Как понять, что вашу организацию атаковали? Три точных сигнала

Стараниями хакеров новые тактики взломов появляются практически ежедневно. Деликатные и неочевидные методы злоумышленников особенно опасны. Применяя их, преступники незаметно пробираются внутрь ИТ-периметра и готовятся к решающему шагу. Финальным действием обычно оказывается шифрование критически важных данных и/или их “слив”. Ни то, ни другое обычно не сулит ничего хорошего.

Вместе с тем, времени между моментом внедрения злоумышленников в периметр организации и первыми деструктивными действиями может хватить, чтобы установить сам факт взлома. Для этого достаточно взглянуть на три признака. И если подтвердится хотя бы один из них — действовать без промедлений.

Куда смотреть?

Очевидно — на список пользователей и на их права в инфраструктуре. Появление новых юзеров само собой история подозрительная. Но также должно насторожить расширение привилегий существующим пользователям.

Как выглядит?

В системе появляются незарегистрированные пользователи. “Оживают” учетные записи уволившихся сотрудников. Рядовой пользователь внезапно получает админские права на своем компьютере. А значит, получает возможность ставить любой софт, в том числе шпионский.

О чем говорит?

Скорее всего, о целевой атаке. Она, в свою очередь, свидетельствует о том, что вашу организацию “заказали”. Вероятно, вы имеете дело с профессионалами. Проверять нужно вообще всё — от нового софта на компьютере подозрительного пользователя до истории доступа к базам данных и бизнес-критичному ПО. Это долго и требует большого количества специалистов, поскольку площадь поверхности атаки с точки зрения злоумышленников фактически равна умозрительной площади всей инфраструктуры организации.

Профилактика и противодействие

IAM/IDM-системы далеко не панацея от подобных проблем. В какой-то степени они могут затруднить проведение некоторых видов атак, но полностью проблему не решат. Поэтому добавление пользователей в группу администраторов, изменение даты действия учётной записи, снятие блокировки и подобные изменения однозначно должны фиксироваться в SIEM системе. По ключевым из них должны создаваться тикеты и рассылаться уведомления.

Если вы обнаружили нового пользователя или изменение привилегий без средств автоматизации, мы бы не стали говорить, что вам повезло. Скорее всего, момент уже упущен: организация у злоумышленников на крючке. Можно начать проверку нового “суперпользователя” — откуда подключается, куда ходит, что изменяет. Но в данном случае поверхность атаки очень большая, и где злоумышленник проявит себя в следующий момент, предсказать почти невозможно — для этого нужно знать его планы и мотивы.

Достаточно часто дело заканчивается шифрованием всех корпоративных данных и требованием выкупа. В данном случае совет только один — иметь в распоряжении свежий бэкап. Регулярность процедуры определяется особенностями бизнес-процессов конкретной организации: для одной важно “сохраняться” раз в сутки, другой достаточно одного раза в неделю. Важно, чтобы актуальная резервная копия хранилась вне ИТ-периметра — так она не сможет пострадать от действий хакеров. Сейф в кабинете генерального директора или другой ЦОД с отсутствием удалённого доступа из скомпрометированной сети — подходящие места для хранения бэкапа.

Деликатный момент: наличие свежей копии станет сильным аргументом в дискуссии с вымогателями. У одного из наших специалистов в практике был случай, когда в ходе переговоров он снизил сумму выкупа с весомой до чисто символической, просто показав киберпреступникам, что бэкап есть, и что он свежий. Сумма оказалась меньше стоимости трудозатрат “админов” на “раскатывание” инфраструктуры клиентских ПК. Хакеры поняли, что риск, за который они требуют деньги, для заказчика не реализовался, и признали поражение.

Куда смотреть?

Информационная безопасность — та сфера, где точно не помешает копнуть глубже. Поэтому плавно двигаемся в сторону более технических рекомендаций. В центре внимания — трафик. Его отклонения хорошо видны практически в любом приложении мониторинга использования сети. Бывает, что средства контроля поставляются в комплекте с сетевым “железом”, но и среди приложений от сторонних разработчиков есть из чего выбрать. Отдельные решения даже позволяют конструировать сценарии типового использования сетей для каждого устройства и оповещать админа или “ибэшника” об отклонениях.

Как выглядит?

• внезапно и необъяснимо выросло количество передаваемых данных вовне. Скажем, если стандартно канал связи был загружен на 40%, то на заметный период времени его загрузка вдруг выросла до 70-80%;
• нарушился баланс между исходящим и входящим трафиком в пользу исходящего;
• фиксируется аномально высокий трафик с серверов или отдельных рабочих станций. Либо конкретный компьютер или сервер, которому не положено “смотреть” в Интернет, начинает отправлять данные вовне;
• выросло использование нехарактерного для вашей организации вида трафика — скажем, DNS/ICMP/UDP;
• данные в аномально больших объемах перемещаются внутри сети.

О чем говорит?

О похищении информации. Действует либо хакер, либо инсайдер.

Профилактика и противодействие

Как минимум наладить мониторинг сети и настроить межсетевой экран. Сразу скажем: даже усиленно продвигаемые на рынке решения класса NGFW (New Generation Firewall) — совсем не волшебная таблетка. Его тоже нужно грамотно настроить и умело вписать в общую ИБ-концепцию. Даже решения с открытым исходным кодом принесут больше пользы, если их грамотно настроить и правильно использовать. А деньги, которые рассчитывали потратить на модный и дорогой NGFW, можно вложить в привлечение толкового специалиста или целой ИБ-команды.

Куда смотреть?

В первую очередь имеет смысл заглянуть в SIEM — посмотреть в консоль средств защиты, изучить логи серверов с которыми возникали проблемы. Нелишним будет проанализировать, вносились ли изменения в настройки файервола и/или групповых политик, не появились ли в автозапуске, таск-менеджере, cron неизвестные сервисы. Даже беглый анализ выявит настораживающие аномалии.

Как выглядит?

Внезапно и без причин меняются настройки софта для кибербезопасности:

• пропал из активных процессов или выключился антивирус;
• изменились настройки файрволла;
• удалена история регистрации событий;
• выключены оповещения на ряд критичных событий в системе мониторинга;
• появились файлы в каталоге windows\tasks или прочих, занесённые в белый список defender по умолчанию;
• вносятся изменения в групповые политики, ослабляющие защиту или добавляющие задачи с запуском неизвестных скриптов;
• вносятся изменения в параметры реестра Windows для ослабления защиты.

Продолжать можно долго.

О чем говорит?

Скорее всего, кто-то получил доступ к целому сегменту информационной системы как минимум с правами локального администратора и пытается закрепиться в вашей инстраструктуре. Антивирус больше не защищает от зловредного ПО, DLP перестала замечать факты утечек, а отключенный файрволл бесполезен против сетевых атак. Это тревожный сигнал и совершенно точно повод что-то предпринять.

Профилактика и противодействие

• консолидировать сбор и обработку событий ИБ в SIEM-системе;
• настроить оповещения о любом изменении конфигурации средств защиты, групповых политиках, отключении/перезапуска антивируса с обязательным занесением в логи;
• разработать и внедрить регламент действий на случай инцидента. В пошаговой инструкции должно быть зафиксировано, кому звонить, куда смотреть, что включать и что отключать в инфраструктуре, чтобы не дать атаке развиться и чтобы собрать цифровые улики, которые могут быть полезны в рамках будущего расследования. В регламенте непременно должен быть пункт о проверке смежных систем и ресурсов, поскольку атака, которую легко увидеть, может стать отвлекающим маневром для более глубокого внедрения в инфраструктуру.

Само собой, намного лучше, чтобы в работе каждого ИБ-специалиста перечисленные выше сигналы не отмечались вовсе. Каждый из них в той или иной степени — “круг на воде”, то есть след уже предпринятой хакерами успешной активности. Чтобы не ставить себя в позицию “тушителя пожаров”, “ибэшнику” имеет смысл задуматься над архитектурой системы безопасности организации. Мы рекомендуем быть максимально рациональными и по возможности обходиться теми силами и средствами, которые имеются в распоряжении здесь и сейчас. Умение создать надежную оборону без головокружительных затрат повысят ваш статус среди высших руководителей компании. Ведь с их точки зрения инвестиции в ИБ — это борьба с рисками, которые могут не реализоваться никогда.