Оглавление
Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
Автор: Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
Чем Compromise Assessment отличается от других ИБ-мероприятий?
Compromise Assessment – это поиск незамеченных следов компрометации корпоративной сети. Не стоит путать подобную практику с методиками оценки уязвимости. Те же пентесты могут преследовать разные цели, например определить как можно больше рабочих векторов атаки или имитировать “покушение” на конкретные активы компании. В любом случае здесь главный принцип – думать и действовать как злоумышленник, используя те же инструменты и возможности.
Цель Compromise Assessment – не выявить слабые места в защите компании, а найти следы их эксплуатации. Для этого аналитики исследуют исторические данные и всевозможные криминалистические артефакты.
Почему нужно проводить Compromise Assessment?
Все больше компаний регулярно проводят пентесты и Red Teaming. Покрытие корпоративных сетей средствами защиты информации постоянно растет. И все же Compromise Assessment – не лишняя перестраховка, а оправданная мера. Перечислим несколько наиболее веских причин, почему бизнесу стоит устраивать проверки на компрометацию сети наряду с другими ИБ-практиками.
Широкое распространение компрометаций через подрядчиков (так называемые Trusted Relationship)
Чаще всего в инфраструктуру хорошо защищенной корпорации проникают через небольшую подрядную организацию, например интегратора какого-либо ПО.
До определенной поры любые активности хакера, действующего под прикрытием внешнего исполнителя, выглядят вполне легитимными. Пока злоумышленник не начнет запускать вредоносы, шифровать файлы или предпринимать другие несанкционированные шаги, СЗИ его не засекут. При помощи пентестов и других мероприятий наступательной безопасности, скорее всего, не получится предсказать такую атаку. Остается лишь “прочесать” сеть в поисках следов компрометации. Найти злоумышленника в случае с Trusted Relations все равно будет очень непросто, но шансы на успех значительно повышаются.
Ограничения и издержки других ИБ-мероприятий
Польза тестов на проникновение и других “атакующих” методик бесспорна, но не стоит полагаться только на них. Даже если несколько опытных “красных” команд не сумели пробиться до критичного участка инфраструктуры, всегда может появиться хакер с новейшей CWE и добиться желаемого. Compromise Assessment – это поиск реальных фактов компрометации, а не оценка вероятности успешной атаки.
Пентестер ограничен в плане инструментов и прав доступа. В рамках Compromise Assessment аналитик, напротив, получает содействие со стороны сотрудников компании, обеспечивая высокую эффективность поиска свидетельств использования уязвимостей.
Опасность “дремлющих компрометаций”
Часто злоумышленники незаметно проникают в корпоративные сети, оставляют там программные закладки, скажем, проэксплуатировав какой-нибудь zero day, и на этом останавливаются. Так действуют брокеры первоначального доступа, которые продают подобные лазейки другим киберпреступникам, и некоторые политически мотивированные хакеры. Характерны “дремлющие компрометации” и для промышленного шпионажа.
Системные закладки остаются незамеченными, пока злоумышленник не выдаст себя активными действиями. СЗИ и наступательная безопасность, скорее всего, не помогут. А вот Compromise Assessment обнаружит эти лазейки с высокой вероятностью.
Как проводится Compromise Assessment?
Алгоритм действий в ходе таких мероприятий, как правило, включает четыре обязательных шага и один опциональный.
Шаг 1. Определение анализируемой инфраструктуры. Обычно область поиска сразу согласовывается с заказчиком. Многие клиенты прекрасно знают и слабые места, и наиболее защищенные участки своей ИТ-инфраструктуры.
Шаг 2. Определение источников данных. На этом этапе зона поиска еще сильнее сужается и локализуется. Проверяющие выясняют, какие операционные системы и софт есть в инфраструктуре, какое ПО может содержать следы компрометации. Обычно в фокус внимания попадают артефакты с конечных устройств, централизованные хранилища логов, различные СЗИ.
Шаг 3. Сбор данных. Необходимую информацию можно выгружать из СЗИ клиента небольшими фрагментами либо сразу целыми блоками и анализировать в лаборатории компании, которая проводит проверку. Или же аналитика выполняется прямо на месте. Второй вариант возможен, когда заказчик не может передавать данные за пределы своего контура, чтобы не нарушить NDA.
Работа упрощается, если компания зрелая и в ней есть SIEM-система и холодное хранилище логов за последние месяцы. Аналитики также используют автоматизированные сборщики артефактов, которые помогают извлекать данные из различных приложений и частей инфраструктуры.
Шаг 4. Анализ данных и поиск компрометации. Когда данные собраны, команда аналитиков начинает изучать их и искать подозрительные моменты. Частично эта работа делается вручную, а частично – автоматизированно. Допустим, данные проверяются набором сигнатур, выполняется поиск по хешам. Исторические записи по различным IP-адресам сверяются с платформой Threat Intelligence. В итоге удается выяснить, относятся ли находки к вредоносным активностям или нет. Оптимально, когда по мере нахождения сомнительных файлов и следов активности такая информация сразу передается клиенту для уточнения. Зачастую выясняется, что это всего лишь последствия давних пентестов или изучения вредоносных файлов ИБ-специалистами. Не стоит заранее обсуждать с клиентом такие моменты. Лучше перестраховаться и выловить все свидетельства использования утилит двойного назначения и прочие подозрительные активности, а потом отсеять лишнее, иначе появляется риск не заметить реальных признаков компрометации.
Шаг 5. Развертывание внутри сети дополнительных средств защиты информации. Такой шаг выполняется лишь при особой необходимости или по запросу клиента. Использование дополнительных СЗИ позволяет не только ретроспективно исследовать криминалистические артефакты, но и выполнять анализ сети в реальном времени. В результате удается засечь подозрительные активности, которые происходят прямо сейчас.
Какие выгоды приносит бизнесу проведение Compromise Assessment?
По итогам проверки клиент получает подробный отчет. Документ включает:
результаты расследования и найденные следы компрометации, если такие имеются;
описание всех слабых сторон сети;
рекомендации по харденингу – укреплению защиты.
Справедливости ради отметим, что “зеленый” отчет по итогам Compromise Assessment – это серьезная, но не 100%-ная гарантия отсутствия компрометации. Если злоумышленник находится в сети долго, то у него есть время и возможности легитимизировать свою деятельность, например получить учетную запись администратора. Тогда понять, где допустимые действия, а где нет, становится крайне проблематично, особенно если логи в исследуемой инфраструктуре хранятся недолго. Но, как уже отмечалось, и любые другие ИБ-мероприятия не дают абсолютной уверенности в том, что в сеть не проникли.
Еще один плюс Compromise Assessment для бизнеса – сбор фактуры для дополнительного анализа: насколько корректна парольная политика, соблюдаются ли правила базовой цифровой гигиены, как в целом сделать сеть безопаснее. При необходимости клиенту также даются рекомендации по мониторингу активности пользователей, введению дополнительных ограничений.
Выявляет проверка на компрометацию и проблемы организационного характера, например в ходе сбора данных не запустилось важное приложение или аналитикам не удалось зайти на сервер, поскольку единственный знающий пароль администратор ушел в отпуск. Такие ситуации дают бизнесу дополнительную пищу для размышлений о том, как улучшить не только сеть, но и рабочие процессы.
Наконец, если компрометация все-таки обнаружится, команда проверяющих сможет сразу же приступить к устранению инцидента. Для этого уже будет вся необходимая информация.
Кому и когда целесообразно проводить Compromise Assessment?
При всех своих выгодах проверка на компрометацию потребует от бизнеса немалых материальных и временных затрат. Например, сотрудникам заказчика придется поучаствовать в сборе и передаче данных, поскольку сам бизнес лучше любого стороннего аудитора знает критичные участки своей инфраструктуры. Важно, чтобы это было по-настоящему оправданно и целесообразно. Перечислим несколько основных предпосылок к проведению Compromise Assessment.
Предпосылка 1. Работа с большим количеством подрядчиков. ИБ-риски значительно возрастают, когда скомпрометирована подрядная организация, с которой у компании была сетевая связность. Даже если сразу ничего не произошло, угроза сохраняется. Не исключено, что и доступы в сети своих клиентов подрядчик хранил не слишком бережно. А учитывая терпеливость некоторых злоумышленников, нежелательные последствия могут наступить спустя месяцы или даже годы.
Предпосылка 2. Нехватка ресурсов на харденинг и мониторинг проблемных участков сети. При стремительном развитии бизнеса и росте ИТ-инфраструктуры ИБ-служба постепенно перестает справляться со всеми задачами. Имеющихся СЗИ вдруг оказывается недостаточно для полноценного покрытия сети, к тому же сотрудники не всегда соблюдают правила цифровой гигиены. Так что при отсутствии уверенности в своей безопасности стоит проводить Compromise Assessment профилактически, приблизительно раз в полтора года.
Предпосылка 3. Большая территориальная распределенность структуры компании. Допустим, у организации есть офисы и филиалы в 10 городах. В Москве удалось нанять толкового администратора и наладить грамотную работу, а в каком-нибудь другом городе такого человека нет и все систематизировано гораздо хуже. Остается лишь перестраховаться и дополнительно проверить такие слабые места на компрометацию.
Предпосылка 4. Резкое расширение сетевой инфраструктуры. В частности, так бывает, когда одна компания поглощает другую, с менее высокими стандартами информационной безопасности. Сразу же интегрировать новую организацию в свою инфраструктуру не стоит: вдруг в ее сети затаился злоумышленник?
Compromise Assessment – эффективная практика проактивной кибербезопасности, которая помогает убедиться в отсутствии компрометации или выявить уже произошедший инцидент.
Даже если компания использует современные СЗИ и регулярно проводит другие ИБ-мероприятия, такая проверка не будет лишней для бизнеса. А при наличии соответствующих предпосылок Compromise Assessment вовсе стоит включить в процессы информационной безопасности компании и проводить на регулярной основе.
ITSec_articles