Журнал "Information Security/ Информационная безопасность" #5, 2023

счет этого для заказчика пропадает необходимость самостоятельно приобре- тать данные киберразведки. На основе TI эксперты ЦК знают, как работают киберпреступники, какие тех- ники и тактики они применяют. Если киберразведка узнаёт про атаку какой- либо иностранной прогосударственной группировки на российскую компанию, вся информация поступает в ЦК еще до момента, когда эти данные опубликуются на платформе TI. Но эксперты ЦК не просто ждут инци- дента, а сами проактивно ищут угрозы в защищаемой сети (Managed Threat Hun- ting). Есть достаточно большое количе- ство современных угроз, для которых невозможно написать сигнатуры: таковы сложные целевые атаки, где злоумыш- ленники применяют в том числе и леги- тимные инструменты. В процессе Mana- ged Threat Hunting анализируется теле- метрия EDR-модулей и в инфраструктуре заказчика вручную ищутся следы того, что автоматически не детектируется или не классифицируется как опасное и вре- доносное. Для каждой тактики с помощью Mana- ged XDR можно проверить наличие ее следов в сети. Специалисты проверяют индивидуальные для клиента гипотезы: каким образом та или иная преступная группа может атаковать инфраструктуру, какие векторы атак и инструменты могут быть для этого использованы. Реагирование по-новому – ключевой сервис CDC Эксперты ЦК самостоятельно прини- мают решение о реагировании, изоляции скомпрометированных хостов и локали- зации инцидента, удалении вредонос- ного кода на основании предварительной договоренности с заказчиком. Если инцидент требует незамедлительных действий, эксперты ЦК не ждут под- тверждения, а действуют, пока ситуация не усугубилась. Сегодня, по различным оценкам, условному классическому SOC требуют- ся в среднем сутки с момента обнару- жения инцидента до активации мер реа- гирования, причем заметная доля этого времени уходит на согласования. В то же время ЦК F.A.C.C.T. в рамках своего SLA гарантирует для изоляции хоста 30 минут, включая обнаружение инци- дента, его исследование, принятие реше- ния об изоляции со стороны аналитика и собственно изоляцию. Это время, кото- рое сегодня отвечает на вызовы совре- менных угроз. Более того, если защищаемая инфра- структура достаточно зрелая и заказчик имеет желание, большая часть действий со стороны ЦК может происходить в автоматизированном режиме, еще сильнее улучшая временные показатели эффективности. Впрочем, в ситуациях, когда система не может стопроцентно определить вредоносное поведение, например в случае, когда злоумышлен- ники используют ПО двойного назначе- ния, решение о реагировании все так же принимают эксперты, чтобы избежать ложноположительных срабатываний. Кейсы работы ЦК За первые шесть месяцев 2023 г. экс- перты F.A.C.C.T. зафиксировали 114 уте- чек из российских коммерческих компа- ний и госорганизаций. Рост проведенных реагирований на киберинциденты в янва- ре – мае составил 43% (9 из 10 атак были связаны с программами-вымога- телями). Приведем кейсы, как на таком фоне показывает себя ЦК. Кейс 1 Из сети клиента была получена инфор- мация о массовой фишинговой атаке, цель которой заключалась в хищении доменных учетных данных сотрудников компании. В ходе исследования инцидента с помо- щью системы MXDR аналитиками ЦК были определены сотрудники, которые открывали данные письма и переходили по фишинговым ссылкам. Далее анали- тики ЦК оперативно провели кримина- листический анализ данных веб-брау- зеров и установили, какие учетные запи- си оказались скомпрометироваными. Оперативная реакция ЦК позволила точечно заблокировать учетные записи, не позволив атакующим ими восполь- зоваться. Кейс 2 В рамках пилота системой MXDR была выявлена активность вредоносного ПО из семейства стилеров сразу на несколь- ких хостах заказчика. Аналитиками ЦК была оперативно инициирована изоля- ция хостов и проведено криминалисти- ческое исследование. Оно установило, что в компании при настройке новых рабочих стаций использовался "золотой" образ ОС, уже содержащий в себе сти- лер, а функциональность ВПО активи- ровалась при первой же пользователь- ской сессии. Кейс 3 В рамках мониторинга киберугроз ана- литики ЦК F.A.C.C.T. обратили внимание на схожие вредоносные архивы, обна- руженные решением MXDR сразу у нескольких пользователей в течение небольшого отрезка времени. Автоматический анализ оперативно выдал результат о майнинговой актив- ности и заблокировал запуск испол- няемых файлов, находящихся в загру- женных архивах. На рабочих станциях аналитиками ЦК была запущена встроенная в MXDR функ- ция сбора артефактов, и их анализ позволил вос- становить хронологию, а главное – вектор май- нинг-атаки. Оказалось, что пользователь искал в поиске словарь для подбора синони- мов, но, перейдя по ссылке из поисковой выдачи, оказался на взломанном ресур- се: автоматически начиналась загрузка вредоносного архива, якобы содержа- щего необходимое обновление для брау- зера. В результате работы системы MXDR атака была предотвращена, заказчику был предоставлен подробный отчет об инциденте. Кейс 4 В рамках проактивного поиска угроз аналитиками ЦК на хостах были обна- ружены отложенные задачи с именами, схожими с легитимным ПО Veeam Soft- ware. Было установлено, что такие имена ранее уже использовались для запуска вредоносного ПО с функционалом бэк- дора в других сетях, но средства защиты клиента такую активность пропустили. Криминалистический анализ данных, собранных системой MXDR, позволил установить хронологию инцидента. По применяемым техникам и инструментам, задействованным на разных этапах атаки, активность была атрибутирована как деятельность хакерской APT-группы, спонсируемой китайским государством. В заключение Практика показывает, что российски- ми компаниями уже востребованы не только услуги непрерывного мониторин- га, но и оперативная реакция на обнару- живаемые атаки, причем независимо от масштаба и индустрии. Создавать подоб- ную экспертизу, конечно, можно и само- стоятельно, но на это уйдут годы и значи- тельные ресурсы. Cегодня на российском рынке ИБ почти нет команд, которые работают по модели MSSP, оказывая качественные услуги реагирования в рамках обнару- живаемых ими угроз. Компания F.A.C.C.T. может очень эффективно обнаруживать угрозы и реагировать на них в инфраструктуре клиента, где уста- новлен продукт Managed XDR. Разделение ответственности происхо- дит таким образом, что команда на сто- роне заказчика занимается настройкой и совершенствованием эшелонирован- ной обороны, а эксперты ЦК отрабаты- вают те инциденты, которые все-таки прошли через эту эшелонированную оборону. ЦК F.A.C.C.T. полностью избавляет штатных сотрудников заказчика от вопросов мониторинга и реагирования: при желании они могут наблюдать, конт- ролировать и отвечать, если потребу- ется, на дополнительные запросы. l • 17 SOC и TI www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ F.A.C.C.T. см. стр. 70 NM Реклама