可能所有的SOC分析员都在睡觉,看看他们的检测规则如何捕捉亲政府APT小组的流行技术,而调查导致发现了零日漏洞的漏洞。 不幸的是(或幸运的是),一般响应专家必须处理的大多数事件都没有那么浪漫:使用未重命名的PsExecs进行分发,使用经典的UAC绕过方法进行特权升级以及大量已发布了长期补丁的漏洞。
回顾过去的事件,一个不由自主地得出的结论是,如果...的发生,几乎每一个事件都可以相对容易地预防。 因此,今天,我不仅要谈论我们最近的事件响应案例之一,还要提醒您即使在“交钥匙系统”上也需要安装补丁。
到目前为止,人们常常误以为信息安全应该是一种功能,而不是一个过程。 通常,这是这样的:“安全地为我们做,然后我们自己将支持一切。” 信息安全领域的业务特征是“做到安全”的服务集成商公司不会与客户争论。 将会做得更远-将信息安全带给大众。 并且,在签署合同项下的交付工作和付款的行为之后,客户将天真地相信自己一切都很好,信息安全系统已经建立了数百年。 正如他们所说,惊喜将在以后出现。 由于信息安全是一个积极,不断变化的过程,因此无法一劳永逸地解决。 消费者通常会忘记这一“小功能”。 像任何业务流程一样,信息安全由许多元素组成,没有这些元素,它就无法工作。 其中之一是补丁管理。
顾名思义,补丁程序管理是管理软件更新的过程,该过程旨在消除安全漏洞或维持足够的安全级别(通常是服务器软件或OS),以及解决应用程序软件的问题。
从案
基于Microsoft解决方案的地理分布式封闭网络,由大约200台主机组成。 其中两个携带第二张网卡并可以访问Internet。 在所有方面,基础架构都应符合第187-FZ号“关键信息基础架构的安全性”的要求。 由于主要软件的特性,两家服务公司参与了基础架构维护。 在连接Solar JSOC消防队时,基础架构已超过2天没有运行。
人们经常谈论安装“补丁”的需求,尤其是那些旨在更新安全性的补丁。 如果您在任何搜索引擎中使用“补丁程序管理策略”,结果将是大约1亿个结果,通过这些结果,您可以跟踪早在2006年就开始的首次活跃讨论。 2007年初,SANS发布了名为“补丁程序管理”的文档。 标准操作的一部分……”,在开始时就非常清楚地解释了什么是补丁管理以及为什么需要补丁管理。 此外,它用一种语言解释,这种语言不仅可供技术专家使用,也可以供远离IT的经理使用。 最新的NIST特殊出版物800-40修订版3。《企业补丁管理技术指南》文档始于2013年,并继续强调需要进行重要更新。 即使在俄罗斯如此受人喜爱,ISO / IEC 27001:2015标准也包含第12.6小节。 “技术漏洞管理”,其目的是防止使用检测到的漏洞。
从案
根据服务公司提供的信息:在过去的48小时内,几乎所有网络主机的CPU负载都在100%左右,并导致BSOD。 使用认证的防病毒软件的许多尝试均以失败告终:恶意软件Trojan.Equation被多次重复感染。 此外,还检测到2017年12月的防病毒数据库回滚。 没有RDP访问权限。 就像蛋糕上的樱桃一样:从集成商和受害方那里收到的AWP数量数据存在差异。 最后的清单是在事件发生前几年由已经辞职的系统管理员执行的。 没有连续性计划的表象。
但是,获得的零散信息使我们能够得出有关通过网络传播病毒的方法的初步结论,并提出了应对措施的第一条建议。
主要措施之一是禁用SMBv.1和SMBv.2协议以阻止恶意软件在网络上的传播。
从收到帮助请求到提出建议为止,已经过去了大约3个小时。
最广为人知的病毒攻击是WannaCry和NotPetya。 这两种病毒都利用Windows系统中的SMB协议漏洞,由ShadowBrokers组于2017年4月发布。 同时,一个月前,微软在其安全公告MS17-010中发布了涵盖EternalBlue漏洞的补丁。 它在2017年5月-6月“踢”。 如果受害者没有忽略关键更新并及时安装补丁,这些病毒攻击的后果就不会那么严重。 不幸的是,也有一些已知的情况,其中关键补丁导致了第三方软件的故障,但是后果却不像大规模病毒攻击那样广泛。
在围绕挖掘加密货币的大肆宣传之后,公司网络中的漏洞变得尤为诱人:您可以使用他人的资源进行必要的计算,从而使主机遭受物理破坏。
从案
Solar JSOC消防队确定了多次尝试通过加密主病毒感染正在调查的基础设施,其中之一使用EternalBlue漏洞进行了传播。
对反病毒保护隔离日志和样本的分析还显示,受影响的基础架构中存在WannaMine恶意软件,该恶意软件旨在挖掘Monero加密货币。 被检测到的病毒的特征之一就是分布机制,类似于以前出现的WannaCry。 另外,在SpeechsTracing目录中,发现与ShadowBrokers一年半之前发布的档案完全相同的文件。
在开展工作以抵消受感染基础架构中的病毒攻击时,Microsoft从2016年至今发布了多个更新。
从JSOC专家参与工作到将基础结构置于“战斗”模式大约50个小时。 此外,大部分时间都花在了受害方,服务公司和我们团队之间的协调行动上。
实践表明,如果您不自己动手解决所有问题,则可以避免许多问题。 不要依靠“我们有自己的特殊方式”这一事实。 在数字时代,这种范例行不通。 现在,已经编写了大量有关预防各种起源灾难的建议和手册。 而且,利用现代技术,它相对容易实现。 从孩提时代起,我就记得服务01的一句话:“预防火灾比扑灭火灾更容易”,它反映了采用合理方法管理补丁的最佳方法。
如何将更新放在流中
首先,有必要在基础结构中建立管理更新的过程,以快速关闭OS,应用程序和系统软件组件中的旧漏洞并消除新漏洞,即:
- 制定并颁布管理操作系统更新,应用程序和系统软件组件的法规;
- 在Windows Server Updates Services(WSUS)的服务器部分中进行部署和配置方面的工作,该服务是用于更新操作系统和Microsoft产品的服务;
- 持续监视受影响方基础结构中安装的更新的相关性,并快速安装新的重要安全更新。