От обнаружения инцидента до цифровой криминалистики, анализа malware и подготовки отчёта.
Почему компании продолжают проигрывать кибератаки
Если посмотреть на отчёты по кибербезопасности последних лет, можно заметить одну интересную вещь.
Количество атак растёт.
Сложность атак растёт.
Стоимость атак растёт.
А вот уровень защиты компаний — не всегда.
Проблема в том, что многие организации до сих пор думают о безопасности примерно так:
«Нужно поставить антивирус, firewall и всё будет нормально».
На практике всё работает иначе.
Современная атака редко выглядит как «вирус, который сразу всё ломает».
Чаще это долгий и тихий процесс проникновения в инфраструктуру.
Типичный сценарий выглядит так:
фишинговое письмо
заражение компьютера
закрепление в системе
повышение привилегий
перемещение по сети
кража данных или шифрование инфраструктуры
И иногда между первым доступом и реальной атакой проходят месяцы.
Поэтому сегодня основной вопрос безопасности звучит так:
не «можно ли предотвратить атаку»,
а «насколько быстро мы её обнаружим».
События безопасности и инциденты
Любая IT-система генерирует огромное количество событий.
Например:
вход пользователя
запуск процесса
открытие файла
сетевое соединение
изменение конфигурации
В крупных инфраструктурах таких событий могут быть миллионы в сутки.
Но только часть из них является проблемой.
Поэтому важно понимать разницу между двумя понятиями:
Security Event — событие безопасности
Security Incident — инцидент безопасности
Событие — это просто факт действия.
Инцидент — это событие, которое:
нарушает политику безопасности
указывает на атаку
может привести к ущербу.
Разница между обычными событиями системы и реальным инцидентом безопасности
Три принципа безопасности
Если открыть любой стандарт по информационной безопасности — например ISO 27001 — почти всегда всё начинается с одной модели.
Она называется CIA-triad.
CIA — это три фундаментальных принципа безопасности:
Confidentiality
Integrity
Availability
Именно вокруг них строится вся система защиты.
Конфиденциальность
Конфиденциальность означает, что данные видят только те, кому это разрешено.
Пример нарушения конфиденциальности:
утечка базы клиентов
доступ к медицинским данным
публикация внутренней документации компании.
Для защиты конфиденциальности используют:
контроль доступа
шифрование
DLP системы
многофакторную аутентификацию.
Целостность
Целостность означает, что данные не были изменены.
Иногда злоумышленнику даже не нужно красть данные.
Достаточно их исказить.
Например:
изменить финансовые транзакции
подменить конфигурацию сервера
изменить исходный код приложения.
Доступность
Доступность означает, что система работает тогда, когда она нужна.
Самый известный пример нарушения доступности — DDoS-атаки.
Сервер получает огромное количество запросов и просто перестаёт отвечать.
Три фундаментальных принципа информационной безопасности
Почему происходят инциденты
Причины инцидентов обычно довольно банальны.
И почти никогда не связаны с «гениальными хакерами».
На практике чаще всего это:
1. Уязвимости ПО
Любое программное обеспечение содержит ошибки.
Некоторые из них позволяют злоумышленнику получить доступ к системе.
Классический пример — уязвимость EternalBlue.
Она стала причиной атаки WannaCry.
2. Ошибки конфигурации
Очень частая проблема.
Например:
база данных открыта в интернет
сервер доступен без аутентификации
слабые пароли администратора.
По статистике, огромная часть утечек данных происходит именно из-за таких ошибок.
3. Социальная инженерия
Иногда ломать систему вообще не нужно.
Можно просто обмануть пользователя.
Например:
фишинговое письмо
поддельная страница входа
звонок «от службы безопасности».
4. Инсайдеры
Иногда угрозы исходят изнутри компании.
Это могут быть:
недовольные сотрудники
ошибки персонала
случайная утечка данных.
Классификация инцидентов
Инциденты безопасности обычно делят на несколько категорий.
Самые распространённые:
сетевые атаки
вредоносное ПО
утечки данных
инсайдерские угрозы
компрометация аккаунтов
атаки отказа в обслуживании.
Основные категории инцидентов информационной безопасности
Критичность инцидентов
Все инциденты делятся по уровню критичности.
Типичная шкала выглядит так:
Low
Medium
High
Critical
На практике критичность определяется несколькими факторами:
количество затронутых систем
тип данных
влияние на бизнес
вероятность повторения атаки.
Оценка критичности инцидентов информационной безопасности
Что происходит после обнаружения атаки
Если система обнаружила инцидент — это только начало.
Дальше начинается Incident Response.
Это процесс реагирования на инцидент.
Он включает несколько этапов:
подготовка
обнаружение
анализ
сдерживание
устранение
восстановление.
Жизненный цикл реагирования на инциденты безопасности
Почему Incident Response важнее антивируса
Многие компании до сих пор думают, что безопасность — это просто набор защитных средств.
Но практика показывает:
защита может быть пробита.
И тогда единственное, что спасает компанию — быстрое реагирование.
Хорошая IR-команда может:
обнаружить атаку
изолировать заражённые системы
остановить распространение
восстановить инфраструктуру.
Именно поэтому сегодня крупные компании создают SOC — Security Operations Center.
Это центры мониторинга безопасности, которые работают 24/7.
Что такое Incident Response
Incident Response — это процесс реагирования на инциденты информационной безопасности.
Если упростить:
Incident Response — это система действий, которая позволяет обнаружить атаку, остановить её и минимизировать ущерб.
В крупных компаниях для этого создаются специальные команды.
Обычно это:
SOC-аналитики
специалисты по реагированию
специалисты по цифровой криминалистике
инженеры безопасности.
Иногда этот процесс автоматизирован частично.
Но в критических ситуациях человеческая экспертиза всё равно незаменима.
Жизненный цикл реагирования на инциденты
Практически во всех методологиях используется похожая модель.
Она состоит из шести этапов.
Подготовка
Обнаружение
Анализ
Сдерживание
Устранение
Восстановление
Это замкнутый цикл.
После завершения одного инцидента организация должна улучшить свою систему безопасности, чтобы предотвратить повторение.
Этап 1 — Подготовка
Подготовка — это самый недооценённый этап.
Многие организации начинают думать о реагировании уже после атаки.
Это ошибка.
Подготовка включает:
разработку политик безопасности
создание плана реагирования
обучение сотрудников
внедрение систем мониторинга
создание команды реагирования.
Что входит в инфраструктуру реагирования
Типичная инфраструктура включает:
SIEM системы
EDR решения
системы мониторинга сети
системы обнаружения вторжений
инструменты цифровой криминалистики.
Без этих инструментов обнаружить атаку практически невозможно.
Компоненты системы реагирования на инциденты
Этап 2 — Обнаружение атаки
Обнаружение — это момент, когда система понимает, что происходит что-то подозрительное.
Это может происходить несколькими способами.
Например:
анализ журналов системы
мониторинг сетевого трафика
обнаружение аномалий
сигнатуры вредоносного ПО.
Роль SIEM
SIEM — это система управления событиями безопасности.
Она выполняет несколько функций:
сбор логов
корреляцию событий
обнаружение подозрительных действий.
Например, SIEM может обнаружить ситуацию, когда:
пользователь вошёл в систему из другой страны
затем скачал большой объём данных
затем подключился к внутренним серверам.
Отдельно каждое событие может быть нормальным.
Но вместе они могут указывать на атаку.
Поток событий безопасности и обнаружение аномалии
Этап 3 — Анализ инцидента
После обнаружения начинается анализ.
Задача специалистов — понять:
что произошло
как произошла атака
какие системы затронуты
насколько серьёзна угроза.
Этот этап часто занимает больше всего времени.
Потому что атака может быть сложной.
Что анализируют специалисты
В процессе анализа изучаются:
журналы системы
сетевые соединения
процессы на компьютерах
активность пользователей.
Иногда анализ включает десятки источников данных.
Процесс анализа цифровых следов атаки
Этап 4 — Сдерживание атаки
Когда специалисты понимают, что происходит, начинается containment — сдерживание.
Цель — не дать атаке распространиться дальше.
Это может включать:
изоляцию заражённых систем
отключение сетевых сегментов
блокировку учётных записей
остановку подозрительных процессов.
Иногда приходится отключать целые сервисы.
Это неприятно, но иногда необходимо.
Изоляция заражённого сегмента сети
Этап 5 — Устранение угрозы
После сдерживания нужно удалить причину атаки.
Это называется eradication.
На этом этапе выполняется:
удаление вредоносных программ
закрытие уязвимостей
обновление систем
изменение паролей.
Иногда требуется полная переустановка системы.
Очистка системы от вредоносных компонентов
Этап 6 — Восстановление
После устранения угрозы система должна вернуться к нормальной работе.
Это включает:
восстановление данных из резервных копий
запуск сервисов
тестирование системы
усиленный мониторинг.
Возвращение инфраструктуры к нормальной работе
Почему реагирование — это не конец истории
После завершения инцидента работа не заканчивается.
Организация должна:
провести анализ инцидента
выявить причины
изменить процессы безопасности
обновить политики.
Это называется post-incident review.
Именно так компании улучшают свою безопасность.
Что такое Digital Forensics
Цифровая криминалистика — это процесс сбора, анализа и интерпретации цифровых доказательств.
Если сравнить с классическим расследованием преступлений, то специалисты по безопасности работают примерно так же, как криминалисты.
Только вместо:
отпечатков пальцев
следов обуви
видеозаписей
они анализируют:
журналы системы
сетевой трафик
процессы
файлы
действия пользователей.
Главная задача цифровой криминалистики — восстановить последовательность событий.
То есть ответить на вопрос:
что именно произошло внутри системы.
Основные этапы цифрового расследования инцидента безопасности
Как начинается расследование инцидента
Обычно расследование начинается с обнаружения подозрительной активности.
Например:
неизвестный процесс на сервере
соединение с подозрительным IP
массовое скачивание данных
вход администратора в необычное время.
После этого аналитики начинают собирать данные.
Источники данных для расследования
В ходе расследования используется множество источников информации.
Наиболее важные из них:
Системные журналы
Практически каждая система ведёт логи.
Например:
Windows Event Logs
Linux system logs
журналы приложений.
Сетевые журналы
Сетевые устройства также фиксируют события.
Например:
firewall logs
proxy logs
DNS запросы.
Данные endpoint систем
Современные системы безопасности собирают информацию с рабочих станций.
Это может включать:
список процессов
изменения файлов
сетевые соединения
действия пользователей.
Основные источники цифровых доказательств при расследовании инцидента
Почему анализ malware важен
Очень часто причиной инцидента становится вредоносное программное обеспечение.
Поэтому одной из ключевых задач расследования является анализ вредоносного ПО.
Злоумышленники используют malware для:
получения удалённого доступа
кражи данных
шифрования инфраструктуры
скрытого наблюдения.
Поэтому если в системе обнаружен подозрительный файл, специалисты должны понять:
что делает программа
как она распространяется
какие данные она передаёт.
Основные типы вредоносного ПО
Существует несколько основных категорий malware.
Вирусы
Самораспространяющиеся программы, которые заражают другие файлы.
Трояны
Программы, которые маскируются под легитимное ПО.
Сетевые черви
Malware, который распространяется через сеть без участия пользователя.
Spyware
Программы, собирающие информацию о пользователе.
Ransomware
Вредоносное ПО, которое шифрует данные и требует выкуп.
Основные категории вредоносных программ
Методы анализа вредоносного ПО
Существует два основных подхода к анализу malware.
Статический анализ
При статическом анализе программа изучается без запуска.
Специалисты анализируют:
структуру файла
используемые библиотеки
строки в коде
сигнатуры.
Этот метод безопасен, но иногда не позволяет увидеть поведение программы.
Динамический анализ
При динамическом анализе программа запускается в изолированной среде.
Например:
виртуальная машина
sandbox среда.
Специалисты наблюдают:
сетевые соединения
создание файлов
изменение реестра
взаимодействие с системой.
Статический и динамический анализ вредоносного ПО
Как выглядит процесс анализа malware
На практике анализ вредоносного файла проходит несколько этапов.
Получение подозрительного файла
Первичный анализ
Запуск в sandbox
Анализ поведения
Формирование индикаторов компрометации.
Пайплайн анализа вредоносного программного обеспечения
Индикаторы компрометации
Одним из ключевых результатов анализа являются IOC — Indicators of Compromise.
IOC — это технические признаки того, что система была скомпрометирована.
Примеры IOC:
IP адреса злоумышленников
домены C2 серверов
хэши вредоносных файлов
подозрительные процессы.
IOC используются для:
поиска заражённых систем
блокировки атак
обнаружения похожих инцидентов.
Примеры индикаторов компрометации
Threat Intelligence
Современные расследования редко ограничиваются только внутренними данными.
Специалисты активно используют Threat Intelligence.
Threat Intelligence — это информация о киберугрозах, которая собирается из различных источников.
Например:
базы IOC
отчёты аналитических компаний
данные из OSINT
коммерческие threat feeds.
Источники данных для анализа киберугроз
Реальный пример: атака WannaCry
Один из самых известных инцидентов последних лет — атака WannaCry.
Она произошла в 2017 году и стала одной из крупнейших ransomware атак.
Malware использовал уязвимость Windows EternalBlue.
Атака распространялась автоматически через сеть.
В результате было заражено более 200 тысяч компьютеров.
Особенно сильно пострадали:
медицинские учреждения
транспортные компании
государственные организации.
Глобальное распространение атаки WannaCry
Реальный пример: атака NotPetya
Ещё более разрушительной стала атака NotPetya.
Она распространялась через обновление популярного украинского бухгалтерского ПО.
После заражения malware распространялся по сети, используя уязвимости Windows.
В отличие от классического ransomware, цель NotPetya была не выкуп.
Это был деструктивный malware, который фактически уничтожал инфраструктуру.
Ущерб для компаний составил миллиарды долларов.
Цепочка распространения атаки NotPetya
Почему документирование инцидентов критически важно
Многие организации совершают одну и ту же ошибку.
После того как атака остановлена и системы восстановлены, команда безопасности просто «закрывает тикет» и идёт дальше.
Но это неправильный подход.
Если не провести анализ инцидента, то:
атака может повториться
уязвимость останется
процессы безопасности не улучшатся.
Поэтому в зрелых компаниях существует обязательный этап:
post-incident analysis.
Что должен содержать отчет об инциденте
Хороший отчет по инциденту обычно содержит несколько ключевых разделов.
1. Описание инцидента
В этом разделе указывается:
дата обнаружения
краткое описание атаки
тип инцидента.
2. Хронология событий
Очень важно восстановить последовательность событий.
Например:
10:15 — фишинговое письмо 10:18 — запуск вредоносного файла 10:22 — соединение с C2 сервером 10:30 — попытка распространения по сети
Такая хронология помогает понять как развивалась атака.
3. Технический анализ
Этот раздел описывает:
используемое malware
методы проникновения
затронутые системы.
4. Принятые меры
Здесь указывается:
какие действия были предприняты
какие системы были изолированы
какие учетные записи заблокированы.
5. Рекомендации
Самый важный раздел.
Он отвечает на вопрос:
что нужно изменить, чтобы атака не повторилась.
Структура отчета по инциденту информационной безопасности
Как выглядит итоговый отчет расследования
После завершения анализа формируется итоговый отчет.
Он обычно содержит:
источник атаки
используемые уязвимости
затронутые системы
уровень критичности
последствия для бизнеса.
Этот документ может использоваться:
руководством компании
юридическими службами
регуляторами.
В некоторых случаях он может даже стать частью судебного расследования.
Основные результаты расследования инцидента
Как устроен SOC
Во многих компаниях реагирование на инциденты выполняет специальный центр — SOC (Security Operations Center).
SOC — это команда специалистов, которая занимается:
мониторингом безопасности
обнаружением атак
расследованием инцидентов.
SOC обычно работает круглосуточно.
Типичная структура SOC
В большинстве компаний SOC имеет несколько уровней.
L1 — аналитики мониторинга
Их задача — анализировать события безопасности.
Они работают с:
SIEM
логами
алертами.
L2 — аналитики расследования
Эти специалисты проводят более глубокий анализ.
Они:
изучают подозрительную активность
анализируют malware
определяют масштаб инцидента.
L3 — эксперты безопасности
Это наиболее опытные специалисты.
Они занимаются:
сложными расследованиями
разработкой правил обнаружения
улучшением систем безопасности.
Почему атаки всё равно происходят
Даже в компаниях с хорошей безопасностью инциденты происходят.
Причин несколько.
Сложность инфраструктуры
Современные системы очень сложны.
Они включают:
облака
микросервисы
API
множество интеграций.
Каждый элемент может стать точкой атаки.
Человеческий фактор
Сотрудники продолжают оставаться слабым звеном.
Фишинг остаётся одним из самых эффективных методов атаки.
Новые уязвимости
Каждый год обнаруживаются тысячи новых уязвимостей.
Некоторые из них становятся основой масштабных атак.
Как компании должны строить защиту
Сегодня эксперты по безопасности всё чаще говорят о модели:
assume breach
Это означает:
нужно исходить из того, что злоумышленник уже находится в системе.
Поэтому безопасность должна строиться вокруг:
обнаружения
мониторинга
реагирования.
Многоуровневая модель современной кибербезопасности
Практические рекомендации
Если обобщить опыт расследования инцидентов, можно выделить несколько ключевых рекомендаций.
1. Логи должны храниться долго
Многие расследования требуют анализа событий за несколько месяцев.
2. Нужен централизованный сбор логов
Без SIEM анализ инцидентов становится почти невозможным.
3. Нужно регулярно проводить учения
Команда должна быть готова к атакам.
Поэтому многие компании проводят tabletop exercises.
4. Резервные копии критически важны
Многие компании восстановились после ransomware только благодаря бэкапам.
5. Нужно инвестировать в Threat Intelligence
Информация о новых угрозах помогает обнаруживать атаки быстрее.
Вместо вывода
Современная информационная безопасность — это не только защита.
Это способность обнаруживать атаки и правильно реагировать на них.
Ключевые элементы этой системы:
мониторинг
реагирование
цифровая криминалистика
анализ вредоносного ПО
Threat Intelligence.
Именно эти процессы позволяют организациям выживать в условиях постоянных кибератак.
thxStuck
Не знаю, как будто прям вот поверхностная ИИ выжимка. Ну то есть ты читаешь, допуская что человек это сам писал, а оно какое-то вот максимально пресное. Почему условно в рекомендация не написано строить СОК, но заниматься TI надо. Касаемо даже того же сока - ну вот пришел бизнес на эту статью, такой о нифига нам нужен SOC и че и где его строить. Вот даже мониторинг - че мониторить то будем? Все сегменты? А Все - это какие? И вот мы получаем что на самом деле нам бы по хорошему инвентаризировать инфру. Наверное сразу все подрубить мы не сможем - скорее всего у нас сил не хватит. Значит надо определить что для нас важнее. А теперь прикиньте если сети нет? Значит еще и перестроить все надо - а пока перестраиваете получается хакеры не нападают? И вот получается что чета под мониторинг, где-то пройтись повключать дефендоры, где-то поставить антивирусы, проходиться смотреть что юзеры новые не появились, антивирусы не повырубали и попутно строить сеть. К чему я это все? В статье все так расписано будто это вот пальцем щелкни и все. Если они начали строить безопасность - значит они встали на тяжелый и дорогой путь, в котором простых решений не будет. И если писать такую статью - то как будто бы это тоже проговаривать надо. Кстати процесс расследования инцидентов и без СЗИ класа СИЕМ возможен.
AlexeyK77
Этот комментарий полезнее чем вся гигантская простыня статьи.
От себя добавлю, что вся безопасность либо тормозится либо просто разбивается о бардак в ИТ. Если удается продвигаться во безопаности то все равно придется иметь дело с бардаком.
И по хорошему вначале надо не сием внедрять, а построить хотя бы частично процессы ITIL в ИТ.
thxStuck
Да! Без it нет ИБ. Условно если заказчик не знает че куда у него доступно, кто куда ходит - то во время инцидента практически невозможно понять какая активность нормальная, какие инструменты использует атакующий, а какие админы.
thxStuck
Понять возможно* но сьедает время на построение гипотез. Понять конечно чаще всего можно, на то есть соответствующие артефакты и таймлайн. Но это ест куча полезного времени.
hisbvsi
Для обычной организации сойдет.
А что нам ждать с моря погоды? Два года инвентаризацией заниматься?
Иб в любом случае непрерывный процесс, тут сколько не делай, все равно мало будет. Надо с небес на землю спускаться. В текущих реалиях для среднестатистической организации (не бигтеха, который у вендора на обслуге и отдел иб их с вендором в пинг понг играют "делегируя ответственность") ни IR, ни TI не выгодны. Сидит условный отдел 2, в редких случаях 5 безопасников. Никакого деления на профили нет. Что от них надо организации, чтоб их не разогнали и что будет для них области выполнимого? Бесперебойность бизнес процессов. Они не будут делать как с иголочки, они будут делать то, что должно было быть сделано вчера, кое-как, но будут делать. Делать они это будут под шквалом писем пресейлов вендоров красного, синего и зелёного цветов, в которых им будут доказывать, что занимаются они какой-то ерундой, надо прогнозировать, планировать, вкладывать и подписывать бумажки на предоставление услуг. У них не будет полной видимости во внедренном SIEM, но что-то они будут видеть, по гайдам в интернете с опенсорсным сиемом (который по факту и у вендоров опенсорсный, только иконки под свои перекрашены). Нужно ли им будет в IR заниматься расследованием? Не дальше чем поверхностный сбор IOC. Как минимум криминалистикой занимаются для установления причастности лица, но сфера тут такая что бизнес ни с кого ничего не взыщет, а значит смысл тратиться на это? Бизнес интересует только восстановление и часто это идёт во вред сбору доказательств, но кого это волнует, ведь это не пойдет в TI. TI отдельная песня, которая затрагивает отечественную ИБ в целом. Там где по уму: MISP, OpenCTI, abuse.ch, YETI, делятся фидами по типу OTX, sigmapy и под оперсорс и под платные решение можно правила трансформить. У нас?
так вы в колеса палки и ставите, вендора сами гребут бесплатные решения, фиды и продают по невменяемым ценам. А регулятор им зачем то потакает, заставляя всю госуху и КИИ пользоваться их услугами и губя талант/инициативу рядовых безопасников на корню (когда она есть конечно). Причем у каждого вендора такие решения, что гибкости при переходе между ними никакой.
thxStuck
Какой смысл восстанавливаться не найдя точку входа. FULL AHUI. Что вам могу сказать - восстанавливайтесь, пока есть чему. Некст раз без нормального респонса к вам прийдут и в 0 все вместе с беками запишут, будете новый бизнес строить:) Расследование это не по приколу придумали ради TI. Но вы делайте как вы хотите, а мы дружно посмотрим на еще один уничтоженный бизнес.
Просто вот ваш комментарий - это боль типичных безопасников в оргах, я даже ее понимаю. Но наша задача говорить как надо бизнесу - потому что все что вы сказали от того что мир у нас не идеальный, но разве должны мы считать нормой все то что вы сказали? Касаемо IR - его главная задача найти точку входа, найти все закрепы, установить некоторые другие факты если возможно и проконсультировать по восстановлению и тому как сделать чтоб этого не было. Устанавливают причастных пожалуй МВД России и Федеральная служба безопасности. Кстати судит тоже Суд, не вендора) А то вдруг вы не знали. А вот против опенсорса в небольшом бизнесе ничего не имею, просто должен быть порядок. Ну и опенсорса потом будут траблы в масштабировании.
thxStuck
Кстати про уничтоженные бизнесы - у Лукацкого точно было пару постов, фактчекинг в студию.
thxStuck
так вы в колеса палки и ставите
Тут уж в трудной ситуации сильный ищет выход, слабый оправдания.
--------------
Кстати вот заметил вы взяли мой комментарий и немного как будто не верно его интерпретировали. Я как раз говорю что пока инвентаризацией всей темой занимаетесь, то где-то просто прошлись позакрывали порты, повключали дефендеры, где-то мб сами посканили файлы. Ну если можете - то антивирусники позапускали. Есть много чего можно сделать для уменьшения вероятности, для усложнения и без дорогих сзи.
Я наоборот это и говорил выше.
Про гибкость решений тоже понимаю, согласен. Вообще во многом согласен в целом, просто процесс IR у нас большие расхождения.