UA


UA


Проактивний захист: як підготуватися до ймовірних загроз і мінімізувати наслідки

Illustration

Олександр Шаруєв

Sales Engineer, BAKOTECH

moc.hcetokab%40veiurahs.rdnaskelo

Дуже часто факт кібератаки проявляється, вже коли шкоди заподіяно і потрібно витрачати багато часу, щоб розібратися з наслідками. В таких випадках вони несуть не лише грошові збитки для компанії, а й репутаційні.
Класичний підхід до безпеки — реактивний. Він використовує такі рішення як антивірус, IPS та пісочниця, які реагують лише на активні загрози.
Але навіщо очікувати неминучого, якщо можна підготуватися до ймовірних загроз і скоротити час, потрібний для виявлення, вивчення і знешкодження загрози?
Для цього потрібно побудувати "проактивну" інфраструктуру безпеки.

Що таке проактивний підхід? 

Суть проактивного підходу у тому, щоб змістити фокус ліворуч від моменту атаки, до її планування, тому його ще називають "Shift to Left". У такому випадку можна підготуватися до атак будь-якого рівня, уникаючи безпосереднього контакту.

Illustration

Проактивний підхід до безпеки складається з декількох елементів:
● Вивчення нових кібератак; ● Актуалізація зміни рішень безпеки;● Threat Hunting.

Як дізнатися про атаки заздалегідь? Класичні підходи 

Один із форматів отримання інформації про нові загрози це ресурси, такі як CERT-UA (Computer Emergency Response Team of Ukraine). Тут можна знайти новини й тематичні статті, в яких коротко описують кожну нову атаку на Україну та надають індикатори компрометації.
Формат важливий та корисний, проте не вичерпний. Одна з причин — нестача даних про техніки й тактики атак по фреймворку MITRE ATT&CK, який суттєво спрощує процес вивчення загрози. Статті також зазначають IoC, але їх не оновлюють, тому за цією інформацією відловлювати модифікації однієї і тієї ж загрози вже неможливо.

Illustration

Також інформацію про загрози можна отримати, інтегрувавши "Threat Intelligence Feeds", наприклад misp.gov.ua (Malware Information Sharing Platform "Ukrainian Advantage"). Такі ресурси автоматично насичують засоби захисту (AV, IPS, SIEM тощо) новітніми індикаторами компрометації, таким чином, підтримуючи актуальність сигнатурних баз.
Вже з таким способом отримання Threat Intelligence можна захиститися від новітніх відомих загроз, проте він не вирішує проблему неінформативних IoC.
Наприклад, ось список доменних імен у списку IoC, які самі по собі ніякої особливої інформації не дають:
● gdsfkjlaskd532.onion ● kdowodkve12353.com ● 123igkfklas0or.org
Корисно було би дізнатися яке хакерське угрупування стоїть за ними, які країни та галузі (державна, банківська і т. д.) є ціллю атак. Зрештою, важливо знати, які заходи безпеки могли б допомогти успішно попередити атаки, що стоять за цими доменними іменами.
На додаток, цю інформацію потрібно постійно оновлювати та поширювати між співробітниками ІБ у всьому світі.

Trellix Insights: як рішення допомагає досягти проактивного захисту 

Trellix (раніше McAfee) — це унікальне у своєму роді рішення, яке поєднує обидва вищеописані способи отримання Threat Intelligence. Воно має легкий у використанні інтерфейс та безліч інтеграцій

Illustration

Trellix Insights забезпечує аналіз кіберзагроз штучним інтелектом і фахівцями в режимі реального часу. Таким чином ви отримуєте комплексні розвіддані, що допомагають пріорітезувати найбільш ймовірні для вашої компанії загрози. Більше того, ви отримаєте прогноз наслідків та рекомендації щодо покращення вашої безпеки.
Давайте розберемося, які ще переваги є у Trellix Insights.

Глобальна база даних про загрози 

Наразі в базі Insights можна знайти інформацію про 70 хакерських організацій та понад 2000 атакуючих кампаній. Trellix збирає цю информацію з понад мільярда сенсорів, яких стало в рази більше після об'єднання McAfee з FireEye.
На сторінці кожної атакуючої кампанії ви знайдете:
● Короткий опис загрози; ● Посилання на додаткові розслідування; ● Країни, з яких атакували; ● Інформацію щодо виявлення загроз у вашій організації, секторі, країні; ● Актуальні індикатори компрометації; ● Зіставлення тактик та технік зловмисників з MITRE ATT&CK.

Illustration
Illustration
Illustration

Аудит політик Trellix ENS та Skyhigh Security 

Аудит політик Trellix Endpoint Security та Skyhigh Security (компанія, створена на базі McAfee Enterprise, куди увійшли продукти, які відповідають концепції Security Service Edge (SSE)) — це інструмент для підготовки до ймовірних атак, що дає оцінку від 1 до 100.
Він також надає рекомендації щодо покращення оцінки, такі як:
● Оновлення сигнатур Endpoint Security до актуальної версії; ● Усунення виявлених загроз; ● Активація відновлення системи після виявлення загроз; ● Підключення до хмарної служби репутації.

Illustration
Illustration

Інструмент допомагає виявити на яких робочих станціях було тимчасово відключено захист, наприклад, для встановлення сумнівного програмного забезпечення.
Кнопка “Actions” для переходу в каталог політик ePolicy Orchestrator дає можливість додати необхідні зміни та підвищити захищеність організації всього у декілька кліків.

Threat Hunting 

Зловмисники шукають вразливі місця у системі, щоб збирати конфіденційні дані усередині організації протягом тривалого часу. Завдяки інструменту Trellix EDR, ми можемо проводити Threat Hunting, тобто спостерігати за наявністю певних IoC у системах організації, щоб виявити зловмисників.
Інструмент перевіряє робочі станції на наявність певних ключів реєстру, файлів та процесів в режимі реального часу і дозволяє видаляти їх за потреби.

Ось можливий процес розгортання Threat Hunting: 
1. Робимо пошук найбільш розповсюджених атакуючих кампаній в Україні через Trellix Insights.

Illustration

2. Обираємо атакуючу кампанію, переходимо на її сторінку та відкриваємо вкладку "Indicators of Compromise (IoCs)".

Illustration

3. Виділяємо цікаві для нас IoC та натискаємо кнопку "Real-Time Search in Trellix EDR". Ця дія запустить автоматичне створення запиту в EDR на пошук обраних IoC по усім робочим станціям нашої організації.
Якщо у результаті пошуку система виявить індикатори компрометації, їх можна буде одразу дослідити, заблокувати або видалити прямо на цій сторінці в меню "Actions".

Illustration

Insights автоматично виявляє сліди атакуючих кампаній у вашій організації. Далі розглянемо, як це відбувається.

Trellix Insights як інструмент розслідування 

Припустимо, що під час атаки, антивірусна програма виявила шкідливий файл "ghost.doc", який класифікується як "W97M/Downloader.dvh", і заблокувала його. На цьому компетенція антивірусу закінчується.
Оскільки нам потрібно продовжити розслідування, перейдемо в консоль керування ePolicy Orchestrator, де відразу бачимо повідомлення про виявлення GhostWriter Espionage Operation. Це атакуюча кампанія.

Illustration

Натискаємо "More Info", щоб отримати короткий огляд кампанії в Trellix Insights.

Illustration

У докладному вигляді, на карті, бачимо, що Україна була найчастішою ціллю в цій кампанії.

Illustration

А ще бачимо, що атаки не припиняються, тому заходи необхідно вжити якнайшвидше.

Illustration

Виявлений IoC підсвічено червоним. Експортуємо всі індикатори компрометації, щоб їх можна було використати в інших рішеннях безпеки.

Illustration

Далі переходимо до дослідження тактик і технік, використаних у даній кампанії. GhostWritter доставляється через Spear Phishing, використовує для виконання шкідливих скриптів mshta.exe і потай логує натискання клавіш. Враховуючи ці техніки, ми можемо скласти повну картину кампанії та почити вживати необхідні заходи для її знешкодження.

Illustration
Illustration
Illustration

Техніки кампанії автоматично організовуються у таблицю за допомогою матриці MITRE ATT&CK, щоб побачити, крок за кроком, дії GhostWritter.

Illustration

Як усунути загрозу? 

Для цього у вкладці "Indicators of Compromise IoCs" вибираємо раніше підсвічений червоним IoC і натискаємо кнопку "Real-Time Search in Trellix EDR".

Illustration

Бачимо, що цей хеш виявлений одразу на двох робочих станціях.

Illustration

Відмічаємо галочками всі системи і застосовуємо дії Contain>> Quarantine Device у меню Actions. Таким чином, ми заблокували всі мережеві з'єднання робочої станції, крім з'єднань Trellix, забезпечили захист системи та отримали більше часу на розслідування. Застосовуємо дії Mitigate>> Stop And Remove File Safe у меню Actions, щоб видалити шкідника та процеси, які він міг створити. Вводимо в поле sha256 значення хеша та натискаємо "Confirm".

Illustration
Illustration

Модифікуємо запит, щоб перевірити успішність видалення файлу. Для цього, біля слова "Files" додаємо "status" та повторюємо пошук.
Якщо бачимо статус "Deleted", загроза успішно знешкоджена.

Illustration

Висновки 

Щоб досягти не просто хороших результатів, а справді ефективного захисту, доцільно використовувати реактивний підхід разом із проактивним. Таким чином, атаки можна відбивати значно раніше і тим самим зменшити матеріальні та репутаційні збитки компанії.
Trellix Insights забезпечує інформацію про загрозу до моменту атаки, актуалізацію політик безпеки та Threat Hunting. Рішення допомагає розслідувати кіберінциденти, скорочуючи час на вивчення та усунення загроз. Запишіться на консультацію з нашими експертами, щоб дізнатися більше про рішення та як впровадити його у ваш бізнес.

Отримати безкоштовнедемо / консультацію / матеріали

Дякуємо!

Ваша заявка прийнята. Найближчим часом ми з вами зв'яжемось для уточнення деталей.

Can't send form.

Please try again later.