Реагування на інциденти та їх розслідування

1
Хакерська атака на уряд східно-європейської країни

Представник великої урядової організації однієї зі східно-європейських країн звернувся до нас із запитом про допомогу з реагуванням на хакерську атаку та з її розслідуванням. Із 5-ї години ранку суботи офіційний сайт цієї організації був недоступний через хакерську атаку Drupalgeddon 2, що здійснювалася в автоматичному режимі шкідливими скриптами по всій мережі Інтернет.

У результаті аналізу було виявлено, що атака на сайт не торкнулася важливих даних і не завдала іншої шкоди, крім простою веб-сайту. Даний простій завдав деякий збиток роботі та репутації організації, а також взаємодії з користувачами її сервісів.

Ми оперативно очистили сайт від шкідливих файлів та відновили його, при цьому зібравши журнали подій та інші докази для передачі в поліцію.

Розслідування велося нами шляхом аналізу файлів журналів подій різних серверних служб. Було встановлено, що з вказаної IP-адреси був останній вдалий запит з кодом повернення 200, після чого ніякої інформації не було. Далі були проаналізовані скрипти сайту, і було встановлено, що в початок всіх виконуваних файлів був вставлений фрагмент коду PHP, який перш за все відключав логування та далі закодованим способом запускав шелл, який міг приймати вилучені команди на виконання. У базі даних також були знайдені шкідливі вставки.

Після очищення сайту та збору доказів був виконаний харденінг (конфігурація безпеки) сервера, оновлена ​​версія CMS Drupal, уведені додаткові засоби контролю попереднього тестування, установки оновлень безпеки, а також запроваджено файрвол веб-додатків (Web Application Firewall, WAF) для захисту сайту в реальному часу та система виявлення вторгнень на рівні хосту (Host-based Intrusion Detection System, HIDS) для щоденного моніторингу цілісності критичних файлів. Також ми запропонували організації наші розширені послуги безперервного захисту веб-сайтів, що включають, крім іншого, захист від DDoS-атак. Організація підписалася на цей сервіс.

Незважаючи на те, що поліція так і не знайшла винних в інциденті, державна організація, завдяки нам, отримала новий рівень захищеності свого сервера, що дозволило їй успішно виявляти вторгнення та протистояти як дрібним, так і масштабним шкідливим атакам протягом наступних декількох місяців, аж до теперішнього часу.

Дізнатися більше про реагування на інциденти кібер-безпеки та їх розслідування.

2
Підготовка до розслідувань інцидентів безпеки в банку

Найбільший східноєвропейський банк звернувся до нас із проханням допомогти задовольнити вимоги міжнародної платіжної системи SWIFT. Для цього було необхідно впровадити та протестувати регламент і процедуру реагування на інциденти інформаційної безпеки.

Для досягнення зазначеної мети були виконані наступні завдання:

  • Загальні підготовчі роботи: узгодження з замовником регламенту розслідувань на основі чинних політик інформаційної безпеки замовника, а також релевантних вимог та норм. Підготовка команди експертів для віддалених розслідувань та розслідувань у приміщеннях замовника.
  • Підготовка до віддалених розслідувань: налаштування віддаленого доступу та інструктування фахівців замовника.
  • Проведення навчального (тестового) розслідування. Сценарій тестового інциденту та ступінь нашого інформування про нього визначалися повністю на розсуд замовника.
  • Виконання розслідувань у міру виникнення реальних інцидентів інформаційної безпеки. Взаємодія з замовником згідно з регламентом.

Ми запропонували замовнику наступний набір типових подій та інцидентів безпеки й процедур їх обробки:

  1. Аномальна активність у системі або логах транзакцій
  2. Компрометація реквізитів доступу (короткочасна)
  3. Підміна особистості (тривала APT-атака, разова атака, розвідка тощо)
  4. Підвищення привілеїв
  5. Порушення зон доступу або поділу ресурсів між критичними та загальними ІТ-системами
  6. Витік конфіденційної або внутрішньої інформації, або загроза її розголошення
  7. Вірусна атака (онсайт або віддалено, в залежності від наслідків та ступеня ураження)
  8. Порушення спостереженості, цілісності журналів подій та порушення апельованості
  9. Інші порушення цілісності (втручання або несанкціонована зміна)
  10. Атака на відмову в обслуговуванні
  11. Інші інциденти

Протягом двох місяців ми розробили та узгодили з замовником регламент і процедури реагування. Після того, як ми виділили ресурси для реагування та розслідування, замовник ініціював тестовий інцидент та передав нам дампи пам'яті та жорсткого диска без будь-яких подробиць щодо інциденту. "Дискредитований" сервер був відключений від мережі, та його місце зайняв резервний сервер.

Протягом одного робочого тижня ми проаналізували дампи та виявили тестове зараження комп'ютерним вірусом. Ми виконали зворотну інженерію та розробили повний звіт, в якому показали замовнику спосіб і хід зараження, а також зробили висновок про небезпеку вірусу й дали рекомендації щодо його видалення.

Замовник залишився задоволений нашою роботою, відзвітував перед SWIFT та придбав річну підписку на нашу послугу керованого реагування на інциденти безпеки. Потім ми запропонували замовнику наші послуги впровадження PCI DSS, але це вже інша історія.