من المحتمل أن جميع محللي شركة نفط الجنوب ينامون ويرون كيف تكتشف قواعد الكشف الخاصة بهم التقنيات العصرية لمجموعات APT المؤيدة للحكومة ، وتؤدي التحقيقات إلى اكتشاف مآثر لضعف اليوم صفر. لسوء الحظ (أو لحسن الحظ) ، فإن معظم الحوادث التي يجب على أخصائي الاستجابة المتوسط التعامل معها أقل رومانسية: استخدام PsExecs غير المعاد تسميته للتوزيع ، وطرق تجاوز UAC الكلاسيكية لتصعيد الامتياز ، وعدد كبير من نقاط الضعف التي تم إصدار تصحيحات بشأنها لفترة طويلة .
إذ يشير إلى الحوادث الماضية ، توصل واحد لا إرادي إلى استنتاج مفاده أن كل واحدة منها تقريبًا يمكن الوقاية منها بسهولة نسبية إذا ... إذا تم كل شيء كما تم بالفعل وصفه عدة مرات في أدلة مختلفة وأفضل ممارسات أمن المعلومات. لذلك ، اليوم لا أريد فقط التحدث عن إحدى حالات الاستجابة للحوادث التي وقعت مؤخرًا ، ولكن أذكرك أيضًا بالحاجة إلى تثبيت التصحيحات حتى على "أنظمة تسليم المفتاح".
حتى الآن ، غالبًا ما يكون هناك اعتقاد خاطئ بأن أمن المعلومات يجب أن يكون وظيفة ، ولكن ليس عملية. كقاعدة عامة ، هذا كالتالي: "افعل ذلك من أجلنا بأمان ، وبعد ذلك سنقوم نحن بدعم كل شيء". ميزات العمل في مجال أمن المعلومات هي أن شركة تكامل الخدمة ، التي "تقوم بذلك آمنة" ، لن تتجادل مع العميل. سوف تفعل وتذهب أبعد من ذلك - لنقل أمن المعلومات إلى الجماهير. وسيظل العميل ، بعد التوقيع على أعمال تسليم العمل ودفع الأموال بموجب العقد ، في ثقة ساذجة بأن كل شيء على ما يرام معه ، تم بناء نظام أمن المعلومات لعدة قرون. المفاجأة ، كما يقولون ، سوف تأتي لاحقا. لأن أمن المعلومات هو عملية نشطة ومتغيرة باستمرار لا يمكن إصلاحها مرة واحدة وإلى الأبد. وغالبا ما ينسى المستهلكون هذه "الميزة الصغيرة". يتألف أمن المعلومات ، مثله مثل أي عملية تجارية ، من العديد من العناصر التي بدونها لا تعمل. واحد منهم هو إدارة التصحيح.
كما يوحي الاسم ، فإن إدارة التصحيح هي عملية إدارة تحديثات البرامج المصممة للتخلص من ثغرات الأمان أو الحفاظ على مستوى أمان مناسب (نموذجي لبرنامج الخادم أو نظام التشغيل) ، وكذلك لحل المشكلات المتعلقة ببرنامج التطبيق.
من القضية
شبكة مغلقة موزعة جغرافيًا تستند إلى حلول Microsoft ، وتتألف من حوالي 200 مضيف. اثنان منهم يحملان بطاقة شبكة ثانية ولديهما إمكانية الوصول إلى الإنترنت. في جميع النواحي ، يجب أن تندرج البنية التحتية ضمن متطلبات الرقم 187-FZ "حول أمن البنية التحتية للمعلومات الحرجة". نظرًا لخصائص البرنامج الرئيسي ، تشارك شركتان للخدمات في صيانة البنية الأساسية. في وقت توصيل "فرقة الإطفاء" Solar JSOC ، لم تكن البنية التحتية تعمل لأكثر من يومين.
لقد تم الحديث عن الحاجة إلى تثبيت "تصحيحات" ، خاصة تلك التي تهدف إلى تحديث الأمان ، كثيرًا وغالبًا. إذا كنت تقود سيارة "Patch Management Policy" في أي محرك بحث ، فستكون النتائج حوالي 100 مليون نتيجة ، يمكنك من خلالها تتبع المناقشات النشطة الأولى التي بدأت بالفعل في عام 2006. في أوائل عام 2007 ، نشرت SANS وثيقة بعنوان "إدارة التصحيح. جزء من العمليات القياسية ... "، في البداية التي يتم شرحها بشكل واضح تمامًا ماهية إدارة التصحيح ولماذا هناك حاجة إليها. علاوة على ذلك ، يتم شرحه بلغة يمكن الوصول إليها ليس فقط من قبل أخصائي تقني ، ولكن أيضًا لمدير بعيد عن تكنولوجيا المعلومات. يرجع تاريخ إصدار NIST Special Publication 800-40 Revision 3. إلى دليل تقنيات تصحيح إدارة المؤسسة من عام 2013 ويستمر في التأكيد على الحاجة إلى التحديثات الهامة. على الرغم من كونها محبوبة في روسيا ، فإن معيار ISO / IEC 27001: 2015 يحتوي على القسم الفرعي 12.6. "إدارة الثغرات التكنولوجية" ، والغرض منها هو منع استخدام الثغرات المكتشفة.
من القضية
وفقًا للمعلومات المقدمة من شركات الخدمات: خلال الـ 48 ساعة الماضية ، واجهت جميع مضيفي الشبكة تقريبًا تحميل وحدة المعالجة المركزية في منطقة 100٪ وتسبب الموت الزرقاء. فشلت العديد من المحاولات لاستخدام برامج مكافحة الفيروسات المعتمدة: يتم تسجيل التهابات متكررة متعددة من البرامج الضارة Trojan.Equation. علاوة على ذلك ، تم الكشف عن تراجع قواعد بيانات مكافحة الفيروسات لشهر ديسمبر 2017. لا وصول RDP. وككرز على الكعكة: تتباين البيانات حول عدد AWP التي تم تلقيها من كل من الدمجين والطرف المصاب. تم إجراء آخر مخزون قبل عدة سنوات من الحادث من قبل مسؤول النظام المستقيل بالفعل. لا يوجد ما يشبه خطط الاستمرارية.
ومع ذلك ، فإن المعلومات المتناثرة التي تم الحصول عليها تتيح لنا استخلاص استنتاجات أولية حول طريقة انتشار الفيروس من خلال الشبكة وتقديم توصيات أولية للتصدي لها.
أحد أهمها هو تعطيل بروتوكولي SMBv.1 و SMBv.2 لإيقاف انتشار البرامج الضارة عبر الشبكة.
مرت حوالي 3 ساعات من لحظة تلقي طلب المساعدة حتى تم إصدار التوصيات.
أكثر الهجمات الفيروسية المعروفة على نطاق واسع هي WannaCry و NotPetya. يستغل كلا الفيروسين ثغرة بروتوكول SMB في أنظمة Windows وتم نشرها بواسطة مجموعة ShadowBrokers في أبريل 2017. في الوقت نفسه ، قبل شهر ، أصدرت Microsoft تصحيحًا يغطي مشكلة عدم حصانة EternalBlue في نشرة الأمن رقم MS17-010. و "ركل" في مايو - يونيو 2017. لن تكون عواقب هجمات الفيروسات هذه بالغة الأهمية إذا لم يتجاهل الضحايا التحديث الحرج وقاموا بتثبيت التصحيح في الوقت المناسب. لسوء الحظ ، هناك أيضًا حالات معروفة تسببت فيها التصحيحات الحرجة في خلل في برامج الطرف الثالث ، لكن النتائج لم تكن عالمية كما في حالة هجمات الفيروسات الجماعية.
في أعقاب الضجة حول تعدين العملات المشفرة ، تصبح الثغرات في شبكات الشركة جذابة بشكل خاص: يمكنك استخدام موارد الآخرين لإجراء العمليات الحسابية اللازمة ، مما يؤدي إلى جلب مضيفين إلى التدمير المادي.
من القضية
حدد فريق الإطفاء Solar JSOC عدة محاولات لإصابة البنية التحتية قيد التحقيق بفيروسات cryptomainer ، استخدم أحدها ثغرة EternalBlue لنشرها.
أظهر تحليل لسجلات وعينات الحجر الصحي المضاد للفيروسات وجود البرمجيات الخبيثة WannaMine في البنية التحتية المتأثرة ، والتي تهدف إلى استخراج عملة التشفير Monero. إحدى ميزات الفيروس المكتشفة هي آلية التوزيع ، على غرار WannaCry الذي ظهر سابقًا. أيضًا ، في دلائل SpeechsTracing ، تم العثور على ملفات مماثلة تمامًا للأرشيف الذي نشره ShadowBrokers قبل عام ونصف العام.
عند القيام بعمل لتحييد هجوم الفيروس في البنية التحتية المصابة ، تم إصدار تحديثات متعددة بواسطة Microsoft من عام 2016 إلى الوقت الحاضر.
مرت حوالي 50 ساعة من اللحظة التي شارك فيها متخصصو JSOC في العمل حتى تم وضع البنية التحتية في وضع "قتالي". علاوة على ذلك ، تم قضاء معظم الوقت في تنسيق الإجراءات بين الطرف المتضرر وشركات الخدمات وفريقنا.
تدل الممارسة على أنه يمكن تجنب العديد من المشكلات إذا لم تحاول الوصول إلى كل شيء بعقلك. لا تعتمد على حقيقة أن "لدينا طريقتنا الخاصة والخاصة". في العصر الرقمي ، هذا النموذج لا يعمل. الآن تم كتابة عدد كبير من التوصيات والأدلة حول الوقاية من الكوارث من مختلف التكوين. علاوة على ذلك ، مع التكنولوجيا الحديثة فمن السهل نسبيا القيام به. منذ الطفولة ، أتذكر العبارة الممتازة من الخدمة 01: "الحرائق أسهل في الوقاية من إخمادها" ، وهو ما يعكس أفضل طريقة لإتباع نهج سليم لإدارة التصحيح.
كيفية وضع التحديثات على دفق
بادئ ذي بدء ، من الضروري بناء عملية إدارة التحديثات في البنية التحتية من أجل الإغلاق السريع لمواطن الضعف القديمة ومواجهة مواطن الضعف في نظام التشغيل ، ومكونات التطبيق وبرمجيات النظام ، وهي:
- لتطوير وسن لوائح لإدارة تحديثات نظام التشغيل ومكونات برامج التطبيق والنظام ؛
- تنفيذ العمل على النشر والتكوين في قطاع الخادم من خدمات تحديثات خادم Windows (WSUS) - خدمة لتحديث أنظمة التشغيل ومنتجات Microsoft ؛
- للمراقبة المستمرة لأهمية التحديثات المثبتة في البنية التحتية للطرف المتأثر ولتثبيت تحديثات الأمان الهامة الجديدة بسرعة.