Журнал "Information Security/ Информационная безопасность" #2, 2024

команда аналитиков начинает изучать их и искать подозрительные моменты. Частично эта работа делается вручную, а частично – автоматизированно. Допу- стим, данные проверяются набором сиг- натур, выполняется поиск по хешам. Исторические записи по различным IP- адресам сверяются с платформой Threat Intelligence. В итоге удается выяснить, относятся ли находки к вредоносным активностям или нет. Оптимально, когда по мере нахождения сомнительных фай- лов и следов активности такая инфор- мация сразу передается клиенту для уточнения. Зачастую выясняется, что это всего лишь последствия давних пен- тестов или изучения вредоносных фай- лов ИБ-специалистами. Не стоит заранее обсуждать с клиентом такие моменты. Лучше перестраховаться и выловить все свидетельства использования утилит двойного назначения и прочие подозри- тельные активности, а потом отсеять лишнее, иначе появляется риск не заме- тить реальных признаков компромета- ции. Шаг 5. Развертывание внутри сети дополнительных средств защиты инфор- мации. Такой шаг выполняется лишь при особой необходимости или по запро- су клиента. Использование дополни- тельных СЗИ позволяет не только рет- роспективно исследовать криминали- стические артефакты, но и выполнять анализ сети в реальном времени. В результате удается засечь подозри- тельные активности, которые происходят прямо сейчас. Какие выгоды приносит бизнесу проведение Compromise Assess- ment? По итогам проверки клиент получает подробный отчет. Документ включает: l результаты расследования и найден- ные следы компрометации, если такие имеются; l описание всех слабых сторон сети; l рекомендации по харденингу – укреп- лению защиты. Справедливости ради отметим, что "зеленый" отчет по итогам Compromise Assessment – это серьезная, но не 100%-ная гарантия отсутствия компро- метации. Если злоумышленник нахо- дится в сети долго, то у него есть время и возможности легитимизировать свою деятельность, например получить учетную запись администратора. Тогда понять, где допустимые действия, а где нет, становится крайне проблематично, особенно если логи в исследуемой инфраструктуре хранятся недолго. Но, как уже отмечалось, и любые другие ИБ-мероприятия не дают абсолютной уверенности в том, что в сеть не про- никли. Еще один плюс Compromise Assess- ment для бизнеса – сбор фактуры для дополнительного анализа: насколько корректна парольная политика, соблю- даются ли правила базовой цифровой гигиены, как в целом сделать сеть безопаснее. При необходимости кли- енту также даются рекомендации по мониторингу актив- ности пользовате- лей, введению дополнительных ограничений. Выявляет провер- ка на компромета- цию и проблемы организационного характера, напри- мер в ходе сбора данных не запусти- лось важное прило- жение или аналити- кам не удалось зайти на сервер, поскольку един- ственный знающий пароль администра- тор ушел в отпуск. Такие ситуации дают бизнесу дополнительную пищу для раз- мышлений о том, как улучшить не только сеть, но и рабочие процессы. Наконец, если компрометация все- таки обнаружится, команда проверяю- щих сможет сразу же приступить к устра- нению инцидента. Для этого уже будет вся необходимая информация. Кому и когда целесообразно проводить Compromise Assessment? При всех своих выгодах проверка на компрометацию потребует от бизнеса немалых материальных и временных затрат. Например, сотрудникам заказ- чика придется поучаствовать в сборе и передаче данных, поскольку сам бизнес лучше любого стороннего аудитора знает критичные участки своей инфраструк- туры. Важно, чтобы это было по-настоя- щему оправданно и целесообразно. Перечислим несколько основных пред- посылок к проведению Compromise Assessment. Предпосылка 1. Работа с большим количеством подрядчиков. ИБ-риски значительно возрастают, когда ском- прометирована подрядная организация, с которой у компании была сетевая связность. Даже если сразу ничего не произошло, угроза сохраняется. Не исключено, что и доступы в сети своих клиентов подрядчик хранил не слишком бережно. А учитывая терпеливость неко- торых злоумышленников, нежелатель- ные последствия могут наступить спустя месяцы или даже годы. Предпосылка 2. Нехватка ресурсов на харденинг и мониторинг проблемных участков сети. При стремительном раз- витии бизнеса и росте ИТ-инфраструк- туры ИБ-служба постепенно перестает справляться со всеми задачами. Имею- щихся СЗИ вдруг оказывается недоста- точно для полноценного покрытия сети, к тому же сотрудники не всегда соблю- дают правила цифровой гигиены. Так что при отсутствии уверенности в своей безопасности стоит проводить Compro- mise Assessment профилактически, при- близительно раз в полтора года. Предпосылка 3. Большая террито- риальная распределенность структуры компании. Допустим, у организации есть офисы и филиалы в 10 городах. В Моск- ве удалось нанять толкового админи- стратора и наладить грамотную работу, а в каком-нибудь другом городе такого человека нет и все систематизировано гораздо хуже. Остается лишь перестра- ховаться и дополнительно проверить такие слабые места на компрометацию. Предпосылка 4. Резкое расшире- ние сетевой инфраструктуры. В частно- сти, так бывает, когда одна компания поглощает другую, с менее высокими стандартами информационной безопас- ности. Сразу же интегрировать новую организацию в свою инфраструктуру не стоит: вдруг в ее сети затаился зло- умышленник? Compromise Assessment – эффектив- ная практика проактивной кибербезо- пасности, которая помогает убедиться в отсутствии компрометации или выявить уже произошедший инцидент. Даже если компания использует совре- менные СЗИ и регулярно проводит дру- гие ИБ-мероприятия, такая проверка не будет лишней для бизнеса. А при нали- чии соответствующих предпосылок Compromise Assessment вовсе стоит включить в процессы информационной безопасности компании и проводить на регулярной основе. l • 65 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru