Михаил Прохоренко, BI.ZONE: Наиболее зрелые компании регулярно проводят оценку компрометации

В условиях растущих киберугроз компании сталкиваются с необходимостью регулярно проверять свою инфраструктуру на предмет компрометации. Михаил Прохоренко, руководитель управления по борьбе с киберугрозами компании BI.ZONE, рассказал порталу Cyber Media о важности проведения compromise assessment (CA), ключевых шагах в этом процессе и методах, которые помогают организациям выявлять и предотвращать потенциальные атаки.

Cyber Media: Что отличает compromise assessment от услуг по расследованию инцидентов и пентеста с точки зрения процесса, ценности и предназначения услуги?

Михаил Прохоренко: Compromise assessment — это проверка инфраструктуры компании на компрометацию злоумышленниками. Мы анализируем наличие потенциальных инструментов злоумышленников и выявляем активные атаки или недавние инциденты. Ключевая особенность в том, что, когда мы говорим об оценке компрометации, у нас нет конкретных признаков получения доступа к инфраструктуре. Инциденты, которые могли бы указать, что сеть скомпрометирована, отсутствуют. Мы просто не знаем, есть ли злоумышленник внутри.

Например, при расследовании инцидента мы знаем, что преступление совершено — злоумышленник уже проник в сеть, и наша задача — понять, насколько глубоко он зашел и серьезно ли скомпрометирована инфраструктура. В случае же с compromise assessment работа начинается с полного отсутствия информации о том, что именно произошло.

С технической точки зрения различия тоже большие. Когда проводят расследование инцидентов, вручную исследуют ограниченное количество систем — от единиц до нескольких десятков машин. А в рамках compromise assessment проводится проверка огромной инфраструктуры, сотен или даже тысяч машин. Поэтому здесь обязательно используются автоматизированные инструменты, чтобы эффективно справиться с такой большой задачей.

Также стоит отметить различия между compromise assessment и пентестом. Пентест — это попытка выявить уязвимости, что можно сравнить с попыткой взлома для проверки безопасности «забора» вокруг вашей организации. А оценка компрометации направлена на понимание того, что происходит за этим забором, на огороженной территории: есть ли там злоумышленники или инструменты, которые представляют угрозу.

Таким образом, compromise assessment расположен на временной шкале между расследованием инцидента и пентестом: первое работает с уже реализовавшимися атаками, а второе — над предотвращением будущих атак. Цель CA — выявить активные угрозы, о которых клиент еще не знает.

Cyber Media: Нужна ли компаниям какая-либо подготовка для проведения CA?

Михаил Прохоренко: Для проведения оценки компрометации необходимо воспользоваться программным обеспечением, которое будет собирать данные с конечных устройств Как правило, эту роль выполняют EDR-агенты. Важно отметить, что от клиента не требуется никаких действий перед началом CA, но на этапе его выполнения понадобится развернуть это ПО. Потребуются организационные усилия — нужно договориться со всеми заинтересованными подразделениями, чтобы обеспечить максимальное покрытие и собрать данные с источников.

Агенты собирают информацию о текущей активности и исторические данные из артефактов форензики. Эти артефакты по умолчанию хранят информацию за длительный промежуток времени и не требуют дополнительной настройки. Мы также собираем журналы средств защиты информации (СЗИ) и данные штатного аудита операционных систем.

Особенно важно делать акцент на журналах сетевых соединений, поскольку они играют ключевую роль в выявлении уже завершенных атак. Если эти логи хранятся с достаточной детализацией длительный период, сам процесс оценки становится более информативным и точным. Я бы рекомендовал хранить журналы минимум за полгода-год и проводить оценку компрометации с такой же периодичностью. Это позволит добиться более полного и сквозного анализа всей журналируемой активности, что значительно повысит шансы на выявление любых компрометаций в системе.

Cyber Media: По вашему опыту, в каких случаях компании обращаются за услугой по оценке компрометации и насколько популярна эта услуга на российском рынке?

Михаил Прохоренко: Наиболее зрелые компании регулярно проводят оценку компрометации, и это становится важной частью их требований по безопасности. Однако большинство организаций пока еще не достигли такого уровня зрелости. Хотя многие из них внедрили регулярное тестирование на проникновение, оценка компрометации пока не вошла в их базовый набор инструментов защиты.

Я выделяю три основных триггера, которые побуждают компании обращаться за оценкой компрометации:

1. Масштабные изменения в IT-инфраструктуре. Например, когда происходит слияние или поглощение компаний или если дочерняя компания интегрируется в инфраструктуру головного предприятия. Перед интеграцией обеих инфраструктур важно убедиться в их «чистоте», чтобы избежать дополнительных рисков.
2. Изменение функций безопасности. Если новый человек начинает отвечать за безопасность или у действующего директора по кибербезопасности (CISO) появляются новые обязанности, необходимо убедиться, что инфраструктура не скомпрометирована. Важно отметить, что у CISO не так много инструментов для проверки состояния инфраструктуры. Он может оценить ее уровень защищенности, но понять, была ли она скомпрометирована, довольно трудно. Поэтому назначение нового CISO часто становится причиной обращения за оценкой компрометации.
3. Инцидент, который уже произошел. Когда компания отреагировала на инцидент, есть вероятность, что инфраструктура все еще скомпрометирована. Это может быть связано с тем, что важные данные были утрачены во время инцидента и расследование затруднено. Например, ошибка в процессе реагирования или непредвиденные обстоятельства могут оставить открытыми вопросы о состоянии безопасности системы. Если известно, что инцидент произошел и злоумышленник находился в сети, но нет уверенности, что его больше там нет, необходимо проверить всю инфраструктуру.

Таким образом, оценка компрометации становится важным шагом для обеспечения кибербезопасности организации, особенно когда происходят значительные изменения или необходима реакция на инциденты.

Cyber Media: Если говорить о других рынках, как там обстоит ситуация с CA?

Михаил Прохоренко: Если говорить о зарубежных рынках, ситуация может быть разной. В некоторых странах кибербезопасность находится на более низком уровне, в то время как в других она развита гораздо лучше. Однако можно выделить общий тренд: во многих государствах на нормативном уровне действует требование о проведении регулярных оценок компрометации. Как правило, это обязательные ежегодные проверки, особенно в критических сферах.

Например, страны Персидского залива имеют строгие регуляторные стандарты, согласно которым компании финансового сектора и операторы критической инфраструктуры обязаны проводить ежегодные оценки компрометации. Эти меры направлены на обеспечение безопасности и устойчивости в важнейших отраслях экономики.

Cyber Media: В этом году все больше говорят об угрозах атак на подрядчиков. Чем CA может помочь в таких случаях?

Михаил Прохоренко: Прежде всего, давайте проясним термины. Существует два понятия: атаки на цепочку поставок и атаки через доверенные сторонние организации, например через подрядчиков.

Хотя эти понятия часто смешивают, между ними есть разница.

Атаки на цепочку поставок представляют собой атаки на организацию путем компрометации любого элемента цепочки поставки ПО или оборудования. Например, злоумышленники могут внедрить вредоносный код в программный продукт, который затем будет использован компанией.

Однако в последнее время атаки часто совершаются через подрядчиков, когда киберпреступники взламывают менее защищенного подрядчика крупной организации и получают привилегированный доступ в сеть жертвы. Это актуальный тренд, который мы наблюдали в 2023 году и наблюдаем в 2024-м. Эти атаки опасны тем, что поначалу действия злоумышленника выглядят абсолютно легитимными. Деятельность «подрядчика» воспринимается как нормальная, но на поздних этапах проявляются нелегитимные действия. К сожалению, в этот момент может быть уже слишком поздно для эффективного реагирования.

Compromise assessment помогает выявить такие атаки. Злоумышленники, использующие подлинные учетные данные подрядчиков, зачастую подключаются к системам не с адресов подрядчиков, а через публичные VPN-сервисы. В таком случае в журналах наблюдаются аномалии. Например, если ранее подрядчик постоянно подключался из Москвы или Новосибирска, а потом внезапно — из Германии. При этом используется пул адресов, ассоциируемых с сомнительными VPN-провайдерам. На подобные действия стоит обратить внимание.

Если говорить об атаках через подрядчиков, ключевой момент — предупреждение возникновения подобных атак. И самый эффективный метод защиты — внедрение двухфакторной аутентификации. Требуйте использования двухфакторной аутентификации ото всех подрядчиков и всех учетных записей, которые они используют для доступа к вашей инфраструктуре. Это значительно укрепит защиту организации от потенциальных угроз.

Cyber Media: Поделитесь примерами из вашей практики, с какими интересными находками или кейсами можно столкнуться при проведении оценки компрометации?

Михаил Прохоренко: Расскажу две интересные истории. Первый случай касается компании, которая обратилась к нам с серьезной проблемой: ее шантажировал злоумышленник, угрожая «сровнять с землей» их инфраструктуру, если они не заплатят выкуп. Обычно такие обращения оказываются бездоказательными и у злоумышленника нет никакого доступа к системе. Однако в этом случае компания решила провести оценку компрометации. И вот что нас удивило: у злоумышленника действительно был доступ к серверному сегменту компании! Он использовал редкую уязвимость, которая была скрыта в коде приложения, и контролировал один из серверов. Это давало ему возможность добраться до других серверов в сети. Мы выявили эту уязвимость через два дня после начала проекта. С одной стороны, это было очень позитивно, а с другой — мы не ожидали такой серьезной угрозы в начале работы. В итоге все было восстановлено, уязвимость устранена, и компания была спасена.

Вторая история связана с компанией, которая уже пострадала от шифровальщика. Она провела реагирование на инцидент своими силами и смогла восстановить инфраструктуру. Однако после этого они не смогли провести полноценное расследование, так как многие данные были утеряны в процессе восстановления из резервных копий. В результате они обратились к нам, чтобы убедиться, что злоумышленник больше не имеет доступа к их инфраструктуре и не сможет зашифровать данные снова. Мы провели оценку компрометации и обнаружили спящий бэкдор, который находился на сервере, восстановленном из зараженной резервной копии. Это означало, что бэкап также оказался под угрозой. В ходе расследования выяснили, что первоначально злоумышленники проникли через скомпрометированную учетную запись подрядчиков, оставив этот бэкдор в системе. Хотя преступная группировка стремилась зашифровать резервные копии, им не удалось до них добраться. Бэкапы хранились на отдельном сервере с другим набором учетных данных, и злоумышленники не дотянулись до него.

Эти кейсы подчеркивают, насколько важно правильно организовать хранение резервных копий. Есть множество способов их защиты. Например, использовать отдельную учетную запись с независимым вторым фактором для доступа к бэкапам или же хранить бэкапы в полностью изолированной среде. Однако это не всегда возможно, и компании должны делать все для безопасного хранения своих данных.

Cyber Media: В чем специфика методологии проведения CA и как ее выстраивать?

Михаил Прохоренко: Оценка на компрометацию проводится по-разному, но существует несколько общих принципов, которые надо учитывать. В первую очередь, чтобы провести массовую проверку инфраструктуры, необходим агент, который соберет данные с хостов и автоматически выявит аномалии. Для этого мы используем собственное решение — BI.ZONE EDR. Это именно тот инструмент, который компании применяют для сбора и анализа аномалий. Наши агенты собирают не только текущую активность, но и исторические данные из артефактов форензики.

Далее вся собранная информация отправляется на централизованный сервер анализа, где применяется несколько тысяч правил корреляции и детектирования аномальной активности. Эти правила помогают выявлять подозрительные действия в системе. После этого аналитики вручную работают с выявленными аномалиями — подтверждают или опровергают их. Если подтверждается наличие угрозы, начинается полноценное расследование, чтобы выяснить причины нелегитимной активности.

Помимо данных с конечных устройств мы также собираем журналы различных СЗИ. Эти данные обрабатываются на нашем сервере с использованием тех же правил. Кроме того, у нас есть модуль для анализа сетевой активности, который позволяет собирать логи с сетевых устройств. Это дает нам возможность отслеживать трафик и анализировать перемещение определенных данных.

Дополнительно, мы собираем данные об утечках информации относящихся к компании из открытых и теневых ресурсов, чтобы выявить даже те атаки, в которых не была задействована инфраструктура организации. А агент EDR позволяет нам обнаруживать небезопасные настройки систем и часть уязвимостей, которые пока не привели к компрометации, но могут привести в будущем.

Стоит отметить, что в России распространена довольно вольная трактовка услуги и методов ее проведения. Например, хотя оценка компрометации подразумевает детальное изучение аномальной активности во всей инфраструктуре, некоторые компании проводят эту оценку без сбора данных с конечных хостов и ограничиваются определенным сегментом инфраструктуры. Это конечно же сокращает трудозатраты и удешевляет проект, но пользы от такой оценки на наш взгляд мало и об уверенности в отсутствии злоумышленника внутри сети в таком случае говорить не приходится.

Таким образом, в качественном compromise assessment применяется комплексный подход: данные автоматизировано собираются и фильтруются на уровне хостов и всей сети, а аномальные события вручную проверяются аналитиками.