Сигурност

Хакерите неутрализират реакциите на инциденти по 5 начина – как да ги спрем

CIO Media

Реакцията на инциденти се е превърнала в шахматна игра със злонамерените лица, които успяват хитро да заобиколят усилията на компаниите и да влязат в системите им

Мария Королов, CSO

Преди известно време Националният център по киберсигурност на Великобритания докладва, че компания платила почти $9 млн. на хакери за ключ за дешифриране, след като става жертва на атака с искане на откуп (ransomware). Фирмата възстановява файловете си, но не успява да установи основната причина за атаката. По-късно същият хакер отново напада мрежата на компанията, като използва същия механизъм като предишния път за същата атака. "Потърпевшата фирма няма друг избор, освен пак да плати откупа", се казва в доклада.

Избягването на засичането е ключова стратегия на хакери от всякакъв вид. Киберпрестъпниците, които могат да неутрализират фирмената реакция на инциденти и да останат в системата след успешна атака, могат да ударят отново или да препродадат своя достъп на други хакери. Корпоративните шпиони или по-големите хакери имат и нужните ресурси и воля да се закрепят във фирмените ИТ системи дори след засичането и изгонването им.

Ето няколко техники, които хакерите използват, за да заобиколят усилията на IR екипите (Incident Response), и как да се справите с тях.

1. Повторно използване на пробойната
Ако IR екипът не може да намери произхода на първоначалната атака, хакерите могат отново да влязат, казва Тони Харис, директор IR в Booz Allen Hamilton. Затова компаниите първо трябва да подсигурят снимка на системите, логовете в мрежата и други потенциални доказателства, преди системите да бъдат изтрити и възстановени. След инцидента също е хубаво да се гарантира, че всичко е с нужните пачове и ъпдейти.

Какво се случва, ако хакерът е влязъл през система, която не се следи от компанията? "В доста случаи реагираме на уязвими места, които са резултат от сенчести ИТ", обяснява Харис. "Компаниите пачват системите, но някои от тях не са в списъка им." Сега е моментът да направите пълна инвентаризация, добавя той, включително чрез използването на инструменти за мрежов анализ с цел да идентифицирате трафика към системи, които не би трябвало да съществуват.

Ако компанията все още не разполага със система за засичане на крайните точки и реакция (Endpoint Detection and Response, или EDR), моментът е подходящ да внедри такава, за да засича всякаква подозрителна дейност или мрежов трафик - знак, че хакерът все още е вътре в система. "Важно е тези инструменти да са внедрени с възможно най-пълната им функционалност в цялата среда", добавя Харис.

Фактът, че е налице атака, ще даде допълнително предимство на екипа по сигурността да вземе необходимата му технология. "Това е един от пътите, когато главният директор по сигурността има пълната власт да оправи проблемите в средата", обяснява Харис. "Никога не оставяйте един добър пробив да отиде на вятъра."

2. Фалшиви правомощия
След като хакерите влязат в системата, те често се опитват да създадат нови потребителски акаунти за себе си или да хакнат акаунти на настоящи или бивши служители. "Ако престоят в средата достатъчно дълго, за да получат правомощия, първата им стъпка ще бъде да използват тези права, за да се върнат обратно във вашата среда", казва Харис.

Ако тези акаунти не са защитени с многофакторна автентикация или ако хакерите успеят да заобиколят или пренастроят тази автентикация, те могат да влязат обратно в системата и след промяната в компанията.

Ако обаче тези акаунти принадлежат на сенчести ИТ или сенчести облачни системи и екипът по сигурността не знае за тях, хакерите могат да не се притесняват дори от промяната на паролите. Компаниите трябва да преразгледат и издадените правомощия, казва той. Това включва изключване на ненужните акаунти, които служителите не използват, или ограничаване на привилегиите, ако нямат нужда от тях за изпълнение на работата си. Ще е неприятно (намаляването на правомощията винаги е), но екипът по сигурността ще има допълнителни основания заради атаката.

Отговарящите за реакцията на инциденти трябва да анализират всички системи, включително наскоро засечените сенчести ИТ, за наскоро създадени акаунти или такива, чиито привилегии наскоро са били разширени или реактивирани. "Много пъти компаниите изключват акаунти, вместо да ги изтрият", обяснява Харис.

Трябва да се имат предвид и "нечовешките" правомощия. "Хакерите ще получат достъп до служебни акаунти като използваните за бекъп решения или вътрешна комуникация в мрежата, допълва Харис. Тези правомощия трябва също да се променят."

А какво става със системите, за които ИТ отделът дори не знае, защото са в облака? "За съжаление това се случва доста често", казва Харис. За познати облачни инфраструктури и SaaS абонаменти компаниите обикновено разполагат с някакъв контрол на правата на достъп и администраторски акаунти. Когато такива няма, те трябва да работят с индивидуални доставчици, за да променят паролите.

Когато става дума за сенчести облачни инсталации, първата работа е да се открият. "Използвайте инструменти за следене на мрежата, за да разберете каква дейност наблюдавате", коментира Харис. "Поставянето на слой за управление на облака вътре във вашата мрежова среда помага за елиминирането на някои от тези сенчести инсталации в облака и ще ви помогне да разберете кой ги използва и в каква позиция се намирате."

Хакерите могат да използват фалшиви облачни акаунти, за да се свържат със служители или по някакъв друг начин да влязат отново в системата. Което е още по-лошо, те могат да продължат реалната атака. "Много хакери използват облачни среди, за да извличат данни и да се свързват с цел контрол и управление на сървъри, казва Харис. Сега е моментът да се справите с всички тези проблеми."

3. Промяна на паролите
Добра IR практика е след засичане на пробив да се променят всички пароли. "Компаниите "поумняват", казва Харис. Внедряват решения за многофакторна автентикация и затрудняват достъпа на престъпниците до мрежата."

Многофакторната автентикация може да затрудни и редовите служители в достъпа им до мрежата и при големите компании може да доведе до поток от обаждания към хелп деска. "В зависимост от мащаба на фирмата може да става дума за десетки хиляди служители, молещи за помощ при смяната на паролата, обяснява Харис. Ставали сме свидетели как хакери се възползват от това. Те също се обаждат на хелп деска и се опитват да се представят за служител и да получат еднократна парола за достъп на своето устройство с нов телефонен номер. В някои случаи успяват."

За да се парира тази тактика, хелп дескът трябва да е преминал обучение за разпознаване на фишинг атаки, коментира Харис. "Трябва да различават нюансите в молбите на хората. В идеалния случай трябва да задават въпрос, чийто отговор хакерите не знаят."

Някои хелп дескове използват и гласов анализ за потвърждаване на самоличността. "Ако някой се опита да премине през многофакторната автентикация, тази система трябва да сигнализира, добавя Харис. Трябва да се зададат още няколко въпроса, за да се уверите, че насреща стои правилният човек."

Анализът на потребителското поведение също помага да се засекат компрометирани акаунти. "Ако потребител живее в Сандъски, Охайо, а след час се логва от Калифорния, вероятно е налице проблем. Няма начин да стигнат за един час от Охайо до Калифорния", казва Харис.

Обучението на персонала също е от помощ. Ако служител се логне и забележи, че предишният му лог е бил, когато всъщност него го е нямало, трябва да докладва. Ако компанията е понесла удар, служителите ще са по-отворени към такова обучение.

4. Прикриване зад устройства на Интернет на нещата
Често срещана хакерска тактика е използването на устройства на Интернет на нещата като входни точки или места за укриване, докато хоризонтът не се разчисти, казва Дерек Менки, главен директор по въпросите на сигурността във FortiGuard Labs. "IoT устройствата обикновено не се проверят или сегментират, както би трябвало, обяснява той. Те са сред основните цели на хакерите като места за заразяване или настаняване."

За да идентифицират потенциално заразени устройства, компаниите могат да се поучат от пандемията. "Поставете ги под карантина, казва Менки. Също като с COVID-19 трябва да ограничите разпространението и заплахата. Няма причина това току-що представено IoT устройство да е на същата мрежа и да има достъп до базата данни от клиенти."

Нулевото доверие е подходящ подход. Може също да използвате система за управление на информацията и събитията, свързани със сигурността (Security Information and Event Management, или SIEM) за целите на идентифицирането на съмнителен трафик и след това да изолирате устройствата нарушители, казва Менки. "Защо моят принтер се свързва със съмнителен сървър в чужбина?"

Анализът на потребителското поведение, при който изкуственият интелект и машинното обучение се използват за засичане на необичайно поведение, също се превръща в мощен инструмент за защита от този вид заплаха, особено ако системите могат автоматично да добавят политики за блокиране на злонамерено поведение. "Хората са бавни в някои неща", добавя Менки.

5. Укриване в доверен софтуер
Атаката SolarWinds се оказва най-лошата досега. Неотдавна изследователите от Trustwave докладват за три нови проблема със сигурността при продукти на SolarWinds - все критични бъгове, един от които дори позволява отдалечено изпълнение на код с високи привилегии.

Екипите по сигурността често не обръщат внимание на комуникационните канали на доверените софтуерни системи, освен да проверяват дали самият софтуер е пачнат и обновен до най-новата си версия. Случаят със SolarWinds доказва, че това е голяма грешка и тези хакери са успели да останат незабелязани вътре в системата месеци наред, включително в системи, принадлежащи на работещата в областта на сигурността фирма FireEye, и до системи, собственост на Министерството на отбраната и други правителствени агенции.

Когато компрометираният софтуер е инструмент за управление на мрежата или за софтуерни разработки, резултатите могат да са катастрофални, казва Джо Макман, главен директор по сигурността и киберстратег в Capgemini North America. Хакерите могат да получат достъп до сървъри, на които работи софтуерът, както и до други системи, свързани със същата мрежа, и да разпространят атаката си оттам, добавя той.

"Трябва да търсите неща, които софтуерът не би трябвало да прави", казва Джери Бизет, начело на IR програмата на Booz Allen Hamilton. Преди това Бизет е бил начело на техническото звено на киберотдела на ФБР, където е управлявал екип за реакция на киберинциденти на национално ниво.

Ако ресурсите го позволяват, компаниите могат да поискат дори мнението на трети страни за софтуер, за който подозират, че е използван за пробив, или да разпитат доставчиците как той трябва да комуникира със създателите си, за да открият дали тази комуникация е легитимна.

Изглежда, никой не проверява партньорските комуникационни канали, казва Браян Сартин, шеф в компанията по киберсигурност eSentire. "Хубаво би било да се извършва всякакъв вид сканиране, обяснява той. Но много малко от компаниите - и то много малко от големите компании - го практикуват."

Освен това, ако екипът по сигурността подозира, че има проблем със софтуера на външен доставчик, а няма налична политика на нулево доверие или сегментиране на мрежата, значи е време това да се промени. "Ако не е включена в цялостния си вид, трябва обезателно да го направите", коментира Сартин. "Може да ограничите способността на хакера да се движи вътре в мрежата. Именно отворената, неограничена комуникация позволява на подобни пробиви да се случват."

Това включва ограничаване на изходящата комуникация с трети страни. Преди атаката на SolarWinds екипите по сигурността често пренебрегваха това, казва Сартин. Поне засега този проблем излиза на по-преден план. С времето обаче тези уроци могат да бъдат забравени. "Притеснявам се, че самата идея да се следи много внимателно изходящият трафик ще се изгуби", добавя той.

Превод и редакция Юлия Уршева

X