Wahrscheinlich schlafen alle SOC-Analysten und sehen, wie ihre Erkennungsregeln die modischen Techniken regierungsnaher APT-Gruppen erfassen. Untersuchungen führen zur Entdeckung von Exploits für Zero-Day-Schwachstellen. Leider (oder zum Glück) sind die meisten Vorfälle, mit denen sich ein durchschnittlicher Antwortspezialist befassen muss, viel weniger romantisch: Verwendung von nicht umbenannten PsExecs für die Verteilung, klassische UAC-Bypass-Methoden für die Eskalation von Berechtigungen und eine große Anzahl von Sicherheitslücken, für die seit langem Patches veröffentlicht wurden .
Wenn man sich an vergangene Vorfälle erinnert, kommt man unwillkürlich zu dem Schluss, dass fast jeder von ihnen relativ leicht verhindert werden kann, wenn ... Wenn alles so gemacht wird, wie es bereits mehrfach in verschiedenen Handbüchern und den besten Methoden zur Informationssicherheit beschrieben wurde. Daher möchte ich heute nicht nur über einen unserer jüngsten Fälle von Vorfallreaktionen sprechen, sondern Sie auch daran erinnern, dass Patches auch auf „schlüsselfertigen Systemen“ installiert werden müssen.
Bisher gibt es häufig ein Missverständnis, dass Informationssicherheit eine Funktion, aber kein Prozess sein sollte. In der Regel lautet dies wie folgt: „Tun Sie es sicher für uns, und dann werden wir selbst alles unterstützen.“ Die Geschäftsmerkmale im Bereich der Informationssicherheit sind derart, dass das Service-Integrator-Unternehmen, das „es sicher macht“, nicht mit dem Kunden argumentiert. Will tun und weiter gehen - um die Informationssicherheit zu den Massen zu bringen. Und der Kunde bleibt nach der Unterzeichnung der vertraglichen Liefer- und Zahlungsleistungen im naiven Vertrauen, dass ihm alles in Ordnung ist. Das Informationssicherheitssystem ist seit Jahrhunderten aufgebaut. Überraschung, wie sie sagen, wird später kommen. Weil Informationssicherheit ein aktiver, sich ständig ändernder Prozess ist, der nicht ein für alle Mal behoben werden kann. Und Verbraucher vergessen dieses „kleine Feature“ oft. Informationssicherheit besteht wie jeder Geschäftsprozess aus vielen Elementen, ohne die sie nicht funktioniert. Eines davon ist das Patch-Management.
Wie der Name schon sagt, ist Patch-Management der Prozess der Verwaltung von Software-Updates, mit denen Sicherheitslücken geschlossen oder ein angemessenes Sicherheitsniveau (typisch für Serversoftware oder Betriebssysteme) aufrechterhalten sowie Probleme mit Anwendungssoftware gelöst werden sollen.
Aus dem Fall
Ein geografisch verteiltes geschlossenes Netzwerk basierend auf Microsoft-Lösungen, bestehend aus ca. 200 Hosts. Zwei von ihnen haben eine zweite Netzwerkkarte an Bord und verfügen über einen Internetzugang. In jeder Hinsicht sollte die Infrastruktur unter die Anforderungen von Nr. 187-FZ „Über die Sicherheit kritischer Informationsinfrastrukturen“ fallen. Aufgrund der Besonderheiten der Hauptsoftware sind zwei Serviceunternehmen an der Wartung der Infrastruktur beteiligt. Zum Zeitpunkt des Anschlusses der Solar JSOC-Feuerwehr war die Infrastruktur seit mehr als zwei Tagen nicht mehr in Betrieb.
Über die Notwendigkeit, "Patches" zu installieren, insbesondere solche, die auf die Aktualisierung der Sicherheit abzielen, wurde viel und oft gesprochen. Wenn Sie in einer Suchmaschine die Option "Patch-Verwaltungsrichtlinie" eingeben, werden ungefähr 100 Millionen Ergebnisse angezeigt, anhand derer Sie die ersten aktiven Diskussionen verfolgen können, die bereits 2006 begonnen haben. Anfang 2007 veröffentlichte SANS ein Dokument mit dem Titel „Patch Management. Teil des Standardbetriebs ... “, zu dessen Beginn ganz verständlich erklärt wird, was Patch-Management ist und warum es benötigt wird. Darüber hinaus wird es in einer Sprache erklärt, die nicht nur einem technischen Spezialisten, sondern auch einem Manager zugänglich ist, der weit von der IT entfernt ist. Das neuere Dokument NIST Special Publication 800-40 Revision 3. Leitfaden für Enterprise Patch Management-Technologien stammt aus dem Jahr 2013 und betont weiterhin die Notwendigkeit kritischer Updates. Auch in Russland so beliebt, enthält die Norm ISO / IEC 27001: 2015 Unterabschnitt 12.6. "Technology Vulnerability Management", mit dem die Verwendung erkannter Schwachstellen verhindert werden soll.
Aus dem Fall
Nach Angaben von Servicefirmen: In den letzten 48 Stunden haben fast alle Netzwerkhosts eine CPU-Auslastung im Bereich von 100% und verursachen BSOD. Zahlreiche Versuche, zertifizierte Antivirensoftware zu verwenden, sind fehlgeschlagen: Mehrere wiederholte Infektionen mit Malware Trojan.Equation werden aufgezeichnet. Darüber hinaus wurde ein Rollback der Antiviren-Datenbanken für Dezember 2017 festgestellt. Kein RDP-Zugriff. Und als Kirsche auf dem Kuchen: Daten über die Anzahl der AWPs, die sowohl von Integratoren als auch vom Geschädigten erhalten wurden, gehen auseinander. Die letzte Bestandsaufnahme wurde einige Jahre vor dem Vorfall vom bereits zurückgetretenen Systemadministrator durchgeführt. Es gibt keinen Anschein von Kontinuitätsplänen.
Die erhaltenen verstreuten Informationen ermöglichen es uns jedoch, vorläufige Schlussfolgerungen über die Methode zur Verbreitung des Virus im Netzwerk zu ziehen und erste Empfehlungen für die Gegenwirkung zu geben.
Eines der wichtigsten ist das Deaktivieren der Protokolle SMBv.1 und SMBv.2, um die Verbreitung von Malware über das Netzwerk zu stoppen.
Ungefähr 3 Stunden vergingen von dem Moment an, in dem eine Bitte um Hilfe einging, bis Empfehlungen abgegeben wurden.
Die bekanntesten viralen Angriffe sind WannaCry und NotPetya. Beide Viren nutzen die Sicherheitsanfälligkeit des SMB-Protokolls in Windows-Systemen aus und wurden im April 2017 von der ShadowBrokers-Gruppe veröffentlicht. Zur gleichen Zeit, einen Monat zuvor, veröffentlichte Microsoft in seinem Sicherheitsbulletin MS17-010 einen Patch, der die Sicherheitslücke von EternalBlue abdeckte. Und es hat von Mai bis Juni 2017 „gekickt“. Die Folgen dieser Virenangriffe wären nicht so kritisch, wenn die Opfer das kritische Update nicht ignoriert und den Patch rechtzeitig installiert hätten. Leider sind auch Fälle bekannt, in denen kritische Patches zu Fehlfunktionen von Software von Drittanbietern führten, die Folgen waren jedoch nicht so global wie bei Massenvirusangriffen.
Im Zuge des Hype um das Mining von Kryptowährungen werden Schwachstellen in Unternehmensnetzwerken besonders attraktiv: Sie können die Ressourcen anderer Personen für die erforderlichen Berechnungen verwenden und Hosts zur physischen Zerstörung bringen.
Aus dem Fall
Die Solar JSOC-Feuerwehr identifizierte mehrere Versuche, die untersuchte Infrastruktur mit Cryptomainer-Viren zu infizieren, von denen einer die EternalBlue-Sicherheitsanfälligkeit nutzte, um sie zu verbreiten.
Eine Analyse der Quarantäneprotokolle und -beispiele zum Virenschutz ergab auch das Vorhandensein von WannaMine-Malware in der betroffenen Infrastruktur, die für das Mining der Monero-Kryptowährung vorgesehen ist. Eines der Merkmale des erkannten Virus ist der Verteilungsmechanismus, ähnlich dem zuvor erschienenen WannaCry. Außerdem wurden in den SpeechsTracing-Verzeichnissen Dateien gefunden, die vollständig mit dem Archiv identisch sind, das ShadowBrokers vor anderthalb Jahren veröffentlicht hat.
Bei der Durchführung von Arbeiten zur Neutralisierung des Virenangriffs in der infizierten Infrastruktur wurden von Microsoft von 2016 bis heute mehrere Updates veröffentlicht.
Ungefähr 50 Stunden vergingen von dem Moment an, als JSOC-Spezialisten an der Arbeit beteiligt waren, bis die Infrastruktur in den „Kampfmodus“ versetzt wurde. Darüber hinaus wurde die meiste Zeit für die Koordinierung der Maßnahmen zwischen dem Geschädigten, den Dienstleistungsunternehmen und unserem Team aufgewendet.
Die Praxis zeigt, dass viele Probleme vermieden werden könnten, wenn Sie nicht versuchen würden, alles mit Ihrem eigenen Verstand zu erreichen. Verlassen Sie sich nicht auf die Tatsache, dass "wir unseren eigenen, besonderen Weg haben". Im digitalen Zeitalter funktioniert dieses Paradigma nicht. Nun wurde eine Vielzahl von Empfehlungen und Handbüchern zur Verhütung von Katastrophen verschiedener Genese verfasst. Darüber hinaus ist dies mit moderner Technologie relativ einfach. Seit meiner Kindheit erinnere ich mich an den ausgezeichneten Satz von Service 01: „Ein Feuer ist leichter zu verhindern als zu löschen“, der den besten Weg zu einem soliden Ansatz für das Patch-Management widerspiegelt.
So fügen Sie Updates in einen Stream ein
Zuallererst ist es notwendig, den Prozess der Verwaltung von Updates in der Infrastruktur aufzubauen, um alte Sicherheitslücken im Betriebssystem, in Komponenten der Anwendungs- und Systemsoftware schnell zu schließen und neuen entgegenzuwirken, nämlich:
- Entwicklung und Verabschiedung von Vorschriften für die Verwaltung von Betriebssystemupdates, Anwendungs- und Systemsoftwarekomponenten;
- Arbeiten an der Bereitstellung und Konfiguration im Serversegment von Windows Server Updates Services (WSUS) ausführen - einem Dienst zum Aktualisieren von Betriebssystemen und Microsoft-Produkten;
- Kontinuierliche Überwachung der Relevanz der in der Infrastruktur des Betroffenen installierten Updates und schnelle Installation neuer kritischer Sicherheitsupdates.