Подписаться
Читать в телеграм
/ Compromise Assessment обеспечивает обнаружение продвинутых угроз и инцидентов на ранних этапах, быструю проверку инфраструктуры и проведение сложных расследований.
/ Анализ инфраструктуры способен выявить скрытые доступы злоумышленников, а также следы компрометации и функционирования ВПО.
/ После обнаружения инцидента с помощью Compromise Assessment начинается работа по его сдерживанию и ликвидации.
Когда речь заходит о мониторинге угроз информационной безопасности, уже вряд ли кто-то будет оспаривать его ценность и важность. Однако большинство компаний все еще придерживаются классического подхода: подождать сигнала от средств защиты информации или команды мониторинга и тогда уже предпринимать решительные действия. Но современные атаки становятся все более сложными, а киберпреступники — все более подготовленными. Они научились обходить инструменты автоматического мониторинга и могут подолгу находиться внутри ИТ-инфраструктуры компании, оставаясь незамеченными. И тут уже недостаточно антивируса, IDS, SIEM, SOAR. Зато проактивный подход позволяет выявлять угрозы на ранней стадии и минимизировать возможные последствия инцидента. А они могут быть самыми разными: парализованные бизнес-процессы в компании, ущерб репутации или и вовсе финансовые риски и нарушение законодательства, которое все строже регулирует работу с персональными данными и регламентирует сроки отчета об инцидентах с ними.
Услуга Compromise Assessment предполагает комплексный и независимый анализ инфраструктуры на предмет следов компрометации, скрытых доступов злоумышленников и следов функционирования ВПО. Проводится оценка состояния безопасности, анализируются потенциальные векторы атак и слабые места инфраструктуры. При этом используются отличные от комплексного аудита подходы. Разбираемся, почему проактивный подход к мониторингу информационных угроз постепенно становится необходимостью.
Когда нужен Compromise Assessment?
- Есть гипотеза о компрометации компании, при этом все признаки косвенные, явных не обнаружено.
- ИТ-инфраструктура уже была скомпрометирована раньше, и есть риск того, что злоумышленник все еще находится в инфраструктуре. В таком случае нужен независимый взгляд и верификация того, что реакция на инцидент была адекватной и достаточной.
- Есть подозрение, что бывшие сотрудники или инсайдеры имеют скрытый доступ к корпоративной информации.
- Имеются недостатки в обеспечении информационной безопасности, нужно выявить потенциальные векторы атак или слабые места.
- Планируется слияние или подключение сторонней (дочерней) инфраструктуры, необходимо получить независимую оценку того, что она не скомпрометирована и соответствует требованиям безопасности основной (головной) инфраструктуры.
В чем польза Compromise Assessment?
- Проактивное обнаружение инцидентов на ранних этапах.
- Выявление продвинутых угроз (APT).
- Возможность проводить сложные расследования, связанные с внутренними злоумышленниками (инсайдерами).
- Быстрая проверка инфраструктуры, определение пробелов в системе защиты.
- Получение информации об инфраструктуре и обнаружение инцидентов из прошлого, зачастую неизвестных.
Услуга Compromise Assessment предполагает комплексный и независимый анализ инфраструктуры на предмет следов компрометации, скрытых доступов злоумышленников и следов функционирования ВПО
Из чего состоит Compromise Assessment
0. Этап подготовки и планирования
- Обсуждение подхода, процесса, инструментов Compromise Assessment с командой заказчика.
- Опрос владельцев сервисов, определение процессов и ключевых объектов инфраструктуры.
- Формирование скоупа и границ работ.
- Обеспечение необходимых доступов.
1. Этап внешней разведки
- Взгляд на инфраструктуру глазами злоумышленников, сбор и анализ информации о периметре.
- Поиск на внешнем периметре ИТ-инфраструктуры уязвимостей, которые могут быть использованы злоумышленниками, определение наиболее вероятных векторов атаки.
- Анализ данных из открытых источников о совершенных ранее или планируемых атаках на организацию (включая сегменты даркнета, Deep Web, тематические телеграм-каналы и форумы).
- Поиск данных учетных записей заказчика или его подрядчиков среди утечек, проверка действий данных учетных записей в инфраструктуре.
- Поиск фишинговых сайтов и зарегистрированных доменов, которые могут использоваться для таргетированных атак.
Процесс восстановления не рекомендуется начинать до подтверждения того, что угроза окончательно ликвидирована
2. Этап внутреннего сканирования и сбора данных
- Развертывание инструментов для сбора данных и поиска киберугроз внутри инфраструктуры (например, проверка возможности установки агентов и узлов, работающих на различных ОС: Windows, Linux, MacOS).
- Сбор данных в масштабах всей компании, запуск сканеров безопасности и разработанных поисков на агентах, которые способны выявить угрозы, актуальные для компании.
3. Этап аналитики и проверки результатов
- Поиск следов злоумышленников в собранных данных, анализ следов работы ВПО.
- Анализ с учетом собранной на предыдущих этапах информации (например, проверка гипотез об использовании скомпрометированных учетных записей или проверка наличия следов использования ранее обнаруженной уязвимости).
- Оценка слабых мест, выявление некорректных настроек сервисов, которые могут послужить источниками ИБ- и ИТ-инцидентов.
4. Опциональный этап, реагирование на инцидент
- При обнаружении подозрительной активности стоит провести расследование инцидента и отреагировать на него. Если инцидент был обнаружен в рамках Compromise Assessment, то сразу же переходят к этапам сдерживания и ликвидации (если рассматривать классический подход к реагированию на инциденты).
Основная задача при выявлении инцидента в активной фазе — предотвращение распространения угрозы в инфраструктуре. Установленные агенты Compromise Assessment позволяют изолировать хост и детально изучить следы вредоносной активности.
Далее выполняется поиск полученных следов вредоносной активности во всей инфраструктуре и проводится ликвидация угрозы. Процесс восстановления не рекомендуется начинать до подтверждения того, что угроза окончательно ликвидирована.
5. Отчет
По окончании проекта Compromise Assessment предоставляется заключение о наличии или отсутствии признаков компрометации инфраструктуры. Проводится разработка и приоритизация рекомендаций по повышению уровня защищенности ИБ компании. Формируется дорожная карта реализации рекомендованных мероприятий. В случае реагирования на инцидент, в отчете также даются необходимые рекомендации для снижения риска повторения подобных ситуаций в будущем.
При обнаружении подозрительной активности стоит провести расследование инцидента и отреагировать на него. Если инцидент был обнаружен в рамках Compromise Assessment, то сразу же переходят к этапам сдерживания и ликвидации
Пример кейса
В рамках одного из проектов Compromise Assessment к нам обратился заказчик: у него участились аварии в ИТ-инфраструктуре. Специалисты заказчика заподозрили компрометацию и допустили, что у злоумышленников есть нелегитимный доступ к данным, что и может приводить к нестабильной работе систем и остановке функционирования части ИТ-ресурсов.
В результате при поиске следов компрометации в инфраструктуре были обнаружены следы кибератаки в активной фазе:
- Злоумышленники имели доступ к веб-серверам с помощью ВПО типа веб-шелл.
- Данное ВПО функционировало более полугода.
- Точкой проникновения стал один из уязвимых сервисов на периметре.
Наша команда разработала рекомендации по ликвидации инцидента и выполнила проверку наличия следов действий злоумышленников в остальной части инфраструктуры. По окончании проекта был успешно ликвидирован инцидент ИБ в активной фазе. Были разработаны рекомендации по повышению уровня защищенности инфраструктуры. Данные рекомендации были приоритизированы и представлены в виде дорожной карты по развитию ИБ. Часть рекомендаций специалисты заказчика выполнили в кратчайший срок, что позволило закрыть основные векторы атак злоумышленников. Другая часть рекомендаций, направленная на постепенную модернизацию инфраструктуры с точки зрения ИБ, была запланирована в виде проектов по внедрению, настройке СЗИ и подключению сервисов ИБ.
В чем различия между Compromise Assessment и Threat hunting?
Подходы Compromise Assessment и Threat Hunting схожи и заключаются в проактивном поиске угроз, то есть мы не ждем, когда СЗИ оповестят об инциденте, а предполагаем, что угроза уже внутри и необходимо ее обнаружить и обезвредить. Если говорить о различиях, то Threat Hunting — это процесс, который заключается в выдвижении гипотез компрометации и поиске подтверждения этих гипотез на основе собираемых данных и телеметрии. Compromise Assessment — это проект, в рамках которого собирается гораздо больше данных и телеметрии (форензика узлов, информация от внешней разведки, сведения об обнаруженных уязвимостях и утечках и др.), на основе которых выдвигаются гипотезы и проводится анализ собранных данных.
