Дисциплина обнаружения
К сожалению, не существует идеального способа поймать кого-то, кто умеет не попадаться. У некоторых злоумышленников есть преимущество перед защитниками, так как они могут получить несанкционированный доступ к инструменту регистрации инцидентов группы безопасности и таким образом видеть, не исследует ли кто-то их злонамеренные деяния. Тем не менее защитникам есть что улучшить, чему научиться, какие меры внедрить и какие уловки применить, чтобы поймать того, кто им угрожает, на ошибке.
1. Развивайте бдительность. В рамках подготовки к охоте на угрозы, реагированию на инциденты и анализу системы безопасности научите отдел безопасности искать признаки света, шума или мусора, оставленного противником.
2. Установите скрипучие ворота. Подумайте о внедрении обманных индикаторов обнаружения и предупреждения атак (AS&W), например событий безопасности, которые срабатывают каждую минуту на контроллерах домена или других значимых системах или сетевых устройствах. Например, вы можете реализовать предупреждение, которое гласит: «[Предупреждение журнала событий безопасности]: Windows не удалось активировать Защитник Windows/Проверить версию Windows». Это может заставить атакующего думать, что вы не обращаете внимания на предупреждения от операционной системы, отключить их или увести свои журналы подальше от ваших датчиков. Внезапное отсутствие ложного предупреждения проинформирует защитников вашей системы о присутствии злоумышленника (а в случае иного сбоя — о необходимости перезагрузить систему или попросить ИT-отдел расследовать сбой).
3. Сделайте деревянные трещотки. Продвинутый злоумышленник тоже может целенаправленно запускать предупреждения или вызывать заметный сетевой шум из защищенного или скрытого места в вашей среде (то есть атаковать известные приманки), наблюдая за тем, способна ли ваша группа безопасности обнаруживать проникновения и реагировать на них. Это киберэквивалент ниндзя, который идет ночью по дому и гремит трещоткой, слушая вашу реакцию. Разумно предположить, что хакер может прощупывать вашу безопасность таким образом, чтобы определить, какое время и какие методы лучше всего подойдут для проникновения.
