СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
CISOCLUB
24.12.2024
#Статьи #Dev#ИБ#Инфра

Защита от программ-вымогателей

Защита от программ-вымогателей

Одной из наиболее актуальных и распространённых киберугроз 2024 года многие отечественные и зарубежные компании по кибербезопасности называют программы-вымогатели (ransomware). За последние месяцы выявлено множество атак с использованием этого типа вредоносных программ, которые преимущественно нацелены на крупные организации, государственные структуры, учреждения здравоохранения и другие объекты критически важной инфраструктуры. Вместе с тем злоумышленники активно проводят атаки на малый и средний бизнес, так как такие предприятия часто испытывают недостаток ресурсов для обеспечения качественной киберзащиты.

Редакция CISOCLUB обсудила с экспертами наиболее действенные меры борьбы с угрозой ransomware. Специалисты рассказали о:

  • Технических мерах защиты, которые выходят за рамки стандартного резервного копирования;
  • Эффективных подходах к сегментации сети для минимизации распространения вредоносного ПО;
  • Современных методах раннего обнаружения программ-вымогателей и их интеграции в процессы обеспечения информационной безопасности;
  • Типичных ошибках при настройке и эксплуатации средств защиты, которые часто приводят к успешным атакам.

Были также затронуты важные аспекты восстановления после атак, включая минимизацию времени простоя и финансовых убытков, а также взаимодействие с правоохранительными органами и внешними экспертами. Эксперты поделились рекомендациями по проведению киберучений для подготовки организаций к реальным атакам.

Кроме того, специалисты обсудили подходы к взаимодействию с злоумышленниками в случае получения ключей для расшифрования данных, подчеркнув, что это должно быть крайней мерой, связанной с высокими рисками и возможными юридическими последствиями. Эксперты советуют тщательно оценивать все возможные варианты, включая привлечение правоохранительных органов и консультации с юристами, чтобы минимизировать ущерб и избежать дополнительных рисков.

С нами поговорили:

  • Дмитрий Симчук, менеджер отдела технического сопровождения продаж Makves (входит в группу компаний «Гарда»).
  • Владимир Арышев, эксперт по комплексным проектам информационной безопасности STEP LOGIC.
  • Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC.
  • Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision.
  • Дмитрий Федоров, владелец сервиса, ITGlobal Security.
  • Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE.

Какие технические меры защиты, помимо резервного копирования, оказываются наиболее действенными для предотвращения атак программ-вымогателей?

Дмитрий Симчук, менеджер отдела технического сопровождения продаж Makves:

Дмитрий Симчук, менеджер отдела технического сопровождения продаж Makves

«Одними из ключевых методов защиты являются системы предотвращения вторжений и обнаружения угроз, такие как IPS и EDR. Однако киберпреступники также не сидят на месте, и их методы становятся всё более сложными и изощренными. Акцент только на защиту периметра компании или защита только внутренней инфраструктуры не является панацеей для обеспечения полной безопасности. Поэтому к защите данных необходимо подходить комплексно, учитывая множество факторов.

Почему одного или нескольких инструментов недостаточно? Антивирусы чаще всего обнаруживают вредоносные файлы по их сигнатурам. Однако современные программы-вымогатели могут использовать обфускацию, zero-day уязвимости, что позволяет им обходить сигнатурный анализ. В итоге антивирус может не выявить новую или модифицированную версию вредоносного кода.

EDR решения обеспечивают мониторинг конечных устройств в реальном времени и обнаруживают аномальное поведение. Тем не менее, EDR не могут полностью предотвратить атаки, так как их главная задача — обнаруживать и реагировать на инциденты, а не блокировать их на этапе проникновения. Например, если вредоносный код уже успел внедриться в операционную систему, EDR может только зафиксировать действия атакующего и уведомить администратора,но не всегда может остановить выполнение процесса.

IPS система анализирует сетевой трафик и блокирует известные угрозы и уязвимости.Однако IPS не гарантируют защиту от атак, использующих шифрование или скрытые техники проникновения, которые могут не подходить под стандартные сигнатуры. Атака может использовать нестандартные порты, encryption-туннели или другие методы, которые IPS не всегда может распознать.

Вот случай из жизни: сотрудник крупной сельскохозяйственной компании с привилегированной учетной записью загрузил файлы с личной флешки. Одному из администраторов система DCAP оперативно отправила уведомления об массовом изменении файлов в одном из хранилищ. При этом другие средства защиты, о которых мы говорили выше, никак не отреагировали на события. Благодаря сценариям автоматизации на события, системе DCAP удалось предотвратить шифрование данных на раннем этапе, что спасло компанию от остановки бизнес-процессов.

Получается, что универсального решения для защиты данных нет. Важно применять комплексный подход к защите, где разные инструменты и технологии используются единовременно для создания более защищенной инфраструктуры, включающей различные системы и эшелоны защиты, позволяя минимизировать риски и защищать бизнес от непредсказуемых атак программ-вымогателей».

Владимир Арышев, эксперт по комплексным проектам информационной безопасности STEP LOGIC:

Владимир Арышев, эксперт по комплексным проектам информационной безопасности STEP LOGIC

«Программы-вымогатели остаются одной из самых опасных угроз в киберпространстве, поэтому организациям важно использовать комплексный подход к защите.

На первом этапе необходимо предотвратить доставку вредоноса на конечное устройство. В этом помогут следующие технологии:

  1. Антиспам – блокирует вредоносные письма на основании репутационной базы. Он выполняет проверку входящей почты при помощи таких механизмов, как SPF, DKIM, DMARC и использует «черные» и «белые» списки. «Черные» – блокируют нежелательных отправителей, а «белые» – позволяют отправлять сообщения только разрешенным адресатам и блокируют всех остальных.
  2. Потоковый (сетевой) антивирус – проверяет почту на наличие вредоносных вложений либо загружаемого пользователем контента при помощи сигнатурного анализа.
  3. Песочница (Sandbox) – выявляет неизвестные угрозы (угрозы «нулевого дня»). Это изолированная среда, в которой файлы проверяются на наличие вредоносного содержимого путем эмуляции их работы.

Если зловред уже находится в целевой системе, обнаружить его активность помогут решения Endpoint Detection & Response (EDR), которые предназначены для мониторинга и реагирования на киберугрозы на конечных точках – компьютерах, серверах, мобильных устройствах. EDR-системы непрерывно собирают данные с устройств, включая информацию о процессах, файловой системе, сетевой активности и поведении пользователей. Выявить вредоносы также помогают антивирусы с поведенческим анализатором. Они не только находят известные угрозы, используя сигнатуры, но и анализируют поведение программ и процессов в реальном времени, чтобы обнаружить и заблокировать новый, неизвестный вредоносный код, а также прервать шифрование.

Важным инструментом защиты является сегментация сети. Если вредонос успешно зашифрует одну рабочую станцию или целый сегмент, то предотвратить его распространение по сети поможет межсетевой экран.

Комплексное применение технических мер наряду с регулярным обучением сотрудников минимизирует риски атак программ-вымогателей и обеспечивает эффективную защиту данных».

Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC:

Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC

«В превалирующей доле случаев, атаки с использованием программ-вымогателей могут быть обнаружены в целевой инфраструктуре даже предустановленным антивирусным программным обеспечением (АВПО) на конечных устройствах, но самое важное в этом случае – не только обновлять сигнатурные базы, но и своевременно реагировать и проводить анализ оповещений таких программ.

Процессы расследования и реагирования может облегчить EDR-решение для обнаружения угроз и реагирования на конечных точках, оно обеспечит необходимый контекст для расследования аномальной активности на атакуемой системе.

Стоит так же отметить IDS/IPS – системы обнаружения/предотвращения вторжений: они могут помочь в обнаружении подозрительной активности путем анализа сетевого трафика, как циркулирующего внутри инфраструктуры, так и связанного с внешними сервисами. В целом, вести мониторинг за оповещениями установленных СЗИ и оперативно производить их тщательный анализ на предмет легитимности и понимания природы данной активности – это первоочередное правило.

Если же говорить в разрезе наиболее часто встречающиеся уже который год вектора при получении первоначально доступа (эксплуатация уязвимостей на периметре, публично доступные сервисы и приложения и фишинг), то прежде всего необходимо особо выделить следующие технические меры:

  • Своевременное обновление функционирующих внутри сети систем, особенно, если такие системы доступны из сети Интернет: это нужно для того, чтобы не допустить эксплуатацию злоумышленником уже известных уязвимостей для конкретной версии ПО. Как правило, вендор оперативно выпускает обновление безопасности, когда ему становится известно об очередной обнаруженной в его продукте уязвимости.
  • Ведение учета систем, опубликованных в Интернет – чем больше таких систем, тем больше поверхность потенциальной атаки, поэтому необходимо точно знать, что доступно из внешней сети и зачем. Может, есть возможность снять с публикации ту или иную систему без какого-либо влияния на бизнес-процессы?
  • После проведенной инвентаризации публично доступные системы стоит максимально обезопасить от несанкционированного доступа, например, внедрив многофакторную аутентификацию, и применив, уже ставшее классическим, правило строгой парольной политики, при чем установленные не просто документально, а реализованные технически в каждой используемой системе, если данный функционал доступен».

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision:

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision

«Чтобы снизить вероятность успешных атак программ-вымогателей и прочего вредоносного ПО, а также минимизировать вредоносный эффект от их применения, необходимо использовать комплексный подход к организации защиты информации в организации. Для начала следует провести общий аудит ИТ-инфраструктуры. По его результатам необходимо реализовать сегментацию внутренней сети, предварительно определив критически важные активы, логику разделения и сформировав строгие и понятные правила взаимодействия между сегментами. Затем нужно организовать процессы по контролю доступа и аутентификация пользователей.

Помимо этого, необходимо организовать защиту конечных устройств путем внедрения и использования средств антивирусной защиты в их сочетании с решениями класса EDR. Также важно ограничить использование USB-носителей и внешних устройствах. Нужно помнить о необходимости в регулярном обновлении операционных систем и программного обеспечения.

Вовремя обнаружить действие вредоносного ПО поможет мониторинг событий информационной безопасности с использованием систем корреляции событий и автоматизации реагирования (SIEM/SOAR).

Несмотря на то, что резервное копирование – уже упомянутая в вопросе мера, важно её дополнять защитой от удаления или шифрования. Наличие изолированных копий и проведение периодических тестов восстановления помогут минимизировать последствия атаки».

Дмитрий Федоров, владелец сервиса, ITGlobal Security: «Для противодействия атакам вымогателей на этапе попытки проникновения из внешней сети полезно использовать фильтрацию веб и почтового трафика решения класса webProxy с возможностью подключения песочницы и проверки скачиваемых файлов, а также почтовые Anti-spam/Security решения для блокировки потенциально вредоносных вложений и подозрительных ссылок в письмах. При этом, обязательно применять антивирус, если позволяет бюджет — решения класса EDR. Для внутренних сетевых сегментов с ограниченным доступом – решения IPS. Если присутствует web-CRM система с доступом из внешней сети – WAF.

Совместно с мерами контроля трафика полезно использование автоматизированного и ручного непрерывного сканирования внешнего периметра, выявление уязвимых или устаревших сервисов на периметре и своевременное экранирование «лишних» портов.

Еще один эшелон защиты: решения класса SIEM – корреляция и анализ событий безопасности, выявление подозрительной активности. В случае, если атакующий прошел периметр, ведет разведку и закрепляется, в инфраструктуре создается активность, которая может и должна быть детектирована на как можно более раннем этапе атаки.

СЗИ не работает по принципу «поставил и забыл». Нужно контролировать, чтобы работало обновление сигнатур и модулей, корректно работали политики, а также проводить контрольные мероприятия».

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE:

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE

«Шифрование — это последний этап атаки, и предпочтительно останавливать ее на более ранних стадиях. Но если все же дошло до шифрования, то, скорее всего, у злоумышленника уже есть доступ к учетным записям с максимальными привилегиями, и он может отключить большинство средств защиты.

Само шифрование может быть обнаружено и предотвращено такими средствами, как антивирус и EDR, а также решениями по контролю целостности файлов (FIM). Но, как уже было сказано, злоумышленники с максимальными привилегиями могут отключить эти решения, если для доступа к их панели управления не используется двухфакторная аутентификация. EDR — наиболее универсальное из упомянутых решений, т. к. позволяет обнаружить даже неизвестные ранее шифровальщики и принять массовые меры по реагированию, например одновременную приостановку процесса шифровальщика во всех системах».

Как сегментировать сеть, чтобы минимизировать распространение программ-вымогателей внутри инфраструктуры?

По словам Дмитрия Федорова, владельца сервиса, ITGlobal Security, вместе с базовым сегментированием по типам «серверы, пользователи, оборудование, беспроводные, гостевые сети», следует учитывать сегментирование по системам обработки данных. Важно четко описать и разграничить информационные системы обработки чувствительной информации, такие как ИСПДн, системы обработки финансовых транзакций, системы обработки данных составляющих коммерческую тайну и другие.

Эксперт заметил, что правила доступа должны разрешать только минимально необходимый трафик между сегментами и только легитимным пользователям, для этого следует ограничить доступ пользователей только к тем сегментам, которые им необходимы для работы. огика доступа к данным должна исключать доступ пользователей к базам данных помимо серверов приложений, а также должна быть реализована проверка каждого пользователя и устройства перед предоставлением доступа (Zero Trust подход).

«Доступ пользователей к корпоративным ресурсам с использованием VPN рекомендуем строить через выделенные сегменты с ограничением прав. На границе сегментов следует использовать средства обнаружения и реагирования на атаки (системы IDS/IPS)».

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision, подчеркнул, что в рамках организации сегментирования сети необходимо реализовать ее разделение, выделить отдельно пользовательский сегмент, сегмент управления, сегмент в который будут вынесены критичные для бизнеса системы, тестовый сегмент, сегмент DMZ и т. д. По умолчанию заблокировать весь межсегментный трафик и разрешать лишь известные, необходимые для бизнеса соединения по определённым протоколам и портам.

«В выделенном сегменте для администраторов надо организовать доступ к критичным ресурсам только через контролируемые и проверенные хосты. При этом необходимо организовать строгий контроль и логирование всех действий администраторов в данной сети и на хостах. Не стоит забывать про размещение СЗИ, таких как, FW, IDS/IPS, NTA, NGFW на пограничных между сегментами местах».

Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, указала на то, что ранее уже было сказано, чтоодним из самых распространенных векторов получения первоначального доступа к сети жертвы в атаках, связанных программами-вымогателями, является эксплуатация уязвимостей систем, доступных из сети Интернет, поэтому без реальной необходимости не стоит открывать наружу доступ к своим системам, особенно, если они участвуют во внутренних процессах, например, портал, обрабатывающий внутренние заявки сотрудников или внутреннюю вики.

«Однако, если такая необходимость все же есть, например, вы разместили какой-нибудь веб-сервис, который должен быть доступен не только вашим сотрудникам, но и клиентам или партнерам, то такие системы стоит выделить в отдельный сегмент – демилитаризованную зону (DMZ, Demilitarized Zone), чтобы, в случае компрометации одной из таких общедоступных систем, атакующие не имели прямого доступа в другую часть вашей сети, где могут находиться ничего не подозревающие пользователи (в том числе привилегированные) и уж тем более критически значимые системы, компрометация которых недопустима. Иными словами, выделение данного сегмента позволяет минимизировать урон, который может нанести злоумышленник, в результате компрометации только одной системы или подсети».

Специалист отметила, что также отличной практикой является «дробление» сети по принципу микросегментации, то есть разделение сети на множество небольших сегментов с использованием методов списка контроля доступа, где запрещено все, что не разрешено политиками сетевой безопасности. Если объяснять на простых примерах: из подсети разработчиков может быть доступ в сегмент, предназначенный для тестирования ПО, но сотрудникам бухгалтерии такой доступ запрещен. Так, потенциальному злоумышленнику перемещаться по сети будет многократно труднее, а то и вовсе невозможно.

Владимир Арышев, эксперт по комплексным проектам информационной безопасности STEP LOGIC, заявил, что сегментация подразумевает разделение сети на изолированные сегменты, что при правильной реализации ограничивает перемещение вредоносного ПО.

Эксперт указал на следующие особенности применения сегментации:

  • Разделение по функциям: различные типы ресурсов, такие как рабочие станции, серверы, базы данных и IoT-устройства, должны находиться в отдельных сетевых сегментах, трафик между которыми контролируется межсетевым экраном. Это изолирует системы с разным уровнем риска и снижает вероятность атаки.
  • Правила межсетевого экранирования настраивают по принципу «минимально необходимого доступа»: доступ сотрудников к сегментам сети ограничен их рабочими обязанностями, а доступ ресурсов одного сегмента к другому регламентируется конкретными типами сетевого взаимодействия.
  • Для дополнительной изоляции ресурсов в системах виртуализации и контейнерных средах применяется микросегментация, которая изолирует приложения или контейнеры друг от друга. Это предотвращает распространение вредоносного ПО внутри инфраструктуры.

Какие методы обнаружения программ-вымогателей на ранних стадиях атак доказали свою эффективность, и как их лучше интегрировать в процессы обеспечения ИБ?

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision, заметил, что организация внутреннего SOC или подключение к внешнему SOC позволит выявлять и предотвращать действие данного рода программ на ранней стадии их активности путем применения подходов, основанных на поведенческий анализ действий с конечных устройств и анализе данных сетевого трафика.

«Для этого, необходимо чтобы в организации были уже внедрены СЗИ, которые выполняют защиту конечных устройств и защиту сетевого трафика. Было организовано централизованное логирование с данных СЗИ, а также действий на серверах, рабочих станциях, контроллерах домена с последующей передачей в SOC. Мониторинг активности процессов, системных вызовов, файловых операций и сетевых соединений позволит выявлять аномалии, которые характерны для данного типа вредоносного ПО.

Также можно разместить внутри сети специальные ловушки/ примани (решения класса Honeypots/Deception), которые, при правильной организации, будут первыми попадать под удар вредоносного ПО и уведомлять об данных атаках (Например, также через SOC).

Не стоит забывать про настройку фильтрации почтовых сообщений и проверку подозрительных файлов, и повышение киберграмотности сотрудников организации».

Дмитрий Федоров, владелец сервиса, ITGlobal Security, прокомментировал, что обнаружение программ-вымогателей на ранних стадиях атаки требует сочетания мониторинга и анализа сетевого трафика, анализа поведения пользователей и обнаружение аномальной активности, а также анализа и корреляции событий безопасности. Недостаточно только собирать события или генерировать сотни задач на проверку.

«Эти подходы показывают эффективность, если события обрабатываются и анализируются командой опытных специалистов, способных оперативно реагировать 24/7, так как атакующие нередко выбирают ночное время и выходные дни для начала активной фазы атаки. Для того, чтобы команда реагирования эффективно справлялась с инцидентами, необходимо проводить плановые учения и повышения квалификации, внезапные проверки готовности и симуляции атаки. Если проводить эти активности в игровой форме с привлечением специалистов отдела персонала, можно выполнять дополнительные задачи по командообразованию и налаживанию связей между отделами департамента».

Какие ошибки в настройке или эксплуатации СЗИ чаще всего приводят к успешному проникновению программ-вымогателей в корпоративные системы?

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE, отметил, что часто вектором проникновения в инфраструктуру жертвы является фишинг или уязвимости в опубликованных приложениях. Это становится возможным из-за недостаточных настроек решений по защите почты, например разрешенных вложений с исполняемыми файлами или документами с макросами. Уязвимости опубликованных приложений могут выявить решения по непрерывному контролю периметра организации (continuous penetration testing), но, к сожалению, не у всех они есть.

«А отсутствие двухфакторной аутентификации для доступа к панели управления антивирусом и EDR приводит к тому, что злоумышленники просто массово отключают эти средства перед шифрованием».

Как уточнил Дмитрий Федоров, владелец сервиса, ITGlobal Security, наиболее частая проблема в настройке СЗИ – устаревшая конфигурация и/или версия. Одна из основных проблем СЗИ находится не в технической, но в организационной сфере. Часто, ввиду организационных ограничений, для поддержания СЗИ и повышения квалификации персонала, не выделяется достаточного количества ресурсов, и/или обслуживающий персонал не имеет достаточной квалификации. В совокупности эти причины ведут к тому, что конфигурации и версии СЗИ отстают от меняющихся задач бизнес-процессов и одновременно от актуальных методов атаки.

«Также часто встречаем некорректное сегментирование – неверно настроены МЭ, но это следствие другой организационной проблемы – некорректно определены компоненты информационных систем, которые должны быть изолированы.

Реже, но также встречаются некорректно настроенные системы уведомления о событиях безопасности, в результате о наступивших событиях ИБ могут быть несвоевременно уведомлены ответственные сотрудники.

Актуальна и извечная проблема – слабая политика управления учетными записями и паролями. Учетные записи администраторов домена используются на обычных рабочих станциях, или используются обезличенные учетные записи администраторов, пароли меняются редко, не выдерживают критики по сложности (Password1) и отсутствует MFA».

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision, в качестве основных ошибок в настройке и эксплуатации СЗИ рассматривает следующие:

  • Отсутствие мониторинга и корреляции событий информационной безопасности.
  • Промедление с установкой критичных обновлений ОС, приложений, антивирусных сигнатур и уязвимостей систем обнаружения вторжений.
  • Отсутствие должных правил фильтрации на файрволлах и прочих СЗИ по фильтрации и анализу сетевого трафика, например включений фильтрация по умолчанию, при которой могут быть разрешены все протоколы и порты.
  • Выключение средств защиты конечных устройств (Антивирусы и EDR) или применение исключениях в их работе.
  • Выдача пользователям или сервисным учетным записям избыточных прав и отсутствие контроля за административными доступами.
  • Отсутствие контроля за почтовыми серверами и прочими веб-шлюзами.

Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, уверена, что основной и самой грубой ошибкой при эксплуатации любого СЗИ можно назвать отсутствие реакции и должного мониторинга за теми сработками, которые выдает администратору на выходе техническое средство. Так, зачастую антивирусные средства могут месяцами выдавать предупреждение об обнаружении какого-либо вредоносного программного обеспечения или его компоненты, явно сигнализирующее о том, что в инфраструктуре что-то идет не так. И именно игнорирование таких событий приводит к дальнейшему развитию атаки и в итоге успешному шифрованию сети.

Руководитель отдела реагирования и цифровой криминалистики Angara SOС к перечню ошибок также отнесла:

  • Настройки, оставляемые по умолчанию. Да, иногда даже настроенные «из коробки» средства защиты могут принести пользу в детектировании угроз, тем не менее всегда важно учитывать специфику как конечной системы, так и прикладного продукта.
  • Если с отсутствием централизованного сбора все более-менее ясно – это грозит не только значительным сокращением глубины хранения событий, но и возможностей по поиску аномалий в сети, то крайне негативно может сказаться и недостаточное или же избыточное количество источников, подключенных к SIEM-системе. Основную телеметрию в организациях будут генерировать конечные устройства. Если большинство из них не подключены, то это буквально равносильно отсутствию мониторинга: и в самом деле, таким часто грешат, думая, что если злоумышленник доберется до особо критичных систем, тут-то мы их и поймаем. Беда в том, что в такие моменты становится уже слишком поздно, ведь злоумышленник, скорее всего, уже и получил необходимые привилегии в сети, и закрепился, а то и собрал другую необходимую информацию. В то же время, иногда могут подключать источники, от которых невозможно получить ценную информацию, готовую к использованию в аналитике в силу, например, отсутствия экспертизы по написанию правил нормализации и/или корреляции, то тогда вычислительные мощности SIEM тратятся впустую.
  • Отсутствие многофакторной аутентификации, например, для VPN-клиентов: при чем, это касается не только штатных сотрудников, но и работающих в качестве подрядных.
  • Отсутствие грамотной настройки почтовых шлюзов, например, список расширений файлов-вложений для блокировки на средствах защиты электронной почты или их проверки, а также настройки спам-систем и соответствующих подписей электронной корреспонденции.

Как организовать процесс восстановления после атак программ-вымогателей, чтобы минимизировать время простоя и финансовые убытки?

Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC: «Тут важно понимать, что эффективность восстановления после атаки программ-вымогателей напрямую зависит от качества проработки плана реагирования на инциденты и его наличия в принципе. Например, рекомендуется иметь заранее разработанные процедуры изоляции зараженных систем, инструкции по восстановлению и порядок приоритетов для запуска критически важных сервисов. Четкое разделение ролей, наличие контактных данных ответственных лиц и план действий для каждой из них (специалистов по реагированию, ИТ-команд, PR-менеджеров, возможно даже вендоров программного обеспечения) позволяют минимизировать время принятия решений в непростой для компании момент.

Более того, IRP (Incident Response Plan) необходимо регулярно пересматривать на предмет понимания проблесков и потенциальных трудностей и затыков в его практической, а не теоретической реализации».

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision, отметил, что организация данного процесса требует заранее подготовленного плана, определения ключевых сотрудников, подготовки для них необходимых инструкций, наличия надёжных резервных копий, строгой приоритизации действий, а также определения систем и данных, которые необходимо восстановить, в первую очередь, и организации быстрой изоляции заражённых систем. Заранее определить, кто отвечает за техническую нейтрализацию угрозы, кто за принятие решений о развертывании резервных копий, кто за информирование руководства и клиентов.

«Перед принятием каких-либо действий необходимо снять все возможные дампы и логи, чтобы не были утеряны в процессе восстановления ключевые данные, которые потребуются при проведении расследования, определении векторов проникновения и понимании точек закрепления злоумышленника в организации.

Если этого не сделать, велик риск повторной атаки со стороны злоумышленников. Если профильные специалисты по расследованию и восстановлению отсутствуют, лучше всего заранее заключить соответствующие договоры с организациями, которые предлагают подобные услуги на рынке. Тем самым удастся избежать потери драгоценного времени на поиск таких организаций и заключение договоров до того, как они смогут приступить к работе.

Минимизация времени простоя и финансовых убытков достигается за счёт заранее подготовленных и регулярно тестируемых планов восстановления, актуальных резервных копий инфраструктуры и чётко определённых приоритетов».

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE, напомнил, что скорость восстановления зависит от множества факторов. Обычно сначала требуется определить, какие системы необходимо восстанавливать в первую очередь. Ошибки на этом этапе могут привести к растрате ресурсов на ненужные работы и к затягиванию восстановления. Намного быстрее восстанавливаются после атак шифровальщиков компании, которые заранее составили минимальный список критичных систем, достаточных для осуществления основной бизнес-деятельности. Также скорость восстановления сильно зависит от количества сотрудников IT-подразделения.

«Восстановление зачастую приходится проводить вручную, и количество сотрудников определяет количество систем, восстанавливаемых в единицу времени. Большое преимущество может дать привлечение сторонних IT-специалистов на время инцидента».

Какие практические рекомендации вы бы дали по взаимодействию с правоохранительными органами и внешними экспертами?

По словам Николая Гончарова, директора департамента мониторинга кибербезопасности Security Vision, эффективное взаимодействие с правоохранительными органами и внешними экспертами требует сохранения доказательной базы, юридической подготовки, прозрачной коммуникации и координации действий. Ранняя подготовка, четкая структура взаимодействия, юридическая аккуратность, прозрачная коммуникация и выбор надежных партнеров помогут сделать сотрудничество с правоохранительными органами и внешними экспертами максимально эффективным, ускорить расследование и повысить шансы на положительный исход.

  1. «Заранее определите контактных лиц в организации и порядок их взаимодействия с внешними структурами. Заключите заранее с поставщиками внешних услуг и экспертами рамочные соглашения о сотрудничестве. Это упростит процесс их привлечения в критический момент, исключит юридические задержки.
  2. Перед обращением к внешним экспертам определите, что именно вам требуется: быстрое предотвращение дальнейших атак, криминалистический анализ для суда, атрибуция злоумышленника или оценка ущерба.
  3. Установите безопасные каналы обмена данными, чтобы избежать утечек информации при передаче данных.
  4. При сборе и передаче данных строго документируйте все действия (кто, когда и где копировал или анализировал данные), чтобы доказательства признали в суде. Учитывайте законы о защите персональных данных, коммерческой тайны и другие регуляторные требования.
  5. Предоставляйте запрошенные данные в установленные сроки, не утаивайте важную информацию. Своевременность и полнота данных повысит шансы на успешное расследование.
  6. Согласуйте, в каком формате и в какие сроки вы ожидаете получить отчеты, рекомендации или доказательства.
  7. После окончания расследования попросите оценки того, что можно было улучшить: качество логирования, наличие документации, скорость реагирования».

Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, перечислила следующие рекомендации:

  1. Обратиться к специалистам как можно быстрее. Обратитесь в правоохранительные органы, подав заявление о преступлении для рассмотрения его сотрудниками и дальнейшего возбуждения уголовного дела либо свяжитесь напрямую с внешними специалистами с соответствующей экспертизой для проведении расследования в наиболее сжатые сроки. Время является ключевым фактором при обнаружении инцидента, поэтому чем быстрее вы свяжетесь, тем быстрее специалисты приступят к работе и больше данных для сбора и последующего анализа будет доступно, ровно как и рекомендации по дальнейшим шагам для локализации инцидента. Самым оптимальным решением будет обращение одновременно как в правоохранительные органы, так и к частным экспертам, это позволит внешним специалистам начать проводить анализ данных как можно быстрее, после чего составленный документ (заключение) о проведенном исследовании может быть предоставлен в правоохранительные органы в качестве доказательства.
  2. Не предпринимайте самостоятельных решений, направленных на потенциальное затруднение (противодействие) расследования. Сохраните состояние систем в том виде, в каком они есть на момент инцидента. Не вносите никаких изменений, не выключайте и не перезагружайте устройства, так как это может привести к потере криминалистически значимых данных: как минимум к сокращению объема следов действий злоумышленника, что затруднит работу специалистов, как максимум — к невозможности проведения анализа в принципе.
  3. Предоставляйте данные, запрашиваемые специалистами в наиболее сжатые сроки. Как говорилось ранее, время – важный ресурс при проведении исследования. Поэтому в случае, если у специалистов появляется необходимость в дополнительных данных, связанных с компьютерным инцидентом, рекомендуем оперативно начинать их сбор.

Какие основные аспекты нужно учитывать при проведении киберучений с фокусом на программы-вымогатели, чтобы подготовить организацию к реальной атаке?

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE: «Инцидент с шифрованием инфраструктуры перегружает множество подразделений компании одновременно. При худшем сценарии IT-службы вынуждены вручную поочередно восстанавливать системы, разворачивая их из золотого образа и устанавливая необходимое ПО. И на это уходят все ресурсы IT-служб без остатка, но их все равно всегда недостаточно. В этом отношении организациям стоит заранее подумать о возможности кратковременного привлечения дополнительных IT-ресурсов, например с помощью своих партнеров.

После атаки времени на поиск таких партнеров обычно уже не хватает. Также нельзя недооценивать важность правильных коммуникаций как внутри компании, так и вовне. Атаки шифровальщиков крайне заметны и поэтому обычно вызывают шквал вопросов со стороны клиентов, партнеров и СМИ. Поэтому в учениях важно уделить этому внимание и продумать заранее стратегию коммуникации. При этом процесс информирования должен учитывать перегрузку технических команд».

Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, заметила, что осведомленность сотрудников о базовых правилах ИБ, а также взаимодействие ИТ- и ИБ-подразделений: и снова, время – критический фактор при атаках такого типа, поэтому важно проверить, насколько быстро команда может не только идентифицировать подозрительную активность, но и дополнительно собрать необходимые данные для анализа и передать их соответствующим специалистам.

«Необходимо протестировать и процедуры изоляции устройств или даже целых сегментов, а также, последнее, но не по значению, регулярно проверять работоспособность существующих резервных копий и систем и правил их хранения».

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision, убеждён, что киберучения должны быть реалистичными, охватывать все этапы атаки, включая обнаружение, изоляцию и восстановление систем. Важно проверить техническую готовность, взаимодействие команд и эффективность планов реагирования. В учениях должны участвовать не только специалисты ИБ, но и ИТ-отделы, юристы, PR-служба, HR, топ-менеджмент, и т.д. Это помогает понять реальные «узкие места» в коммуникации.

«Необходимо проверить скорость передачи критичной информации руководству, своевременное оповещение сотрудников, согласованность действий разных подразделений. Также следует отработать сценарии взаимодействия со СМИ, клиентами, поставщиками и партнерами, обеспечить готовность к публичным заявлениям и минимизации репутационных рисков».

Как выстроить эффективную стратегию взаимодействия с злоумышленниками для получения ключей расшифрования данных, и какие риски и последствия следует учитывать при принятии решения о выплате выкупа?

Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision: «Крайне не рекомендую вести переговоры со злоумышленниками и осуществлять им какие-либо выплаты. Очень велик риск того, что после оплаты вам не будут переданы ключи для расшифрования данных и вы понесете ещё больший финансовый ущерб. К том уже из-за особенностей применения ими методов шифрования процесс восстановления и расшифрования просто может быть невозможен.

Выплата выкупа должна рассматриваться как последняя крайняя мера. Решение о взаимодействии с злоумышленниками должно быть взвешенным и базироваться на тщательном анализе альтернатив, рисков и последствий. Если вам известно название группировки злоумышленников, то важно оценить поведение и репутацию злоумышленников в аналогичных случаях. С эти помогут профильные специалисты и организации, которые ранее уже могли иметь с ними дело.

В качестве проверки и готовности злоумышленников к восстановлению ваших данных можете попросить их расшифровать и прислать вам их некоторую часть для подтверждения. Но это все равно не будет вам гарантировать желаемого результата в восстановлении после проведения оплаты.

Грамотная, выстроенная стратегия восстановления, осуществление резервного копирования и укрепление защиты должны быть приоритетом для предотвращения подобных инцидентов в будущем».

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: