Багато компаній стикалися з такою ситуацією, коли факт кібератаки проявляється лише після заподіяння збитків, зокрема бюджету та репутації. У такому разі потрібно багато часу на те, щоб вивчити атаку та усунути її наслідки.

Класична інфраструктура безпеки складається з рішень, які реагують на активні загрози, таких як антивірус, IPS, пісочниця. Такий «реактивний» підхід демонструє успіхи протягом багатьох років, але навіщо чекати атаки, якщо можна підготуватися до неї заздалегідь? В цьому допоможе новий «проактивний» підхід до безпеки. Про те, що це таке, та як він працює в колонці для AIN.UA розповів Олександр Шаруєв, інженер міжнародної компанії BAKOTECH.

Олександр Шаруєв
Зображення: BAKOTECH

В чому полягає суть проактивного підходу?

Проактивний підхід допомагає досліджувати і готуватися до найнебезпечніших кібератак, безпосередньо не стикаючись з ними. Він ще називається Shift to Left, адже ми зміщуємо фокус лівіше — від моменту атаки, до її планування.

До елементів проактивного підходу до безпеки можна віднести:

  1. Вивчення нових кібератак;
  2. Актуалізація зміни рішень безпеки;
  3. Threat Hunting.

Але звідки можна дізнатися про майбутні атаки, якщо вони ще не відбулися?

Класичні підходи до проактивного захисту

Зазвичай про нові загрози можна дізнатися з новин та тематичних статей, наприклад із CERT-UA (Computer Emergency Response Team of Ukraine), яка коротко описує кожну нову атаку на Україну та надає відповідні індикатори компрометації.

Такий формат отримання Threat Intelligence, безумовно, важливий та корисний, але не є вичерпним.

Наприклад, IoC, які вказують у статтях, не оновлюються з часом, що не дозволяє відловлювати модифіковані приклади однієї і тієї ж загрози. Також не вистачає даних про тактики та техніки атак по фреймворку MITRE ATT&CK, який суттєво спрощує процес вивчення загрози.

Изображение выглядит как текст

Автоматически созданное описание

Ще одним варіантом отримання інформації про загрози є інтеграція зі Threat Intelligence Feeds. Вони автоматично насичують засоби захисту (AV, IPS, SIEM тощо) новітніми індикаторами компрометації, підтримуючи актуальність сигнатурних баз.

Прикладом таких ресурсів є misp.gov.ua (Malware Information Sharing Platform “Ukrainian Advantage”).

Цей спосіб отримання Threat Intelligence вже дозволяє захиститися від новітніх відомих загроз, але пусті IoC все ще не дають ніякого контексту.

Наприклад, про що вам кажуть наступні доменні імена у списку IoC?

  • gdsfkjlaskd532.onion
  • kdowodkve12353.com
  • 123igkfklas0or.org

Ніякої особливої інформації вони не дають. А хотілося б подивитися яке хакерське угрупування стоїть за цим IoC, які країни та галузі (державна, банківська і т.д.) воно атакує. Зрештою, які додаткові заходи безпеки слід впровадити, щоб успішно відвернути атаки, що стоять за цими доменними іменами.

До того ж, важливо, щоб інформація про кожну атаку аналізувалася, зберігалася та поширювалася для підвищення кваліфікації співробітників ІБ у всьому світі.

Проактивний захист з Trellix Insights

Trellix (раніше McAfee) об’єднав обидва вищеописані підходи в єдине рішення, якому немає аналогів, додавши до нього зрозумілий графічний інтерфейс, різноманіття корисних інтеграцій та аналітики кібератак. Назва цього рішення – Trellix Insights.

Изображение выглядит как текст, монитор, черный, снимок экрана

Автоматически созданное описание

Trellix Insights забезпечує проактивний підхід до захисту за допомогою аналітики в режимі реального часу. Комплексні розвіддані, проаналізовані штучним інтелектом і фахівцями, пріоритезують погрози, які з великою ймовірністю можуть торкнутися вашої компанії. Trellix Insights прогнозує, як саме загроза вплине на вашу безпеку та дає рекомендації, що необхідно зробити, щоб покращити вашу безпеку.

Глобальна база даних про загрози

Загалом у базі Insights налічується понад 2000 атакуючих кампаній та 70 хакерських угруповань. Інформація про них збирається з понад мільярда сенсорів по всьому світу, а після об’єднання McAfee з FireEye їх стало в рази більше.

Сторінка кожної атакуючої кампанії містить те, чого не вистачало в попередніх прикладах:

  • Короткий опис загрози з посиланнями на повноцінні дослідження;
  • Атаковані країни;
  • Дані щодо виявлення у вашій організації, секторі, країні;
  • Індикатори компрометації, що оновлюються;
  • Зіставлення тактик та технік зловмисників з MITRE ATT&CK.

Аудит політик Trellix ENS та Skyhigh Security

Trellix Insights надає ще один інструмент для підготовки до можливих атак – аудит політик Trellix Endpoint Security та Skyhigh Security (компанія, створена на базі McAfee Enterprise, куди увійшли продукти, які відповідають концепції Security Service Edge (SSE). Результатом аудиту є оцінка від 1 до 100 з рекомендаціями щодо її збільшення.

Наприклад, оцінку підвищать:

  • Оновлення сигнатур Endploint Security до останньої версії;
  • Активація відновлення системи після виявлення загроз;
  • Підключення до хмарної служби репутації;
  • Усунення раніше виявлених загроз.
Изображение выглядит как текст, снимок экрана, монитор, черный

Автоматически созданное описание

Часто цей інструмент допомагає виявити робочі станції, для яких було тимчасово відключено захист. Наприклад, для встановлення не зовсім безкоштовного програмного забезпечення.

Зручними є можливість посилення безпеки та кнопка Actions для переходу в каталог політик ePolicy Orchestrator. Завдяки їм у пару дотиків можна додати необхідні зміни та підвищити захищеність організації.

Threat Hunting

Пробравшись усередину організації, зловмисник може непомітно збирати дані та шукати конфіденційні матеріали протягом кількох місяців. Threat Hunting дозволяє виявити таких зловмисників за допомогою постійного моніторингу систем організації на наявність певних IoC.

У нашому випадку для проведення Threat Hunting знадобиться ще один інструмент — Trellix EDR. Він дозволяє шукати певні файли, процеси та ключі реєстру на робочих станціях у режимі реального часу і, у разі чого, видаляти їх.

Процес Threat Hunting може виглядати наступним чином:

1. В Trellix Insights шукаємо атакуючі кампанії, найбільш розповсюджені у нашій країні (Україні).

2. Переходимо на сторінку обраної атакуючої кампанії і далі у вкладку «Indicators of Compromise (IoCs)».

3. Обираємо IoC, який нас зацікавив, і натискаємо кнопку Real-Time Search in Trellix EDR. Після цього EDR автоматично створить запит пошуку обраних IoC по усім робочим станціям нашої організації.

У разі виявлення індикатора компрометації, його можна видалити, заблокувати або дослідити прямо на цій сторінці. Для цього потрібно вибрати IoC та відповідну дію в меню Actions.

Далі розглянемо, як Insights автоматично виявляє сліди атакуючих кампаній у вашій організації.

Trellix Insights як інструмент розслідування

Припустимо, що сталася атака. Антивірусна програма виявила шкідливий файл ghost.doc, який класифікується як W97M/Downloader.dvh.

Факт блокування — це чудово, але найчастіше на цьому розслідування за допомогою антивірусу закінчується.

Далі перейдемо в консоль керування ePolicy Orchestrator. В очі відразу впадає повідомлення про виявлену атакуючу кампанію — GhostWriter Espionage Operation. 

Натиснувши на посилання More Info, одразу потрапляємо в Trellix Insights. Тут ми бачимо короткий огляд атакуючої кампанії.

Заглибимося у докладний вигляд. По карті видно, що в цій кампанії найчастіше атакували Україну.

Нижче бачимо, що атаки відбуваються досі, відповідно заходи необхідно вживати якнайшвидше. 

Відразу бачимо виявлений IoC, який підсвічений червоним. Експортуємо всі індикатори компрометації для подальшого імпорту до інших рішень.

Далі опис виявлених технік дозволяє скласти повну картину кампанії, що атакує, і відразу ж почати вживати відповідні заходи. Ми бачимо, що GhostWritter доставляється через Spear Phishing, використовує для виконання шкідливих скриптів mshta.exe і потай логує натискання клавіш.

Изображение выглядит как текст

Автоматически созданное описание
Изображение выглядит как текст

Автоматически созданное описание

За допомогою матриці MITRE ATT&CK організовує всі техніки в таблицю, в якій крок за кроком видно дії GhostWritter.

Усунення загроз

Щоб усунути загрозу, переходимо в Indicators of Compromise IoCs, вибираємо раніше підсвічений червоним IoC і натискаємо кнопку Real-Time Search in Trellix EDR.

Бачимо, що цей хеш виявлений одразу на двох робочих станціях.

Ставимо галочку біля всіх систем і переходимо наступним шляхом: Actions>> Contain>> Quarantine Device. Функція карантину заблокує всі мережеві з’єднання робочої станції, крім з’єднань Trellix. Це убезпечить систему і дасть нам більше часу на розслідування.

Тепер видалимо виявленого шкідника і заразом процес, який він міг створити: Actions>> Mitigate>> Stop And Remove File Safe. Вводимо в поле sha256 значення хеша та натискаємо Confirm.

Щоб перевірити успішність видалення файлу, потрібно трохи модифікувати пошуковий запит. Біля слова Files додаємо status, після чого виконуємо пошук ще раз.

Бачимо статус Deleted — це означає, що загроза успішно знешкоджена.

Висновки

Реактивний підхід до безпеки — показує хороші результати, але ще ефективніше використовувати його разом із проактивним.

Знання про загрозу до атаки, актуалізація політик безпеки та Threat Hunting допомагають відбивати кібератаки на ранніх етапах. Чим раніше відбито атаку — тим менші матеріальні та репутаційні збитки зазнає компанія.

Автор: Олександр Шаруєв, інженер, BAKOTECH.