На SOC Forum 2018 проходили крайне интересные киберучения для команд Security Operation Center (SOC). Мастером игры был Алексей Лукацкий.
Несколько команд отыгрывали то, как они бы повели себя в случае различных инцидентов у Банка. Начинающим SOC-ам и просто ответственным за оперативную ИБ может быть полезна информация с этих учений. Подумайте как бы вы поступали?
Ситуация 4. Повторное обнаружение вредоносного кода на сайте. В чем может быть причина?
Разбор 4:
- не устранили уязвимость
- зеродей
- проблема на стороне аутсорсера
- при восстановлении из бекапа повторно загрузили
- не проверили права на папки и кто-то повторно подгрузил
- скомпрометирована одна из привилегированных учетных записей сайта или облачного сервиса
- друга уязвимость
- внутренний нарушитель
На скриншоте видно что вредоносный скрипт был на внешней площадке партнера. Так и работали Magecart
Вброс 1. Получен бюллетень от FinCERT по хакерской группе Magecart
Разбор вброса 1:
- загрузить индикаторы компрометации в SIEM
- в утилите типа Loki пишем кастомную сигнатуру и прогоняем по нашей инфраструктуре
- принимаем действия указанные в бюллетене
- загрузить IOC в IDS
- мониторим обращения к ресурсам злоумышленников
- если инцидент подтвердился, сообщаем FinCERT
- просим разделегировать SOA и засинкхолить домены злоумышленников
Ситуация 5. Получен запрос от регулятора из Болгарии дать разъяснения по поводу утечки ПДн
Разбор 5:
- запросим подробную информацию о том почему запрос и сообщим что информацию приняли, проводим расследование и вышлем информацию после анализа
- уведомим об этом обращении своих регуляторов
- готовимся давать ответ, какие меры в рамках GDPR мы приняли
- проверим не фишинг ли это
- известим юридическое подразделение и руководство компании
Ситуация 6. Коммерсант опубликовал в газете информацию об утечке ПДн и ссылку на pastebin
Разбор 6. Действия не технического характера:
- проверить насколько данные выложенные на pastebin соответствуют реальности
- если не подтверждается, просим Комерсанта дать разъяснения либо используем наш официальный сайт для опровержения информации
- сообщаем в службу по коммуникациям со СМИ чтобы они поговорили с Коммерсант
- в администрации pastebin узнаем откуда были залиты данные, обращаемся в правоохранительные органы
- блокировку публикации на pastebin, поиск на других ресурсах
- принудительно заблокировали все учетные записи с pastebin и попросить сменить пароли
- предложить компенсацию клиентам
- подготовить новый информационный повод - отвлечь внимание
Ситуация 7. Странные DNS запросы на несуществующие домены с iphone генерального директора
Разбор 7. Что необходимо сделать при расследовании:
- уведомить директора, по возможности изъять телефон для анализа
- проверяем точку доступа
- посмотрим в логах эти ip-адреса
- сделать снимок для расследования
Так iphone проверяет, находится ли во внутренней сети
продолжение в третьей части >>>