Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, и автор блога README рассказала порталу Cyber Media, какие меры должны принимать компании для предотвращения инцидентов, об ошибках и заблуждениях в сфере кибербезопасности, и о том, как работают форензики, в том числе в условиях удаленки.

Cyber Media: Насколько опасно самостоятельное реагирование на инцидент в тех случаях, когда у компании нет соответствующих специалистов? Что делать категорически нельзя?

Лада Антипова: Важно понимать, что реагирование на инцидент – это сложный процесс, состоящий из нескольких этапов. Причем на каждом из них есть свои нюансы и даже некоторые подводные камни. Профильный специалист, занимающийся реагированием на инциденты, знает, что делать на каждом из этих этапов, чего делать категорически нельзя, а что наоборот ‒ нужно форсировать: ведь помимо теоретических знаний, он обладает богатым практическим опытом в реагировании и расследовании. Поэтому, если в компании нет компетентных специалистов по данному направлению, я всегда рекомендую как можно быстрее обращаться к внешним командам, хотя бы за общей консультацией. Они скоординируют и подскажут, как правильно действовать в том или ином случае. Несколько утрируя, но можно провести аналогию с местом происшествия, обозначенным специальными лентами с надписью «ничего не трогать».

Самая большая ошибка при обнаружении инцидента – это начинать в срочном порядке переустанавливать операционную систему на зараженных машинах или машинах с подозрительной или непонятной активностью, повсеместно выключать питание, пробовать что-то восстановить из бэкапов, запускать утилиты «скорой помощи» для экстренной проверки систем от антивирусных вендоров, которые при обнаружении любого подозрительного файла по умолчанию сразу удаляют его. Это одна из главных болей форензиков. Ведь таким образом, вы не только в разы усложняете последующее расследование, но и рискуете окончательно потерять свои же данные.

Не секрет, что одна из важнейших задач при реагировании – удостовериться, что у злоумышленника больше нет доступа к сети. Тем не менее если преждевременно приступать к действиям по ликвидированию угрозы, что-то блокировать, но действовать без понимания происходящего, можно просто обозначить злоумышленникам, что они были обнаружены. Тогда они просто затихнут и дадут вам ощущение ложного спокойствия, чтобы продолжить атаковать спустя какое-то время. Но и медлить тоже не стоит, причем вне зависимости от типа инцидента, с которым вы столкнулись. Для каждого случая – своя золотая середина.

Cyber Media: Если говорить об идеальных условиях для реагирования и последующего расследования инцидента, какие меры компания должна принять превентивно?

Лада Антипова: Первый и самый важный этап реагирования на любой инцидент – это подготовка к этому самому инциденту. Он включает в себя построение защиты, настройку систем, средств информационной безопасности и так далее. То есть, по сути, мы должны быть в состоянии боевой готовности, чтобы не только превентивно защищаться, но и грамотно реагировать на инциденты и локализовывать их.

Как бы хорошо вы ни были защищены, сколько бы систем защиты у вас ни стояло, вас все равно попытаются взломать, а насколько глубоко проникнет злоумышленник, зависит от вашей подготовки к кибератакам. Среди наших клиентов компании с очень разным уровнем зрелости процессов ИБ, и даже хорошо защищенные и подкованные попадаются в ловушки, которые иногда кажутся настолько простыми, что о них никто никогда и не подумал бы. Но есть большая и очень ощутимая разница: в таких организациях факт выявления компрометации или заражения происходит на самых ранних этапах.

Именно по этой причине вопрос подготовки наиболее критичен, ведь именно это будет определяющим фактором. Сроки решения и возможности восстановления во многом зависят от того, насколько быстро вы сможете идентифицировать угрозу, определить полный перечень скомпрометированных хостов, структуру атаки, выбрать средства реагирования и приступить к ликвидации последствий.

Несомненно, любые рекомендации сильно зависят от размеров инфраструктуры, используемого стека технологий, текущего уровня зрелости процессов ИБ в организации и других параметров. Тем не менее в качестве общих рекомендаций можно выделить следующие:

1. Инвентаризация – наше все, так как нельзя защищать то, чего мы не знаем. Дополнительно убедитесь, что все устройства защищены антивирусным ПО (обеспечена максимальная зона покрытия), или, как минимум, работает встроенная защита системы, например, «Защитник Windows». Как бы его не критиковали, он прекрасно работает и в отдельных моментах может дать фору специализированным коммерческим решениям. Также необходимо регулярно проверять наличие и проводить установку обновлений как самих клиентов, так и баз сигнатур.
2. Удостоверьтесь в ведении и, главное, выполнении политики резервного копирования, а также проверяйте возможность корректного восстановления данных из резервных копий. К тому же, правило «3-2-1» существует не просто так: не стоит хранить бэкапы в единственном экземпляре на том же устройстве или в том же сегменте.
3. Проверьте, какие опции и возможности централизованного управления своей инфраструктурой вам доступны. Отдельно отмечу, что данным хостам необходимо уделять еще более пристальное внимание: если злоумышленник доберется до них, вся инфраструктура мгновенно будет для него как на ладони и управление ей не составит особого труда. В таких случаях, митигирование рисков может осуществляться путем дополнительного мониторинга, а также внедрения/включения средств двухфакторной защиты. Знали ли вы, что в консоли управления одного из самых известных корпоративных антивирусов есть такой функционал по умолчанию? Так вот, пользуются им далеко не все.
4. Включите расширенный аудит, а именно: более полное логирование на уровне операционных и прикладных систем вместо использования настроек по умолчанию. Распространенной и вполне оправданной на текущий момент является практика использования решений класса EDR/XDR на конечных узлах для сбора их расширенной телеметрии.
5. Перепроверьте, достаточная ли установлена глубина логирования (хранения) журналов событий. По умолчанию она ограничивается слишком малым размером файла или количеством событий, из-за чего ретроспективный анализ усложняется, а иногда и в принципе не представляется возможным. Рекомендуемый срок – не менее (!) трех месяцев.
6. Рассмотрите возможность централизованного сбора событий информационной безопасности в инфраструктуре и их последующей передачи в систему сбора данных. Это позволит как увеличить глубину хранения логов, так и значительно оптимизировать процесс их анализа.

Cyber Media: Какие тренды в контексте DFIR, вы считаете наиболее важными?

Лада Антипова: Самый важный тренд в нашей отрасли был задан пандемией: именно тогда стало ясно, что реагирование в удаленном режиме имеет свои плюсы. Хотя на тот момент это было одним из главных вызовов. Но период полного локдауна, когда выезд на работу даже штатных сотрудников требовал особых разрешений и пропусков, задал новые реалии. Теперь мы, как и любые другие команды реагирования, все чаще оказываем помощь в удаленном формате и более чем приспособились к таким условиям, в том числе в разрезе используемых подходов и инструментария. Какие плюсы? Как минимум в разы меньше временных затрат: ведь теперь не нужно тратить время на выезд специалистов, согласование работ и командировок, а приступать к работам, сбору данных и их анализу, можно незамедлительно, лишь подписав NDA.

Последняя аббревиатура, кстати, очень важна. Иногда эти формальности требуют времени, хотя счет идет на минуты. Важно помнить, что ресурсы любой команды не бесконечны: всегда возможна ситуация, что команда в моменте может быть загружена текущими проектами и просто физически не сможет вам помочь. В случае с подпиской или с предварительным заключением рамочного договора, компания всегда в приоритете и не тратит время на формальности, а форензики сразу приступают к работе.

Cyber Media: Если говорить о стереотипах, мифах или заблуждениях относительно расследования и реагирования на инциденты, с какими вы сталкивались на практике чаще всего?

Лада Антипова: Мне кажется, мы, как и все специалисты по информационной безопасности, часто сталкиваемся со стереотипом «человека за компьютером с большим количеством мониторов», который нажмет пару кнопок и вычислит всех злодеев по IP. Да, мониторов у нас, конечно, может быть действительно много, но не все так просто.

Более того, важно понимать, что расследование инцидента зависит не только от нас и нашей скорости работы, но и от масштабов инцидента и размеров инфраструктуры. А также от клиента, то есть как скоро нам предоставляют и какие вообще могут предоставить данные (помним про этап подготовки).

После каждого расследования инцидента мы выдаем большой список рекомендаций, «как залатать дыры» и усилить защищенность своей инфраструктуры в целом. К сожалению, часто видим, что большинство этих рекомендаций так и остается невыполненными. И дело не в том, что они так сложны в реализации (хотя некоторые из них – действительно, вопрос не одного дня), а в распространенном заблуждении, что снаряд дважды в одну воронку не падает. Так вот, падает.

Cyber Media: Сейчас у всех на слуху такое понятие, как threat intelligence или киберразведка. Звучит как раз как из фильма. Используете ли вы такие данные в своей работе?

Лада Антипова: Мне кажется, именно специалисты по реагированию на инциденты ценят киберразведку больше всего. Мы являемся одним из главных поставщиков данных для них, а они, в свою очередь, предоставляют важную информацию для нас и могут по запросу дополнительно собирать ее. Это своеобразный симбиоз. К тому же именно киберразведка является ключевым звеном на этапе сдерживания, а именно понимания масштабов угрозы и построения Kill Chain: она в разы может ускорить процедуру реагирования по многим причинам, в том числе потому, что определенный кластер злоумышленников использует схожие тактики, техники и процедуры от атаки к атаке.

Если говорить в общем, «внешние» команды по реагированию особо ценны тем, что через них проходит очень много кейсов, причем достаточно разноплановых. И каждый раз мы проводим полный цикл реагирования и исследования. Само собой, мы не можем поделиться данными одного клиента с другим, но мы видим общую картину, которая однозначно помогает разбираться в ряде инцидентов, своевременно реагировать и предсказывать некоторые дальнейшие шаги злоумышленника.

Cyber Media: Насколько часто команды по реагированию на инциденты сталкиваются с ложноположительными событиями, когда в ходе расследования выясняется, что инцидента ИБ нет?

Лада Антипова: Конечно, далеко не все поступающие сообщения являются реальными атаками, но таких — меньшинство: это может быть просто подозрительная активность конечного узла или в сетевом трафике, причем часто это именно уведомления от различных средств ИБ. Это нормальная ситуация, более того, мы всегда рады помочь в сложных случаях. В целом считаем, что нужно не только своевременно обрабатывать такие оповещения средств защиты, но и понимать природу активности, потому что только так можно в последующем скорректировать работу этих инструментов. Как говорится, лучше перебдеть, чем недобдеть.

Cyber Media: Поделитесь примерами из вашей практики, которые наиболее наглядно описывают рабочие будни специалистов по реагированию и расследованию инцидентов?

Лада Антипова: День специалиста по реагированию – вещь непредсказуемая. Нам могут позвонить ранним утром с сообщением о выезде на площадку клиента, или мы неспешно начинаем рабочий день с какого-либо исследования. При этом если эксперт работает на проекте (или на нескольких), он погружается в беспрерывный анализ данных на срок до двух недель, иногда дольше. Да и расследование инцидента продолжается в любое время суток – работаем до победного.