Алексей Шульмин, «Лаборатория Касперского»: В 2022 одного средства защиты недостаточно, нужна экосистема безопасности

Участники CyberCamp 2022 могли познакомиться с докладом эксперта по кибербезопасности «Лаборатории Касперского» Алексея Шульмина о применении EDR-решений для расследования инцидентов в enterprise-сетях. Мы поговорили с ним подробнее о том, какую роль играет EDR в корпоративной безопасности.

Алексей Шульмин

Эксперт по кибербезопасности «Лаборатории Касперского»

Алексей отвечает за экспертную поддержку решений «Лаборатории Касперского» для защиты от киберугроз крупных компаний (Kaspersky Anti-Targeted Attack, Kaspersky EDR, Kaspersky XDR и т.д.).Специализируется на исследовании APT-угроз, стеганографии и анализе протоколов коммуникации, используемых во вредоносных программах.

Cyber Media: Алексей, вы выступали на первом CyberCamp, как вам мероприятие?

Алексей Шульмин: CyberCamp вызывает самые положительные эмоции. В первую очередь, видно, как хорошо всё организовано, и для тех, кто находится на площадке, и для тех, кто смотрит онлайн. Впрочем, это характерно для всех мероприятий «Джет».

Во-вторых, отличная аудитория – молодые амбициозные и заинтересованные. Задают много нестандартых вопросов, анализируют, ищут для себя точки роста.

В-третьих, отлично подобранный контент, разные форматы выступлений. Фокус на практические знания, что помогает участникам прокачать навыки в различных областях. Это задаёт планку и для выступающих! Например, в своем выступлении я не только рассказывал о возможностях Kaspersky EDR, но и вместе с участниками расследовал инцидент, с которым они могут столкнуться в роли специалистов по кибербезопасности.

Cyber Media: Можно ли сказать, что EDR – это очередная ступень защиты рабочих станций? То есть когда-то было достаточно файрвола с антивирусом, сейчас нужны более продвинутые системы.

Алексей Шульмин: Короткий ответ – да. Антивирус, endpoint protection platform – это нужный, важный, по-прежнему незаменимый инструмент. Но его однозначно недостаточно, особенно для крупных сетей.

EDR покрывает всю корпоративную сеть – это важно. И это средство сбора сырой телеметрии, атомарных событий: вот процесс запустился, библиотека загрузилась, произошло сетевое соединение, реестр изменился, и так далее. Все эти события собираются, и к ним применяются определённые детектирующие правила.

EDR покрывает всю корпоративную сеть – это важно. И это средство сбора сырой телеметрии, атомарных событий: вот процесс запустился, библиотека загрузилась, произошло сетевое соединение, реестр изменился, и так далее. Все эти события собираются, и к ним применяются определённые детектирующие правила.

Это могут быть сотни правил, которые мы поставляем в составе решений, и регулярно обновляем, или же пользовательские правила – ИБ-специалист может написать что-то своё и применять. Если свои правила мы пишем на собственном языке, то пользователи от этих технических сложностей избавлены – они могут использовать удобный конструктор запросов, просто прокликать несколько выпадающих списков – и сформировать собственное правило.

Главная ценность EDR – именно в сохранении сырой телеметрии, детектировании, которое выстраивается над ней, а также в возможности оперативных действий по реагированию на инцидент.

Cyber Media: Примерно той же обработкой сырых логов занимаются и SIEM-системы. Как EDR будет работать рядом с такой системой?

Алексей Шульмин: И SIEM определённо нужен, и EDR представляет собой часть корпоративной экосистемы безопасности. Kaspersky EDR умеет интегрироваться с множеством SIEM-систем. Но я отдельно подчеркну, что главная ценность EDR состоит в нашей экспертизе по детектированию сложных атак. В «Лаборатории Касперского» есть отдел, который занимается изучением этих угроз по всему миру. Эти специалисты постоянно занимаются поиском сложных угроз, по каждой проводят расследование, пишут отчёт с подробными техническими деталями. Далее на основе этой информации создаются детектирующие правила. Каждый день выпускаются базы – появляются новые правила, уточняются старые.

Более того, мы оставляем пользователю возможность загрузить в систему что-то свое. Может быть, он пользуется внешними источниками и там увидит какие-то индикаторы компрометации, которые хочет применить к своей сети. Если пользователь хочет удостовериться, что ничего подобного у него в инфраструктуре нет, EDR позволит ему разом проверить все компьютеры в сети. Например, пользователь может загрузить сторонние индикаторы компрометации в формате OpenIoC в наше EDR-решение, и Kaspersky EDR поищет их на всех рабочих станциях, подключенных к решению.

Cyber Media: Какое место занимает EDR в процессах расследования инцидентов?

Алексей Шульмин: Это больше, чем расследование инцидентов и «форенсика» (цифровая криминалистика), это средство мониторинга и реагирования. Если инцидент уже случился и начал развиваться, EDR отвечает на вопрос «Что произошло?». А далее, собственно, сам response, то есть с помощью решения можно и нужно сделать так, чтобы последствия инцидента были минимальные для компании и её сети. А еще лучше – остановить инцидент на начальных этапах.

Cyber Media: Можно ли сказать, что именно реагирование составляет основную функциональную ценность EDR?

Алексей Шульмин: Я думаю, речь о взаимодействии всех компонентов. Потому что, прежде чем реагировать, нужно понять, что случилось. В плане предоставления аналитики EDR – очень полезное решение.

Cyber Media: Как это выглядит на практике?

Алексей Шульмин: Можем разобрать на примере синтетического кейса. Злоумышленник получил первоначальный доступ в сеть через машину Network Attached Storage с Ubuntu, которая «смотрела» в интернет. После этого злоумышленник перемещается горизонтально по сети, сначала - на одну рабочую станцию, затем – на другую. Воспользовался Mimikatz, получил хэш пароля доменного администратора, после чего переместился на доменный контроллер, запустил шифровальщик и зашифровал или уничтожил данные.

Всё это похоже на правду – многие атаки развиваются похожим образом. Далее мы используем EDR, чтобы расследовать что случилось. Функциональность таких решений, по крайней мере, Kaspersky EDR, позволила полностью восстановить события, даже если вы не знаете исходный сценарий атаки. Мы начинаем с алерта, и полностью восстанавливаем всю цепочку атаки на каждой машине. И с этими знаниями мы уже можем произвести response-действия: изолировать отдельные машины, завершить процессы, удалить файлы и так далее.

Cyber Media: Очевидно, в реальных условиях не хочется эти действия предпринимать постфактум. Как работа EDR-системы соотносится с временной шкалой атаки?

Алексей Шульмин: Атака в приведенном кейсе была доведена до конца, чтобы показать возможности решения. Большинство сегодняшних сложных атак управляется человеком (т.н. human-operated атаки). По нашим исследованиям, при сложных таргетированных атаках злоумышленник может проводить в корпоративной сети до нескольких месяцев. А так как EDR сразу предупреждает о сомнительной активности, можно оперативно и среагировать на происходящее, разобраться, что произошло. Поэтому у специалиста по информационной безопасности будет время, чтобы предпринять действия для нейтрализации угрозы. Нужно сначала потушить пожар, а потом разбираться, отчего загорелось.

И вовсе не обязательно ждать финала инцидента, как в примере. Сила EDR как раз в том, чтобы на ранних этапах привлечь внимание. Если ИБ-специалист видит, что на рабочей станции происходит что-то странное, можно сначала эту рабочую станцию изолировать. Это не позволит злоумышленнику дальше развивать атаку, а после можно предпринимать действия по расследованию и реагированию. Причем, очень важно понимать, кто противостоит вам – в этом смысле нельзя недооценивать роль threat intelligence. Нужно понять на какой стадии атака, знать типичные TTPs злоумышленников, иначе поспешными действиями можно только нанести вред (например, спровоцировать злоумышленников на киберсаботаж, даже если изначально у них таких планов не было). Важно не только остановить взломщика, но и выяснить первоначальный вектор. Самое главное – это понять, как злоумышленник попал в сеть, и закрыть эту точку входа навсегда.

Cyber Media: По комментариям экспертов, EDR справляется и с уязвимостями нулевого дня, это действительно так?

Алексей Шульмин: Да, только нужно понимать, что 0-day – это не вся атака. Как правило, они применяются чтобы получить первоначальный доступ или повысить привилегии. Каким бы ни был скрытным 0-day, он не существует в вакууме – атака развивается после него, или до него. Поскольку EDR собирает сырую телеметрию обо всём, что происходит, в любом случае такая активность не останется незамеченной.

Cyber Media: Другими словами, это не EDR обнаружил 0-day, а скорее преступник себя потом как-то проявил и привлёк внимание?

Алексей Шульмин: Не совсем так, потому что EDR интегрируется с защитой рабочих станций (у нас такой продукт называется Kaspersky Endpoint Security for Business), где есть отдельный движок для анализа и поиска эксплойтов, в том числе и неизвестных. И такие детекты затем доставляются в EDR, чтобы ИБ-специалист своевременно видел происходящее. Так что и простое использование 0-day не скроется от EDR-решения, даже в случае, если атака не получила развития.

Хорошая практика – строить экосистему информационной безопасности. В 2022 одного средства защиты рабочих станций недостаточно. Когда что-то происходит, средство защиты конечных точек может заблокировать активность, но ИБ-специалист остается без дополнительных знаний и не может сделать выводы о том, что именно произошло. Как я говорил, сложными атаками управляет человек. И в противостоянии с атакующим нужны дополнительные знания и дополнительные возможности в части обнаружения и реагирования, которые даёт EDR.

Cyber Media: Как сейчас выглядит панорама угроз? Что вы видите со своей стороны?

Алексей Шульмин: Сейчас за любым вредоносным ПО, как правило, стоит целое сообщество, где у участников распределены роли: один разрабатывает ПО, второй занимается взломом, третий ведёт переговоры с жертвой. Кроме того, мы отмечаем изменение мотивов атакующих. Если раньше в подавляющем большинстве случаев главной целью злоумышленников было получение прибыли, то в этом году существенно увеличилось количество так называемых хактивистов. Они нацелены в первую очередь на то, чтобы нанести максимальный ущерб организации и нарушить ее процессы.

Если говорить про ландшафт угроз, то я бы сказал, что 90% того, что мы видим – это классические типы вредоносов, которые используются в массовых атаках и направлены плюс-минус на любую жертву. Еще 9,9% – это таргетированные атаки, защищаться от которых нужно специализированными инструментами. И оставшиеся 0,1% – это наиболее сложные кибератаки с применением замысловатых техник и тактик, настоящее кибероружие. Для защиты от них нужно выстраивать целую экосистему безопасности, которая комплексно защитит все элементы инфраструктуры.

Cyber Media: Довольно долго бытовало мнение, что средней компании столкнуться с таргетированной атакой не грозит. Грубо говоря, достаточно базовой информационной гигиены, проследить, чтобы сервера не «торчали» онлайн – и всё будет хорошо.

Алексей Шульмин: Я с этим мнением не соглашусь. Тот же опыт WannaCry показал, что жертвой может стать каждый. В идеальном мире всё ПО постоянно обновляется, администраторы ставят патчи, и так далее. В реальности уязвимости закрываются по полгода, поэтому случается то, что случается.

Маленьким компаниям не нужно думать, что они не могут стать жертвами таргетированных атак. Запросто – например, если это будет атака на цепочку поставок. Конечной целью злоумышленников будет какая-то крупная компания, а добраться до нее могут через небольшую организацию, которая ей оказывает услуги.

Поэтому риски есть для всех, я бы не расслаблялся.

Cyber Media: В таком случае как небольшим организациям можно изыскать средства на защиту от угроз, перед которыми бессильны даже крупные корпорации?

Алексей Шульмин: Я могу привести в пример нашу линейку Kaspersky Symphony, где комплексные решения разделены на четыре уровня («тира»), подходящих самым разным организациям, в зависимости от их размера и зрелости. Необязательно приобретать сложные решения. К примеру, если у компании нет своего SOC, своей экспертизы, своих специалистов, которые умеют анализировать телеметрию, она может воспользоваться уровнем Symphony Managed Detection and Response, который содержит сервис «управляемой защиты» и позволяет отдать основные функции по обнаружению, реагированию и расследованию на аутсорс.

Cyber Media: Другими словами, сервисная модель всех спасет?

В зависимости от потребностей, зрелости процессов, количества рабочих станций, размера и типа инфраструктуры. Подобрать правильный набор решений и сервисов для компании – это аналитическая работа.

Cyber Media: Вы со своей стороны видите, что портрет вашего клиента меняется в последние годы?

Алексей Шульмин: Да, зрелость клиентов растёт, и это очень хорошо. Как в старой шутке, люди делятся на тех, кто еще не делает бэкапы, и тех, кто уже делает. Компании многое осознали, прошли через некоторое количество инцидентов и стали гораздо более погружены в тему информационной безопасности. И это, безусловно, радует, потому что они стали более защищёнными.

Cyber Media: В этом году вы заметили рост спроса на информационную безопасность?

Алексей Шульмин: Разумеется, в этом году многие иностранные вендоры ушли из России, причем кто-то ушел цивилизованно с некоторым переходным периодом, а кто-то просто дернул рубильник, лишив клиентов продукта или сервиса. Поэтому заказчики, конечно, переориентируются на отечественные решения, ведь некоторые из них столкнулись с необходимостью в кратчайшие сроки заменять «вылетевшие» продукты. Но и в целом мы видим, что многие компании стремятся перестроить свои системы ИБ, сделать их более комплексными и ориентируются на надежных поставщиков.