Mungkin semua analis SOC tidur dan melihat bagaimana aturan pendeteksian mereka menangkap teknik-teknik modis kelompok-kelompok APT pro-pemerintah, dan investigasi mengarah pada penemuan eksploitasi untuk kerentanan nol hari. Sayangnya (atau untungnya), sebagian besar insiden yang harus ditangani oleh respons rata-rata jauh lebih romantis: menggunakan PsExec yang tidak diganti namanya untuk distribusi, metode pintas klasik UAC untuk eskalasi privilege, dan sejumlah besar kerentanan yang telah lama dilepaskan oleh patch. .
Mengingat kejadian masa lalu, seseorang tanpa sadar sampai pada kesimpulan bahwa hampir setiap dari mereka dapat dengan mudah dicegah jika ... Jika semuanya dilakukan seperti yang telah dijelaskan berkali-kali dalam manual yang berbeda dan praktik keamanan informasi terbaik. Oleh karena itu, hari ini saya ingin tidak hanya berbicara tentang salah satu kasus respons insiden baru-baru ini, tetapi juga mengingatkan Anda tentang perlunya menginstal tambalan bahkan pada "sistem turnkey".
Sampai sekarang, cukup sering ada kesalahpahaman bahwa keamanan informasi harus berfungsi, tetapi bukan proses. Sebagai aturan, ini terlihat seperti ini: "Lakukan untuk kita dengan aman, dan kemudian kita sendiri akan mendukung semuanya." Fitur bisnis di bidang keamanan informasi sedemikian rupa sehingga perusahaan integrator layanan, yang "melakukannya dengan aman", tidak akan berdebat dengan pelanggan. Akan lakukan dan melangkah lebih jauh - untuk membawa keamanan informasi kepada massa. Dan pelanggan, setelah menandatangani tindakan pengiriman pekerjaan dan pembayaran uang berdasarkan kontrak, akan tetap dalam keyakinan naif bahwa semuanya baik-baik saja dengannya, sistem keamanan informasi telah dibangun selama berabad-abad. Kejutan, seperti yang mereka katakan, akan datang nanti. Karena keamanan informasi adalah proses yang aktif dan terus berubah yang tidak dapat diperbaiki sekali dan untuk semua. Dan konsumen sering melupakan "fitur kecil" ini. Keamanan informasi, seperti proses bisnis lainnya, terdiri dari banyak elemen yang tanpanya tidak berfungsi. Salah satunya adalah manajemen tambalan.
Sesuai namanya, manajemen tambalan adalah proses mengelola pembaruan perangkat lunak yang dirancang untuk menghilangkan lubang keamanan atau mempertahankan tingkat keamanan yang memadai (khas perangkat lunak server atau OS), serta untuk memecahkan masalah dengan perangkat lunak aplikasi.
Dari kasing
Jaringan tertutup terdistribusi secara geografis berdasarkan solusi Microsoft, yang terdiri dari sekitar 200 host. Dua dari mereka membawa kartu jaringan kedua dan memiliki akses Internet. Dalam semua hal, infrastruktur harus berada di bawah persyaratan No. 187-FZ "Tentang keamanan infrastruktur informasi penting". Karena spesifik dari perangkat lunak utama, dua perusahaan jasa terlibat dalam pemeliharaan infrastruktur. Pada saat menghubungkan "pemadam kebakaran" Solar JSOC, infrastruktur tidak berfungsi selama lebih dari 2 hari.
Kebutuhan untuk menginstal "tambalan", terutama yang bertujuan memperbarui keamanan, telah sering dibicarakan. Jika Anda mengemudi di "Kebijakan Manajemen Patch" di mesin pencari apa pun, hasilnya akan menjadi sekitar 100 juta hasil, di mana Anda dapat melacak diskusi aktif pertama yang dimulai pada 2006. Pada awal 2007, SANS menerbitkan dokumen berjudul "Patch Management. Bagian dari operasi standar ... β, di bagian paling awal dijelaskan dengan sangat cerdas apa manajemen tambalan dan mengapa diperlukan. Selain itu, dijelaskan dalam bahasa yang dapat diakses tidak hanya untuk spesialis teknis, tetapi juga untuk manajer yang jauh dari TI. Publikasi Khusus NIST 800-40 Revisi 3. Panduan untuk Enterprise Patch Management Technologies terbaru dari tahun 2013 dan terus menekankan perlunya pembaruan penting. Meski begitu dicintai di Rusia, standar ISO / IEC 27001: 2015 berisi ayat 12.6. "Manajemen Kerentanan Teknologi", yang tujuannya adalah untuk mencegah penggunaan kerentanan yang terdeteksi.
Dari kasing
Menurut informasi yang diberikan oleh perusahaan layanan: selama 48 jam terakhir, hampir semua host jaringan mengalami beban CPU di wilayah 100% dan menyebabkan BSOD. Banyak upaya untuk menggunakan perangkat lunak anti-virus bersertifikat telah gagal: beberapa infeksi berulang malware Trojan. Pencatatan direkam. Selain itu, kemunduran basis data antivirus untuk Desember 2017 terdeteksi. Tidak ada akses RDP. Dan sebagai ceri pada kue: data pada jumlah AWP yang diterima dari kedua integrator dan pihak yang terluka berbeda. Inventarisasi terakhir dilakukan beberapa tahun sebelum kejadian oleh administrator sistem yang sudah mengundurkan diri. Tidak ada kemiripan rencana kesinambungan.
Namun, informasi yang tersebar yang diperoleh memungkinkan kami untuk menarik kesimpulan awal tentang metode penyebaran virus melalui jaringan dan memberikan rekomendasi pertama untuk penanggulangan.
Salah satu yang utama adalah untuk menonaktifkan protokol SMBv.1 dan SMBv.2 untuk menghentikan penyebaran malware melalui jaringan.
Sekitar 3 jam berlalu sejak permintaan bantuan diterima sampai rekomendasi dikeluarkan.
Serangan virus yang paling banyak dikenal adalah WannaCry dan NotPetya. Kedua virus mengeksploitasi kerentanan protokol SMB dalam sistem Windows dan diterbitkan oleh kelompok ShadowBrokers pada April 2017. Pada saat yang sama, sebulan sebelumnya, Microsoft merilis patch yang mencakup kerentanan EternalBlue dalam buletin keamanan MS17-010. Dan itu "ditendang" pada Mei - Juni 2017. Konsekuensi dari serangan virus ini tidak akan begitu kritis jika para korban tidak mengabaikan pembaruan kritis dan menginstal patch tepat waktu. Sayangnya, ada juga kasus di mana tambalan kritis menyebabkan tidak berfungsinya perangkat lunak pihak ketiga, tetapi konsekuensinya tidak global seperti dalam kasus serangan virus massal.
Di tengah hype sekitar cryptocurrency pertambangan, kerentanan dalam jaringan perusahaan menjadi sangat menarik: Anda dapat menggunakan sumber daya orang lain untuk perhitungan yang diperlukan, membawa host ke kehancuran fisik.
Dari kasing
Brigade api Solar JSOC mengidentifikasi beberapa upaya untuk menginfeksi infrastruktur yang sedang diselidiki dengan virus cryptomainer, salah satunya menggunakan kerentanan EternalBlue untuk menyebar.
Analisis terhadap log karantina dan sampel anti-virus perlindungan juga menunjukkan keberadaan malware WannaMine dalam infrastruktur yang terkena dampak, yang dimaksudkan untuk menambang cryptocurrency Monero. Salah satu fitur dari virus yang terdeteksi adalah mekanisme distribusi, mirip dengan WannaCry yang sebelumnya muncul. Juga, di direktori SpeechsTracing, file ditemukan yang benar-benar identik dengan arsip yang diterbitkan ShadowBrokers satu setengah tahun sebelumnya.
Ketika melakukan pekerjaan untuk menetralisir serangan virus di infrastruktur yang terinfeksi, beberapa pembaruan dirilis oleh Microsoft dari 2016 hingga saat ini.
Sekitar 50 jam berlalu sejak spesialis JSOC terlibat dalam pekerjaan sampai infrastruktur dimasukkan ke dalam mode "pertempuran". Selain itu, sebagian besar waktu dihabiskan untuk mengoordinasikan tindakan antara pihak yang terluka, perusahaan jasa dan tim kami.
Berlatih menunjukkan bahwa banyak masalah dapat dihindari jika Anda tidak berusaha menjangkau semuanya dengan pikiran Anda sendiri. Jangan mengandalkan kenyataan bahwa "kita punya cara kita sendiri, khusus,". Di era digital, paradigma ini tidak berfungsi. Sekarang sejumlah besar rekomendasi dan manual tentang pencegahan bencana berbagai asal usul telah ditulis. Apalagi dengan teknologi modern itu relatif mudah dilakukan. Sejak kecil, saya ingat ungkapan yang sangat baik dari Service 01: "Api lebih mudah dicegah daripada dipadamkan", yang mencerminkan cara terbaik untuk pendekatan yang baik untuk manajemen penambalan.
Cara menempatkan pembaruan di aliran
Pertama-tama, perlu untuk membangun proses mengelola pembaruan dalam infrastruktur untuk penutupan operasional yang lama dan menangkal kerentanan baru di OS, komponen aplikasi dan perangkat lunak sistem, yaitu:
- untuk mengembangkan dan memberlakukan peraturan untuk mengelola pembaruan OS, aplikasi dan komponen perangkat lunak sistem;
- melakukan pekerjaan pada penyebaran dan konfigurasi di segmen server Layanan Pembaruan Server Windows (WSUS) - layanan untuk memperbarui sistem operasi dan produk Microsoft;
- untuk terus memantau relevansi pembaruan yang dipasang di infrastruktur pihak yang terkena dampak dan untuk menginstal pembaruan keamanan penting baru dengan cepat.