Probablemente todos los analistas de SOC estén durmiendo y vean cómo sus reglas de detección captan las técnicas de moda de los grupos APT progubernamentales, y las investigaciones conducen al descubrimiento de exploits para vulnerabilidades de día cero. Desafortunadamente (o afortunadamente), la mayoría de los incidentes con los que el especialista de respuesta promedio tiene que lidiar son mucho menos románticos: el uso de PsExecs sin nombre para la distribución, los métodos clásicos de omisión de UAC para la escalada de privilegios y una gran cantidad de vulnerabilidades para las que se han lanzado parches durante mucho tiempo .
Recordando incidentes pasados, uno llega involuntariamente a la conclusión de que casi todos podrían evitarse con relativa facilidad si ... Si todo se hace como ya se ha descrito muchas veces en diferentes manuales y las mejores prácticas de seguridad de la información. Por lo tanto, hoy quiero no solo hablar sobre uno de nuestros casos recientes de respuesta a incidentes, sino también recordarle la necesidad de instalar parches incluso en "sistemas llave en mano".
Hasta ahora, a menudo existe la idea errónea de que la seguridad de la información debería ser una función, pero no un proceso. Como regla general, esto es lo siguiente: "Hágalo por nosotros de manera segura, y luego nosotros mismos lo apoyaremos todo". Las características comerciales en el campo de la seguridad de la información son tales que la empresa integradora de servicios, que "lo hace seguro", no discutirá con el cliente. Hará e irá más allá: llevar la seguridad de la información a las masas. Y el cliente, después de firmar los actos de entrega de trabajo y pago de dinero en virtud del contrato, permanecerá en la ingenua confianza de que todo está bien con él, el sistema de seguridad de la información se ha construido durante siglos. La sorpresa, como dicen, vendrá más tarde. Debido a que la seguridad de la información es un proceso activo y en constante cambio que no se puede solucionar de una vez por todas. Y los consumidores a menudo se olvidan de esta "pequeña característica". La seguridad de la información, como cualquier proceso empresarial, consta de muchos elementos sin los cuales no funciona. Uno de ellos es la gestión de parches.
Como su nombre lo indica, la administración de parches es el proceso de administrar actualizaciones de software diseñadas para eliminar agujeros de seguridad o mantener un nivel adecuado de seguridad (típico del software del servidor o del sistema operativo), así como para resolver problemas con el software de la aplicación.
Del caso
Una red cerrada distribuida geográficamente basada en soluciones de Microsoft, que consta de aproximadamente 200 hosts. Dos de ellos llevan a bordo una segunda tarjeta de red y tienen acceso a Internet. En todos los aspectos, la infraestructura debe cumplir con los requisitos del número 187-FZ "Sobre la seguridad de la infraestructura de información crítica". Debido a los detalles del software principal, dos empresas de servicios participan en el mantenimiento de la infraestructura. Al momento de conectar la "brigada de bomberos" Solar JSOC, la infraestructura no funcionaba por más de 2 días.
La necesidad de instalar "parches", especialmente aquellos que están destinados a actualizar la seguridad, se ha hablado mucho y con frecuencia. Si maneja la "Política de administración de parches" en cualquier motor de búsqueda, los resultados serán unos 100 millones de resultados, por lo que puede seguir las primeras discusiones activas que comenzaron ya en 2006. A principios de 2007, SANS publicó un documento titulado "Patch Management. Parte de las operaciones estándar ... ", al principio de las cuales se explica de manera bastante inteligible qué es la administración de parches y por qué es necesaria. Además, se explica en un lenguaje accesible no solo para un especialista técnico, sino también para un gerente que está lejos de TI. La publicación especial más reciente de NIST 800-40 Revisión 3. La guía para el documento Enterprise Patch Management Technologies data de 2013 y continúa enfatizando la necesidad de actualizaciones críticas. Aún tan querido en Rusia, el estándar ISO / IEC 27001: 2015 contiene la subsección 12.6. "Gestión de vulnerabilidades tecnológicas", cuyo objetivo es evitar el uso de vulnerabilidades detectadas.
Del caso
Según la información proporcionada por las compañías de servicios: en las últimas 48 horas, casi todos los hosts de red experimentan una carga de CPU en la región del 100% y causan BSOD. Han fallado numerosos intentos de usar software antivirus certificado: se registran múltiples infecciones repetidas de malware Trojan.Equation. Además, se detectó una reversión de las bases de datos antivirus para diciembre de 2017. Sin acceso a RDP. Y como guinda del pastel: los datos sobre el número de AWP recibidos de los integradores y la parte perjudicada divergen. El último inventario fue realizado varios años antes del incidente por el administrador del sistema ya renunciado. No hay una apariencia de planes de continuidad.
Sin embargo, la información dispersa obtenida nos permite sacar conclusiones preliminares sobre el método de propagación del virus a través de la red y dar las primeras recomendaciones para contrarrestar.
Uno de los principales es deshabilitar los protocolos SMBv.1 y SMBv.2 para detener la propagación de malware a través de la red.
Aproximadamente 3 horas pasaron desde el momento en que se recibió una solicitud de ayuda hasta que se emitieron las recomendaciones.
Los ataques virales más conocidos son WannaCry y NotPetya. Ambos virus explotan la vulnerabilidad del protocolo SMB en los sistemas Windows y fueron publicados por el grupo ShadowBrokers en abril de 2017. Al mismo tiempo, un mes antes, Microsoft lanzó un parche que cubre la vulnerabilidad EternalBlue en su boletín de seguridad MS17-010. Y "pateó" en mayo - junio de 2017. Las consecuencias de estos ataques de virus no serían tan críticas si las víctimas no hubieran ignorado la actualización crítica e instalado el parche a tiempo. Desafortunadamente, también hay casos conocidos en los que los parches críticos causaron el mal funcionamiento del software de terceros, pero las consecuencias no fueron tan globales como en el caso de los ataques masivos de virus.
A raíz de la exageración en torno a la minería de criptomonedas, las vulnerabilidades en las redes de la empresa se vuelven especialmente atractivas: puede usar los recursos de otras personas para los cálculos necesarios, llevando a los hosts a la destrucción física.
Del caso
La brigada de bomberos Solar JSOC identificó múltiples intentos de infectar la infraestructura bajo investigación con virus cryptomainer, uno de los cuales utilizó la vulnerabilidad EternalBlue para propagarla.
Un análisis de los registros y muestras de cuarentena de protección antivirus también mostró la presencia de malware WannaMine en la infraestructura afectada, que está destinada a extraer la criptomoneda Monero. Una de las características del virus detectado es el mecanismo de distribución, similar al WannaCry que apareció anteriormente. Además, en los directorios SpeechsTracing, se encontraron archivos que son completamente idénticos al archivo que ShadowBrokers publicó un año y medio antes.
Al realizar un trabajo para neutralizar el ataque de virus en la infraestructura infectada, Microsoft lanzó múltiples actualizaciones desde 2016 hasta el presente.
Aproximadamente 50 horas pasaron desde el momento en que los especialistas de JSOC estuvieron involucrados en el trabajo hasta que la infraestructura se puso en modo de "combate". Además, la mayor parte del tiempo se dedicó a coordinar acciones entre la parte lesionada, las empresas de servicios y nuestro equipo.
La práctica muestra que muchos problemas podrían evitarse si no trataras de alcanzar todo con tu propia mente. No confíe en el hecho de que "tenemos nuestra propia forma especial". En la era digital, este paradigma no funciona. Ahora se ha escrito una gran cantidad de recomendaciones y manuales sobre la prevención de desastres de diversas génesis. Además, con la tecnología moderna es relativamente fácil de hacer. Desde la infancia, recuerdo la excelente frase del Servicio 01: "Un incendio es más fácil de prevenir que apagar", que refleja la mejor manera de un enfoque sólido para la gestión de parches.
Cómo poner actualizaciones en una transmisión
En primer lugar, es necesario construir el proceso de gestión de actualizaciones en la infraestructura para el cierre rápido de vulnerabilidades antiguas y contrarrestar nuevas en el sistema operativo, componentes de aplicaciones y software del sistema, a saber:
- desarrollar y promulgar regulaciones para administrar actualizaciones de SO, aplicaciones y componentes de software del sistema;
- llevar a cabo el trabajo de implementación y configuración en el segmento de servidor de Windows Server Updates Services (WSUS), un servicio para actualizar sistemas operativos y productos de Microsoft;
- para monitorear continuamente la relevancia de las actualizaciones instaladas en la infraestructura de la parte afectada e instalar rápidamente nuevas actualizaciones críticas de seguridad.