Provavelmente, todos os analistas do SOC estão dormindo e vêem como suas regras de detecção capturam as técnicas da moda de grupos APT pró-governamentais, e as investigações levam à descoberta de explorações para vulnerabilidades de dia zero. Infelizmente (ou felizmente), a maioria dos incidentes com os quais o especialista em resposta médio tem que lidar é muito menos romântica: o uso de PsExecs não renomeados para distribuição, métodos clássicos de desvio do UAC para escalação de privilégios e um grande número de vulnerabilidades para as quais há muito tempo os patches são lançados. .
Relembrando incidentes passados, involuntariamente chegamos à conclusão de que quase todos eles poderiam ser relativamente facilmente evitados se ... Se tudo for feito como já foi descrito várias vezes em manuais diferentes e nas melhores práticas de segurança da informação. Portanto, hoje quero não apenas falar sobre um de nossos casos recentes de resposta a incidentes, mas também lembrá-lo da necessidade de instalar patches, mesmo em "sistemas chave na mão".
Até agora, muitas vezes há um equívoco de que a segurança da informação deva ser uma função, mas não um processo. Como regra, é o seguinte: "Faça isso por nós com segurança, e então nós mesmos apoiaremos tudo". Os recursos de negócios no campo da segurança da informação são de tal ordem que a empresa integradora de serviços, que “faz com que seja seguro”, não discuta com o cliente. Fará e vai além - levar a segurança da informação às massas. E o cliente, depois de assinar os atos de entrega do trabalho e pagamento em dinheiro nos termos do contrato, permanecerá na ingênua confiança de que tudo está bem com ele, o sistema de segurança da informação foi construído há séculos. Surpresa, como se costuma dizer, virá mais tarde. Porque a segurança da informação é um processo ativo e em constante mudança que não pode ser corrigido de uma vez por todas. E os consumidores geralmente esquecem esse "pequeno recurso". A segurança da informação, como qualquer processo de negócios, consiste em muitos elementos sem os quais não funciona. Um deles é o gerenciamento de patches.
Como o nome indica, o gerenciamento de patches é o processo de gerenciar atualizações de software projetadas para eliminar brechas na segurança ou manter um nível adequado de segurança (típico de software para servidor ou SO), além de resolver problemas com o software aplicativo.
Do caso
Uma rede fechada distribuída geograficamente com base em soluções da Microsoft, consistindo em aproximadamente 200 hosts. Dois deles carregam uma segunda placa de rede e têm acesso à Internet. Em todos os aspectos, a infraestrutura deve estar de acordo com os requisitos do nº 187-FZ “Sobre a segurança da infraestrutura de informações críticas”. Devido às especificidades do software principal, duas empresas de serviços estão envolvidas na manutenção da infraestrutura. No momento da conexão do JSOC Solar da "brigada de incêndio", a infraestrutura não estava funcionando por mais de 2 dias.
A necessidade de instalar "patches", especialmente aqueles que visam atualizar a segurança, tem sido discutida com muita frequência. Se você dirigir a "Política de Gerenciamento de Patches" em qualquer mecanismo de pesquisa, o resultado será de cerca de 100 milhões de resultados, pelos quais você poderá acompanhar as primeiras discussões ativas que começaram já em 2006. No início de 2007, o SANS publicou um documento intitulado “Patch Management. Parte das operações padrão ... ”, no início do qual é explicado de maneira bastante inteligível o que é gerenciamento de patches e por que é necessário. Além disso, é explicado em um idioma acessível não apenas a um especialista técnico, mas também a um gerente que está longe da TI. O documento mais recente da Publicação Especial NIST 800-40 Revisão 3. Guia para Tecnologias de Gerenciamento de Patches Empresariais data de 2013 e continua a enfatizar a necessidade de atualizações críticas. Mesmo amado na Rússia, a norma ISO / IEC 27001: 2015 contém a subseção 12.6. “Gerenciamento de vulnerabilidades tecnológicas”, cujo objetivo é impedir o uso de vulnerabilidades detectadas.
Do caso
De acordo com as informações fornecidas pelas empresas de serviços: nas últimas 48 horas, quase todos os hosts de rede experimentam carga de CPU na região de 100% e causam BSOD. Numerosas tentativas de usar software antivírus certificado falharam: várias infecções repetidas do malware Trojan.Equation são registradas. Além disso, foi detectada uma reversão dos bancos de dados antivírus para dezembro de 2017. Sem acesso RDP. E como uma cereja no topo do bolo: os dados sobre o número de AWPs recebidos dos integradores e da parte lesada divergem. O último inventário foi realizado vários anos antes do incidente pelo administrador do sistema já renunciado. Não há aparência de planos de continuidade.
No entanto, as informações dispersas obtidas nos permitem tirar conclusões preliminares sobre o método de disseminação do vírus pela rede e dar primeiras recomendações para a contração.
Um dos principais é desativar os protocolos SMBv.1 e SMBv.2 para impedir a disseminação de malware pela rede.
Cerca de três horas se passaram desde o momento em que um pedido de ajuda foi recebido até que as recomendações fossem emitidas.
Os ataques virais mais conhecidos são o WannaCry e o NotPetya. Ambos os vírus exploram a vulnerabilidade do protocolo SMB nos sistemas Windows e foram publicados pelo grupo ShadowBrokers em abril de 2017. Ao mesmo tempo, um mês antes, a Microsoft lançou um patch que cobria a vulnerabilidade EternalBlue em seu boletim de segurança MS17-010. E "chutou" em maio - junho de 2017. As consequências desses ataques de vírus não seriam tão críticas se as vítimas não tivessem ignorado a atualização crítica e instalado o patch a tempo. Infelizmente, também existem casos conhecidos em que patches críticos causavam mau funcionamento de software de terceiros, mas as consequências não eram tão globais quanto no caso de ataques de vírus em massa.
Na esteira do hype em torno das criptomoedas de mineração, as vulnerabilidades nas redes da empresa se tornam especialmente atraentes: você pode usar os recursos de outras pessoas para os cálculos necessários, levando os hosts à destruição física.
Do caso
A brigada de incêndio JSOC Solar identificou várias tentativas de infectar a infraestrutura sob investigação com vírus de criptomain, uma das quais usou a vulnerabilidade EternalBlue para espalhá-la.
Uma análise dos registros e amostras da quarentena de proteção antivírus também mostrou a presença do malware WannaMine na infraestrutura afetada, destinada à mineração da criptomoeda Monero. Uma das características do vírus detectado é o mecanismo de distribuição, semelhante ao WannaCry, anteriormente exibido. Além disso, nos diretórios SpeechsTracing, foram encontrados arquivos que são completamente idênticos ao arquivo que o ShadowBrokers publicou um ano e meio antes.
Ao realizar um trabalho para neutralizar o ataque de vírus na infraestrutura infectada, várias atualizações foram lançadas pela Microsoft de 2016 até o presente.
Cerca de 50 horas se passaram desde o momento em que os especialistas do JSOC estiveram envolvidos no trabalho até a infraestrutura ser colocada no modo de “combate”. Além disso, a maior parte do tempo foi gasta na coordenação de ações entre a parte lesada, as empresas de serviços e nossa equipe.
A prática mostra que muitos problemas poderiam ser evitados se você não tentasse alcançar tudo com sua própria mente. Não confie no fato de que "nós temos nosso próprio caminho, especial". Na era digital, esse paradigma não funciona. Agora, um grande número de recomendações e manuais sobre a prevenção de desastres de várias gênesis foram escritos. Além disso, com a tecnologia moderna, é relativamente fácil de fazer. Desde a infância, lembro-me da excelente frase do Serviço 01: “É mais fácil prevenir um incêndio do que apagar”, que reflete o melhor caminho para uma abordagem sólida para o gerenciamento de patches.
Como colocar atualizações em um fluxo
Antes de tudo, é necessário criar o processo de gerenciamento de atualizações na infraestrutura para o rápido fechamento de antigas e combater novas vulnerabilidades no SO, componentes de aplicativos e software de sistema, a saber:
- desenvolver e aprovar regulamentos para gerenciar atualizações de SO, componentes de aplicativos e software de sistema;
- realizar trabalhos de implantação e configuração no segmento de servidor do Windows Server Updates Services (WSUS) - um serviço para atualização de sistemas operacionais e produtos da Microsoft;
- monitorar continuamente a relevância das atualizações instaladas na infraestrutura da parte afetada e instalar rapidamente novas atualizações críticas de segurança.