Типичная картина: компанию накрыла кибератака, данные утекли, а руководство бегает в огне, пытаясь, если не спасти, то хотя бы не ухудшить ситуацию. Судорожно вырываются из розеток штепсели компов, а ведь это довольно рискованное мероприятие и так лучше делать не стоит. Лучше позвать команду реагирования на инциденты, о работе которой мы сегодня расскажем и дадим несколько советов тем, кто хочет работать в этой сфере.
Что такое это реагирование?
Реагирование на инциденты (Incident Response) включает в себя комплекс мер по обнаружению и прекращению кибератаки на инфраструктуру компании, остановке утечки данных, а также мероприятия по устранению последствий атак.
Основные цели реагирования: минимизировать ущерб и максимизировать скорость возвращения организации к нормальной работе.
Проводить эту работу может внутренняя команда реагирования (инхаус-команда, работающая в штате компании-потерпевшей) или внешняя команда реагирования. Внутренней командой может быть структурное подразделение той же компании, SOC — Security Operations Center, Центр ИБ-мониторинга, который мониторит весь ИТ-периметр. А мы — тот самый аутсорсинг, внешняя команда реагирования на инциденты. И вот чем мы занимаемся.
Чем работа внешней команды реагирования отличается от других команд?
Внутренняя команда реагирования, как правило, работает в пределах одной сети. Внешняя команда готова реагировать в любом окружении. Получается, с одной стороны у нас шире охват, чем у внутренней команды, но в то же время зачастую мы заранее не знаем, как у клиента выстроена сеть и вынуждены разбираться на ходу.
В целом, наша задача заключается в том, чтобы по обращении заказчика:
Понять, как устроена сеть — для этого мы плотно взаимодействуем с ИТ-специалистами заказчика.
Найти источник проблемы и собрать данные об инциденте — это этап идентификации. Здесь надо изучить логи, найти улики, проследить всю цепочку атаки, разгадать запутанные злоумышленниками следы, провести анализ сетевой активности, создать индикаторы компрометации.
Обезвредить угрозу. Этот процесс может происходить в два этапа: этап сдерживания угрозы, где мы пресекаем ее распространение и собираем следы атаки, и этап устранения (ликвидации) с удалением нелегитимной активности.
Защитить компанию от повторения инцидента или от других атак, возможность которым откроет нынешняя атака.
Вернуть систему к работе. Здесь мы вводим в эксплуатацию те части ИТ-инфраструктуры, которые пострадали от инцидента; тестируем и мониторим сеть.
Внешняя команда реагирует на инциденты внутри сетей своих клиентов в тех случаях, когда инхаус-команда не может разобраться или вовсе отсутствует. Мы либо дополняем компетенции внутренней команды, либо их замещаем. В крупных компаниях иногда формируют специализированные команды реагирования и SOC, которые самостоятельно выстраивают процессы в области ИБ. И все равно они могут обратиться к нам как к третьей линии SOC-специалистов по найму, которые обеспечивают проактивный поиск и изоляцию сложных угроз, продвинутую форензику.
Разница в составе и уровне компетенций между внешними и внутренними командами зависит от политики конкретной компании. Бывает, что создают полный аналог внешней команды, где даже есть сотрудники, занимающиеся киберразведкой (Threat Intelligence), хотя обычно это работа отдельных отраслевых компаний. Но обычно во внешних командах есть такие спецы, которых нет во внутренних. Например, вирусные аналитики.
Основные роли во внешней команде реагирования
Вирусный аналитик. Анализирует вредоносы, которые попали к нему в рамках различных инцидентов. Умеет разобраться в том, как работает вредонос, методами реверс-инжиниринга. Если попался кастомный, модифицированный (в общем, с ходу непонятный) вирус, аналитик может полностью восстановить его функциональные возможности и понять принцип работы.
Криминалист. Его задача — разобраться с различными артефактами из ОС: получить их, проверить, сделать выводы и составить гипотезы на их основании. Может быть экспертом в узкой области: криминалист облаков, докер-контейнеров, оперативной памяти и т. д.
Руководитель проектов. Человек, который четко фиксирует все, что происходит в команде: следит за датами запросов и предоставления данных, подсчитывает часы работы членов команды. Также готовит все нужные документы и отчеты, в том числе презентации для заказчиков, в которых показаны история и последствия инцидента с восстановленными событиями, а также что могло помочь его избежать.
Конечно состав внешней команды реагирования может быть и разнообразнее, но по нашему мнению — это ключевые роли, без которых невозможно обойтись.
Где на них учиться?
Отдельно на эти специальности у нас пока в ВУЗах не учат. Вы не получите диплом, например, вирусного аналитика и уж тем более не будете готовы работать со студенческой скамьи. Но есть отдельные дисциплины, кафедры ИБ, а также курсы вне классического высшего образования, которые дадут неплохой теоретический фундамент.
Полезная литература и ссылки на CTF-соревнования, которые помогут в освоении профессии специалиста по реагированию на инциденты:
О. Скулкин, «Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей»;
К. Монаппа, «Анализ вредоносных программ»;
Outwitting the Adversary Scott J. Roberts Rebekah Brown, «Intelligence-Driven Incident Response;
CTF.
Основные же знания пока приобретаются только на практике на реальных кейсах. Так что, при приеме специалиста на работу ВУЗ и даже образование для нас в целом не являются определяющими факторами. Важнее то, как кандидат рассуждает, какой логики он будет придерживаться, решая абстрактный проверочный кейс на собеседовании, то, как он генерирует гипотезы и понимает ли, как все устроено в мире ИБ.
Наш типичный рабочий день
Если с вечера известно про инцидент, то хорошо бы встать как можно раньше и начать его исследовать или даже предотвращать.
В случае проишествия с нами связываются представители тех компаний, с которыми у нас заключен договор на обслуживание. Они могут позвонить, написать в мессенджер или на почту — как удобно заказчику. В процессе общения мы выясняем некоторые подробности инцидента и предварительно решаем, как поступить.
Реагирование происходит примерно по такой схеме:
Наступил инцидент — заказчики обратились к нам.
Мы собираем команду по реагированию — 2-3 человека.
Команда создает чат с представителями заказчика.
В чате представители заказчика рассказывают, что произошло, а команда реагирования подробно инструктирует их о том, какую информацию им нужно собрать, чтобы мы продолжили расследование. Если надо — предоставляем заказчику необходимое ПО.
Команда документирует все свои находки.
Команда запрашивает дополнительные данные, которые могут помочь в дальнейшем расследовании.
Клиент получает рекомендации. По его просьбе мы можем помочь ему с постинцидентными действиями.
Степень срочности реагирования на инцидент зависит от того, в какой момент инцидента обратился заказчик: до наступления недопустимого события или после. Типичное такое событие, например, это шифрование вредоносом рабочей станции. Если компьютер уже зашифрован, то совершать резкие движения скорее всего уже бессмысленно.
Если ничего подобного еще не произошло, то наш специалист предупреждает, что не надо выключать и перезагружать компьютеры, а затем дает пошаговые инструкции, что и как важно сделать. Например, как получить образы жесткого диска и оперативной памяти (дамп), как снять Triage, как достать логи из конкретных приложений.
Если ситуация типичная и задача хорошо ясна специалистам, они могут отдать ее для практики джунам (под контролем). Если инцидент связан с большим количеством данных, можно привлечь и других экспертов. Например, в определенной точке становится понятно, что это не точка входа. Однако есть индикаторы и гипотезы о том, что делал злоумышленник и что при этом происходило. Тогда есть смысл «бить по площадям», собирая данные со множества хостов и пользуясь дополнительными индикаторами.
Если заказчик или ситуация того требуют, наши сотрудники могут выдвинуться на место происшествия, но в основном мы занимаемся инцидентами удаленно. Бывает и внеурочная работа, например, ночью, но довольно редко.
Выезд на место инцидента
У выезда на место есть свои преимущества и недостатки. Преимущество в том, что непосредственное взаимодействие с безопасниками и сисадминами заказчика ускоряет сбор данных. Но в то же время выезд снижает скорость анализа: работа на коленках с ноутом, подключенным к чужому часто ненадежному интернету, менее эффективна и удобна, чем работа на своем, грамотно оборудованном месте (мощная машина, несколько мониторов, быстрый и стабильный интернет, удобное кресло… прямо захотелось на работу).
Если наш сотрудник не занят на инциденте
Если прямо с утра нет ничего срочного, то он не ковыряет в носу (по крайней мере, за руку никого еще не поймали), а мониторит новую информацию в своей области. Это, например, статьи на портале SecureList и Group-IB или твиттеры коллег со всего мира. Важно держать руку на пульсе, знать, какие атаки актуальны, быть в курсе отраслевых новостей. У нас и список источников есть (весь не раскроем, но некоторыми поделимся):
В свободное от реагирования время аналитик может автоматизировать какую-то часть своей работы. В работе очень помогает обработка кучи логов одного формата, когда, например, надо подсчитать количество айпишников или создать выборку уникальных IP-адресов. Или какой-нибудь простенький таймлайн, например, временные рамки, в которые пользователь был активен через VPN. Иногда надо внести дополнительные обнаруженные индикаторы или пополнить личную или общую базу данных важной информацией, на которую стоит обращать внимание.
Автоматизация таких процессов существенно упрощает и ускоряет «реагирование». Большая часть автоматизации связана с тем, что сотрудник берет некий формат данных, парсит его (разбирает внутреннюю структуру) и дальше совершает простые действия, связанные с временными рядами, легитимным/не легитимным поведением пользователя и т. д. Часто полученные сырые данные нужно подготовить, привести в нужный формат перед использованием других утилит.
Пример ситуации с автоматизацией из практики:
Пользователь в течение месяца ходил через VPN по 4–5 IP‑адресам в промежутке с 9 до 18 часов. За неделю до наступления инцидента он внезапно начал ходить по ночам и посещать по 200–300 айпишников, при этом объем трафика вырос в разы. Чтобы лучше понять временные рамки и наглядно увидеть список IP‑адресов, надо парсить данные, предоставленные VPN. Это логично автоматизировать.
Также мы оказываем дополнительную услугу — Compromise Assessment, выявление компрометации инфраструктуры и следов прошлых атак. Эта работа не требует такой оперативности, как реагирование, поэтому она может быть плановой, ежедневной.
А есть что-то неприятное в этой работе?
— Нет. Это лучшая профессия на свете и в ней нет никаких отрицательных сторон.
Хотелось бы ответить именно так, но это, конечно, неправда. Пожалуй, самая неприятная часть работы — это задержки. Понимаешь, что можешь щелкнуть этот кейс за три дня, но представители заказчика тянут время по каким-то своим причинам. Тоже, в общем-то, понятно — дела внутренние. Однако такие ситуации могут растягивать работу над инцидентом на 2-3 недели и со временем провоцируют профессиональное выгорание.
Бороться с выгоранием можно через внедрение гибкой системы профессионального роста. Например, пусть после долгого и трудного кейса у сотрудника будет неделя легкой загрузки. В наших фантазиях это бы дало возможность восстановиться, отвлечься, почитать отложенное, заскучать по сложной работе. Но желательно все же обладать достаточной стрессоустойчивостью и терпением. Чем еще? Об этом дальше.
Какими компетенциями и личными качествами должен обладать сотрудник команды внешнего реагирования
Формировать качественные гипотезы и быстро их проверять — вот, что вам надо будет делать постоянно, если вы во внешней команде реагирования. Поэтому…
Главное для «нашего» человека — это уметь быстро находить метод вытаскивания самого полезного из большого объема данных.
Что еще надо уметь:
Разбираться в инцидентной форензике, пусть даже неглубоко.
Знать какие-то языки программирования. С практической точки зрения не так уж важно, на каком языке автоматизировать часть своей работы, например, визуализировать графики.
Представлять, как устроены современные атаки. Иметь знания в области Threat Intelligence, представления об активностях разных группировок.
В этой работе также важно быть заинтересованным. Если у специалиста команды реагирования не горят глаза, нет любопытства и азарта докопаться до истинной причины того, что произошло, а также понять, как все быстро поправить, то ему будет сложно. Еще важны усидчивость, дотошность, самостоятельность и совершенно точно — тяга к расширению кругозора.
И, наверное, вам интересно, насколько востребована профессия специалиста по реагированию? Об этом — в заключении.
Про рынок
Спрос на специалистов в области реагирования на инциденты заметно растет вместе с глобальным рынком в этом секторе. Среднегодовой темп роста составляет около 20% — это много. Значительный вклад здесь вносит увеличение числа кибератак.
В 1 квартале 2022 года по сравнению с предыдущим кварталом количество атак увеличилось на 14,8%; увеличилась доля атак на веб-ресурсы (9%); на частных лиц (46% от общей похищенной информации составляют учетные данные, особенно «популярны» данные из VPN-сервисов, которые затем продаются на теневых форумах); в два раза выросли атаки на госучреждения. При этом подсчитать точное число угроз невозможно, ведь большинство кибератак компании не оглашают, опасаясь репутационных потерь.
Как видите, профессия востребована и даже набирает популярность. Хакерские атаки становятся все более изощренными, и специалисты по отслеживанию действий нарушителей, поиску угроз и уязвимостей — это те, кто сегодня, как волшебники, могут после инцидента быстро вернуть бизнес к работе. Хотя, волшебства никакого и нет, а есть знания, опыт и железная логика.
Shaman_RSHU
Какие же вы супермены, если мониторите новости от Group-IB, Позитивов и т.п.? Это они супермены, а вы всегда на один шаг позади.
OlgaRode Автор
Ну зачем вы так? Это же стандартная практика - мониторить профессиональное инфополе от коллег. Мы ответственно подходим к своим обязанностям и работаем на совесть. Любим свою работу и получаем подтверждение ее качества от заказчиков. А у Вас есть какая-то информация об обратном? Личный опыт взаимодействия, отзыв знакомых?
Shaman_RSHU
Я ни в коем случае не сомневаюсь в квалификации Ваших специалистов. Также я не сомневаюсь, что все работы выполняются качественно и в соответствии с формулировками в заключенных с заказчиками договорах. В данном направлении большинство заказчиков, если пользуются услугами сторонних организаций, не могут экспертно оценить качество оказанных им услуг. Обычно это означает, что они получили ровно то, не больше не меньше, за что заплатили.
Было бы интересно почитать, как работает Ваша команда реагирования, когда у заказчика ситация развивается "за рамками" заключенных с вами SLA. В рамках каких интересных кейсов Вам удалось предотвратить убытки, действуя не по отработанным схемам.
Про мониторинг профессионального поля и новостей есть одна подходящая фраза из фильма "Одни завоёвывают кубки, а другие гравируют на них надписи".
OlgaRode Автор
Чтение новостей нужно для того, чтобы у специалиста по реагированию на инциденты было наиболее актуальное и широкое понимание того, как сегодня действуют атакующие.
Далее есть ощущение, что Вы немного путаете такую вещь как Threat Intelligence (так называемая киберразведка, которая исследует TTPs атакующих, поставляет индикаторы компрометации и дополнительную аналитику с целью либо предотвращения инцидентов, либо их обнаружения до выполнения злоумышленниками своих целей) и реагирование на инциденты (на уже случившиеся события, т.е. это работа постфактум). Если говорить о геройстве, то грамотное реагирование на произошедшее событие — это как раз работа и «требующая самоотречения», и выполняемая далеко не только «спицштихелем», если до конца цитировать «Покровские ворота».
При этом одна компания не может реагировать на все инциденты. Она может сталкиваться с одними атакующими, а другая компания и команда реагирования — с другими. Например, есть группировки, которые, судя по публичным источникам, впервые были обнаружены Group-IB (например, OldGremlin). Аналогично есть группы, которые впервые были обнаружены Лабораторией Касперского и Positive Technologies. После раскрытия информации о таких атакующих любая крупная компания либо проверяет, что они сталкивались с таким же, либо начинает отслеживать их активность тем или иным образом. Значит ли это, что если никто не обнаружил всех на Земле злоумышленников первыми, никто не супермен?
По поводу интереса к нашей деятельности и рассказов о наших кейсах — расскажем в одной из следующих статей. Спасибо за подсказку темы и stay tuned!
По поводу фразы "В рамках каких интересных кейсов Вам удалось предотвратить убытки, действуя не по отработанным схемам." Складывается впечатление, будто Вы считаете, что если команда реагирования читает отчёты, то в них, во-первых, в каждом есть серебряная пуля (делай вот это и это, и злоумышленник сам отступит), а во-вторых, в случае, если команда сталкивается с чем-то новым, то опускает руки и говорит "Мы такого не проходили". Это не так)
По поводу работы "за рамками" — не совсем понятно, о чем Вы. Если приведёте пример, попытаемся ответить на Ваш вопрос.
Shaman_RSHU
Спасибо за развернутый ответ. Ждём следующих статей.
kovinev
А чем плохо быть всегда в курсе новостей в отрасли?
Если