Наверное, все аналитики SOC спят и видят, как их правила обнаружения ловят модные приемы проправительственных APT-групп, а расследования приводят к обнаружению эксплоитов для уязвимостей нулевого дня.
К сожалению (или к счастью), большинство инцидентов, с которыми приходится сталкиваться среднестатистическому ответчику, гораздо менее романтичны: использование для распространения неназванных PsExecs, классические методы обхода UAC для повышения привилегий и огромное количество уязвимостей, патчи для которых уже давно установлены.
был освобожден.
Вспоминая прошлые инциденты, невольно приходишь к выводу, что почти каждый из них можно было бы относительно легко предотвратить, если бы… Если бы все было сделано так, как уже много раз описано в различных руководствах и лучших практиках информационной безопасности.
Поэтому сегодня мне бы хотелось не только рассказать об одном из наших недавних случаев реагирования на инциденты, но и напомнить о необходимости установки патчей даже на «системы под ключ».
До сих пор довольно распространено заблуждение, что информационная безопасность должна быть функцией, а не процессом.
Как правило, это выглядит так: «Сделайте для нас безопасно, и тогда мы сами все поддержим».
Особенности бизнеса в сфере информационной безопасности таковы, что компания-интегратор услуг, которая «делает это безопасно», не будет спорить с заказчиком.
Он сделает это и пойдет дальше – нести информационную безопасность в массы.
А заказчик, подписав акты сдачи работ и заплатив деньги по договору, останется в наивной уверенности, что у него все хорошо, информационная безопасность построена на века.
Сюрприз, как говорится, будет позже.
Потому что информационная безопасность – это активный, постоянно меняющийся процесс, который невозможно исправить раз и навсегда.
И потребители часто забывают об этой «маленькой особенности».
Информационная безопасность, как и любой бизнес-процесс, состоит из множества элементов, без которых он не работает. Один из них — управление исправлениями.
Как следует из названия, управление исправлениями — это процесс управления обновлениями программного обеспечения, предназначенный для устранения дыр в безопасности или поддержания адекватного уровня безопасности (типичного для серверного программного обеспечения или ОС), а также для решения проблем с прикладным программным обеспечением.
Из дела Географически распределенная закрытая сеть на базе решений Microsoft, состоящая примерно из 200 хостов.Необходимость установки патчей, особенно направленных на обновления безопасности, обсуждалась много и часто.Два из них имеют на борту вторую сетевую карту и имеют доступ в Интернет. По всем параметрам инфраструктура должна соответствовать требованиям № 187-ФЗ «О безопасности критической информационной инфраструктуры».
В связи со спецификой основного программного обеспечения обслуживанием инфраструктуры занимаются две сервисные компании.
На момент подключения «пожарной команды» Solar JSOC инфраструктура не функционировала более 2 суток.
Если вы введете «Политика управления исправлениями» в любую поисковую систему, вы получите около 100 миллионов результатов, по которым можно отследить первые активные обсуждения, начавшиеся еще в 2006 году.
В начале 2007 года SANS опубликовала документ под названием «Управление исправлениями».
Часть стандартных операций.
», в самом начале которой довольно доходчиво объяснено, что такое патч-менеджмент и зачем он нужен.
Причем объясняется на языке, доступном не только техническому специалисту, но и пользователю.
менеджер, далекий от ИТ.
Более поздний документ, Специальная публикация NIST 800-40, редакция 3. Руководство по технологиям управления исправлениями на предприятии, датируется 2013 годом и до сих пор подчеркивает необходимость применения критических обновлений ISO/IEC 27001. Любимый в России стандарт :2015 содержит подраздел 12.6 «Управление технологическими уязвимостями», целью которого является предотвращение эксплуатации обнаруженных уязвимостей.
Из дела По информации, предоставленной сервисными компаниями: за последние 48 часов практически все хосты в сети испытывают загрузку процессора около 100% и вызывают BSOD. Многочисленные попытки использования сертифицированного антивирусного ПО не дали результатов: зафиксированы многочисленные повторные заражения вредоносной программой Trojan.Equation. Кроме того, был обнаружен откат антивирусных баз на декабрь 2017 года.Наиболее известные вирусные атаки — WannaCry и NotPetya. Оба вируса эксплуатируют уязвимость в протоколе SMB в системах Windows и были опубликованы группой ShadowBrokers в апреле 2017 года.Нет доступа по RDP. И как вишенка на торте: данные о количестве автоматизированных рабочих мест, полученные как от интеграторов, так и от потерпевшей стороны, различаются.
Последняя инвентаризация была проведена за несколько лет до инцидента системным администратором, уже вышедшим на пенсию.
Никаких планов преемственности не существует.
Однако полученная разрозненная информация позволяет сделать предварительные выводы о путях распространения вируса в сети и дать первые рекомендации по противодействию.Одним из основных является отключение протоколов SMBv.1 и SMBv.2, чтобы остановить распространение вредоносного ПО по сети.
С момента поступления запроса о помощи до выдачи рекомендаций прошло около 3 часов.
При этом месяцем ранее Microsoft выпустила патч, закрывающий уязвимость EternalBlue в своем бюллетене по безопасности MS17-010. И «бахнул» в мае-июне 2017 года.
Последствия этих вирусных атак не были бы такими критическими, если бы жертвы не проигнорировали критическое обновление и вовремя не установили патч.
К сожалению, известны и случаи, когда критические патчи приводили к сбоям в работе стороннего ПО, но последствия были не такими глобальными, как в случаях массовых вирусных атак.
На волне ажиотажа вокруг майнинга криптовалют уязвимости в сетях компаний становятся особенно привлекательными: вы можете использовать чужие ресурсы для необходимых вычислений, доводя хосты до физического уничтожения.
Из дела «Пожарная команда» Solar JSOC выявила многочисленные попытки заражения исследуемой инфраструктуры вирусами для майнинга криптовалют, одна из которых использовала для распространения уязвимость EternalBlue. Анализ логов и образцов карантина антивирусной защиты также показал наличие в пострадавшей инфраструктуре вредоносного ПО WannaMine, предназначенного для майнинга криптовалюты Monero. Одной из особенностей обнаруженного вируса является его механизм распространения, аналогичный ранее появившемуся WannaCry. Также в каталогах SpeechsTracing были обнаружены файлы, полностью идентичные архиву, опубликованному ShadowBrokers полтора года назад. При проведении работ по нейтрализации вирусной атаки в зараженной инфраструктуре были установлены множественные обновления, выпущенные Microsoft с 2016 года по настоящее время.Практика показывает, что многих проблем можно было бы избежать, если бы не пытаться во всем разобраться собственным умом.С момента подключения специалистов JSOC к работе до момента перевода инфраструктуры в «боевой» режим прошло около 50 часов.
Более того, большая часть времени ушла на координацию действий между потерпевшей стороной, сервисными компаниями и нашей командой.
Не стоит полагаться на то, что «у нас свой, особенный путь».
В эпоху цифровых технологий эта парадигма не работает. В настоящее время написано огромное количество рекомендаций и пособий по предотвращению катастроф различного происхождения.
Тем более, что с современными технологиями это сделать относительно легко.
С детства помню прекрасную фразу Сервиса 01: «Пожар легче предотвратить, чем тушить», которая как нельзя лучше отражает здравый подход к управлению патчами.
Как транслировать обновления
Прежде всего, необходимо выстроить процесс управления обновлениями в инфраструктуре для быстрого закрытия старых и противодействия новым уязвимостям в компонентах ОС, приложений и системного программного обеспечения, а именно:- разработать и внедрить регламенты управления обновлениями ОС, приложений и компонентов системного программного обеспечения;
- выполнять работы по развертыванию и настройке в серверном сегменте Windows Server Updates Services (WSUS) — службы обновлений операционных систем и продуктов Microsoft;
- осуществлять постоянный мониторинг актуальности обновлений, установленных в инфраструктуре пострадавшей стороны, и оперативно устанавливать новые критические обновления безопасности.
-
Левитация Светящейся Лампочки
19 Oct, 24 -
Весь Хаб
19 Oct, 24
