Журнал "Information Security/ Информационная безопасность" #2, 2024

Чем Compromise Assessment отличается от других ИБ-мероприятий? Compromise Assessment – это поиск незамеченных следов компрометации корпоративной сети. Не стоит путать подобную практику с методиками оценки уязвимости. Те же пентесты могут пре- следовать разные цели, например опре- делить как можно больше рабочих век- торов атаки или имитировать "покуше- ние" на конкретные активы компании. В любом случае здесь главный прин- цип – думать и действовать как зло- умышленник, используя те же инстру- менты и возможности. Цель Compromise Assessment – не выявить слабые места в защите компа- нии, а найти следы их эксплуатации. Для этого аналитики исследуют истори- ческие данные и всевозможные крими- налистические артефакты. Почему нужно проводить Compromise Assessment? Все больше компаний регулярно про- водят пентесты и Red Teaming. Покрытие корпоративных сетей средствами защи- ты информации постоянно растет. И все же Compromise Assessment – не лишняя перестраховка, а оправданная мера. Перечислим несколько наиболее веских причин, почему бизнесу стоит устраивать проверки на компрометацию сети наряду с другими ИБ-практиками. Широкое распространение компрометаций через подрядчиков (так называемые Trusted Relationship) Чаще всего в инфраструктуру хорошо защищенной корпорации проникают через небольшую подрядную организацию, например интегратора какого-либо ПО. До определенной поры любые актив- ности хакера, действующего под при- крытием внешнего исполнителя, выгля- дят вполне легитимными. Пока зло- умышленник не начнет запускать вре- доносы, шифровать файлы или пред- принимать другие несанкционированные шаги, СЗИ его не засекут. При помощи пентестов и других мероприятий насту- пательной безопасности, скорее всего, не получится предсказать такую атаку. Остается лишь "прочесать" сеть в поисках следов компрометации. Найти злоумышленника в случае с Trusted Relations все равно будет очень непросто, но шансы на успех значительно повы- шаются. Ограничения и издержки других ИБ-мероприятий Польза тестов на проникновение и других "атакующих" методик бес- спорна, но не стоит полагаться только на них. Даже если несколько опытных "красных" команд не сумели пробиться до критичного участка инфраструкту- ры, всегда может появиться хакер с новейшей CWE и добиться желае- мого. Compromise Assessment – это поиск реальных фактов компромета- ции, а не оценка вероятности успеш- ной атаки. Пентестер ограничен в плане инстру- ментов и прав доступа. В рамках Com- promise Assessment аналитик, напротив, получает содействие со стороны сотруд- ников компании, обеспечивая высокую эффективность поиска свидетельств использования уязвимостей. Опасность "дремлющих компрометаций" Часто злоумышленники незаметно проникают в корпоративные сети, оставляют там программные заклад- ки, скажем, проэксплуатировав какой- нибудь zero day, и на этом останавли- ваются. Так действуют брокеры пер- воначального доступа, которые про- дают подобные лазейки другим кибер- преступникам, и некоторые полити- чески мотивированные хакеры. Харак- терны "дремлющие компрометации" и для промышленного шпионажа. Системные закладки остаются неза- меченными, пока злоумышленник не выдаст себя активными действиями. СЗИ и наступательная безопасность, скорее всего, не помогут. А вот Compro- mise Assessment обнаружит эти лазейки с высокой вероятностью. Как проводится Compromise Assessment? Алгоритм действий в ходе таких меро- приятий, как правило, включает четыре обязательных шага и один опциональ- ный. Шаг 1. Определение анализируемой инфраструктуры. Обычно область поиска сразу согласовывается с заказчиком. Многие клиенты прекрасно знают и сла- бые места, и наиболее защищенные участки своей ИТ-инфраструктуры. Шаг 2. Определение источников дан- ных. На этом этапе зона поиска еще сильнее сужается и локализуется. Про- веряющие выясняют, какие операцион- ные системы и софт есть в инфраструк- туре, какое ПО может содержать следы компрометации. Обычно в фокус вни- мания попадают артефакты с конечных устройств, централизованные хранилища логов, различные СЗИ. Шаг 3. Сбор данных. Необходимую информацию можно выгружать из СЗИ клиента небольшими фрагментами либо сразу целыми блоками и анализировать в лаборатории компании, которая про- водит проверку. Или же аналитика выполняется прямо на месте. Второй вариант возможен, когда заказчик не может передавать данные за пределы своего контура, чтобы не нарушить NDA. Работа упрощается, если компания зрелая и в ней есть SIEM-система и холодное хранилище логов за послед- ние месяцы. Аналитики также исполь- зуют автоматизированные сборщики артефактов, которые помогают извле- кать данные из различных приложений и частей инфраструктуры. Шаг 4. Анализ данных и поиск ком- прометации. Когда данные собраны, 64 • УПРАВЛЕНИЕ Что такое Compromise Assessment и зачем он нужен бизнесу сли СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment. Е Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион” Фото: Бастион