Compromise Assessment: что представляет собой оценка компрометации и кому она нужна

Киберпреступники умеют обходить автоматические средства защиты информации и находиться в системе месяцами, имея доступ к конфиденциальной информации, прежде чем будут обнаружены. После взлома атакующие также могут оставить «лазейку», которая будет использована впоследствии.

Обнаружить факт доступа помогает compromise assessment или оценка компрометации. Рассказываем в статье, когда и кому ее нужно проводить, и как она помогает эффективно реагировать на компрометацию информации.

Что такое Compromise Assessment

Компрометация — это факт доступа или подозрение на доступ постороннего лица к защищаемой информации. Это может касаться различных аспектов: закрытые ключи, алгоритмы, цифровые сертификаты, учетные записи и другие элементы, позволяющие идентифицировать участников информационного обмена.

Compromise Assessment или выявление признаков компрометации информационных систем — это комплекс услуг, который позволяет выявить признаки и оценить уровень компрометации информационных систем.

Лада Антипова

Эксперт по реагированию на инциденты Angara Security

Прежде чем говорить о том, в каких случаях требуется такая услуга, как Compromise Assessment, необходимо понимание, в чем она заключается. Дословно в переводе с английского Compromise Assessment (CA) — это оценка сети на признаки ее компрометации, или, несколько иначе, поиск следов компрометации сети. Важно понимать, чем такая услуга отличается от тех же работ по анализу защищенности сети: цель — не выявить слабые места и уязвимости в защите компании, а найти следы эксплуатации таких уязвимостей.

Часто киберпреступники блефуют, обещая организациям слить их данные, и требуют выкуп. Например, недавно преступная кибергруппировка Lockbit угрожала властям США опубликовать конфиденциальные данные Федеральной резервной системы. Оценка компрометации поможет проверить, действительно ли злоумышленники имеют доступ к информации или блефуют, и спасти компанию от утечки данных или серьезных последствий взлома.

Михаил Прохоренко

Руководитель управления по борьбе с киберугрозами, BI.ZONE

В одном из проектов клиент обратился к нам, так как его начал шантажировать злоумышленник, утверждавший, что он имеет привилегированный доступ к инфраструктуре клиента и в любой момент может зашифровать ее или слить конфиденциальные данные. Чаще всего такие угрозы необоснованны, и на самом деле у мошенников нет никакого доступа. Но в этом случае во время compromise assessment выяснилось, что у злоумышленника действительно был широкий доступ внутри сети и благодаря уязвимости на периметре он успел пробраться к базам данных действующих продуктов и сервисов. В результате проекта нам удалось удалить все инструменты преступников.

Второй проект, который приведу в пример, касался компании, пострадавшей от атаки шифровальщика. Организация провела реагирование и восстановление своими силами, но в процессе восстановления удалила все следы кибератаки, а уверенности в том, что у злоумышленника больше не было доступа внутрь инфраструктуры, не получила. Compromise assessment позволила выявить остаточное заражение на одном из серверов, который развернули из бэкапа. Далее в ходе расследования была обнаружена скомпрометированная учетная запись подрядчика. Таким образом, удалось предотвратить повторное шифрование или другие деструктивные действия, которые могли повторить злоумышленники.

Важно своевременно обнаруживать компрометации, чтобы минимизировать ущерб и предотвратить дальнейшее распространение скомпрометированной информации. Для этого необходимы эффективные механизмы мониторинга и аудита систем информационной безопасности: средства обнаружения вторжений, анализ журналов событий, а также проведение регулярных аудитов безопасности.

Как работает Compromise Assessment

Как правило, Compromise Assessment включает в себя изучение аналитических данных об угрозах, использование инструментов анализа уязвимостей и расследование инцидентов. Сервисы по проведению оценки компрометации могут предлагать следующие услуги:

• Выявление признаков компрометации. Специалисты ищут новые и уже случившиеся атаки, которые могут остаться незамеченными автоматическими средствами контроля безопасности.
• Устранение последствий атак. Своевременное обнаружение инцидентов безопасности помогает предотвратить ущерб и защищает ресурсы организации от подобных атак в будущем.
• Анализ данных об угрозах и индикаторы компрометации. Специалисты составляют подробные отчеты об угрозах, включая описание возможных источников атаки и скомпрометированных сетевых компонентов.
• Рекомендации по реагированию. Разрабатываются рекомендации по минимизации последствий инцидента и предотвращению атак в будущем.

Роман Ким

Эксперт по анализу защищенности, департамент систем безопасности компании BSS

Для проведения оценки компрометации используются следующие инструменты и технологии:

1. Системы управления событиями и информацией безопасности (SIEM) – сбор и анализ логов и событий безопасности. SIEM-системы агрегируют данные из множества источников, что позволяет выявлять корреляции и аномалии.
2. Системы обнаружения вторжений (IDS/IPS) – выявление подозрительной активности и атак. Эти системы могут обнаруживать попытки вторжений и автоматически блокировать их.
3. Инструменты для анализа сетевого трафика – NetFlow, PCAP для анализа сетевой активности. Эти инструменты позволяют детально изучить сетевой трафик и выявить подозрительные действия.
4. Endpoint Detection and Response (EDR) – системы EDR предназначены для мониторинга, обнаружения и реагирования на угрозы на конечных устройствах (рабочих станциях, серверах). EDR-инструменты анализируют поведение процессов и сетевую активность, чтобы выявить подозрительную деятельность и предоставить возможности для быстрой реакции на инциденты.
5. Threat Intelligence – инструменты и сервисы, предоставляющие актуальную информацию о киберугрозах, таких, как новые виды вредоносного ПО, методы атак и уязвимости. Использование данных о текущих угрозах помогает выявлять индикаторы компрометации и применять соответствующие меры защиты.
6. Threat Hunting – проактивный поиск угроз в IT-инфраструктуре. Включает в себя использование специализированных инструментов для анализа логов, сетевого трафика и других данных с целью выявления скрытых атак и уязвимостей.

Чтобы объективно оценить успешность проведенного compromise assessment, нужно проанализировать его результаты и риски, которые удалось предотвратить. Например, заказчики могут считать оценку компрометации эффективной, если удалось найти и устранить масштабную кибератаку. В то время как для специалистов обнаружение компрометации на ранней стадии, которая еще не успела принести значительного ущерба — признак, что оценка проведена качественно.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Успех в случае с compromise assessment шутка очень неопределенная. В ходе расследования можно найти остатки старого пентеста годичной давности, а можно найти зараженный компьютер, который по какой-то причине не имеет доступа в сеть Интернет и поэтому вирус себя никак не проявил. С другой стороны, можно найти кучу крайне подозрительных записей в логах, а потом окажется, что легитимная активность и бизнес, вообще-то, в курсе, что это, но тут же заметить, что логи с нескольких маршрутизаторов давно не собираются и обнаружить, что отключили их намеренно. Всё это можно считать успехом, который дает лучшее понимание происходящего в инфраструктуре заказчика.

Если компрометация обнаружена быстро, можно оперативно принять меры по замене скомпрометированных ключей, сертификатов или паролей, а также оповестить всех участников обмена информацией о произошедшем.

Когда может понадобиться оценка компрометации

Специалисты рекомендуют регулярно проводить compromise assessment, чтобы своевременно обнаружить атаки. Оценка компрометации помогает выявлять уязвимости и недостатки в системе безопасности, что способствует их устранению и повышению общего уровня защищенности организации. Кроме того, для организаций, имеющих SOC, оценка компрометации может служить инструментом проверки покрытия и эффективности его работы.

Михаил Прохоренко

Руководитель управления по борьбе с киберугрозами, BI.ZONE

Compromise assessment — это услуга, предназначенная для выявления кибератак, которые произошли в прошлом или происходят сейчас, но текущими средствами их обнаружить невозможно. Такие проверки нужно делать регулярно, т. к. наша практика расследований показывает, что многие кибератаки растянуты во времени и между проникновением в инфраструктуру организации и очищением инфраструктуры от атакующего проходят месяцы.

Нужно отметить, что мы, как и многие вендоры, отмечаем тенденцию к сокращению этого отрезка времени, в профессиональном сообществе называемого dwell time. И в большинстве атак оно действительно составляет дни или часы. Но тут важно не обманываться в том, что как раз такие атаки, как правило, просты и, конечно же, в абсолютной массе их больше. Средства защиты в основном предназначены как раз для борьбы с ними. Но наиболее сложные атаки не так просто задетектировать, и compromise assessment — один из немногих методов для борьбы с такими угрозами.

Внеочередная оценка компрометации потребуется, в случае, если организация подозревает, что её системы были скомпрометированы, но не смогла обнаружить инцидент оперативно или были обнаружены следы взлома. Оценка компрометации поможет выявить произошедшее и устранить последствия.

Выявлять возможные факты доступа в систему стоит при изменениях в IT-инфраструктуре компании, например, масштабировании, слиянии и поглощении компаний, изменениях в ландшафте угроз, работе с подрядными организациями или при приеме на работу нового CISO. Так, директор по информационной безопасности будет иметь представление, в каком состоянии находится защита инфраструктуры и какое «наследство» ему досталось от предшественников.

Семен Рогачев

Руководитель отдела реагирования на инциденты системного интегратора по ИБ «Бастион»

Услуга Compromise Assessment может потребоваться:

• во-первых, при работе с большим количеством подрядчиков. Риски ИБ значительно возрастают, когда скомпрометирована подрядная организация, с которой у компании была сетевая связность;
• во-вторых, при нехватке ресурсов на харденинг и мониторинг проблемных участков сети. Такое бывает при стремительном расширении ИТ-инфраструктуры, когда СЗИ не хватает полного покрытия сети, а нагрузка на ИБ-специалистов большая. В этом случае нужно профилактически проводить Compromise Assessment приблизительно раз в полтора года;
• в-третьих, в случае большой территориальной распределенности организации бывает сложно регулярно проверять слабые места на компрометацию;
• в-четвертых, Compromise Assessment нужен при резком расширении сетевой инфраструктуры, например, когда происходит объединение двух компаний, одна из которых с невысокими стандартами безопасности. Не стоит сразу интегрировать новую компанию в свою сетевую инфраструктуру.

Таким образом, оценка компрометации актуальна как для обнаружения уже произошедших инцидентов, так и для профилактики будущих угроз, обеспечивая непрерывное улучшение системы безопасности организации.

Для оценки компрометации информации организация должна предоставить необходимые данные. Как правило, специалисты изучают данные артефактов форензики, которые можно найти на любой конечной точке, а также журналы штатного аудита СЗИ.

Михаил Прохоренко

Руководитель управления по борьбе с киберугрозами, BI.ZONE

А вот если говорить об атаках, завершенных на момент проведения compromise assessment, то часто не хватает информации о сетевых соединениях, которую далеко не все компании сохраняют в своих журналах, а если и хранят, то зачастую за очень короткий срок. В этом случае наша рекомендация — хранить данные за полгода-год. В идеале с такой же периодичностью проводить compromise assessment. Тогда можно добиться сквозного и полного изучения всей журналируемой активности.

Чем больше информации сможет предоставить компания, тем лучше. Но хранить журналы событий за несколько десятков лет сложно и может быть нецелесообразно. Решение этой задачи — регулярно проводить compromise assessment и хранить данные до очередной проверки.

Заключение

Своевременное обнаружение компрометации — это ключевой элемент обеспечения информационной безопасности, позволяющий минимизировать риски и защитить критически важную информацию от несанкционированного доступа. Compromise assessment включает в себя комплекс услуг: от выявления признаков компрометации до устранения последствий атак и рекомендаций по защите.

Михаил Прохоренко

Руководитель управления по борьбе с киберугрозами, BI.ZONE

Кейсы, когда атаку удалось выявить на самой ранней стадии в ходе планового прохождения compromise assessment, может быть, выглядят не так ярко, но это не делает их менее успешными. Это немного похоже на медицинскую практику: если врач сумел спасти пациента с тяжелой формой болезни, это, безусловно, успех. Но это не отменяет пользу регулярных чекапов, которые могут помочь выявить и устранить угрозу на ранней стадии и с минимальными последствиями.

Оценка компрометации позволяет выявить такие кибератаки, как: уже имеющиеся в инфраструктуре, нулевого дня, без использования вредоносного ПО, с использованием новых инструментов, кампании кибершпионажа, бесфайловой атаки и т.д.