Контакты
Подписка
МЕНЮ
Контакты
Подписка

Проактивная защита от угроз нового типа с помощью SOC

Проактивная защита от угроз нового типа с помощью SOC

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Проактивная защита от угроз нового типа с помощью SOC

Онедавних эпидемиях, связанных с вредоносным ПО WannaCry и NotPetya, написано уже немало статей. Большая часть из них сводилась к рекомендациям по выявлению зараженных узлов и устранению последствий инцидентов. Гораздо меньше описано случаев, рассказывающих о том, как удалось избежать ущерба от атак. На примере одного из наших заказчиков мне хотелось бы рассказать, как, используя сервис SOC, можно успешно противодействовать атаке вредоносов.
Михаил Ларин
Ведущий инженер ДИБ АМТ-ГРУП

Предыстория

За два месяца до событий первой эпидемии Microsoft выпустила обновления безопасности в рамках Patch Tuesday. В число обновлений вошло и исправление, описанное в бюллетене MS17-010. Исправление было доступно только для поддерживавшихся на тот момент систем.

У нашего заказчика в рамках действующей услуги SOC налажен процесс управления уязви-мостями, и на все поддерживаемые узлы была выполнена установка необходимых обновлений. Для небольшого числа узлов с уже не поддерживаемыми производителем ОС было настроено ограничение доступа по SMB.

14 апреля группа Shadow Brokers публикует пятую часть украденного у АНБ инструментария, предназначенного для атак на Windows-системы (через уязвимости, описанные в MS17-010), среди которого были эксплойты EternalBlue, EternalRomance и имплант DoublePulsar.

Вскоре после изучения материалов утечки специалисты нашего SOC пришли к выводу, что утилиты будут широко применяться в атаках. Эта уверенность только укрепилась после первых сообщений о массовом выявлении следов импланта DoublePulsar на тысячах компьютеров в сети Интернет. Так как в рамках сервиса SOC, предоставляемого заказчику, осуществляется услуга мониторинга событий ИБ и выявления вредоносной активности, наши специалисты были уже готовы к предстоящей атаке.

WannaCry

Утром 12 мая начали поступать первые сведения о зарубежных жертвах нового вредоносного ПО. Наши специалисты приступили к изучению сведений об угрозе. После обновления информации о векторах атаки и индикаторах был проведен внеочередной аудит уязвимостей активов заказчика, выявивший небольшое число уязвимых узлов (вновь созданные машины и принесенные в сеть компьютеры). Осуществлено внеплановое обновление правил детектирования, а также подготовлен информационный бюллетень со сведениями о новой угрозе и рекомендациями, составленными с учетом особенностей инфраструктуры заказчика. Рекомендации были выполнены, а после публикации Microsoft внеплановых обновлений для неподдерживаемых систем были обновлены и они.

Несмотря на то что набор проактивных мер защиты в целом не нов, по мнению многих исследователей в области информационной безопасности, эпидемия вредоносного ПО WannaCry явилась крупнейшей со времен эпидемии червя Confick-er/Kido, разразившейся в 2008 г., в результате которой были заражены миллионы узлов более чем в 190 странах мира. WannaCry использует код эксплойта EternalBlue в своем компоненте, предназначенном для горизонтального распространения. Вредоносное ПО NotPetya помимо EternalBlue использует код эксплойта EternalRomance и утилиты удаленного администрирования PsExec и WMIC. Учетные данные для горизонтального распространения с помощью утилит крадутся модифицированным ПО Mimikatz, также входящим в состав NotPetya.

Так как инфраструктура, как и система мониторинга, уже были готовы к отражению угрозы, достаточно было только внести минимальные изменения. Служба SOC совместно со специалистами ИБ заказчика были готовы отразить атаку.

Она началась со стороны дочерних организаций, подключенных к инфраструктуре заказчика, также несколько дней спустя один из подрядчиков заказчика пронес зараженный ноутбук.

Попытки вредоносного сетевого воздействия со стороны дочерних организаций были выявлены существующими сценариями системы мониторинга. На зараженное устройство подрядчика среагировали как новые правила, так и уже существующие сценарии выявления вредоносной активности (например, выявление попыток доступа в TOR).

Благодаря проактивному внедрению защиты на все элементы инфраструктуры вреда атака не принесла. Служба SOC совместно со специалистами ИБ заказчика выявили все зараженные узлы на стороне дочерних организаций, не подключенных к SOC, а также на основе полученных данных сформировали для них перечень рекомендаций по сдерживанию и подавлению заражения.

NotPetya

По факту появления 27 июня первых сведений о новом вредоносном ПО, схожем с Petya, но им не являвшимся, специалисты SOC оперативно начали сбор сведений. Как и в случае с WannaCry, было подготовлено внеочередное обновление сценариев мониторинга по ставшим известными индикаторам, проведен внеочередной аудит уязвимостей (который не выявил уязвимых узлов), а также подготовлен информационный бюллетень для заказчика. Ввиду наличия вектора заражения посредством почтового фишинга специалистам заказчика было рекомендовано проведение внеочередных инструктажей сотрудников с целью повышения их уровня осведомленности в области ИБ.

Так как процесс управления уязвимостями с помощью сервиса SOC уже был хорошо отлажен, инфраструктура была готова к противодействию вредоносному ПО благодаря не только закрытым уязвимостям из бюллетеня MS17-010, но и внедренным ранее мерам противодействия утилите Mimikatz. Контроль за средствами удаленного администрирования уже давно осуществлялся в рамках разработанных сценариев.

Благодаря комплексу мер по усилению безопасности, а также повышению осведомленности сотрудников заказчика заражений удалось полностью избежать.

Выводы

Четко выстроенные про-активные меры по обеспечению информационной безопасности могут помочь эффективно подавлять и предупреждать появление угроз. Они станут еще более актуальны в будущем, так как, по всей видимости, подобные атаки станут новым трендом.

АМТ-ГРУП
115162, Москва,
ул. Шаболовка, 31, корп. Б,
под. 3
Тел.: (495) 725-7660
Факс: (495) 725-7663
E-mail: info@amt.ru
www.amt.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2017
Посещений: 7161

Приобрести этот номер или подписаться

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций