BIS Journal №1(28)/2018

13 апреля, 2018

Уроки Простоты

Всеобщее увлечение популярными продуктами обеспечения ИБ – Sandbox, UEBA, SIEM, DLP – удивляет, ведь такие продукты могут быть эффективны только в операционной среде определенного уровня. В среде с четко заданными понятиями «хорошо» и «плохо», с регламентированными ИТ-процессами. Дабы не быть голословными, приведем пример одного из дней, когда, не смотря на наличие целого спектра систем ИБ (SIEM, host Anti-APT и многих других), инцидент ИБ реализовался и был обработан. Возьмем самый показательный пример – заражение вредоносом типа «ransomware» или попросту шифровальщиком-вымогателем.

Система координат: государственная компания, распределенная инфраструктура, десятки тысяч ПК, установленные и используемые средства ведущего российского производителя в качестве защиты конечных точек, известный российский сканер как система сканирования уязвимостей, еще десяток других средств защиты информации (СЗИ) (накопленный размер инвестиций в системы защиты информации за несколько лет составил более 500 миллионов рублей) и команда Managed Services (поддержка СЗИ) из 15 человек MSSP-провайдера.

Дата: 15-го сентября 2017 года.

Последовательность событий.

В 10:00 в MSSP-провайдер поступило сообщение о возможном вирусном заражении в государственной организации с компьютерным парком более 30 000 точек.
По результатам генерирования отчетности о сетевых атаках средствами Kaspersky Security Centre было выявлено 82 зараженных ПК в сети, 38 из которых принадлежали одному из филиалов. Первая атака датировалась 13-м сентября и была принята как точка отсчета.
Инструмент атакующих в соответствии с отчетом Kaspersky Security Centre фиксировался как «Kintrusion.win.ms17-tcp010.o», использующий нашумевшую уязвимость в SMBv1, закрытую Microsoft в патче MS-17010.
Причиной заражения и долгого периода обнаружения стало отсутствие ПК в домене, и как следствие – нераспространение политик по установке обновлений ОС и агентов антивирусного ПО на такие ПК.
Отсутствие ПК в домене, равно как и отсутствие антивирусного ПО, было вызвано недостаточной аппаратной мощностью десятков ПК.
Процесс реагирования был начат с 38 ПК, сосредоточенных в одном из удаленных филиалов (ЦФО). Производилось обновление ОС и установка антивирусных средств там, где позволяли мощности машин. При невозможности подключения к зараженным машинам, проблема эскалировалась выше с просьбой оказать содействие в отключении. Аналогичные рекомендации были переданы в другие филиалы компании, в которых были обнаружены зараженные ПК (еще 44 единицы).
Для выявления других зараженных машин также использовалось сканирование сканером защищенности на уязвимость к WannaCry. Полученный список был передан инженерам на объекте для установки обновлений.
В 15:00 появилась информация от работников пострадавшей компании, что выявленный вредонос не является WannaCry и не шифрует данные, а приводит к перезапуску серверов, вызванному ошибками операционной системы.
В 15:00 представители MSSP стали создавать групповую политику, отключающую службу mssecsvc2.0. Отключение этой службы заставляло вредонос «засыпать», т.е. обезвреживать вредонос даже на машинах без современного антивируса.
В 17:00 представителями MSSP предложено отключить все зараженные машины от сети. IP-адреса были известны, необходимо было вычислить MAC-адреса и отключить порты, на которых были зарегистрированы такие MAC.

Тело вредоноса было получено 18-го сентября с ПК с нестандартной политикой и без установленного антивируса. По итогам расследования были отмечены интересные моменты, дополняющие общую картину развития инцидента.

Файл на исходной машине в карантине детектируется как wanna.a, но при сохранении на другом ПК определяется как wanna.m.
Исходя из данных по результатам проверки файла на VirusTotal, лишь 48 из 63 антивирусных движков находят вирус (при этом с разными номенклатурами: и «m», и «a», и «h»), а сигнатурный анализ от 2-х из 4-х лидеров рынка NGFW (по версии Gartner) с актуальными базами определяет файл как «чистый».

Полученный опыт позволил сделать ряд однозначных выводов:

«Снова к основам». Никакие, даже самые дорогостоящие и функциональные средства защиты, не спасут, если нет основ – установленных обновлений, безопасной конфигурации рабочих станций и серверов, установленных и обновленных антивирусов.
«Подковать блоху». Даже в условиях отсутствия современного антивируса, экспертиза профессиональной команды может помочь остановить атаку.
«Время – деньги». Несмотря на предотвращенный ущерб от инцидента, атака длилась минимум 7 часов. Ее можно было остановить быстрее, будь у Заказчика свой SOC или подключение к сервисному SOC. В данном случае пришлось использовать традиционную команду Managed Services с несколько иным фокусом на администрирование СЗИ и без SLA на реагирование.

Общий вывод.  Защищенная корпоративная инфраструктура основывается на работе профессиональной команды защитников (желательно внутренней) и отлаженных процессах управления стандартами ИТ-инфраструктуры и взаимодействия ИТ и ИБ-подразделений. А уж технологии – фундаментально вторичны.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.11.2022
В США запретили продажу телеком-харда из Китая
28.11.2022
Минцифры: Россия обречена на то, чтобы сделать необходимый прорыв в ИТ
28.11.2022
«… нанесёт России непоправимый вред». Майнеры недовольны новым проектом закона о майнинге
25.11.2022
Кибердружинники получат юридический статус?
25.11.2022
Стилеры атакуют пользователей Steam, Amazon и PayPal
25.11.2022
Минцифры хочет ввести систему компенсаций для жертв утечек
25.11.2022
Китайские геймеры укладываются в три часа
24.11.2022
Минцифры наметило перестановки в номенклатуре ПО
24.11.2022
Банк России привёл цифры третьего квартала: сколько скамеров заблокировано, сколько похищенных средств возвращено
24.11.2022
Жуки и альтруизм. Российские вендоры обсуждают с властями «госбагбаунти»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных