Рекомендації SANS для кіберзахисту під час війни, адаптовані під українські воєнні реалії
Привіт, мене звати Андрій, я фаундер та CEO компанії SOC Prime. Наша команда підготувала переклад топових практик SANS Shields UP для максимально швидкого та ефективного кіберзахисту в умовах війни.
В оригінальному документі описано шість надзвичайно ефективних технік захисту, актуальних для організації будь-якого розміру та галузі. Я також додав практичні рекомендації, як діяти саме в Україні.
Мета цих заходів — не лише зупинити ворога, але й створити механізми якісної реакції у відповідь. При дотриманні цих рекомендацій, вам вдасться зменшити шум, що вивільнить додатковий час для більш важливих задач, які, своєю чергою, підвищать рівень захищеності вашої організації.
Якщо у вас виник інцидент, пов’язаний з кібербезпекою, або є підозріла активність, яка не схожа на звичайну роботу ІТ-середовища, просимо вас негайно звернутись по допомогу до CERT UA за адресою [email protected] При потребі, команда CERT задіє всі інші команди та компанії, які допомагають Україні з кіберзахистом.
Допомога під час воєнного марафону
Якщо останній місяць у вас було відчуття, що ви на нескінченному марафоні ІТ/ кібербезпеки, то цей документ — шанс вирватися з нього. Це детальний план дій для перемоги.
Ключовий елемент — вам НЕ потрібно негайно купувати якісь програми чи продукти для кіберзахисту.
Очевидно, що офіційний процес закупівлі у вашій організації є досить довготривалим. З огляду на поточну ситуацію з логістикою, поставки продуктів можуть зайняти тижні (щонайменше). Потрібен час для встановлення нових технологічних рішень, а також, у багатьох випадках, ще більше часу на інтеграцію з наявними інструментами кібербезпеки.
З огляду на ці обмеження щодо ефективного використання нових програм та продуктів, ми сфокусуємося на тому, щоб максимально збільшити ефективність тих інструментів, якими ви вже користуєтеся. Якщо коротко, ми будемо креативити.
Ваш шлях до перемоги складається з шести технік:
- Установка патчів
- Дотримання тактичних та ефективних стратегій логування
- Контроль вихідного трафіку (та блокування за геоознакою)
- Оперативна локалізація атаки: планування і тестування
- Запровадження контролю додатків
- Перехід до «сталого стану системи»
Ми надамо наступну інформацію по кожному з пунктів:
- Чому вам це потрібно
- Процедура виконання (з фокусуванням на тих технологічних рішеннях, які вам вже доступні, або ж коштують недорого)
- Рекомендації з уникнення типових помилок.
Як користуватися цим документом
Для захисту даних необхідне постійне та чітке управління. В цьому документі ми покажемо ключові стратегії для радикального зниження рівня зусиль, необхідних на тактичному рівні.
Цей документ не має на меті радикально відкинути те, що вже виконується в IT та InfoSec-секторі. Однак для деяких організацій описані методи будуть кардинальними змінами. Автори цього документу наполегливо рекомендують ознайомитися з 6 принципами, що описані в цьому документі. Якщо у вашій організації описані методи не практикуються, очевидно, що ваша організація є більш вразливою для атак, ніж ви уявляєте.
Ми рекомендуємо розглядати список в тому порядку, в якому він представлений в документі. Пункти перераховані в порядку впливу. Однак, якщо один з пунктів занадто складний чи проблематичний, пропустіть його.
На нашу думку, краще за необхідності пропустити деякі пункти і досягти певного рівня успіху, аніж повністю зупинитися через неможливість реалізації якогось одного пункту.
На відміну від інших дорожніх карт, завдання, що викладені в цьому документі, мають бути частиною ітераційного процесу вдосконалення. Сподіваємося, що ви ще кілька разів повернетеся до цього посібника. Для зручності подальшого використання документу, ми підкреслюємо потенційні наступні кроки, які необхідно зробити, коли ви знову повернетеся до цих завдань.
#1 Установка патчів
Навіщо це потрібно
Агенство кібербезпеки та інфраструктури США (CISA) внесло 383 вразливості у Каталог експлуатованих вразливостей. Численні хакерські угрупування регулярно використовують ці вразливості для отримання доступу до систем, отримання несанкціонованих доступів або просування мережею.
Використання відповідних патчів у ваших системах дозволить ускладнити ці три види активностей. Із 383 вразливостей 382 можна усунути шляхом установки патчів! Та одна вразливість, що залишилася — в продукті, який виведено з експлуатації, тому патч на неї недоступний.
TL;DR: зменшуємо час заліпання в телєгу до 30 хв на добу і починаємо патчити, але по методі, а не просто так. Хто не може патчити, ховає порти з периметру. Кому потрібні детекти на CVE зі списку — зв’яжіться зі мною.
Процедура виконання
По-перше, визначіть пріоритетність своїх зусиль по встановленню патчів, в залежності від того, наскільки легко вразливість експлуатується атакуючою стороною. Загалом, це означає установку патчів в такому порядку:
Системи та програмне забезпечення доступні з інтернет (периметр)
- Мережеве обладнання та засоби безпеки (firewall, VPN-концентратори, балансувальники навантаження, проксі, і т.д.)
- Вебсервери (Apache, Nginx, IIS, і т.д.), вебдодатки, поштові сервіси та поштові сервери, FTP сервери, SSH/SFTP
- Вебдодатки
- Захист ОС для систем, доступних з інтернету
Клієнтське ПЗ та робочі станції
- Microsoft Office
- Продукти Adobe PDF
- Браузери, в порядку популярності: Chrome, Safari, Edge/ Internet Explorer, Firefox
- VPN-клієнти
- Мобільні пристрої та програмне забезпечення до них
- Оновлення операційних систем
Внутрішні сервери та серверне програмне забезпечення
- Windows Servers
- Вебдодатки внутрішнього використання
- Пристрої IoT
Користуйтеся функцією автоматичного оновлення програмного забезпечення та систем у вашому середовищі. Переконайтеся, що для операційних систем та ключових програмних компонентів ці механізми налаштовано.
Оновлення Microsoft:
- Windows 10 і новіші версії автоматично завантажують та встановлюють патчі з Microsoft Update.
- Якщо ви розгорнули спеціальні параметри Групової Політики для Microsoft Update, переконайтеся, що ці параметри не вимагають, щоб користувачі встановлювали оновлення вручну. За цим посиланням наведено опис того, як налаштувати дозволи для безпосередньої установки оновлень: Configure Automatic Updates by Using Group Policy.
Проскануйте свою мережу на наявність вразливостей, що внесені до Каталогу експлуатованих вразливостей CISA. Сканування на наявність цих вразливостей може визначити системи, які випали з вашого процесу установки патчів, а також ті, що мають вразливості через помилки конфігурації.
Цю інформацію можна також отримати від CERT UA, ДССЗЗІ, а також самостійно, наприклад, через сервіс Shodan.io.
Сканування на наявність вразливостей:
Якщо ви працюєте в урядовій організації державного або місцевого рівня, чи державній або приватній організації критичної інфраструктури, зверніться до ДССЗЗІ або CERT UA за адресою [email protected] за рекомендаціями та послугами зі сканування на наявність вразливостей та сканування вебдодатків за допомогою найкращих засобів на ринку, включаючи Qualys, Tenable, Nexpose (Rapid7).
Якщо ви є клієнтом Qualys, перегляньте цей дашборд, щоб зосередитися на вразливостях з Каталогу експлуатованих вразливостей CISA. Дані в дашборді оновлюються від результату останнього скану.
Якщо ви є клієнтом Tenable.SC, у вас також є попередньо налаштований дашборд. Якщо треба дашборди для SIEM, ви знаєте з ким зв’язатись.
Рекомендації з уникнення типових помилок
Пастка «я ПОВИНЕН поставити патчі на все». Інколи просто неможливо запатчити якусь систему. Або, можливо, занадто багато часу потрібно на те, щоб виправити все патчем.
Якщо ви в кризовій ситуації, як би дивно це не звучало, вам НЕ потрібно витрачати занадто багато часу на спроби примусового встановлення патчу. Натомість ізолюйте таку систему через мережу або файєрволи на хості, щоб обмежити потенційну вразливість для решти мережі.
Багато програм з безпеки потрапляють в цю пастку «ми повинні все запатчити перед тим, як переходити до наступного пункту». Це майже ніколи не буває гарною ідеєю. Ви повинні запатчити те, що можете, якщо туди взагалі можливо встановити патчі, але якщо щось не патчиться — ізолюйте і рухайтеся далі.
Специфіка аналізу
Тестування патчів може бути для когось роботою на повну навантаженість. Якщо ви використовуєте патчі від виробника ПЗ, скоріше за все буде достатньо, якщо ви установите патч в продсередовищі чи на менш критичну систему, щоб переконатися, що нічого не зламалося.
Якщо ви особливо стурбовані тим, щоб патчі нічого не пошкодили, розгляньте можливість поетапного розгортання після короткого тесту в нон-прод середовищі. Багато організацій використовують поетапний підхід, коли патчі встановлюються на кілька систем (тестових), деякі системи (10%), багато систем (30%), і нарешті на всі інші системи.
Установка патчів для вразливостей низького та середнього рівня
Іноді важко зрозуміти, які саме місця є вразливими. Інколи численні вразливості «низького» та «середнього» рівня пов’язані між собою і в результаті призводять до сукупного ризику, що є набагато більшим, ніж ризик однієї окремо взятої вразливості.
Використання принципу оцінки серйозності ризику для установки патчів лише для «найкритичніших» вразливостей може призвести до того, що сукупний ризик вашої потенційної вразливості буде значно вищий, ніж ви очікували.
Установка патчів на клієнтське ПЗ, окрім операційних систем
Переконайтеся, що ви встановлюєте патчі на програмне забезпечення сторонніх розробників, наприклад, сторонні браузери, продукти Adobe і т.д.
Такими продуктами можуть користуватися, не встановлюючи патчі роками, і вони часто є цілями для кібератак. Оновлені версії багатьох клієнтських програм сповіщають користувачів про доступні оновлення, але не вимагають примусового встановлення оновлень. Не допускайте, щоб такі додатки опинилися поза фокусом.
Агресивно шукайте «втрачені» системи
Не сподівайтеся на те, що ваші системи інвентаризації інфраструктури точні. Шукайте системи, які опинилися поза увагою і залишилися без управління. Вам може допомогти сканування на наявність вразливостей, але також розгляньте можливість широкого сканування за допомогою Nmap, Masscan чи подібних інструментів для виявлення хостів, управління якими не налаштоване.
Окрім того, шукайте в своїх логах хости, які ви там не очікуєте побачити. Ваші логи DHCP, DNS та Active Directory є гарними джерелами для пошуку «втрачених» систем.
Потенційний наступний крок
Якщо валідація патчів займає занадто багато часу, подумайте про можливість автоматизації ключових частин процесу. З виділенням тривалого часу та залученням незначного рівню зусиль можна побудувати бібліотеку юніт тестів. Ці тести досить корисні з багатьох причин, але їхня особлива цінність полягає у валідації патчів.
Наприклад, безкоштовна утиліта Apache JMeter надає змогу записати майже будь-яку цифрову дію. Чому б тоді не використовувати її для запису важливої бізнес транзакції? Маючи запис під рукою, можна значно прискорити процес установки патчів.
Після того, як випущено наступний набір патчів, зверніться до цього алгоритму дій:
- Переконайтеся, що записана транзакція працює належним чином. Не використовуйте для перевірки продсередовище.
- Скасуйте транзакцію.
- Застосуйте патчі.
- Запустіть записану транзакцію.
- Перевірте, що транзакція працює належним чином.
- Якщо транзакція спрацювала, валідація патчів пройшла успішно.
#2 Дотримання тактичних та ефективних стратегій логування
Навіщо це потрібно
Без логування видимість занадто обмежена. Логи виконують функцію очей та вух, без них у вас практично відсутнє уявлення про те, що відбувається у середовищі. Натомість при забезпеченні належного логування, можливо довести факт, виявити та попередити кібератаки значно скоріше.
Процедура виконання
Якщо ваша організація тримає електронну пошту та офісне забезпечення у хмарному сховищі, вам варто використовувати нативне логування, яке вже є у вашій підписці. Наприклад, якщо ваша організація використовує M365, розпочніть із вбудованої функціональності Центру Безпеки (Security Center).
Якщо ж ви використовуєте Google Workspaces, ви можете знайти сервіси логування в Системі Звітності Адміністратора (Admin Report Center).
Натомість якщо у вашої організації середовище розгорнуте локально на відміну від хмарного сховища, ви можете надати перевагу Windows Event Forwarding (WEF) — нативному та потужному сервісу логування від Microsoft.
Цей сервіс надає змогу Windows системам стрімити події (логи) безпосередньо до централізованого сховища логів Windows Event Collector. Microsoft надає інструкцію, як використовувати сервіс WEF для виявлення загроз у вашому середовищі.
Рекомендації з уникнення типових помилок
Не покладайтеся на стандартні рішення. Іноді організації занадто залежать від рішень, що постачають вендори. Хоча існує вірогідність того, що вони не пристосовані до вашого середовища. Вони можуть не відповідати вимогам вашого бізнесу та вашої команди.
Виходячи з цього, вірогідніше вам будуть запропоновані стандартні рівні логування, які навряд чи відображають ваші реальні потреби. Хто краще за вас знає, що саме потрібно вашій організації? Відповідь очевидна. Замість того, щоб занадто покладатися на вендора, спочатку запитайте себе, які можливі сценарії взаємодії з вашим середовищем.
Наприклад, якщо вам треба зафіксувати зловмисників, які намагаються зайти до вашої системи за допомогою брутфорс-атак, вам варто знати, коли відбувся неуспішний логін. Подібний підхід відомий під назвою «логування на основі сценаріїв» (Use Case Based logging).
Враховуйте, що логування — це комплексний довготривалий проєкт (для мирного часу). В нашому випадку потрібна максимальна ефективність за короткий проміжок часу та стабільність для покращення процесу.
TL;DR: в першу чергу потрібно збирати ті логи, для яких існують алгоритми для виявлення загроз (threat hunting queries) та які генерують дані для кореляції з threat intelligene (IOC matching)
Тут є актуальна таблиця, безкоштовно, оновлюється щодня.
Далі розглянемо деталі чому і як це працює.
У процесі запровадження логування та його подальшої оптимізації, ви почнете все більше звертати увагу на різні сценарії та логи, які потребуватимуть збору та аналізу. Тобто ваш підхід до логування зміниться з часом.
Вам варто враховувати, що цей процес відбуватиметься у вигляді послідовних ітерацій, і планувати це відповідним чином. Зазвичай організації, що успішно виконують логування, обирають фазовий підхід.
- Перша фаза: розпочніть з найпростішого сайту, що пропонує поради та рекомендації, які саме логи варто збирати та як це робити, на зразок What2log
- Друга фаза: поступово переходьте до більш серйозних ресурсів. Наприклад, для систем Windows, гарним прикладом є досить докладний довідник з логування — Microsoft’s Logging Guide.
- Третя фаза: врешті-решт, після формування певної бази, ви можете почати використовувати систему на зразок Sigma — стандартизованого формату для опису правил виявлення кібератак, придатного для будь-якого типу лог-файлів. Ознайомтеся з різними типами правил для виявлення загроз, щоб побачити алерт, який відповідатиме потребам саме вашого середовища. Переглядаючи залежності, перераховані для певного типу, звертайте увагу на джерела логів (log sources), які вам треба збирати, виходячи з потреб вашої організації.
Уникайте надмірного накопичення логів
Може виникнути нестримне бажання ввімкнути усі опції логування, але у такому випадку ви досить швидко загрузнете у значній кількості логів, що мають невелику цінність для вас, також закінчиться ліцензія чи апаратні ресурси.
Щоб впоратися із цими проблемами, рекомендуємо надати перевагу підходу до логування на основі сценаріїв (Use Case Based logging), згаданому вище. Оберіть сценарій, який ви хочете втілити, та спробуйте «зробити декілька кроків назад». Які саме дані вам треба для втілення цього сценарію?
Зважайте на те, що не всі логи підпадають під юридичні обмеження
Не всі логи створені однаково, принаймні, з точки зору законодавства. Ваша організація може нести відповідальність за дотримання нормативних вимог або вимог, узгоджених договором, щодо терміну зберігання логів протягом певного періоду, який може тривати навіть декілька років.
Багато організацій цілком відмовляються від логування, як тільки вони бачать такі вимоги, оскільки вважають за краще взагалі не залучатися до цього процесу для уникнення проблем з терміном збереження.
Варто зазначити, що немає закону, який вимагає від організацій зберігати абсолютно всі логи протягом визначеного терміну їхнього зберігання.
Насправді багато прогресивних організацій видаляють логи, що не підпадають під законодавчі норми та вимоги, щойно логи втрачають свою актуальність. В деяких випадках, логи можна сміливо видаляти через тиждень.
Потенційний наступний крок
Для прискорення аналізу, деякі організації надають перевагу збирати логи у так звані агрегатори або технології збору та збереження логів — SIEM системи (Security Information and Event Management). Вибір, встановлення та розгортання цих технологій у середовищі — це досить масштабна операція.
Для прискорення реалізації проєктів з SOC та SIEM в Україні зверніться до ДССЗЗІ чи компанії UnderDefense, яка має професійний досвід розгортання SOC в Україні на базі найбільш розповсюджених SIEM систем.
Зважаючи на це, не варто запроваджувати SIEM системи у процесі розслідування та обробки інциденту (triage) або у відповідь на кризову ситуацію. При інциденті слід негайно повідомити CERT UA за адресою [email protected]
Якщо у вас є досвід використання систем аналізу інцидентів, наприклад, Nextron Systems (THOR) чи контракти з вендорами з DFIR (e.g. Mandiant), залучіться їх підтримкою.
Ознайомтеся з розгорунтим оглядом та інструкцією з SIEM технологій наступного покоління — SANS Reading Room Paper «An Evaluator’s Guide to NextGen SIEM» — та отримайте більш детальну інформацію про весь масштаб робіт по залученню цих процесів до вашого середовища. Якщо ваша організація вже запровадила певну SIEM систему, ми все одно рекомендуємо звернути увагу на цю інструкцію, оскільки ви можете не використовувати повний потенціал вашої технології.
Потенційною альтернативою перед запровадженням повного функціоналу SIEM системи є використання продуктів, що виконують кореляцію подій та проводять незначний аналіз логів на зразок WEFC (Windows Event Forwarding/Collection). Сервіс WEFC використовує механізм пересилання подій Windows Event Forwarding для сприяння централізованому збору та аналізу логів.
#3 Контроль вихідного трафіку (та блокування за геоознакою)
Навіщо це потрібно
Контроль та моніторинг вихідної комунікації мережі є одним з найдієвіших шляхів виявлення та блокування експлойтів, шкідливого програмного забезпечення, а також нелегітимного трафіку із серверів котролю (C2) зловмисників. Зловмисники потребують підключення до мережі для більшості етапів своїх атак. Обмеживши вихідний трафік та залишивши таку можливість лише для необхідних програм, ви значно ускладните процес атаки.
Процедура виконання
Існує незліченна кількість способів контролю вихідного трафіку, але основними компонентами є правила фаєрволу (міжмережевого екрану), фільтри веб-контенту (web proxy), фільтрація вмісту DNS та інструменти моніторингу мережі. Давайте розглянемо кожен елемент.
- Правила фаєрволу (міжмережевого екрану)
Ніколи не недооцінюйте ефективність правил вихідного фаєрволу. Хоча цей метод надзвичайно ефективний, він може бути досить складним в управлінні. Варто створювати списки блокування на основі відомих шкідливих IP-адрес або навіть географічного розташування на основі діапазонів IP регіональних реєстрів інтернету. Наприклад, використання RIRTools Джоффа Тайера дозволяє зробити це миттєво, більш того, додаток активно оновлюється та підтримується.
- Фільтр вебконтенту
Компанії, які займаються фільтрацією вебконтенту, категоризують більшість інтернет-сайтів. Такі компанії надають інструменти, що є чудовим способом фільтрації Інтернет-трафіку на основі відомих категорій. Це дозволяє надавати доступ або блокувати певні категорії, але це також дозволяє блокувати доступ до некатегоризованих доменів.
Джерелом трафіку серверів управління та контролю (command and control traffic) зазвичай є нещодавно зареєстровані домени, які, ймовірно, не були категоризовані. Отже, блокування без категоризації підвищує ставки. Фільтрація вебконтенту зазвичай виконується на фаєрволах нового покоління або через інтернет-проксі. Якщо у вас немає обладнання з цим набором функцій, фільтрація вмісту DNS є гідною альтернативою.
- Фільтрація вмісту DNS
Той самий підхід «категоризації», який використовують фільтри вебконтенту, застосовується до деяких DNS-серверів. Це дозволяє DNS-серверу відображати фактичну IP-адресу, якщо категорія дозволена, або IP-адресу вебсторінки, яка означає, що домен заблоковано службою фільтрації.
Недоліком цього підходу є його припущення, що зловмисник використовує DNS-імена для систем, які беруть участь в атаці. Якщо зловмисник використовує прості IP-адреси, ця фільтрація буде неефективною. Цей спосіб також вимагає, щоб усі системи в середовищі використовували відповідні DNS-сервери.
Тому дуже важливо налаштувати правила вихідного фаєрвола, щоб дозволити DNS трафік лише службі фільтрації вмісту DNS.
Якщо можливо, найкращим варіантом буде дозволити лише надійним внутрішнім DNS-серверам з’єднання із зовнішніми системи DNS, і змусити всі внутрішні мережеві хости використовувати внутрішні DNS-сервери вашої організації.
Крім того, розгляньте можливість впровадження утиліт freq.py, freq_server і domain_stats.py від Марка Баггетта. Ці утиліти допомагають визначити шкідливі домени, які були створені алгоритмічно або зареєстровані нещодавно. Щоб дізнатися про нюанси використання означених утиліт, ви можете переглянути виступ Марка на Security Onion Con. Також ви можете переглянути останні версії утиліт, про які він згадує.
- Інструменти моніторингу мережі
Мета цієї статті — надати вам інструменти та архітектуру безпеки, які ви можете швидко розгорнути, якщо вони ще не запроваджені у вашій інфраструктурі. Хоча сувора вихідна фільтрація, яка базується на «Дозволених списках» конкретних сайтів, служб та IP-адрес гарантує, що система не комунікує з будь-якими ненадійними інтернет-хостами — це висока мета, яка може бути недосяжною.
Коли ви працюєте над досягненням такої високої мети, дуже важливо мати ефективну систему моніторингу мережі, щоб покращити вашу видимість для виявлення зловмисника, що оминув інші методи фільтрації, які ми обговорювали.
Рекомендації з уникнення типових помилок
Розгляньте використання рішень відкритого доступу (Open Source). У більшості сфер ІТ та безпеки існує поєднання рішень з відкритим кодом та комерційних рішень. У мережі для моніторингу та аналізу рішення з відкритим кодом, як правило, мають більший функціонал у порівнянні з рішеннями, які доступні на комерційній основі.
Якщо використання рішень з відкритим кодом є проблематичним, тому що вашій організації потрібна професійна підтримка, розробники комерційних програм зазвичай пропонують професійні послуги або співпрацюють з тими, хто може надати таки послуги — компетентними постачальниками.
Скористайтеся модульним принципом. Як уже згадувалося в цьому розділі, покращення нагляду та контролю на мережевому рівні може бути важким завданням. Більшість проєктів управління мережею зазнають невдачі через занадто великі обсяги моніторингу.
Набагато простіше розгорнути сфокусований набір елементів керування навколо вузької вибірки машин, які використовуються користувачами з високим ризиком або тих, що мають звʼязок з критичними серверами.
Потенційний наступний крок
Розгляньте можливість сегментації мережі на функціональні зони, щоб обмежити можливість доступу зловмисників ресурсів, як тільки вони отримають доступ до єдиної системи.
Якщо ваша мережа вже сегментована, подумайте про перехід до розділення мережі на мікросегментацію.
#4 Оперативна локалізація атаки: планування та тестування
Навіщо це потрібно
Швидкість нападу — один з елементів атаки, який часто недооцінюють. Вивчіть і протестуйте методи, що дозволять вам заблокувати дії зловмисників у реальному часі. Вивівши з ладу системи зловмисників або сегменти їхньої мережі, ви зможете ефективно протидіяти ворожим планам.
Процедура виконання
Ізолюйте системи та мережі. Щоб визначитись зі списком систем та умовами, за яких їх можна відключити від мережі, співпрацюйте з власниками систем. Ми наполегливо рекомендуємо звернутися до наступної форми (Pre-Authorization to Take System or Network Zone Offline.)
Якщо у вас є підстави вважати, що система була скомпрометована, потрібно діяти максимально швидко. Перший крок — фізично від’єднати ваш пристрій від мережі. Це дасть змогу зберегти та зібрати найбільшу кількість доказів.
Дуже важливо ЗАЗДАЛЕГІДЬ звернутися до свого постачальника послуг реагування на загрози для визначення, які саме докази їм знадобляться у разі успішної атаки проти вашої системи. Нагадуємо про CERT UA, як мінімум, зверніться за порадою.
Також визначтесь, чи планують вони аналізувати пам’ять пристрою. У разі необхідності такого аналізу з їхньої сторони, дуже важливо не від’єднувати ваш комп’ютер від мережі до моменту отримання чітких інструкцій. Відключення системи очищує пам’ять, тим самим видаляючи ключові докази.
Вимкніть облікові записи або оновіть паролі
Зловмисники часто захоплюють облікові записи користувачів. Будьте готові вимкнути облікові записи або оновити паролі скомпрометованих облікових записів. Також, будьте готові видалити облікові записи з груп, до яких вони не належать.
Рекомендації з уникнення типових помилок
Практика — шлях до досконалості. Організації часто недооцінюють рівень зусиль, необхідних для скоординованого виконання вищезазначених дій. Перш ніж спробувати технічне тестування, переконайтеся, що всі задіяні учасники процесу добре скоординовані та кожен розуміє, яку саме роль відіграє у процесі.
Критика VS Покращення процесів. Важливо тримати руку на пульсі всіх процесів, щоб забезпечити високий рівень роботи та її відповідність поставленим цілям. Оцінювати дії, які були вжиті сумлінно, але в критичних обставинах, крізь призму знань, здобутих постфактум, вважається контрпродуктивним та непрофесійним. Слід припустити, що логіка прийняття тих чи інших дій була заснована на найбільш ефективному використанні інформації, доступної на той час. Варто зосередитися на тому, як максимально покращити процес передачі інформації під час наступного реагування на інцидент.
Потенційний наступний крок
Створюйте скрипти (за допомогою PowerShell або інших інструментів автоматизації), щоб виконати всі необхідні дії швидко та послідовно.
#5 Запровадження Контролю ПЗ та додатків
Для більшості організацій запровадження цього кроку буде досить складним завданням. Попри труднощі, цей крок важливий, оскільки дозволяє зупинити більшість атак.
Навіщо це потрібно
Контроль додатків (раніше називався «білим списком» додатків) — це технологія, яка дозволяє обмежити список програм, що можуть бути запущені на робочому пристрої. Ця технологія дозволяє блокувати можливість зловмисників запустити шкідливе програмне забезпечення у вашій системі.
Важливо: як і у випадку з іншими засобами безпеки, досвідчені та вправні зловмисники знають, як обійти технологію контролю додатків. Однак, це досить непросто. Не кожен зловмисник зможе обійти цю перешкоду. У більшості випадків, намагаючись зробити це, зловмисники генерують багато шуму.
З моменту увімкнення контролю додатків, ви можете відстежувати аномальну поведінку. Одним із найефективніших методів виявлення небезпеки є генерація сповіщень кожного разу, коли користувачі шукають запущені інструменти контролю додатків.
Процедура виконання
Якщо у вас є будь-яка стороння програма, що може використовуватись для контролю додатків, будь ласка, негайно почніть нею користуватись. Якщо ж така програма відсутня, Windows має вбудований інструмент керування додатками під назвою AppLocker. Усі версії Windows 10 та 11 тепер підтримують цю потужну функцію.
Microsoft пропонує гайд із використання AppLocker. Уважно дотримуйтесь інструкцій в тестовому середовищі, перш ніж розгортати AppLocker на робочих системах.
Рекомендації із уникнення типових помилок
Застосовуйте розумно. Хоча ці інструменти захисту є надзвичайно потужними, якщо ви зробите помилку у налаштуваннях (заблокуєте необхідні для роботи додатки), система не зможе працювати так, як це потрібно користувачам.
Найбезпечніший і найшвидший спосіб налаштування — це відтворення фактичної поведінки користувачів. Якщо ви маєте додаток, що відстежує поведінку користувачів, будь ласка, почніть ним користуватися. З цією метою зазвичай використовують такі сторонні інструменти як Endpoint Detection and Response (EDR) агенти, Managed Detection and Response (MDR), або ж інші агенти цифрової експертизи.
Якщо ви не маєте жодного із цих інструментів, можна використати одну маловідому функцію Windows. Windows System Resource Usage Monitor (SRUM) відстежує усі додатки, запущені у системі. SRUM містить динамічний список програм, які були запущені користувачами в системі протягом останніх 30 днів.
Використовуючи спеціальні інструменти, ви можете отримати доступ до бази даних SRUM. Одним із найпростіших інструментів для отримання доступу до бази даних SRUM є SRUM-Dump.
Не поспішайте із запровадженням
Як тільки ви запровадите політику контролю додатків, важливо протестувати її в режимі «аудиту» / «навчання» десь протягом тижня або більше. Таким чином ви наперед дізнаєтесь список додатків, які буде заблоковано.
#6 Перехід до «сталого стану системи»
Навіщо це потрібно
Ми рекомендуємо використовувати усі перераховані техніки, щоб досягти стійкого та безпечного стану системи.
Процедура виконання
Запровадження надійного контролю безпеки — це марафон, а не спринт. Заспокойтесь і не поспішайте. Більшість організацій спробують одномоментно «серйозно зайнятися безпекою» та захистити усе відразу. Проте такий підхід може зруйнувати процеси в організації і навряд спрацює добре.
Подібно до індивідуальної фітнес-програми, ви отримаєте кращі результати, запроваджуючи заходи безпеки покроково, просуваючись шляхом невеликих, але впливових змін, що в результаті призведуть до значного прогресу.
Рекомендації з уникнення типових помилок
Зменшення шуму дозволяє сфокусуватися. У цих рекомендаціях ми прицільно зосереджуємось на засобах контролю, що спрямовані на захист та виявлення небезпеки. Ці методи, окрім своєї ефективності, також дозволяють ЗНИЗИТИ РІВЕНЬ ШУМУ у середовищі. Це дозволяє сфокусуватися на важливих речах (зведення рівня шуму до мінімуму).
Покращуйте захист, залишаючись у безпеці. Використовуючи наші рекомендації, досить швидко ви створите ефективний цикл зворотного зв’язку, де кожен раз вам вдаватиметься досягти кращої видимості проблем та кращого захисту систем, таким чином резервуючи собі ще більше часу, щоб спокійно покращувати безпеку.
Якщо ви опинились в ситуації, коли відчуваєте, що «усе у небезпеці», то рекомендації, що ми зібрали у цьому документі, саме для ВАС. Це може прозвучати досить дивно, але
Потенційний наступний крок
Цей документ є ресурсом, що дозволить вам створити та застосувати ефективну систему безпеки. Ми рекомендуємо неодноразово повертатися до вищеозначеного списку, запроваджуючи ті елементи системи безпеки, що ви попередньо пропустили в умовах економії часу.
Коли усі перераховані засоби безпеки із цього списку будуть запроваджені, переходьте до глибшого та більш комплексного підходу як, наприклад, Центр Критичного Контролю Безпеки в інтернеті (Center For Internet Security Critical Controls).
4 коментарі
Додати коментар Підписатись на коментаріВідписатись від коментарів