Безопасность — это люди: противодействие сложным целенаправленным атакам в корпоративном секторе

Технические ИБ-решения совершенствуются с каждым годом, но реальная практика показывает, что главной брешью в системе безопасности все еще остаются люди. Недавний громкий кейс показал, что даже в крупнейших компаниях страны все еще используются устаревшие версии операционных систем, а пароли хранятся в файле на рабочем столе. Если при типовых атаках спасают стандартные средства защиты, то при АРТ — уже нет. Почему так происходит и как от этого уйти, рассказывает Дмитрий Шулинин, директор UserGate uFactor.

Почему в корпоративном секторе до сих пор используется устаревшее ПО?

История с использованием устаревшего программного обеспечения и оборудования достаточно распространена как в России, так и в мире, особенно в корпоративном секторе. Точные цифры по распространенности таких практик привести сложно, но сама проблема встречается регулярно. Это связано не только с недостаточным вниманием к вопросам информационной безопасности. Часто речь идет о старом программном обеспечении, написанном много лет назад. Для его переноса на новые операционные системы — особенно сертифицированные — может потребоваться полная переработка инфраструктуры и создание ПО с нуля, что, как правило слишком трудоемко и нерентабельно.

Поэтому на практике чаще всего встречаются случаи, когда старые операционные системы используются из-за наличия специализированного софта, который невозможно перенести. Если речь идет об относительно недавно устаревших версиях ОС, скажем, Windows 7 или 8, то их сохранение может быть связано с недооценкой рисков или недостатком ресурсов у системных администраторов (когда требуется обновить огромный парк машин). Однако в случае действительно «древних» систем, таких как Windows XP или 2003, основная причина использования — это наличие ПО, жестко привязанного к ним. Оно продолжает работать, но его архитектура — это закостенелый монолит, который функционирует, но не развивается.

Такие ситуации обычно складываются, когда ответственные сотрудники не являются специалистами по ИБ, даже если занимаются ИТ (например системные администраторы) Их главная задача — обеспечить стабильную работу системы, а обеспечение безопасности изначально не входит в круг их приоритетов. Именно поэтому значительная часть работы специалистов по ИБ внутри предприятия (или привлеченных экспертов) связана с обучением, формированием базовой цифровой гигиены и донесением понимания, что несет в себе риски и какие именно.

Однако при этом очень важно избегать навязанных сверху правил в формате директив без проработки и объяснений, поскольку это может спровоцировать естественную негативную реакцию. Когда причины внедрения мер ИБ осознаются и эти меры инициируются самими ИТ-специалистами, ситуация иная: они готовы участвовать, обсуждать, искать решения. Но если к ним приходит внешний специалист и говорит: «делай иначе», причем без объяснения почему, это вызывает внутреннее сопротивление. Кроме того, сами ИТ-специалисты могут быть не в полной мере осведомлены о состоянии своей инфраструктуры. Если у них нет постоянного мониторинга и контроля над внедренными мерами, возникает иллюзия защищенности. Однако инфраструктура развивается, и меры защиты должны развиваться вместе с ней, ведь то, что проверено один раз, не гарантирует безопасности через год.

Как SOC и SOCaaS помогают закрыть критические бреши

Снизить риски при использовании устаревших систем, а также уменьшить влияние человеческого фактора, способен SOC (Security Operations Center), если он внедрен надлежащим образом и обладает достаточной видимостью внутренней инфраструктуры, может выявлять действия внутренних нарушителей и ошибки пользователей. Чем больше систем подключено к SOC, тем шире охват и глубже анализ происходящего. Действия внутренних нарушителей, как правило, поддаются выявлению по характерным признакам активности.

Например, при появлении подозрительного поведения на хосте — таких как сетевое сканирование большого числа портов — SOC фиксирует событие. Это может быть как штатная активность (скажем, новое промышленное устройство ищет контроллер), так и вредоносная (поиск уязвимых узлов). Далее аналитики расследуют инцидент: идентифицируют хост, выясняют, кто за ним стоит, какое ПО запущено. Это позволяет определить, является ли активность легитимной или представляет угрозу. Приведу пример из личной практики: однажды вредоносная активность исходила от принтера, начавшего опрашивать соседние хосты по множеству портов. Такое поведение нетипично для печатающего устройства и стало поводом для расследования.

SOC также помогает выявлять ошибки пользователей, особенно если в него интегрированы инструменты управления уязвимостями, такие как встроенные сканеры. Эти средства фиксируют ошибки конфигурации: запущенные ненужные сервисы, слабые пароли, некорректно настроенные сетевые ресурсы или веб-интерфейсы без аутентификации. Такие уязвимости становятся видимыми в логах сканеров и позволяют предпринять своевременные меры.

Но важно правильно внедрять SOC, чтобы получать от него максимальную отдачу. Если же пытаться сразу охватить всю инфраструктуру, это приведет к затягиванию процесса, росту стоимости и сложности поддержки. Поэтому еще на этапе проектирования необходимо определить приоритеты: какие сегменты мониторить в первую очередь, какие активы наиболее критичны. Еще одна распространенная ошибка — мониторинг только в рабочее время. Подобный подход неэффективен: атаки происходят круглосуточно, то есть SOC и реагирование на инциденты также должны работать в 24/7-режиме. Даже если SOC предоставляется в формате сервиса, у заказчика должны быть ответственные лица — например, дежурная IT-смена, обладающая необходимыми правами для выполнения базовых действий: изоляции хоста, блокировки учетной записи, применения правил на межсетевом экране.

Вопрос выбора между in-house SOC и SOC-as-a-Service зависит от масштаба компании. Для крупных организаций собственный SOC может быть предпочтителен: проще выделить ресурсы и собрать команду. Однако для малых и средних компаний формировать штат из девяти и более человек для круглосуточного SOC экономически нецелесообразно. В таких случаях SOC-as-a-Service — оптимальное решение. Оно позволяет обрабатывать инциденты через внешнюю команду, а внутреннему IT достаточно дежурной смены, способной реализовать базовые меры реагирования.

Противодействие сложным целенаправленным атакам

Отдельную угрозу представляют собой так называемые APT-атаки (Advanced Persistent Threats). Это тщательно подготовленные кампании, за которыми, как правило, стоят крупные и хорошо финансируемые группировки. Эти атаки нацелены на конкретные организации: атакующие изучают инфраструктуру вплоть до получения экземпляров средств защиты, используемых в компании. Затем они разворачивают их в собственных лабораториях, ищут уязвимости, баги, методы обхода. Как следствие, традиционные средства защиты — такие как NGFW и сигнатурные механизмы — могут оказаться малоэффективными, особенно в случаях, когда атака спланирована с учетом особеностей работы конкретной инфраструктуры.

Поскольку такие атаки наносят особенно тяжелый ущерб, их важно обнаруживать на ранних стадиях, и делается это через выявление аномалий. Даже если средства защиты обойдены, злоумышленники так или иначе проявляют активность внутри инфраструктуры. Эта активность отличается от типового поведения пользователей и систем. Например, могут фиксироваться нетипичные всплески трафика, попытки аутентификации от учетных записей, которые ранее к системе не обращались, или обращения к нестандартным службам.

Существует также подход threat hunting (проактивный поиск угроз). Его суть заключается в том, что аналитики предполагают наличие компрометации и целенаправленно ищут следы проникновения: места закрепления атакующих, нестандартные действия, подозрительные процессы. Это может сопровождаться построением и проверкой гипотез, анализом логов, системных изменений и сетевых аномалий.

Дополнительно применяются специализированные агенты и программные модули, которые собирают данные с конечных точек: состояние реестра, файловой системы, сетевых настроек. Эти данные в полуавтоматическом режиме подаются аналитикам для дальнейшего изучения, однако только специалист способен отличить реальную угрозу от легитимной активности.

Необходимо понимать, что далеко не все средства защиты рассчитаны на противодействие целевым атакам. NGFW и сигнатурные механизмы прекрасно справляются с типовыми угрозами, и в большинстве случаев этого достаточно. Но нельзя считать их универсальными и быть уверенными в том, что они защитят от абсолютно любых атак. Не менее критично недооценивать необходимость постоянного мониторинга, анализа событий, управления уязвимостями и обучения персонала.

Подход к защите должен быть эшелонированным: он предполагает как типовые средства (NGFW, IDS/IPS, антивирусы), так и механизмы поведенческого анализа, системы мониторинга, процессы реагирования. Серьезным и необходимым дополнением к техническим мерам выступает повышение осведомленности персонала. Сотрудники должны понимать, что о признаках любой подозрительной активности, аномалиях на рабочем месте следует сигнализировать в ИБ-подразделение, игнорировать их нельзя ни в коем случае.

Таким образом, эффективное противодействие APT-сценариям требует сочетания следующих компонентов:

• Средства защиты (NGFW, антивирусы, IDS/IPS)
• Системы мониторинга и анализа инцидентов
• Механизмы выявления и интерпретации аномалий
• Процессы проактивного поиска угроз (threat hunting)
• Обучение персонала всех уровней

Такую систему защиты можно сравнить с пожарной безопасностью: одних огнетушителей, то есть технических средств защиты, недостаточно — нужна также пожарная команда, система сигнализации и т.п. Важно помнить: даже при наличии самой надежной защиты вероятность инцидента сохраняется. Поэтому следует не только усложнять злоумышленнику задачу проникновения, но и быть готовым обнаружить и остановить атаку настолько рано, насколько это возможно.