Давайте всё же до майских: что сисадмины и ИБ-специалисты должны сделать, чтобы “длинные” выходные не омрачились кибератаками

Каникулы, государственные праздники, любые “внеочередные” выходные дни - это повод для злоумышленников попытаться атаковать. Расчёт атакующих прост: чем меньше “защищающих” специалистов находятся на своих рабочих местах, тем выше шансы пробиться в периметр, закрепиться и нанести ущерб.

Так было в прошлом году: в начале мая 2024 года к нам обратились за помощью в расследовании сразу двух серьезных ИБ-инцидентов, произошедших во время майских. Злоумышленники атаковали и уничтожили виртуальную инфраструктуру крупных организаций и на некоторое время парализовали их бизнес-операции.

Нормальных выходных не получилось не только у наших дежурных экспертов, но и у представителей пострадавших организаций, которым пришлось променять природу и шашлыки на серверы и логи.

Оснований полагать, что в этом году ситуация с атаками на праздниках изменится, у нас, к сожалению нет, ведь количество инцидентов растет. С начала года и по состоянию на середину апреля мы уже провели расследование почти тридцати инцидентов. Год назад к этому же времени эта цифра составляла чуть более двух десятков расследований.

Поэтому в преддверии длинных выходных мы хотели бы напомнить о правилах, которым нужно следовать, и мерах, которые можно предпринять, чтобы существенно снизить риск серьезной кибератаки на ваш периметр, если не исключить его вовсе.

Проведите инвентаризацию

1. Убедитесь, что вам хорошо известны все сегменты корпоративной сети и активы, расположенные в них. Эта рекомендация кажется очевидной, однако мы до сих пор встречаем случаи, когда IT-персонал организации имел низкую осведомлённость о некоторых частях подотчетной им инфраструктуры, в том числе тех, в которых злоумышленникам удалось закрепиться. Также важно убедиться, что мониторинг событий безопасности покрывает все части инфраструктуры. Так в нашем недавнем расследовании атак Erudite Mogwai, группировка смогла закрепиться в части инфраструктуры, которая находилась вне зоны мониторинга SOC, и поэтому атакующим удавалось долгое время оставаться в тени.

2. Просканируйте пул публичных адресов своей компании - для этого подойдут популярные сервисы типа Censys, Shodan, Fofa. Продвинутые специалисты могут использовать и другие сканеры – те, что часто применяют команды по анализу защищенности или даже сами атакующие. Сканирование поможет понять, какие приложения, сервисы и порты доступны из сети. Возможно, некоторые из них подвержены уязвимостям! Это в том числе поможет определиться с системами, патчить которые нужно в первую очередь.

Также на период праздников можно сделать недоступными часть таких приложений и\или сервисов, если отсутствует необходимость их использования на этот период.

Сделайте бэкапы

Регулярно делать бэкапы критичных систем – всегда хорошая идея. Резервные копии необходимо хранить таким способом, чтобы их нельзя было удалить при проведении той же самой атаки на инфраструктуру компании (один из самых частых случаев в нашей практике).

Резервные копии лучше создавать по правилу 3-2-1. То есть не менее трех копий каждого файла – на двух разных типах носителей и одна копия данных – в удаленном месте. Лучше – без сетевой связанности с той инфраструктурой, данные из которой сохраняются в резервной копии.

Кроме того, рекомендуем отказаться от доменной авторизации на серверах резервного копирования. Для доступа к ним лучше использовать отдельные учетные записи с минимально необходимым набором привилегий. Если сервер виртуальный, он не должен находиться в одной системе виртуализации с системами, с которых делаются резервные копии, а доступ к гипервизору должен быть под особым контролем.

Идеальный вариант – это когда все эти бэкапы хранятся без постоянной связности с основной сетью. Таким образом, даже если атакующие добьются успеха, из сохранившихся бэкапов можно относительно быстро вернуть в строй самые критичные серверы и сервисы компании.

В прошлом году мы нередко видели, что, добравшись до виртуальной инфраструктуры, злоумышленники полностью уничтожали её и останавливали таким образом деятельность организации. Для атакующих это относительно лёгкая добыча, поскольку современные компании часто используют виртуализацию для размещения важных бизнес-приложений, но, к сожалению, редко заботятся о её устойчивости к внешним воздействиям.

Установите патчи

Если в организации нет устоявшегося процесс патч-менеджмента, то нужно установить патчи хотя бы для всех ключевых приложений. Особенно тех, что доступны извне. Конечно, сделать это лучше не в последний день перед началом каникул, а заранее – чтобы не наткнуться на проблемы, связанные с функционированием продуктов после применения патчей.

Недавно мы сделали обзор обнаруженных в первом квартале уязвимостей в распространенных в корпоративных сетях приложениях. Мы проанализировали более 100 сообщений об уязвимостях и почти 80% из них имеют сетевой вектор, а 72% уязвимостей имеют уровень критичности High и Critical. Перед уходом на выходные убедитесь, что хотя бы эти уязвимости неактуальны для вашей инфраструктуры. Важно помнить, что патчи нужны не только для того, чтобы защитить внешний периметр, но и для затруднения или остановки развития атаки в момент, когда атакующие уже проникли внутрь защищаемого периметра. Классический пример – компрометация какого-нибудь забытого всеми старого корпоративного портала или тестовой инсталляции, компрометация которых позволяет получить доступ к новым сегментам инфраструктуры.

Пароли и учетные записи

Скомпрометированные логины и пароли часто используются злоумышленниками для проникновения в корпоративную сеть. Поэтому:

• проведите аудит учетных записей, используемых в различных сервисах (RDP, VPN, другие), удалите неиспользуемые и ненужные аккаунты;
• Убедитесь, что администраторские пароли достаточно сложны, смените их, если это не так или если они используются слишком давно, подключите многофакторную аутентификацию.
• Проведите аудит парольной политики и проверьте требования к сложности пароля, исключению возможности сделать новый пароль идентичным старому и срокам его действия. Минимальные требования к сложности пароля: сгенерированные случайным образом пароли длиной не менее 12 символов, состоящие из строчных и заглавных букв латинского алфавита, цифр и специальных символов. Все это может существенно затруднить атакующим получение учетных данных в инфраструктуре.
• Проведите инвентаризацию учетных записей, созданных для подрядчиков. Если подрядчики не планируют работать в праздники, то их учетные записи можно временно отключить, что защитит от атак через доверительные отношения. И не забудьте удалить эти записи, если подрядчик завершил работы.
• Если у вашей инфраструктуры есть сетевая связанность с инфраструктурой подрядчика (например, этого требует технологический процесс), то на время каникул её можно отключить.
• убедитесь, что никакие (особенно важные) доступы (СХД, виртуализация, резервное копирование и т.д.) не хранятся в открытом виде в текстовых файлах и не сохранены в браузере. К сожалению, часто атакующие компрометируют машину привилегированного пользователя и без труда получают доступы к критичным системам, так как они были сохранены где-нибудь в браузере. Поэтому рекомендуется использовать парольные менеджеры, обновленные до последних версий.
• Закройте все активные сессии удаленного доступа по различным протоколам (например RDP-подключения, веб-приложения), если активное взаимодействие с системами уже не ведется. Компьютеры сотрудников, которые не будут работать все праздники, лучше отключить, чтобы сократить возможную поверхность атаки.

Оценка компрометации

Конечно, за оставшееся до праздников время не удастся провести полноценную оценку компрометации инфраструктуры, но можно ограничиться базовым набором действий, которые можно проанализировать:

• срабатывания имеющихся средств защиты. К сожалению, бывают случаи, когда СЗИ сигнализируют о вредоносной активности, но ИТ- и ИБ-специалисты не обращают на эти уведомления внимания;
• критичные системы на предмет появления подозрительных файлов, создания системных служб, задач планировщика, новых пользователей, установки нового ПО (и для Linux и для Windows);
• входы на критичные системы - возможно, и здесь обнаружатся аномалии;
• списки активных процессов, активных сетевых соединений на предмет аномалий;
• системные журналы на предмет подозрительных аутентификаций на критичных системах;
• статистику на сетевом оборудовании (если это возможно). Возможно, в нем будут обнаружены аномальные всплески по объемам передаваемого трафика и соединения с подозрительными доменами или IP-адресами.

Назначьте ответственных

В компании должны быть ответственные за реагирование на инциденты. Вовлеченные люди должны понимать свои роли и цели. Лучше всего иметь матрицу взаимодействий и описание шагов, которые нужно сделать оперативно в случае инцидента. Также необходимо, чтобы ответственные лица были доступны 24/7 и готовы к реагированию на инцидент даже в выходные дни.

Позовите внешних специалистов по MDR

Если же у компании нет собственных ресурсов для полноценного мониторинга и реагирования на инциденты, то можно рассмотреть помощь провайдеров услуг Managed Detection and Response. Конечно, за неделю или даже две до майских выходных такие задачи внедряются и развертываются тяжело, но если озаботиться заранее, такой класс услуг позволит организовать круглосуточный мониторинг инфраструктуры. Это позволит избежать необратимых потерь в случае атак.