеся/изменившиеся файлы.
Этап 3. Восстановление работы системы
В случае удаления данных:
Самостоятельно восстанавливаем удаленные данные с помощью специальных программ.
Делаем посекторный образ диска и отдаем на восстановление в специализированную лабораторию. Это пункт для тех, кто потерял информацию высокого уровня критичности.
Восстанавливаем резервные копии, если они есть.
В случае шифрования данных:
Обращаемся в компанию по разработке антивирусного ПО, которая может предоставить инструменты для противодействия конкретному виду шифровальщика. Если данные возможно восстановить, то скорее всего такая компания может предоставить дешифратор для файлов.
При расследовании инцидента есть вероятность, что эксперты смогут помочь с дешифрованием файлов, если процесс реагирования на инцидент был последовательным и никакие данные не уничтожены.
Этап 4. Проводим расследование инцидента
Собираем все сохраненные данные и идем к сторонней компании, специализирующейся на расследовании инцидентов.
Этап 5. Устраняем причины инцидента
Это может быть:
обновление ПО до актуальной версии;
обновление групповых политик на контроллере домена.
Комментарии (3)
Segrey646
24.04.2022 21:52+2Коллега "Этап 5. Устраняем причины инцидента"
вам требуется более детально изучить этот вопрос, к сожалению просто установка обновлений не помогает решить вопрос безопасности. Остаются еще много уязвимостей. И вам потребуется более детально переделывать инфраструктуру в зависимости от вашего бюджета.
SergeyMax
Ну правильно, нужно подождать, когда все пользовательские данные дошифруются, главное, чтобы потом сбоя системы при запуске не возникло)
randomsimplenumber
Тоже хороший способ. Особенно применим, если пучок кабелей уложен в кабель-канал. В копилку ;).