Сегодня иллюзия защищённости может стоить очень дорого, тем не менее, все еще остаются компании, которые считают, что достаточно подключить централизованные средства защиты и это обеспечит им полную безопасность. К сожалению, это уже давно не так. Атаки становятся всё более изощрёнными, и для их обнаружения требуются не только мощные инструменты, но и грамотно выстроенные процессы, в том числе в части взаимодействия с провайдером кибербезопасности.

Как наладить это взаимодействие? Почему мониторинг без обратной связи недостаточен? И что делать, если вам удалось отразить атаку, но вы понимаете, что это только начало? В этой статье мы разберём ключевые аспекты эффективной работы с провайдером, которые помогут вам избежать распространённых ошибок и сделать кибербезопасность не просто формальностью, а реальным инструментом борьбы с угрозами.

1.     Баланс по подключаемым источникам: больше контекста – больше точность разбора

Для выявления сложных и скрытных атак необходимо как можно больше телеметрии – без полноценного анализа трафика или операционных систем сделать это уже практически невозможно. Помимо самого детекта, эта информация крайне важна в расследовании. В одном случае аналитик Security Operation Center (SOC) выдаст вам уведомление о какой-то подозрительной активности под учеткой, в другом – сможет «размотать» всю цепочку событий и представит это в визуально понятном формате.

Просто сравните два уведомления:

С каким из них будет проще работать аналитику на вашей стороне? Конечно, со вторым многократно проще и удобнее.

Безусловно многие возразят: подключение дополнительно еще и операционных систем – это и долго, и сложно и требует дополнительных финансовых затрат. На самом деле ситуация не столь линейна. Какие-то инвестиции, конечно, потребуются, но операционные системы генерируют достаточно мало событий и подключение, например, продуктивной части серверной инфраструктуры увеличивает поток событий на 10-15%. Обеспечить глубину анализа конечных узлов можно еще проще и эффективнее, - дополнив технологии SOC решением класса EDR.

2.     Мониторинг без обратной связи атаки не блокирует

Опять же не хочется говорить очевидные вещи, но в классической услуге мониторинга провайдер отвечает исключительно за выявление и анализ инцидента. Дополнительные приоритизация и подсвечивание активностей, безусловно, могут помочь клиенту проще разобраться с ними, но не всегда они очевидны. Ночное подключение к серверу управления рабочими станциями из-под учетки админа – подозрительное событие? Безусловно, но еще не является признаком хакерской атаки до проверки на стороне заказчика. Сканирование сети с одного из узлов стоит допоплнительного внимания? Да, но одновременно может оказаться и пентестом, и работой сканера по инвентаризации уязвимостей.

Для провайдера один из ключевых инструментов в работе с заказчиком – это обратная связь и оповещения в ответ. Они при требуемой детальности позволяют и пополнить локальную базу знаний о принципах работы ИТ-подразделений и взаимосвязи систем, и отфильтровать из оповещений автоматическую работу бэкапов, скриптов мониторинга и прочей автоматизации по работе с клиентом. И безусловно через пару-тройку месяцев привести профиль оповещения клиента в консистентный, с минимальной нагрузкой на команду реагирования клиента.

На скриншоте ниже – пример результата взаимодействия заказчика с провайдером по итогам работы одного из сценариев, нацеленного на обнаружение потенциально опасных инструментов в инфраструктуре. После запуска сценария наблюдается повышенное количество срабатываний сценария, но в результате предоставления обратной связи по легитимности того или иного детекта количество срабатываний значительно снижается, и каждая последующая сработка с большой долей вероятности является боевым инцидентом.

3.     Однажды отбитая атака – повод не успокоиться, а мобилизоваться

Обмен информацией и индикаторами по атакам сейчас существенно облегчает выявление признаков инцидента в инфраструктуре. Группировки из Восточной Европы нацелены на массовые атаки по всей российской экономике и зачастую переиспользуют одни и те же утилиты, одни и те же центры управления и так далее, благодаря чему неплохо выявляются и в процессе Threat Hunting, да и впрямую антивирусным ПО.

Дальше мы не будем писать очевидные тезисы про то, как должен быть устроен процесс реагирования на APT, как устроен цикл локализации и что зачистка нередко выводит нас из собственной инфраструктуры в инфраструктуры подрядчиков. Тем не менее, напомним о важном. Чем отличаются группировки, нацеленные на хактивизм и/или шпионаж, от классических группировок, нацеленных на монетизацию? Первые всегда возвращаются и продолжают атаки на инфраструктуру до достижения своей цели. Поэтому если нам удалось легко и непринужденно разобраться с первой волной, необходимо готовиться к следующим. Что может быть полезно в этом случае:

·       Проверка дальних узлов инфраструктуры (филиалы, ДЗО, технические площадки) на признаки компрометации;

·       Техническая проверка подрядчика (если он был задействован в инциденте) о выполнении мер;

·       Широкое информирование всех подрядчиков, вовлеченных в работу по компании, о произошедшем инциденте и выдача задач по мобилизации/усилению мероприятий по защите, даже если инцидент коснулся какого-то конкретного объекта инфраструктуры.

Опасение публичности в данном случае резонно, но а) мы с атакой успешно справились б) NDA с подрядчиками позволит минимизировать широкое распространение информации c) риски следующей волны атаки, которая точно будет более подготовленной, практически всегда выше, чем опубличивание информации.

Вместо заключения

Работа с провайдером кибербезопасности — это не просто делегирование задач, а постоянное взаимодействие и обмен информацией. Чем больше контекста вы предоставляете, тем точнее будет анализ и тем проще будет бороться с реальными угрозами. И помните: отражение одной атаки — это не конец, а начало подготовки к следующей.

 Команда центра противодействия кибератакам Solar JSOC