Обнаружение атак. Базовый алгоритм для тех, кто в ИБ третий день

Логотип компании
Обнаружение атак. Базовый алгоритм для тех, кто в ИБ третий день
Обнаружение атак — функция в рамках обеспечения информационной безопасности организации, выполнение которой тесно связано с мониторингом активов и выполнением требований регуляторов.

Основные группы рисков — это утечки информации (коммерческой либо банковской тайны и данных клиентов), хищение средств и нарушение работы информационных систем, ведущее к прерыванию или остановке критичных процессов и последующему ущербу (упущенная выгода, нарушение договорных обязательств, репутационные потери).

Разберем сегодня один сценарий — когда ИБ нужна «по идее», «потому что так надо». То есть компания осознает необходимость некоего минимального набора ИБ-активностей, но денег и рук нет от слова «совсем», а надо вчера.

Писать статью для тех, кому она не нужна, — задача, с одной стороны, неблагодарная. С другой — утрамбованные в пять минут чтения базовые принципы решения одной из основных задач ИБ, а именно обнаружения кибератак, могут пригодиться тем, кому пока не нужны фундаментальные знания в этой области. Итак, начнем с некоего минимального набора мер для обнаружения атак, упоминая о необходимости создания модели угроз. Еще раз: вопросов выбора и установки самых базовых средств защиты мы не касаемся. Мы уже на следующем этапе.

Вопрос № 1. Кто или что? (Спойлер: человек — дешевле)

От вас ожидают, что вы сможете обнаруживать атаки без использования патентованных спецсредств? Смело говорите «нет». Ссылка на «сына маминой подруги» тут не годится. Обнаружение и расследование атак вручную — трудоемкий и потому долгий процесс, который может затянуться на недели, что делает эту работу бессмысленной. Злоумышленники уничтожают следы своего пребывания в системе для повторного хищения средств и данных с использованием тех же бэкдоров и учетных данных. И пока вы будете разбираться в том, что и почему произошло, — расследовать будет уже нечего.

На практике спорить с финансистами и руководством без убойных козырей на руках бесполезно, поэтому для вида можно сымитировать бурную деятельность, используя так называемые ELK -стеки (системы хранения логов) — Elasticsearch, Logstash, Kibana (опционально FileBeat). Однако и здесь совсем бескровно решить проблему не получится: для их настройки понадобятся специалисты с опытом работы с данными технологиями. Найти сегодня на рынке такого человека крайне проблематично, если вообще реально.

Так что если вы только начинаете заботиться о ИБ, я бы советовал использовать уже готовые решения, а если не дают — то по крайней мере выбейте штатную единицу специалиста по ИБ, который запустит процессы. Просите больше — получите сколько нужно. Не первый год замужем же.

Вопрос № 2. Что делает? (Моделирование угроз)

Чтобы успешно обнаруживать атаки, надо понимать, что именно нужно искать, иными словами, разработать модель угроз. Для этого изучаются виды атак и определяются критичные для компании ресурсы, на которые с большей вероятностью будут направлены атаки. Отталкиваясь от этого, прогнозируются вероятные сценарии реализации угроз ИБ в системах и сетях организации. Затем выстраивается периметр защиты, внедряются необходимые средства защиты информации (СЗИ), назначаются ответственные сотрудники для оперативного реагирования и минимизации рисков ИБ. Это позволяет сэкономить время и силы на битье по площадям.

Виды атак перечислены в матрице MITRE, а также в «Методике оценки угроз безопасности информации», утвержденной ФСТЭК России 5 февраля 2021 года. Если ваша компания не относится к КИИ, то я бы рекомендовал распараллелить процессы внедрения базовых СЗИ и составления модели угроз по данной методике. Унификация подходов с регуляторами не приносит ничего, кроме пользы, и чем дальше — тем больше. Если в штате есть специалист по информационной безопасности или сотрудники компании прошли переподготовку в данной области, привлекать сторонних специалистов нет необходимости.

Сотрудники смогут самостоятельно провести базовый технический аудит, найти уязвимости и слабые места в инфраструктуре предприятия и затем в текущем режиме дорабатывать модель угроз на основе данных, полученных от сканеров уязвимостей. Но в дальнейшем помощь внешних аудиторов все равно понадобится — для верификации и апдейта модели, обнаружения новых слабых мест и определения возможных векторов атак с учетом изменения ландшафта угроз.

Есть один момент: защита на основе результатов самооценки не будет работать, если компанию атакует APT-группировка. В этом случае необходимо привлекать тяжелую артиллерию (профессионалов).

Вопрос № 3. Чем и как? (Выбор инструментария)

Как такового алгоритма внедрения средств защиты с целью обнаружения (а не блокировки и парирования) атак не существует. Все зависит от размеров компании, специфики бизнес-процессов и тех потребностей, которые перед ней стоят. Если это не большая, но растущая (в первую очередь численностью персонала) компания, то первым делом обязательно нужно внедрить антивирусные решения на рабочие станции и критичные ресурсы (служба каталогов, терминальный сервер и т. д.). Вроде бы прописная истина, но я встречал случаи, когда пренебрегали даже этим. С появлением каждого нового сотрудника риски заражения увеличиваются — и минимизировать их иначе, чем с помощью антивирусного ПО, можно только путем полного отключения доступа сотрудников к Интернету, электронной почте и внешним портам (USB, CD).

Вторым после вирусов способом совершения компьютерной атаки является эксплуатация уязвимостей ПО. Это возможно в двух случаях: когда злоумышленники обнаруживают и используют уязвимость ПО или «железа», о которой разработчик не знал и потому не успел выпустить обновление, позволяющее ее закрыть, или когда обновление выпущено, но компания не устанавливает их на серверах и рабочих станциях, опасаясь нарушить непрерывность работы процессов, либо потому что оперативно обновлять систему просто некому. С первым случаем понятно — защиты от него нет, это тот самый «черный лебедь», который даже не форс-мажор. Что касается обновлений — то если организация не может устанавливать их по мере выхода, нужно как минимум вести постоянный контроль версионности используемого на предприятии программного обеспечения и обновлять его по графику.

Следуя по пути минимизации издержек и усилий, при первичной настройке процессов обнаружения атак нужно определиться, какие системы и сети чаще всего становятся их объектами, провести первичную инвентаризацию ИТ-активов. Здесь почти все зависит от отраслевой принадлежности вашей компании. К примеру, если вы интернет-магазин и у вас не установлен файервол веб-приложений (WAF), то можете быть уверены, что ваш сайт будет подвержен постоянным атакам злоумышленников. Что в свою очередь может отразиться на работе магазина и повлечь за собой репутационные и финансовые потери. В любом случае, чтобы понять, какие средства обнаружения атак устанавливать, нужно также определиться, какие виды угроз характерны в принципе для вышей пока не большой, но развивающейся компании, и какие атаки наносят им наибольший вред (см. пункт 2).

Основную угрозу в данный момент представляют вирусы-шифровальщики. За время своей эволюции они прошли путь от шифрования данных на рабочих станциях или серверах компании с целью выкупа до предварительного хищения шифруемых документов с целью шантажа и перепродажи. То есть данные скачиваются на серверы злоумышленников и, если жертва отказывается уплатить выкуп, публикуются. Поскольку часто риски потери конфиденциальности данных выше рисков потери их самих — от таких атак страдают не только малые предприятия, но и крупные компании. Также в последнее время заметно участились атаки на интеллектуальную собственность компаний.

Для защиты от шифровальщиков есть смысл в первую очередь использовать антивирусные решения и внедрять средства обнаружения нелегитимной активности (системы мониторинга и управления событиями информационной безопасности (SIEM) и другие) и вести постоянный аудит инфраструктуры.

Непреходящей проблемой для любых предприятий остаются фишинговые рассылки. Осведомленность населения, а значит, и сотрудников большинства организаций в области ИБ до сих пор критически низкая, что позволяет злоумышленникам похищать чувствительную информацию и получать несанкционированный доступ в сеть предприятий.

Для предотвращения такого рода инцидентов необходимо проводить постоянное обучение сотрудников основам киберграмотности и противодействия фишингу. Также есть смысл внедрить систему раннего предупреждения киберугроз или киберразведки (Threat Intelligence — TI), которая будет проверять вложения в режиме реального времени, а также использовать спам-фильтры и шлюзы защиты электронной почты.

Если говорить об атаках изнутри — со стороны внутренних инсайдеров (недобросовестных сотрудников или внедренных промышленных шпионов) — то для их обнаружения необходимы решения типа DLP (Data Leak Prevention — защита от утечек конфиденциальной информации и PAM (Privileged Access Management — контроль привилегированных пользователей).

По мере роста ИТ-инфраструктуры придется внедрять более серьезные средства защиты — такие как SIEM (своего рода центр обнаружения инцидентов), системы предотвращения и обнаружения вторжений (IPS и IDS) и «песочницы», где будут открываться сомнительные файлы. Но перед этим в штате компании должен появиться сотрудник, который будет курировать процесс внедрения, настройки и заниматься администрированием этих систем.

В целом вывод из вышесказанного один для всех: построение периметра безопасности — это каждый раз индивидуальный подход. Сомневаюсь, что он вам понравился — но лучше так, чем «хотели как лучше, а получилось как всегда».

Опубликовано 27.10.2021

Похожие статьи