Опыт MSSP по противодействию кибератакам

• Действия злоумышленников стали очень сфокусированными. В атаках прослеживается четкая ориентация на прямую (вывод средств) или косвенную (похищение информации) монетизацию затраченных усилий.
• Практически все атаки используют самый слабый элемент в структуре защиты – человеческий фактор. Социальная инженерия является основным и самым эффективным инструментом доставки вредоносного кода и получения контроля над сетью, что сводит на нет длительные усилия по выстраиванию периметровой защиты организации (но, конечно, не умаляет их значимости и необходимости).

Solar JSOC как коммерческий центр мониторинга и реагирования на инциденты большую часть времени и усилий посвящает детектированию и противодействию данным типам атак. А учитывая, что характер деятельности обязывает нас работать с разными инфраструктурами и классами средств защиты, в данной статье я хотел бы поделиться опытом по использованию различных технологий и подходов к противодействию кибератакам.

Как раскрасить Интернет, или Агрегация информации об угрозах

Одним из базовых подходов к выявлению атак является использование репутационных баз, или фидов, – совокупной информации об адресах центров управления бот-сетями, вредоносных или фишинговых сайтах, сигнатурах сетевого взаимодействия вредоносного ПО и такдалее . Такого рода информацию предоставляет целая россыпь компаний: вендоры сетевых решений накапливают статистику при помощи своего оборудования, антивирусные лаборатории делятся знаниями по анализу вредоносного ПО, криминалистические лаборатории формируют фиды по итогам расследования инцидентов и реверс-анализу появляющихся в них вредоносных объектов. Сейчас распространены два способа предоставления репутационных баз:

• Техническая подписка. Репутационные базы распространяются в структурированном текстовом виде, от компании требуется имплементировать эти базы в свою инфраструктуру и системы информационной безопасности.
• Программные или аппаратные модули, включающие инструментарий для обработки сетевого трафика и выявления атак с помощью данных репутационных баз.

Среди особенностей, которые стоит учитывать при работе с репутационными базами, стоит отметить:

• Достаточно существенный объем данных. Базы обычно содержат от нескольких десятков тысяч до нескольких миллионов записей, и это накладывает ограничения на инструментарий, который может использоваться для их обработки и применения. С очень низкой вероятностью такую задачу можно решить на базовых средствах защиты – межсетевом экране, прокси или классической системе обнаружения вторжений. Как правило, основными инструментами доставки и обработки фидов служат SIEM-платформы. Сопоставляя информацию из журналов прокси и межсетевого экрана с репутационной базой, SIEM позволяет выявить сам факт обращения, эффективно оценить его частоту, активность и объем передаваемого трафика, а также помогает принять первое решение о необходимости продолжения расследования.
• Особенности релевантности базы, связанные с большим объемом данных. Отнюдь не каждое обращения к IP/домену из репутационного списка является подтвержденным инцидентом, требуются дополнительная аналитика выявляемых инцидентов, а также приоритизация и ранжирование информации в самих репутационных базах.

Эти факторы делают внедрение и использование репутационных баз в компании крайне емкой задачей с точки зрения внутренней аналитики и исследований. Поэтому поставщики таких баз часто рекомендуют пользоваться услугами профессиональных сервис-провайдеров или забирают аналитику в свои руки, предоставляя комплексные услуги по мониторингу инцидентов, которые были выявлены на основании репутационных баз.

Значит ли это, что репутационные базы – плохой инструмент для выявления хакерских атак? Разумеется, нет. Репутационные базы – эффективный инструмент противодействия массовым широковещательным атакам: информацию о них быстро узнают профильные вендоры, но при этом они очень опасны. Помимо этого репутационные базы позволяют выявлять атаку на компанию на самом раннем этапе проникновения вредоносного ПО в сеть компании, т.е. при первой попытке установить связь с центром управления, и это позволяет купировать атаку до ее развития. Предлагаю разобрать данную ситуацию на примере.

Стали бы для вас поводом для детального анализа и расследования зафиксированные факты регулярного (раз в 20 минут) обращения на сервер, попадающий в категорию центров управления вредоносным ПО, с АРМ финансовой службы? Наверняка да. При этом, подключившись к самому АРМ для детального анализа, вам скорее всего удалось бы зафиксировать массу интересных активностей: созданную локальную учетную запись с правами администратора, удаленный shell для управления машиной, маскирующийся под легитимную используемую в компании утилиту удаленного администрирования (например vuupc), и факты изменения реестра для возможности мультисессионой работы за машиной (чтобы злоумышленник мог совмещать свою деятельность со своей нормальной работой). Насколько высока вероятность того, что все указанные аномалии вы сможете выявить вручную или автоматически без первого сигнала от репутационных баз? Если ваш парк рабочих станций превышает 1500 машин, крайне маловероятно. Является ли такой инцидент достаточно значимым, чтобы задуматься о приобретении репутационных баз? Решать только вам.

Целевые отчеты, или будь на острие информации

Еще одна сложность глубокого использования репутационных баз состоит в том, что они явно сфокусированы на сетевом взаимодействии вредоносного ПО со злоумышленником: сигнатурах взаимодействия и адресации центра управления. Оба показателя не являются универсальными – для злоумышленника не составит особого труда изменить центр управления на новый, еще не засвеченный, и на долгое время оказаться за пределами репутационных баз. Поэтому анализ признаков вредоносного ПО требует более комплексного подхода, в частности расширения сетевых индикаторов информацией о поведении ПО на конечном хосте:

• какие изменения вносятся в реестр и системные процессы;
• какие файлы создаются при его установке;
• какие внутренние или сопутствующие процессы используются в его работе.

В совокупности с сетевыми индикаторами эта информация образует IoC (индикатор компрометации) вредоносного ПО, который позволяет с высокой точностью определять его наличие в сети. Базы таких индикаторов компрометации предоставляются некоторыми вендорами в рамках отдельных специализированных подписок. Они распространяются по крайне узкому кругу крупных корпораций и сервис-провайдеров и включают наиболее сложно детектируемые примеры атак злоумышленников.

Как правило, именно вредоносное ПО, попадающее в APT Reporting, впоследствии упоминается в различных отчетах по кибербезопасности как инструмент массовой атаки и причина финансово-репутационных потерь компаний. В качестве дополнительного бонуса: для служб информационной безопасности информация из данных подписок максимально проста в интерпретации и обработке. В рамках своих сервисов мыобычно предлагаем клиентам следующий алгоритм работы:

• Блокирование на активных средствах защиты (межсетевом экране, прокси, антиспаме) всех сетевых векторов атаки. Сюда относятся почтовые адреса, осуществляющие рассылку, сайты, содержащие вредоносный объект, адреса центров управления. Это позволяет остановить потенциальное попадание или же закрепление вируса в сети.
• Активный мониторинг фактов выявления индикаторов компрометации на SIEM-платформе, чтобы в случае попадания вредоносного ПО в сеть попытка его активации не прошла незамеченной.
• Ретроспективный (от 2 недель до 1 месяца) анализ срабатывания индикаторов: анализ сетевого и почтового трафика посредством Log Management или SIEM-платформы, анализ хостовых идентификаторов средствами сканера защищенности или банальными powershell-скриптами, распространяемыми по всем интересующим объектам с помощью классических ИТ-инструментов (Active Directory или SCCM). Подобные проверки рекомендуется повторять на некоторой регулярной основе, чтобы гарантировать защищенность своей инфраструктуры от известных, но крайне опасных целевых атак.

Здесь необходимо отметить важный вклад отраслевых и закрытых сообществ, которые обмениваются информацией об актуальных, реализованных у членов сообщества угрозах. Одним из ярких примеров таких информационных обменов является Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT), объединивший в рамках своих информационных рассылок существенную долю банковских организаций России. За прошлый год в рамках рассылок FinCERT была передана информация о почти 100 экземплярах вредоносного ПО, не детектируемого большинством антивирусных средств. И хотя процесс информационного обмена в России сейчас скорее проходит этап становления, сложно переоценить полезность такой технологии «перекрестного опыления». Члены сообщества превентивно узнают о новом векторе реализации атаки и могут принять меры до того, как аналогичная атака будет совершена на их инфраструктуру. Это существенно усложняет реализацию массовых однотипных атак злоумышленниками и, соответственно, многократно удорожает стоимость самой атаки.

Специализированные технологии, или гонка вооружений

Что же делать, если вредоносное ПО, используемое в атаке на вашу компанию, прошло «ниже радаров» доступных вам репутационных и антивирусных баз? Высокую популярность на рынке информационной безопасности в последнее время приобрели решения класса sandbox, которые, в отличие от указанных ранее подходов пытаются выявлять вредоносную активность в обрабатываемых файлах по нечетким критериям: подозрительном и аномальном поведении исполняемого файла или объекта при его запуске в виртуальной среде, эмулирующей конечную рабочую станцию или сервер компании. Данное семейство решений сейчас крайне широко представлено на рынке как западными, так и российскими производителями, и оно зарекомендовало себя как наиболее удобный и гарантированный способ детектирования zero-day вредоносного ПО, позволяющий детектировать и даже блокировать атаки на самой ранней стадии погружения в инфраструктуру.

Про решения данного класса написано и сказано немало, поэтому хотел бы отметить лишь несколько фактов:

• При всей мощи используемых технологий решения данного класса нельзя считать панацеей от любой атаки или вредоносного кода. В непрерывной борьбе снаряда и брони злоумышленники не дремлют и разрабатывают свои способы по обходу или обману sandbox, часть из них хорошо известна и даже публично освещалась в тематических материалах. Но при этом существенно повышается стоимость и необходимые усилия, прилагаемые для реализации атаки, что делает компанию существенно менее привлекательной для злоумышленников.
• При принятии решения о приобретении sandbox крайне важно сопоставить возможный ущерб от атаки на компанию с совокупной стоимостью решения, которая включает не только покупку лицензий и ее внедрение, но и существенные затраты по ее сопровождению. Работа с системой требует очень высокой специализированной экспертизы со стороны специалистов компании.

Особенно ярко потребность в экспертизе ощущается, если решение sandbox используется в режиме пассивного мониторинга, без блокировки вредоносных объектов. В этом случае вредоносный объект доставляется конечному пользователю, который может его открыть и тем самым запустить процесс по проникновению в сеть компании. В некоторых случаях специалист, взяв в работу задачу по исследованию сработавшего правила на sandbox в течение получаса, может столкнуться с необходимостью анализировать и изолировать до 20–30 объектов, которые были заражены вредоносным телом за прошедшее время. Это существенно увеличивает сложность и трудоемкость задачи.

Борьба с кибератаками без специальных технологий

Помимо вышеобозначенных технологий хотелось бы рассказать еще об одном комплексном подходе по выявлению направленных атак:

• Концентрация и милитаризация критически важных объектов, которые могут быть использованы при реализации конкретного вектора атаки. Например, в случае атак на АРМ КБР к ним чаще всего относится АБС, сам АРМ КБР и места сотрудников, напрямую задействованных в обработке рейсов (узел связи и финансовый отдел). Как правило, это требует ужесточения технических и организационных мер, связанных с данными подсистемами: выделения данной инфраструктуры в отдельный сегмент сети, отказа от использования USB и прав локального администратора, минимизации доступа в сеть Интернет, курсов повышения осведомленности и т.д. Данный алгоритм практически не требует финансовых затрат, но область его применения остается крайне узкой. Кроме того, он оставляет большое поле рисков вследствие влияния человеческого фактора – ошибки сотрудника или администратора, которая может повлечь за собой компрометацию сегмента.
• Детальное профилирование работы объектов с точки зрения информационных потоков: сетевые соединения, аутентификация, доступ к объектам, запускаемые и останавливаемые процессы и т.д., а также приоритетный мониторинг всех фактов отклонения от нормального профиля поведения, например, при помощи платформы SIEM. Такой подход позволит нивелировать риски человеческого фактора, указанные в предыдущем пункте, за счет контроля и мониторинга, но требует качественной аналитики в процессе запуска профилей и их дальнейшей адаптации.

Практика применения такого подхода позволяет оценить как его плюсы (нет потребности бюджетирования и внедрения специальных средств, высока вероятность выявления атаки внезависимости от ее типа и характера вредоносного кода), так и ограничения:

• Отнюдь не все финансовые и критические системы могут быть успешно изолированы от основной инфраструктуры компании, поэтому в общем случае крайне желательно совмещать данный подход с приведенными выше.
• Поскольку используемая методика подразумевает детектирование атаки на самом последнем этапе (финальное закрепление и реализация атаки), временным горизонтом противодействия без фактических потерь является один, максимум, два часа. Практика JSOC показывает, что в течение этого интервала противодействие атаке еще своевременно и позволяет избежать финансовых потерь. Однако, учитывая, что злоумышленники зачастую завершают атаку в период минимальной бдительности и доступности сотрудников информационной безопасности – поздним вечером или на выходных – требуется высокая круглосуточная мобильность службы ИБ, а это требует высоких кадровых вложений.

Как мы видим, каждый предложенный подход имеет свои сильные и слабые стороны. Одни предоставляют глобальную базу знаний об угрозах и их детектировании и требуют наличия профессиональной команды в центре мониторинга ИБ с отточенными процессами анализа инцидентов, другие – дополнительных инвестиций на приобретение новых классов решений ИБ и их сопровождение, третьи – существенного ужесточения внутренних процессов и политик, да и они попросту не всегда применимы. Как всегда оптимальным подходом является некая комбинация описанных методов. Поэтому к выстраиванию собственной стратегии противодействия кибератакам имеет смысл подходить только после взвешенного определения критических для компании рисков и оценки целесообразных для их нивелирования расходов.