Как сегодня предотвратить остановку деятельности организации с помощью мониторинга инцидентов безопасности

В ночь с 14 на 15 июля в Приморском крае информационная система регионального склада аптечной сети АО «Фармация» была безжалостно взломана хакерской группировкой. По итогу успешной атаки парализована работа по выдаче жизненно-важных препаратов для льготной категории лиц.

Ситуация мгновенно приобрела общественный резонанс – по произошедшему инциденту пресс-служба минздрава края дала свои комментарии в своем официальном канале.

Высокая многоступенчатая защита информации была взломана. Сохранен лишь частичный доступ, а также возможность в ручном режиме обеспечить выдачу экстренно важных препаратов.

---

Разобраться в произошедшей ситуации и понять, каким образом сегодня можно предотвратить остановку деятельности организации нам помог наш эксперт Александр Кирий, руководитель отдела мониторинга и анализа защищенности.

---

– Александр, насколько я поняла новость, на региональный склад АО «Фармация» была совершена успешная атака, в результате которой сотрудники не могли отпускать лекарства по льготным рецептам. Давай подробнее разберем кейс. Что технически произошло?

– Взломали информационную систему, но вряд ли она находится в отдельно взятой аптеке. Скорее всего, это какое-то здание, может быть, даже ЦОД, где находятся все сервера организации. На этих серверах расположены виртуальные машины с той самой информационной системой, которую теперь взломали злоумышленники.

– Представители минздрава края сообщили, что была взломана «высокая многоступенчатая защита». Что они имели в виду? Это были какие-то средства защиты информации?

– Вводных данных у нас нет. Поэтому могу предположить, что у них был защищен внешний периметр, возможно, проведена сегментация сетевой инфраструктуры объекта. А может быть, просто для красного словца так сказали.

– Хорошо, была взломана описанная тобой инфраструктура. Далее произошла остановка работы провизоров – люди несколько дней не могли получить жизненно-важные препараты… Если бы у организации в их «многоступенчатой защите» был SOC, они смогли бы предотвратить взлом?

– Сложно комментировать без вводные данных. Но давай попробуем предположить, как развивались бы события, если бы у организации был SOC…

SOC-команда занимается анализом произошедших инцидентов, а реагирование уже на стороне самой компании. Может быть, сотрудники знали о существующих проблемах в защите, но продолжали бездействовать, и поэтому произошедшая атака оказалась успешной.

– Расскажи подробнее, как работает SOC? Что вы видите в процессе сбора и анализа поступающих событий безопасности?

– Ок, расскажу на примере работы Центра мониторинга нашей компании.

Мы, как специалисты Центра, непрерывно анализируем поступающие в систему мониторинга события.

Если в списке выявленных событий подозреваем инцидент, то есть выявляем зарождающуюся атаку, то расследуем его, формируем карточку и направляем информацию заказчику.

– А как вы решаете, что вот тот или иной инцидент – это начало атаки?

– Если коротко, то на основе экспертизы.

– Можешь подробнее рассказать?

– Хорошо. Система мониторинга выдает предупреждения, когда в нее поступают потенциально-опасные события. Кроме того, система сама коррелирует инцидент и на выходе показывает результат. Это попытка эксплуатации какой-то конкретной уязвимости или же в текущей атаке злоумышленником использована некая конкретная тактика?

Далее полученную информацию специалисты в ручном режиме собирают и детально анализируют, формируют карточку, выписывают рекомендации и направляют их заказчику.

– Заказчик сам реагирует на атаку?

– Здесь правильнее говорить не о реагировании с его стороны, а о выполнении рекомендаций специалистов SOC-команды.

– То есть ваша задача – сказать клиенту, какие шаги нужно сделать?

– Да. Ну, и, конечно, мы полностью сопровождаем его действия и отрабатываем инцидент.

– А если вы поняли, что прямо сейчас идет атака? Какие будут ваши действия?

– Все тоже самое – разницы особой нет. Рекомендации могут быть другими, а порядок действий тот же

– Например, какие могут быть рекомендации?

– Все зависит от атаки. Например, если идет воздействие на узле, значит, можно отключить этот узел от сети. Нет доступа – нет возможности у злоумышленника продолжать атаку.

Опять же наши действия зависят от этапа атаки. Если идет распространение атаки по сети, то можно изолировать узел. А если происходит попытка пробить внешний периметр, то в этом случае лучше заблокировать IP-адреса, с которых совершается атака.

– Хорошо, например, произошла атака, вы рекомендовали клиенту отключить узел. Клиент так и сделал. А дальше что? Он подключит его вновь, и атака продолжится?

– Тут нужно разбираться в каждом конкретном случае отдельно. Допустим, произошло поражение узла. Если клиенту нужно понимание, как развивалась атака, мы проводим детальное расследование инцидента. Если цель – лишь продолжение бесперебойной работы, помогаем восстановить систему и ее работоспособность.

– А как сделать так, чтобы клиента впоследствии снова не взломали?

– Нужна какая-то активная защита.

– По результатам работ вы скажете, какие рекомендации нужно выполнить?

– Тут важно понять, как проходит атака. Условно есть 2 вектора атак – ошибки конфигурации и уязвимое программное обеспечение, на которое есть готовый эксплойт, либо можно написать эксплойт.

Соответственно, рекомендация будет звучать так – обновляйте, закрывайте уязвимости, либо вносите исправления в текущую конфигурацию. инфраструктуры

Если атака же проводится через фишинговые рассылки, в этом случае эффективнее установить антифишинговое средство для фильтрации поступающих писем и блокировке подозрительных. Потому что полагаться на обучение сотрудников – не самый надежный способ защиты сегодня.

– А если успешная атака завершилась нарушением деятельности организации, SOC может помочь на этом этапе? Вы расследуете произошедшие инциденты, чтобы предотвратить их повторение в будущем?

– Тут необходимо понимать, какую цель преследует руководство организации. Если цель восстановить работу системы, имеет смысл проанализировать ситуацию, увидеть, откуда произошло проникновение.

По оставшимся логам, журналам специалисты SOC смогут выявить первопричину атаки, так сказать, найти «узкое» место в инфраструктуре. Кроме того, мы проверяем следы вредоносов. И при обнаружении, зачищаем.

Если цель организации – узнать, кто стоит за атакой, нужны совсем другие ресурсы для глубокого расследования.

– А зачем организации знать, кто именно их взломал?

– Для обращения в правоохранительные органы, изъятия технических средств для взлома, наказания преступников, в конце концов. Возможно, компания хочет вернуть украденные средства или показать степень заинтересованности в защите данных клиентов. Цели могут быть разными.

– Александр, спасибо за увлекательное погружение во внутреннюю работу Центра мониторинга. Давай подведем краткие итоги. Чем полезен SOC для защиты от атак?

– Если коротко, SOC помогает увидеть зарождающуюся атаку на первоначальном этапе и вовремя предпринять необходимые действия для ее прекращения. А на этапе произошедшей атаки, то есть постфактум, поможет восстановить систему, а также расследовать инцидент, чтобы эффективно защитить существующую инфраструктуру.





                                                                                                                                                                                                                                                             Беседовала Анна Петренко