Если защитные системы молчат, это не значит, что систему безопасности компании не взломали. Возможно, хакеры уже проникли в инфраструктуру — ещё не наследили, но шпионят и готовятся к масштабной атаке. Такие «призраки» могут годами прятаться в корпоративной сети прежде, чем нанести удар. Тут-то на помощь и приходит практика Compromise Assessment. 

В этой статье мы разберем:

• Что это за практика и какую пользу для бизнеса приносит;

• Чем она отличается от других методик поддержания информационной безопасности;

• Почему важно проводить Compromise Assessment;

• Каким компаниям и когда целесообразно прибегать к этой практике.

Ретроспектива вместо имитации: чем Compromise Assessment отличается от других ИБ-мероприятий

Если коротко, Compromise Assessment — это поиск незамеченных следов компрометации. Он нужен, когда служба безопасности только предполагает присутствие злоумышленника в корпоративной сети и хочет подтвердить или опровергнуть свои опасения.

Не стоит путать Compromise Assessment с мероприятиями по оценке уязвимости. Те же пентесты могут преследовать разные цели: определить как можно больше рабочих векторов атаки или имитировать «покушение» на конкретные активы компании. Но их базовый принцип остается неизменным — думать и действовать как злоумышленник, используя те же инструменты и возможности. 

Цель Compromise Assessment не выявить слабые места в защите компании, а найти следы эксплуатации таких уязвимостей. Для этого аналитики исследуют исторические данные и всевозможные криминалистические артефакты.

Почему нужно проводить Compromise Assessment

Вроде бы времена, когда типичный ИБ-специалист полагался на авось единственный криптошлюз, давно прошли. Эпидемии шифровальщиков, громкие утечки, изощренные фишинговые атаки заставляют бизнес и безопасников задуматься не только о выполнении требований регуляторов. Все больше компаний регулярно проводят пентесты и Red Teaming. Покрытие корпоративных сетей средствами защиты информации также растет. 

И все же Compromise Assessment — не паранойя, а оправданная мера. На то есть несколько веских причин:

1. Широкое распространение компрометаций через подрядчиков или Trusted relationship

Эта категория атак — бич информационной безопасности. За последние два года они составили приблизительно 80% всех инцидентов, которые мы расследовали. Наиболее распространенный сценарий — в инфраструктуру корпорации проникают через небольшую подрядную организацию, например компанию-интегратора, внедряющую ПО в контуре заказчика. Конечная цель атаки может быть хоть неприступной цитаделью с бесчисленным ИБ-отделом, а вот подрядчик часто не в состоянии позволить себе такую же совершенную защиту. В результате он становится «троянским конем». 

Проблема в том, что до поры любые активности хакера, действующего как бы под прикрытием внешнего исполнителя, выглядят вполне легитимными. Клиент собственноручно дал подрядчику доступ в свою сеть. Пока злоумышленник не начнет запускать вредоносы, шифровать файлы или предпринимать другие несанкционированные шаги, СЗИ его не засекут. При помощи пентестов и других мероприятий наступательной безопасности скорее всего не получится предсказать такую атаку. 

Единственный способ убедиться, что подрядчик не привел за собой «крота», — прошерстить сеть в поисках следов компрометации. Найти злоумышленника в случае с Trusted relations все равно будет очень непросто, но шансы на успех значительно повышаются.

2. Ограничения и издержки других ИБ-мероприятий

К кибербезопасности следует подходить комплексно — польза тех же тестов на проникновение и других «атакующих»‎ методик бесспорна, но не стоит полагаться только на них. Всегда есть вероятность, что даже несколько опытных красных команд не смогут пробиться до критичного участка инфраструктуры, а потом появится хакер с новейшей CWE и добьется желаемого. Compromise Assessment — это поиск реальных фактов компрометации, а не оценка вероятности успешной атаки. 

Другой важный нюанс заключается в том, что пентестер всегда ограничен в плане инструментов и прав доступа. В рамках Compromise Assessment аналитик, напротив, получает карт-бланш и содействие со стороны сотрудников компании. Это обеспечивает высокую эффективность поиска свидетельств использования уязвимостей.

3. Опасность «дремлющих компрометаций»

Часто злоумышленники незаметно проникают в корпоративные сети, оставляют там программные закладки, скажем, проэксплуатировав какой-нибудь zero-day, и на этом останавливаются. Например, так действуют брокеры первоначального доступа, которые продают лазейки другим киберпреступникам, и некоторые политически мотивированные хакеры. Характерны «дремлющие компрометации» и для промышленного шпионажа.

Эти закладки — все равно что отложенные в темном углу космического челнока яйца Чужих. Они лежат мертвым грузом, пока злоумышленник не выдаст себя активными действиями. И снова знакомая проблема: СЗИ и наступательная безопасность вероятно не помогут их найти. А вот Compromise Assessment обнаружит их с высокой вероятностью. 

Как проводится Compromise Assessment

Алгоритм действий в ходе Compromise Assessment, как правило, включает четыре обязательных шага и один опциональный.

Шаг 1. Определение анализируемой инфраструктуры

Если сравнить холдинг со страной, то проверка всей его сети приближается по трудоемкости к всеобщей переписи населения. Поэтому обычно область поиска согласовывается с заказчиком. Многие клиенты прекрасно знают и слабые места, и наиболее защищенные участки своей IT-инфраструктуры.

Шаг 2. Определение источников данных

На этом этапе зона поиска еще сильнее сужается и локализуется. Проверяющие выясняют, какие операционные системы и софт есть в инфраструктуре, какое ПО может содержать следы компрометации. Обычно в фокус внимания попадают артефакты с конечных устройств, централизованные хранилища логов, различные СЗИ. 

Порой здесь возникают первые организационные проблемы. Допустим, мы исследовали логи DNS-сервера и обнаружили обращения к серверу управления ВПО. Только вот клиент не согласовал расширение поверхности исследования, ведь IP-адрес, с которого выполнялись нелегитимные действия, относится к критической подсети ЛПР-ов компании (совладельцев или акционеров). С одной стороны, опасения заказчиков и существующие бизнес-риски вполне понятны. С другой — качественно выполнить проверку на компрометацию без фактуры невозможно. Приходится искать компромисс, а на это уходит время. 

Шаг 3. Сбор данных

Необходимую информацию можно выгружать из СЗИ клиента небольшими фрагментами либо сразу целыми блоками и анализировать в нашей лаборатории. Или же мы проводим аналитику прямо на месте. Это как раз пример компромиссного решения на случай, если заказчик не может передавать данные за пределы своего контура. Зачастую так делается, чтобы не нарушить NDA.

Аналитики применяют автоматизированные сборщики артефактов. С их помощью можно извлекать данные из различных приложений и частей инфраструктуры. Но работа здорово упрощается, если компания зрелая и в ней есть SIEM-система и холодное хранилище логов за последние месяцы. 

Шаг 4. Анализ данных и поиск компрометации

Когда данные собраны, команда аналитиков начинает изучать их и искать подозрительные моменты. Частично эта работа делается вручную, частично — автоматизировано. Допустим, данные проверяются набором сигнатур, выполняется поиск по хэшам. Исторические записи по различным IP-адресам сверяются с платформой Threat intelligence. В итоге мы выясняем, относятся ли подозрительные находки к вредоносным активностям или нет.

Выявив сомнительные файлы и следы активности, мы сперва передаем эту информацию бизнесу. Если перефразировать народную мудрость, чужая корпоративная сеть — потёмки. То, что на первый взгляд кажется стороннему специалисту «криминалом», порой оказывается вполне легитимной деятельностью. Так, однажды мы обнаружили свидетельства проникновения в сеть, сообщили о них клиенту и выяснили, что перед нами «наследие» пентеста 6-летней давности. 

Или вот другой пример: добрались до компьютера, где нашли следы мирового заговора эксплуатации различных уязвимостей и экспериментов с RAT-вирусом. Но заказчик все расставил по своим местам. Наш «злодей» оказался штатным ИБ-специалистом, который совершенно легитимно изучал различные атаки. 

Кто-то наверняка спросит: не логичнее ли заранее разузнать у клиента такие моменты? Нет, лучше перестраховаться и выловить все свидетельства использования утилит двойного назначения и прочие подозрительные активности, а потом отсеять лишнее. Иначе появляется риск не заметить реальных признаков компрометации. 

Признаем, что постоянное «отделение зерен от плевел» иногда замедляет исследование. Так, в случае с обнаружением следов давнего пентеста, пришлось больше недели ждать, пока безопасники клиента сопоставят временные метки и все проверят. Только потом нам дали зеленый свет на продолжение работы. И все же без этого нельзя. Наша цель — дать заказчику максимально возможную уверенность в отсутствии компрометации, так что приходится проверять все в рамках скоупа без исключений.

Шаг 5. Развертывание внутри сети дополнительных средств защиты информации

Пятый этап Compromise Assessment выполняется лишь при особой необходимости или по запросу клиента. Использование дополнительных СЗИ позволяет не только ретроспективно исследовать криминалистические артефакты, но и выполнять анализ сети в реальном времени. Если что-то подозрительное происходит прямо сейчас, то наши инструменты на это укажут. Заодно с их помощью проверяющие повышают уровень автоматизации своей работы и снижают зависимость от помощи администраторов заказчика.

Какие выгоды приносит проведение Compromise Assessment

Прежде всего клиент получает подробный отчет. В нем содержатся результаты расследования, описываются найденные следы компрометации, если такие имеются. Там указываются слабые стороны сети и даются рекомендации по харденингу — укреплению защиты.

Справедливости ради отметим, что «зеленый» отчет по итогам Compromise Assessment — это серьезная, но не стопроцентная гарантия отсутствия компрометации. Если злоумышленник находится в сети долго, то у него есть время и возможности легитимизировать свою власть деятельность, например, получить учетную запись администратора. Тогда понять, где легитимные действия, а где нет, становится крайне проблематично. Особенно если логи хранятся недолго.

Чтобы получить максимальную уверенность в достоверности отчета, лучше обращаться за этой услугой к сторонним специалистам. Они смотрят на IT-инфраструктуру более критично. Мыслей вроде «это же компьютер безопасника Васи, ему все дозволено» у них не возникнет. Исключение: малый бизнес и стартапы. С проверкой 10-20 устройств вполне справится и штатный ИБ-специалист. Да и проводить Compromise Assessment в небольшой компании подрядчикам просто невыгодно.

Еще один плюс для бизнеса — сбор фактуры для дополнительного анализа: насколько корректна парольная политика, соблюдаются ли правила базовой цифровой гигиены, как в целом сделать сеть безопаснее? При необходимости мы также даем клиенту рекомендации по мониторингу активности пользователей, введению дополнительных ограничений. Как вариант, советуем снизить сетевую связность с подрядчиками, которые могут стать точкой входа для злоумышленников.

Compromise Assessment выявляет и проблемы организационного характера. Предположим, здесь у нас не запустилось важное приложение, а тут не удалось зайти на сервер, поскольку единственный знающий пароль администратор уехал в отпуск куда-нибудь на Занзибар. Появляется пища для размышлений, как улучшить не только сеть, но и рабочие процессы.

Наконец, если компрометация все-таки обнаружится, можно, «не отходя от кассы», приступить к устранению инцидента. Для этого уже будет вся необходимая информация.

Кому и когда целесообразно проводить Compromise Assessment

Выгоды выгодами, но это не бесплатная услуга, а еще компании придется потратить время и силы на взаимодействие с проводящей проверку командой. На плечи сотрудников заказчика также ложится часть забот по сбору и передаче данных. Остаются за клиентом некоторые работы по инвентаризации устройств и хостов, с которых нужно собрать информацию.

Словом, хлопот хватает, поэтому игра должна стоить свеч. Мы постарались сформулировать несколько основных предпосылок к проведению Compromise Assessment. 

Предпосылка 1. Работа с большим количеством подрядчиков

ИБ-риски значительно возрастают, когда скомпрометирована подрядная организация, с которой у компании была сетевая связность. Даже если сразу ничего не произошло, расслабляться не стоит. Не исключено, что и доступы в сети своих клиентов подрядчик хранил не слишком бережно. А нежелательные последствия, учитывая терпеливость некоторых злоумышленников, могут наступить спустя месяцы или даже годы.

Предпосылка 2. Нехватка ресурсов на харденинг и мониторинг проблемных участков сети

При стремительном развитии бизнеса и росте IT-инфраструктуры ИБ-служба постепенно перестает справляться со всеми задачами. Имеющихся СЗИ вдруг оказывается недостаточно для полноценного покрытия сети. К тому же сотрудники не всегда соблюдают правила цифровой гигиены. Так что при отсутствии уверенности в своей безопасности, стоит профилактически проводить Compromise Assessment приблизительно раз в полтора года. 

Предпосылка 3. Большая территориальная распределенность структуры компании

Представим, что организация открыла офисы в нескольких городах. В Москве удалось нанять толкового администратора и наладить грамотную работу, а где-нибудь в «городе N» такого человека нет, и все систематизировано гораздо хуже. Остается лишь перестраховаться и дополнительно проверить такие слабые места на компрометацию. 

Предпосылка 4. Резкое расширение сетевой инфраструктуры

В частности, так бывает, когда одна компания поглощает другую — с менее высокими стандартами информационной безопасности. Сразу же с распростертыми объятиями приглашать новую организацию в свою инфраструктуру не стоит. Вдруг в ее сети затаился злоумышленник?

Compromise Assessment — эффективная практика проактивной кибербезопасности, которая помогает убедиться в отсутствии компрометации или выявить уже произошедший инцидент. При наличии соответствующих предпосылок ее стоит включить в процессы информационной безопасности компании.

В этой статье мы выделили лишь основные моменты. Если вам на ум приходят еще какие-то причины или, наоборот, аргументы против проведения подобных мероприятий, не стесняйтесь и оставляйте комментарии. Делитесь своим опытом выполнения проверок на компрометацию.