Tous les analystes SOC dorment probablement et voient comment leurs règles de détection captent les techniques à la mode des groupes APT pro-gouvernementaux, et les enquêtes conduisent à la découverte d'exploits pour les vulnérabilités zero-day. Malheureusement (ou heureusement), la plupart des incidents auxquels le spécialiste de la réponse moyenne doit faire face sont beaucoup moins romantiques: utiliser des PsExecs non renommés pour la distribution, des méthodes de contournement UAC classiques pour l'escalade de privilèges et un grand nombre de vulnérabilités pour lesquelles des correctifs ont été publiés depuis longtemps. .
Rappelant les incidents passés, on arrive involontairement à la conclusion que presque chacun d'entre eux pourrait être relativement facilement évité si ... Si tout est fait comme cela a déjà été décrit à plusieurs reprises dans différents manuels et meilleures pratiques de sécurité de l'information. Par conséquent, aujourd'hui, je veux non seulement parler de l'un de nos récents cas de réponse aux incidents, mais aussi vous rappeler la nécessité d'installer des correctifs même sur des «systèmes clé en main».
Jusqu'à présent, on pense souvent que la sécurité de l'information devrait être une fonction, mais pas un processus. En règle générale, ceci est le suivant: «Faites-le pour nous en toute sécurité, puis nous soutiendrons nous-mêmes tout.» Les caractéristiques commerciales dans le domaine de la sécurité de l'information sont telles que la société intégratrice de services, qui «le fait en toute sécurité», ne discutera pas avec le client. Fera et ira plus loin - pour assurer la sécurité de l'information aux masses. Et le client, après avoir signé les actes de livraison de travaux et de paiement d'argent en vertu du contrat, restera dans la confiance naïve que tout va bien avec lui, la sécurité de l'information s'est construite depuis des siècles. La surprise, comme on dit, viendra plus tard. Parce que la sécurité de l'information est un processus actif, en constante évolution, qui ne peut être résolu une fois pour toutes. Et les consommateurs oublient souvent cette «petite fonctionnalité». La sécurité de l'information, comme tout processus métier, se compose de nombreux éléments sans lesquels elle ne fonctionne pas. L'un d'eux est la gestion des correctifs.
Comme son nom l'indique, la gestion des correctifs est le processus de gestion des mises à jour logicielles conçu pour éliminer les failles de sécurité ou maintenir un niveau de sécurité adéquat (typique du logiciel serveur ou du système d'exploitation), ainsi que pour résoudre les problèmes avec les logiciels d'application.
De l'affaire
Un réseau fermé géographiquement distribué basé sur les solutions Microsoft, composé d'environ 200 hôtes. Deux d'entre eux embarquent à bord d'une deuxième carte réseau et ont accès à Internet. À tous égards, l'infrastructure devrait répondre aux exigences du numéro 187-FZ «Sur la sécurité des infrastructures d'information critiques». En raison des spécificités du logiciel principal, deux sociétés de services sont impliquées dans la maintenance des infrastructures. Au moment de la connexion du Solar JSOC "pompiers", l'infrastructure n'a pas fonctionné pendant plus de 2 jours.
La nécessité d'installer des «correctifs», en particulier ceux qui visent à mettre à jour la sécurité, a été souvent et souvent évoquée. Si vous utilisez «Patch Management Policy» dans n'importe quel moteur de recherche, le résultat sera d'environ 100 millions de résultats, grâce auxquels vous pourrez suivre les premières discussions actives qui ont déjà commencé en 2006. Début 2007, SANS a publié un document intitulé «Patch Management. Fait partie des opérations standard ... », au tout début duquel il est expliqué de façon assez compréhensible ce qu'est la gestion des correctifs et pourquoi elle est nécessaire. De plus, il s'explique dans un langage accessible non seulement à un spécialiste technique, mais aussi à un manager loin de l'informatique. La dernière publication spéciale NIST 800-40 Révision 3. Guide des technologies de gestion des correctifs d'entreprise date de 2013 et continue de souligner la nécessité de mises à jour critiques. Même si chère en Russie, la norme ISO / IEC 27001: 2015 contient la sous-section 12.6. «Technology Vulnerability Management», dont le but est d'empêcher l'utilisation des vulnérabilités détectées.
De l'affaire
Selon les informations fournies par les sociétés de services: au cours des dernières 48 heures, presque tous les hôtes du réseau subissent une charge CPU de l'ordre de 100% et provoquent des BSOD. De nombreuses tentatives d'utilisation d'un logiciel antivirus certifié ont échoué: plusieurs infections répétées de logiciels malveillants Trojan.Equation sont enregistrées. De plus, une restauration des bases de données antivirus pour décembre 2017 a été détectée. Pas d'accès RDP. Et comme cerise sur le gâteau: les données sur le nombre d'AWP reçues des intégrateurs et de la partie lésée divergent. Le dernier inventaire a été réalisé plusieurs années avant l'incident par l'administrateur système déjà démissionnaire. Il n'y a aucun semblant de plans de continuité.
Cependant, les informations éparses obtenues nous permettent de tirer des conclusions préliminaires sur la méthode de propagation du virus à travers le réseau et de donner des premières recommandations pour contrer.
L'un des principaux consiste à désactiver les protocoles SMBv.1 et SMBv.2 pour arrêter la propagation de logiciels malveillants sur le réseau.
Environ 3 heures se sont écoulées entre le moment où une demande d'aide a été reçue et la formulation des recommandations.
Les attaques virales les plus connues sont WannaCry et NotPetya. Les deux virus exploitent la vulnérabilité du protocole SMB dans les systèmes Windows et ont été publiés par le groupe ShadowBrokers en avril 2017. Dans le même temps, un mois plus tôt, Microsoft avait publié un correctif couvrant la vulnérabilité EternalBlue dans son bulletin de sécurité MS17-010. Et cela a «démarré» en mai - juin 2017. Les conséquences de ces attaques de virus ne seraient pas aussi critiques si les victimes n'avaient pas ignoré la mise à jour critique et installé le correctif à temps. Malheureusement, il existe également des cas connus où des correctifs critiques ont provoqué un dysfonctionnement de logiciels tiers, mais les conséquences n'étaient pas aussi globales que dans les cas d'attaques virales massives.
Dans le sillage du battage médiatique autour de l'extraction de crypto-monnaies, les vulnérabilités dans les réseaux d'entreprise deviennent particulièrement attrayantes: vous pouvez utiliser les ressources d'autres personnes pour les calculs nécessaires, entraînant la destruction physique des hôtes.
De l'affaire
Les pompiers de Solar JSOC ont identifié plusieurs tentatives d'infecter l'infrastructure faisant l'objet d'une enquête avec des virus de cryptomainer, dont l'une a utilisé la vulnérabilité EternalBlue pour la diffuser.
Une analyse des journaux et des échantillons de quarantaine de protection antivirus a également montré la présence de logiciels malveillants WannaMine dans l'infrastructure affectée, qui est destinée à l'exploitation de la crypto-monnaie Monero. L'une des caractéristiques du virus détecté est le mécanisme de distribution, similaire au WannaCry apparu précédemment. De plus, dans les répertoires SpeechsTracing, des fichiers ont été trouvés qui sont complètement identiques à l'archive que ShadowBrokers avait publiée un an et demi auparavant.
Lors de l'exécution de travaux visant à neutraliser l'attaque de virus dans l'infrastructure infectée, plusieurs mises à jour ont été publiées par Microsoft de 2016 à aujourd'hui.
Environ 50 heures se sont écoulées entre le moment où les spécialistes du JSOC ont été impliqués dans le travail et le passage de l'infrastructure en mode «combat». De plus, la plupart du temps a été consacré à la coordination des actions entre la partie lésée, les sociétés de services et notre équipe.
La pratique montre que de nombreux problèmes pourraient être évités si vous n'essayez pas de tout atteindre avec votre propre esprit. Ne vous fiez pas au fait que «nous avons notre propre chemin, spécial». À l'ère numérique, ce paradigme ne fonctionne pas. Maintenant, un grand nombre de recommandations et de manuels sur la prévention des catastrophes de diverses origines ont été rédigés. De plus, avec la technologie moderne, c'est relativement facile à faire. Depuis mon enfance, je me souviens de l'excellente phrase du Service 01: «Un incendie est plus facile à prévenir qu'à éteindre», ce qui reflète la meilleure façon d'adopter une approche saine de la gestion des correctifs.
Comment mettre des mises à jour sur un flux
Tout d'abord, il est nécessaire de construire le processus de gestion des mises à jour dans l'infrastructure pour la fermeture rapide des vulnérabilités anciennes et contre les nouvelles dans le système d'exploitation, les composants des logiciels d'application et du système, à savoir:
- élaborer et promulguer des réglementations pour la gestion des mises à jour du système d'exploitation, des composants logiciels d'application et du système;
- effectuer des travaux sur le déploiement et la configuration dans le segment serveur de Windows Server Updates Services (WSUS) - un service de mise à jour des systèmes d'exploitation et des produits Microsoft;
- pour surveiller en permanence la pertinence des mises à jour installées dans l'infrastructure de la partie concernée et pour installer rapidement de nouvelles mises à jour de sécurité critiques.