Проактивная защита от угроз нового типа с помощью SOC

Предыстория

За два месяца до событий первой эпидемии Microsoft выпустила обновления безопасности в рамках Patch Tuesday. В число обновлений вошло и исправление, описанное в бюллетене MS17-010. Исправление было доступно только для поддерживавшихся на тот момент систем.

У нашего заказчика в рамках действующей услуги SOC налажен процесс управления уязви-мостями, и на все поддерживаемые узлы была выполнена установка необходимых обновлений. Для небольшого числа узлов с уже не поддерживаемыми производителем ОС было настроено ограничение доступа по SMB.

14 апреля группа Shadow Brokers публикует пятую часть украденного у АНБ инструментария, предназначенного для атак на Windows-системы (через уязвимости, описанные в MS17-010), среди которого были эксплойты EternalBlue, EternalRomance и имплант DoublePulsar.

Вскоре после изучения материалов утечки специалисты нашего SOC пришли к выводу, что утилиты будут широко применяться в атаках. Эта уверенность только укрепилась после первых сообщений о массовом выявлении следов импланта DoublePulsar на тысячах компьютеров в сети Интернет. Так как в рамках сервиса SOC, предоставляемого заказчику, осуществляется услуга мониторинга событий ИБ и выявления вредоносной активности, наши специалисты были уже готовы к предстоящей атаке.

WannaCry

Утром 12 мая начали поступать первые сведения о зарубежных жертвах нового вредоносного ПО. Наши специалисты приступили к изучению сведений об угрозе. После обновления информации о векторах атаки и индикаторах был проведен внеочередной аудит уязвимостей активов заказчика, выявивший небольшое число уязвимых узлов (вновь созданные машины и принесенные в сеть компьютеры). Осуществлено внеплановое обновление правил детектирования, а также подготовлен информационный бюллетень со сведениями о новой угрозе и рекомендациями, составленными с учетом особенностей инфраструктуры заказчика. Рекомендации были выполнены, а после публикации Microsoft внеплановых обновлений для неподдерживаемых систем были обновлены и они.

Так как инфраструктура, как и система мониторинга, уже были готовы к отражению угрозы, достаточно было только внести минимальные изменения. Служба SOC совместно со специалистами ИБ заказчика были готовы отразить атаку.

Она началась со стороны дочерних организаций, подключенных к инфраструктуре заказчика, также несколько дней спустя один из подрядчиков заказчика пронес зараженный ноутбук.

Попытки вредоносного сетевого воздействия со стороны дочерних организаций были выявлены существующими сценариями системы мониторинга. На зараженное устройство подрядчика среагировали как новые правила, так и уже существующие сценарии выявления вредоносной активности (например, выявление попыток доступа в TOR).

Благодаря проактивному внедрению защиты на все элементы инфраструктуры вреда атака не принесла. Служба SOC совместно со специалистами ИБ заказчика выявили все зараженные узлы на стороне дочерних организаций, не подключенных к SOC, а также на основе полученных данных сформировали для них перечень рекомендаций по сдерживанию и подавлению заражения.

NotPetya

По факту появления 27 июня первых сведений о новом вредоносном ПО, схожем с Petya, но им не являвшимся, специалисты SOC оперативно начали сбор сведений. Как и в случае с WannaCry, было подготовлено внеочередное обновление сценариев мониторинга по ставшим известными индикаторам, проведен внеочередной аудит уязвимостей (который не выявил уязвимых узлов), а также подготовлен информационный бюллетень для заказчика. Ввиду наличия вектора заражения посредством почтового фишинга специалистам заказчика было рекомендовано проведение внеочередных инструктажей сотрудников с целью повышения их уровня осведомленности в области ИБ.

Так как процесс управления уязвимостями с помощью сервиса SOC уже был хорошо отлажен, инфраструктура была готова к противодействию вредоносному ПО благодаря не только закрытым уязвимостям из бюллетеня MS17-010, но и внедренным ранее мерам противодействия утилите Mimikatz. Контроль за средствами удаленного администрирования уже давно осуществлялся в рамках разработанных сценариев.

Благодаря комплексу мер по усилению безопасности, а также повышению осведомленности сотрудников заказчика заражений удалось полностью избежать.

Выводы

Четко выстроенные про-активные меры по обеспечению информационной безопасности могут помочь эффективно подавлять и предупреждать появление угроз. Они станут еще более актуальны в будущем, так как, по всей видимости, подобные атаки станут новым трендом.