Статьи
Работа оператора
Во время взлома Национального комитета Демократической партии (Democratic National Committee) в 2016 году российские ГРУ (также известное как APT28, или FANCYBEAR) и ФСБ (APT29, или COZYBEAR) работали в одной сети и системах, не используя позывные для общения друг с другом. Из-за этого деятельность потребовала вдвое больших усилий и привела к возникновению наблюдаемых аномалий и других признаков взлома в атакуемой сети, что, вероятно, способствовало провалу обеих операций [21]. Отсутствие коммуникации, которое, видимо, было вызвано недружественными отношениями этих организаций, дает повод для размышлений.
Рекомендуемые меры безопасности и предосторожности при работе со связью
1. Внедрите на уровне систем, границ сети и точек выхода из нее меры безопасности, позволяющие находить признаки кражи данных. Это может быть блокировка зашифрованных туннелей, которые ваши датчики не могут перехватить, а также поиск доказательств применения несанкционированных протоколов, форматов данных, водяных знаков, меток данных и больших файлов или потоков, покидающих сеть. (AC-4. Сопровождение информационного потока | (4) Проверка содержимого зашифрованной информации; SC-7. Граничная защита | (10) Предотвращение эксфильтрации; СИ-4. Системный мониторинг | (10) Видимость зашифрованных сообщений.).
Управление командами
Организации часто подписываются на рассылку нескольких индикаторов угроз. По этим рассылкам компания регулярно получает вредоносные URL-адреса, IP-адреса и домены, замеченные в работе в качестве C2. Получив информацию, организация начнет предупреждать и/или блокировать эти угрозы в своих брандмауэрах и устройствах безопасности. Это хорошая отправная точка для создания защиты от C2, но в мире появляется бесконечное количество новых URL-адресов, IP-адресов и доменов, позволяющих злоумышленникам использовать новые идентификаторы и обходить защиту. Для решения проблем C2 необходим как старый, так и новый подход, некоторые из них предлагаются далее.
Управляющая связь
Обычно вредоносные программы не могут быть полностью независимыми и автономными. Если бы это было так, вредоносное ПО было бы тяжеловесным, сложным, подозрительным и видимым для защитников. Большинству вредоносных программ во время работы требуется возможность получать указания, поэтому злоумышленники используют метод, называемый «командование и управление» (command and control, сокращенно C2, CnC или C&C), с помощью которого связываются с вредоносными программами, бэкдорами, имплантатами и скомпрометированными системами в атакованной сети.
Рекомендуемые меры безопасности и предосторожности при кибератаках
Рекомендации следует оценивать с учетом концепции пожарных атак.
1. Мониторьте индикаторы деструктивных действий в своей организации. Предотвратите взлом журналов системного мониторинга, событий аудита и данных с датчиков путем пересылки данных в сегментированные сборщики событий. (AU-6. Аудиторский обзор, анализ и отчетность | (7) Разрешенные действия; AU-9. Защита аудиторской информации; SI-4. Системный мониторинг.).
Защита от киберпожаров
Для компаний обычным делом является страхование от пожаров и одновременная реализация стратегий их предотвращения и локализации. Однако по какой-то причине некоторые компании покупают киберстраховку, но не принимают мер защиты от кибератак. Возможно, они не видят в кибератаках такой опасности, как от настоящего пожара, при котором на карту поставлено имущество и даже человеческие жизни. Но с развитием технологий интернета вещей (IoT) тесное сближение физического мира с киберпространством будет способствовать росту рисков. Принятие описанных далее защитных мер может быть чрезвычайно полезно для вашей компании.
Деструктивные кибератаки
Как только компьютеры научились соединяться и общаться друг с другом, тут же появились самораспространяющиеся вирусы и черви. Деструктивные атаки со временем начали происходить все чаще. Атака на сеть одной организации может распространяться быстро, словно пожар, уничтожая системы и данные в интернете. Учитывая растущее число связей между системами в киберпространстве, а также пробелы в их безопасности, любая сеть или машина, подключенная к интернету и не имеющая надлежащих средств защиты, фактически просто стоит и ждет, когда ее подожгут.
Рекомендуемые меры безопасности и предосторожности при защите от угроз в реальном времени
1. Ограничьте применение внешних систем и компонентов в организации, если у вас нет разрешения или возможностей проводить по ним экспертизу. (AC-20. Использование внешних систем | (3) Системы и компоненты, не принадлежащие организации.).
Защита от угроз в реальном времени
Организации часто сталкиваются с инцидентами безопасности именно в тот момент, когда единственный человек, способный работать с инструментами криминалистической визуализации, отсутствует на рабочем месте. Иногда до момента передачи атакованной машины ему на проверку проходит несколько дней, а к тому времени атака уже закончилась. Неспособность действовать с той же или большей скоростью, что и угроза, заставляет защитников брать на себя функции эксперта, который собирает доказательства и устраняет последствия уже после того, как злоумышленник сделал все что хотел.
Живой анализ
В кибербезопасности экспертиза компьютера может обеспечить необходимый анализ угроз. Образы для экспертизы обычно создаются после инцидента безопасности (например, заражения вредоносным ПО) или нарушения правил использования (например, загрузки на устройство детской порнографии), причем создание образа выполняется таким образом, чтобы сохранить доказательства, не нарушив целостность данных на устройстве. Данные экспертизы могут помочь специалистам по безопасности узнать, в чем заключалась угроза и как она использовала уязвимости системы. Затем экспертиза может предоставить информацию, необходимую для разработки сигнатур, мер защиты и упреждающей блокировки.
Рекомендуемые меры безопасности и предосторожности при атрибуции
Рекомендации следует оценивать с учетом концепции атрибуции.
1. Привязывайте учетные записи к личности пользователей. Подтвердите личность человека, связанного с учетной записью, с помощью биометрических данных, идентификации, логических или физических доказательств или средств контроля доступа. (SA-12. Защита цепочки поставок | (14) Идентичность и прослеживаемость.).
Подходы к атрибуции
Организациям, разумеется, хочется знать, кто атакует их системы и сети и откуда это делается. Понятно, что иногда даже хочется предпринять ответные меры вплоть до взлома, чтобы узнать личность злоумышленника. Вот только они, всегда найдут способы скрыть свое имя посредством отрицания и обмана, внося в атрибуцию немалую неопределенность. Кроме того, история учит нас, что необходимость в определении личности исчезла. В обозримом будущем мир вряд ли объединится, поэтому кибератаки между государствами, скорее всего, никуда не денутся. Ну а пока мир во всем мире не наступил, приведенные далее подходы к атрибуции способны помочь вам определить, что вы можете сделать с киберконфликтами.
Определение источника угрозы (атрибуция)
Атрибуция в кибербезопасности - это анализ наблюдаемых доказательств для идентификации субъектов в киберпространстве. Доказательства могут принимать разные формы. Поведение злоумышленника, инструменты, методы, тактики, процедуры, возможности, мотивы, намерения и другая информация - все это позволяет сформировать полезный контекст и стимулирует реагирование на инциденты в области безопасности.
Рекомендуемые меры безопасности и предосторожности при работе с имплантатами
1. Рассмотрите возможность внесения неоднородности в цепочку поставок путем выделения, сегментации и разделения разных ее компонентов. Разнообразие цепочки поставок значительно снижает потенциальное влияние скомпрометированных компонентов. (SC-29. Неоднородность.).
Защита от имплантатов
Компании, которые будут пытаться оценить или проанализировать каждую систему в поисках следов преступления, скорее всего, запутаются в процессе управления цепочкой поставок. Более того, продвинутые злоумышленники, способные скомпрометировать цепочку поставок, скорее всего, научатся внедрять вредоносные функции в стандартную структуру системы, не добавляя ничего лишнего. Таким образом, только злоумышленник будет знать об имплантате, который будет добавлен в каждую систему. Возможно, в ходе инспекции компания даже обнаружит угрозу, но не сможет распознать ее. В этом и заключается масштаб проблемы - это все равно что пытаться найти призрак на Луне. Тем не менее для защиты организации от подобных имплантатов можно принять следующие меры.
Имплантаты
Корпоративный шпионаж и государственный шпионаж исторически основывался на агентах, которые выполняли долгосрочные миссии. Сегодняшние технологии порождают новые и более дешевые способы получения результатов, которые раньше можно было получить только с помощью людей. Предположим, что ваша организация много лет назад купила и установила в своей сети маршрутизатор иностранного производства и он отлично работает. Но в какой-то момент злоумышленник активирует установленный еще на заводе скрытый имплантат, обеспечивающий прямой доступ к важным системам и данным в обход всех фильтров и системы безопасности.
Рекомендуемые меры безопасности и предосторожности при внутренних угрозах
В некоторых случаях можно использовать рекомендации и принять меры безопасности, приведенные в стандарте NIST 800-53. Их следует оценивать с учетом концепции внутренних угроз. (Для получения дополнительной информации см. PM-12. Программа борьбы с внутренними угрозами.).
Новый подход к внутренним угрозам
Компании, которые регулярно проверяют сотрудников и пытаются поймать их на месте преступления, уже опоздали. Упреждающий события подход заключается в создании такой рабочей среды, условия в которой не способствуют появлению внутренних угроз. Далее приведены некоторые предложения, позволяющие нивелировать некоторые типы угроз.
Внутренние угрозы
Внутренняя угроза - это сотрудник, пользователь или другой внутренний ресурс, действия которого могут намеренно или случайно нанести вред организации.
Рекомендуемые меры безопасности и предосторожности при применении социальной инженерии
1. Поскольку системы безопасности и средства контроля могут защищать информацию лишь в пределах определенных границ, нужно реализовать меры безопасности, которые не позволяют информации и системам выходить за эти границы и попадать в руки социальных инженеров. (AC-3. Обеспечение доступа | (9) Контролируемый выпуск; PE-3. Контроль физического доступа | (2) Границы объекта / информационной системы; SC-7. Граничная защита.).