На SOC Forum 2018 проходили крайне интересные киберучения для команд Security Operation Center (SOC). Мастером игры был Алексей Лукацкий. Несколько команд отыгрывали то, как они бы повели себя в случае различных инцидентов у Банка. Начинающим SOC-ам и просто ответственным за оперативную ИБ может быть полезна информация с этих учений. Подумайте как бы вы поступали? <<< начало в первой части Ситуация 4. Повторное обнаружение вредоносного кода на сайте. В чем может быть причина? Разбор 4: На скриншоте видно что вредоносный скрипт был на внешней площадке партнера. Так и работали Magecart Вброс 1. Получен бюллетень от FinCERT по хакерской группе Magecart Разбор вброса 1: Ситуация 5. Получен запрос от регулятора из Болгарии дать разъяснения по поводу утечки ПДн Разбор 5: Ситуация 6. Коммерсант опубликовал в газете информацию об утечке ПДн и ссылку на pastebin Разбор 6. Действия не технического характера: Ситуация 7. Странные DNS запросы на несуществующие домены
На SOC Forum 2018 проходили крайне интересные киберучения для команд Security Operation Center (SOC). Мастером игры был Алексей Лукацкий.
Несколько команд отыгрывали то, как они бы повели себя в случае различных инцидентов у Банка. Начинающим SOC-ам и просто ответственным за оперативную ИБ может быть полезна информация с этих учений. Подумайте как бы вы поступали?
Ситуация 4. Повторное обнаружение вредоносного кода на сайте. В чем может быть причина?
Разбор 4:
- не устранили уязвимость
- зеродей
- проблема на стороне аутсорсера
- при восстановлении из бекапа повторно загрузили
- не проверили права на папки и кто-то повторно подгрузил
- скомпрометирована одна из привилегированных учетных записей сайта или облачного сервиса
- друга уязвимость
- внутренний нарушитель
На скриншоте видно что вредоносный скрипт был на внешней площадке партнера. Так и работали Magecart
Вброс 1. Получен бюллетень от FinCERT по хакерской группе Magecart
Разбор вброса 1:
- загрузить индикаторы компрометации в SIEM
- в утилите типа Loki пишем кастомную сигнатуру и прогоняем по нашей инфраструктуре
- принимаем действия указанные в бюллетене
- загрузить IOC в IDS
- мониторим обращения к ресурсам злоумышленников
- если инцидент подтвердился, сообщаем FinCERT
- просим разделегировать SOA и засинкхолить домены злоумышленников
Ситуация 5. Получен запрос от регулятора из Болгарии дать разъяснения по поводу утечки ПДн
Разбор 5:
- запросим подробную информацию о том почему запрос и сообщим что информацию приняли, проводим расследование и вышлем информацию после анализа
- уведомим об этом обращении своих регуляторов
- готовимся давать ответ, какие меры в рамках GDPR мы приняли
- проверим не фишинг ли это
- известим юридическое подразделение и руководство компании
Ситуация 6. Коммерсант опубликовал в газете информацию об утечке ПДн и ссылку на pastebin
Разбор 6. Действия не технического характера:
- проверить насколько данные выложенные на pastebin соответствуют реальности
- если не подтверждается, просим Комерсанта дать разъяснения либо используем наш официальный сайт для опровержения информации
- сообщаем в службу по коммуникациям со СМИ чтобы они поговорили с Коммерсант
- в администрации pastebin узнаем откуда были залиты данные, обращаемся в правоохранительные органы
- блокировку публикации на pastebin, поиск на других ресурсах
- принудительно заблокировали все учетные записи с pastebin и попросить сменить пароли
- предложить компенсацию клиентам
- подготовить новый информационный повод - отвлечь внимание
Ситуация 7. Странные DNS запросы на несуществующие домены с iphone генерального директора
Разбор 7. Что необходимо сделать при расследовании:
- уведомить директора, по возможности изъять телефон для анализа
- проверяем точку доступа
- посмотрим в логах эти ip-адреса
- сделать снимок для расследования
Так iphone проверяет, находится ли во внутренней сети
продолжение в третьей части >>>