- PVSM.RU - https://www.pvsm.ru -
Многие центры безопасности смыслом своей работы, а то и жизни делают борьбу с хакерами и атаками. Дело действительно важное и интеллектуально очень емкое. Исследуем данные Threat Intelligence, собираем атрибуцию на группировки и её TTP (tactics, techniques and procedures), разрабатываем отдельные сценарии и правила выявления инцидентов, внедряем мощные технологические решения. Это огромный и важный кусок работы любой команды по безопасности, а уж тем более любого зрелого SOC.
Но периодически все классические подходы к безопасности через мониторинг просто умножаются на ноль, когда в жизнь приходит большая и неприятная массовая атака. Та самая, о которой узнаёт даже ваша бабушка. Условно назовем такую атаку медиакиберпандемией, чтобы не путать с регулярными рассылками Cobalt или хитрыми инструментами Silence (для бывалых они уже стали чем-то вроде белого шума). Речь о Heartbleed, Shellshock, WannaСry, уязвимости в оборудовании Cisco и прочих. Что их отличает от прочих кибердиверсий? Как в этом случае стоит (или не стоит) вести себя SOC и просто ИБ-службе компании? Давайте разбираться под катом.
Если посмотреть на такие инциденты внимательнее, достаточно быстро становится понятно, что отличает их от всех остальных: за каждым из них стоит некоторая фундаментальная критическая уязвимость. Eternal Blue собрал свой урожай в 2017 году, маскируясь под разными именами (DoublePulsar, WannaCry, NotPetya), апрель 2018 года бушевал уязвимостью CVE-2018-0171, время BlueKeep пока не пришло (но это не точно). В итоге отличие от продвинутых атак — в ключевых составляющих:
Образно говоря, речь идет о молоте, а не о рапире. К сожалению, вендоры могут косячить не дают нам скучать, и злоумышленники получают в свои руки такие молоты достаточно часто. За каждой большой и массовой атакой стояла своя большая и страшная уязвимость от одного из вендоров. В таких условиях отслеживание критических уязвимостей и своевременная работа с ними становятся одними из основных аспектов деятельности ситуационного центра информационной безопасности, который так часто приравнивают к Security Operations Center.
Тут я, наверное, мог бы перейти к рекомендациям и скучно закончить этот пост… если бы по ходу прошедших медиакиберпандемий мы не столкнулись с несколькими возражениями аудитории.
Очень популярное возражение: «Да какой же (тут меня покарала цензура) умник вывесил сервис в интернет без патчей?!», «Уязвимости уже столько времени — неужели не могли вовремя обновиться?» и так далее.
Если у тебя, хаброчитатель, обновление инфраструктуры выполняется одним нажатием кнопки из WSUS или SCCM или пользователей так мало, что можно все поставить руками, то можешь пролистать сразу к концу статьи — быть может, часть советов окажутся полезными. Но в больших корпоративных средах путь джедая безопасника — от поступления информации об уязвимости до ее закрытия — достаточно длинный.
Что стоит на пути офицера ИБ?
Вообще надеюсь, что в ближайшее время (это обещание-спойлер) мы напишем отдельную статью или цикл по теме управления уязвимостями в корпоративных средах. Пока же ограничимся статистикой — сколько времени в среднем нужно компании на работу с уязвимостями:
Как видим, меньше чем за 40 дней редкая крупная птица компания закрывает проблемы уязвимостей. Поэтому большим организациям приходится думать о компенсирующих мерах, приоритетах и прочих палках и веревках, требующих проработки для решения проблемы новых критичных уязвимостей.
Казалось бы, при всех ранее названных проблемах и сложностях обновления имеет смысл патчить только самые критичные бреши. Или, как написано в комментарии одного из экспертов к нашей новости про BlueKeep-1 [2], только те, для которых уже есть готовый эксплойт в паблике. Позиция действительно имеет право на существование: зачем зря гонять айтишников и портить с ними отношения? И басню про мальчика, которую мы обозначили в названии раздела, наверняка все знают, но, как всегда в такой ситуации, есть нюанс.
И заключается он в том, что мы из года в год видим многократное развитие инструментария киберпреступников и темп применения «новинок» в даркнете. Это говорит о том, что только что написанный эксплойт под уязвимость в самое кратчайшее время может уже использоваться в атаке на инфраструктуры компаний. И в этом случае возможности подготовиться, собраться и принять меры противодействия у корпоративного безопасника уже просто не остается. Для иллюстрации небольшая статистика:
Time2Attack
Это выдержка из большой аналитики по тому, какие интервалы времени проходят между фактической публикацией уязвимости с начала и до появления публичного эксплойта, а потом от эксплойта до первой публичной (известной) атаки злоумышленников. Оставим пока за скобками ситуацию с BlueKeep, который действительно пока в свободной природе никак себя не проявил, но по всем остальным ситуация достаточно показательная: речь, как правило, идет не о месяцах, а о неделях до появления эксплойта, и о днях с момента его первого использования. Особенно печально ситуация смотрится для уязвимости Adobe (CVE-2018-15982), которая использовалась в атаке уже через сутки после появления эксплойта. Скроллим пост немного наверх и видим, что в среднем мы просто не успеем поставить патчи на инфраструктуре, если будем ждать эксплойта. Поэтому в реалиях нашей жизни без него вполне «щитово» и лучше проявить заботу о своей инфраструктуре раньше, не опасаясь потенциальных проблем с ИТ-подразделениями.
К чему приводят нас все эти рассуждения? Что в идеале компании нужно иметь карту или методику реагирования на каждую выявленную критическую уязвимость? В каждом случае она будет индивидуальна до дьявола, но я хочу поделиться несколькими полезными советами от себя.
NB! Конечно, это будет работать, только если мы на самом деле знаем свой внешний периметр и внешние адреса и занимаемся его инвентаризацией.
Надеюсь, что наши рекомендации помогут кому-то быстрее отбиваться от очередных зомби массовых атак.
Автор: SolarSecurity
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/330328
Ссылки в тексте:
[1] xakep.ru/2018/01/10/meltdown-spectre-slowdown: https://xakep.ru/2018/01/10/meltdown-spectre-slowdown/
[2] новости про BlueKeep-1: https://habr.com/ru/company/solarsecurity/blog/451864/
[3] Источник: https://habr.com/ru/post/467147/?utm_source=habrahabr&utm_medium=rss&utm_campaign=467147
Нажмите здесь для печати.