Реагирование на инциденты и их расследование

Домашняя / Кейсы / Реагирование на инциденты и их расследование

Подготовка к расследованиям инцидентов безопасности в банке

Крупнейший восточноевропейский банк обратился к нам с просьбой помочь удовлетворить требования международной платёжной системы SWIFT. Для этого было необходимо внедрить и протестировать регламент и процедуру реагирования на инциденты информационной безопасности.

Для достижения указанной цели были выполнены следующие задачи:

Общие подготовительные работы: согласование с заказчиком регламента расследований на основе существующих политик информационной безопасности заказчика, а также релевантных требований и норм. Подготовка команды экспертов для удалённых расследований и расследований в помещениях заказчика.
Подготовка к удалённым расследованиям: настройка удалённого доступа и инструктирование специалистов заказчика.
Проведение учебного (тестового) расследования. Сценарий тестового инцидента и степень нашего информирования о нём определялись полностью на усмотрение заказчика.
Выполнение расследований по мере возникновения реальных инцидентов информационной безопасности. Взаимодействие с заказчиком согласно регламенту.

Мы предложили заказчику следующий набор типовых событий и инцидентов безопасности и процедур их обработки:

Аномальная активность в системе или логах транзакций
Компрометация реквизитов доступа (кратковременная)
Подмена личности (длительная APT атака, разовая атака, разведка и т. д.)
Повышение привилегий
Нарушение зон доступа или разделения ресурсов между критичными и общими ИТ-системами
Утечка конфиденциальной или внутренней информации, либо угроза её разглашения
Вирусная атака (онсайт или удалённо, в зависимости от последствий и степени поражения)
Нарушения наблюдаемости, целостности журналов событий и нарушения апеллируемости
Другие нарушения целостности (вмешательство или несанкционированное изменение)
Атака на отказ в обслуживании
Другие инциденты

На протяжении двух месяцев мы разработали и согласовали с заказчиком регламент и процедуры реагирования. После того, как мы выделили ресурсы для реагирования и расследования, заказчик инициировал тестовый инцидент и передал нам дампы памяти и жёсткого диска без каких-либо подробностей по инциденту. "Скомпрометированный" сервер был отключен от сети, и его место занял резервный сервер.

На протяжении одной рабочей недели мы проанализировали дампы и обнаружили тестовое заражение компьютерным вирусом. Мы выполнили обратную инженерию и разработали полный отчёт, в котором показали заказчику способ и ход заражения, а также сделали вывод об опасности вируса и дали рекомендации по его удалению.

Заказчик остался доволен нашей работой, отчитался перед SWIFT и приобрёл годовую подписку на нашу услугу управляемого реагирования на инциденты безопасности. Затем мы предложили заказчику наши услуги внедрения PCI DSS, но это уже другая история.

Заказать

Хакерская атака на правительство восточно-европейской страны

Представитель крупной правительственной организации одной из восточно-европейских стран обратился к нам с запросом о помощи в реагировании на хакерскую атаку и в её расследовании. С 5 утра субботы официальный сайт этой организации был недоступен из-за хакерской атаки Drupalgeddon 2, осуществлявшуюся в автоматическом режиме вредоносными скриптами по всей сети Интернет.

В результате анализа было выявлено, что атака на сайт не коснулась важных данных и не нанесла иного вреда, кроме простоя веб-сайта. Данный простой нанёс некоторый ущерб работе и репутации организации, а также взаимодействию с пользователями её сервисов.

Мы оперативно очистили сайт от вредоносных файлов и восстановили его, при этом собрав журналы событий и другие доказательства для передачи в полицию.

Расследование велось нами путём анализа файлов журналов событий различных серверных служб. Было установлено, что с определённого IP-адреса был последний удачный запрос с кодом возврата 200, после чего никакой информации не было. Далее были проанализированы скрипты сайта, и было установлено, что в начало всех исполняемых файлов был вставлен фрагмент кода PHP, который прежде всего отключал логирование и далее закодированным способом запускал шелл, который мог принимать удалённые команды на исполнение. В базе данных также были найдены вредоносные вставки.

После очистки сайта и сбора доказательств был выполнен харденинг (конфигурирование безопасности) сервера, обновлена версия CMS Drupal, введены дополнительные средства контроля предварительного тестирования, установки обновлений безопасности, а также внедрен файрвол веб-приложений (Web Application Firewall, WAF) для защиты сайта в реальном времени и система обнаружения вторжений на уровне хоста (Host-based Intrusion Detection System, HIDS) для ежедневного мониторинга целостности критичных файлов. Также мы предложили организации наши расширенные услуги Непрерывной защиты веб-сайтов, включающие, кроме прочего, защиту от DDoS-атак. Организация подписалась на этот сервис.

Несмотря на то, что полиция так и не нашла виновных в инциденте, государственная организация, благодаря нам, получила новый уровень защищённости своего сервера, что позволило ей успешно обнаруживать вторжения и противостоять как мелким, так и масштабным вредоносным атакам на протяжении последующих нескольких месяцев, вплоть до настоящего времени.

Узнать больше о реагировании на инциденты кибер-безопасности и их расследовании.

Заказать

Смотреть все