Журнал "Information Security/ Информационная безопасность" #5, 2022

• 39 IRP, SOAR, SOC www.itsec.ru По нашим экспертным оценкам, актив- ное сканирование злоумышленниками IP-адресов на наличие уязвимых серви- сов можно наблюдать спустя десятки минут после публикации CVE. Это то, что в первую очередь делают хакеры на этапе разведки по матрице MITRE ATT&CK 1 . Но после выявления уязвимых узлов киберпреступникам еще нужно время, чтобы разработать эксплойт самим или дождаться его появления на специализированных площадках. Для громких, но несложных уязвимостей хакеры в течение пары часов могут под- готовить инструкцию и набор команд для развития векторов атак. Будет ли эксплойт доступен широкому кругу атакующих? Будет ли эксплойт бес- платным? В первые дни, как правило, нет. До начала массовой эксплуатации уязви- мости может пройти несколько дней. На подготовку эксплойта тратится несколько часов. На выпуск патчей производителям уязвимого ПО могут потребоваться недели, месяцы, а в сложных случаях – даже годы. По нашим данным, из всех выявлен- ных и отправленных вендорам в 2021 г. уязвимостей, в частности в промышленных системах, в разумные сроки было исправ- лено меньше половины – 47%. Разная сложность – разная скорость Если злоумышленник стремится захва- тить узел, продать доступ или запустить майнер, то он может обойтись одним экс- плойтом. Атака же с реально значимыми последствиями потребует от преступников значительно больше шагов и ресурсов. Злоумышленнику потребуется время на то, чтобы преодолеть сетевой периметр, получить первоначальный доступ к узлам и закрепиться на них, повысить привиле- гии, получить доступ к ключевым сегмен- там сети и целевым серверам, компью- терам, собрать дополнительные данные и, наконец, реализовать недопустимые события. Часть задач может быть выпол- нена злоумышленниками для последую- щей перепродажи своих результатов спе- циализированным группировкам, что занимает время и удлиняет цепочку атаки. В итоге на всю атаку целиком зло- умышленникам может потребоваться не 15 минут, а несколько недель. По данным Positive Technologies, за 30 дней зло- умышленники могут реализовать 71% событий, которые повлекут неприемле- мые последствия. Добавить трудностей хакерам Важно максимально затруднить работу киберпреступнику, а именно сделать реа- лизацию потенциальной атаки максималь- но невыгодной с точки зрения затрачи- ваемых ресурсов. Для этого нужно прове- сти следующие тактические мероприятия: l определить недопустимые события, именно для вашей организации; l выделить ключевые бизнес-процессы и целевые системы, для которых недопусти- мые события должны быть невозможны; l разделить сеть на критические сег- менты под каждую целевую систему; l повысить базовый уровень безопас- ности путем харденинга настроек целе- вых систем; l регулярно проводить инвентаризацию активов, контролировать периметр и критические сегменты сети: отслеживать появление новых узлов и сервисов, изменение настроек их безопасности; l организовать службу контроля защи- щенности, мониторинга и реагирования на инциденты; l участвовать в киберучениях, органи- зовывать повышение квалификации спе- циалистов по ИБ; l повышать киберграмотность сотруд- ников. Игра на опережение Злоумышленники торопятся с выпус- ком эксплойтов, а значит, и вам важно действовать проактивно: l анализировать киберугрозы и мони- торить публикации о новых уязвимостях 2 (используйте экспертизу производителей VM-решений 3 по приоритизации уязви- мостей); l в случае обнаружения новых реле- вантных инфраструктуре уязвимостей – анализировать возможность выявления фактов их эксплуатации по косвенным признакам в сети или на узле и описы- вать полученные результаты в правилах детектирования угроз; l выявлять сетевые и узловые аномалии с помощью специализированных реше- ний класса NTA 4 и XDR 5 , отправлять сработки на корреляцию событий в SIEM- систему; l мониторить инциденты с помощью SIEM-решений 6 , используя соответствую- щие правила детектирования; l реагировать по дежурным процедурам в четко поставленные сроки, включая активные действия в инфраструктуре. Откуда ждать помощи? При реализации мер безопасности нужно учитывать, что злоумышленник проэксплуатирует уязвимость быстрее, чем получится ее устранить и появится обновление от производителя ПО. Эше- лонированная защита, сегментация сети, харденинг систем – это минимальный, но недостаточный набор мероприятий. А анализ киберугроз и разработка пра- вил их детектирования требуют уни- кальных компетенций, которые имеют единичные представители компаний – лидеров в своих отраслях. В одиночку отдельно взятой организации будет тяжело справиться с защитой целевых систем в таких условиях. Поэтому применение систем управле- ния уязвимостями (VM), анализа сетевой активности (NTA), мониторинга событий безопасности (SIEM) и расширенного реагирования (XDR) с обширной экс- пертизой разработчика может значи- тельно повысить уровень информиро- ванности об угрозах и фактической защищенности. Объединение эксперти- зы поставщика решений в сфере ИБ и знаний собственной инфраструктуры защитниками компаний, позволяет достичь результативной кибербезопас- ности в условиях реальных вторжений со стороны атакующих. l На чьей стороне время? лоумышленники начинают сканировать узлы Интернета в поиске уязвимостей буквально в течение часа с момента публикации данных об очередной CVE. Как быть, если производители не торопятся с выпуском патчей? Разберемся, сколько на самом деле есть времени на повышение защищенности у компаний, использующих уязвимое ПО, и как правильно им распорядиться. З Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies Ваше мнение и вопросы присылайте по адресу is@groteck.ru На правах рекламы 1 https://mitre.ptsecurity.com/ru-RU/techniques 2–6 https://www.ptsecurity.com/ru-ru/products/