На SOC Forum 2018 проходили крайне интересные киберучения для команд Security Operation Center (SOC). Мастером игры был Алексей Лукацкий.
Несколько команд отыгрывали то, как они бы повели себя в случае различных инцидентов у Банка. Начинающим SOC-ам и просто ответственным за оперативную ИБ может быть полезна информация с этих учений. Подумайте как бы вы поступали?
<<< начало в первой и второй части
Вброс 3. Генеральный директора показал что ему приходило странное письмо о блокировке его личного gmail аккаунта и он сделал все как там написано
Разбор вброса 3. Что необходимо сделать:
- узнаем с какого компьютера генеральный директор открывал письмо
- мог ли быть скомпрометирован компьютер
- сделать IOC и прогнать по нашим системам
- уведомить FinCERT
- принудительно выйти из всех аккаунтов google и поменять пароли и включить 2FA
- предложить написать заявление в правоохранительные органы как частному лицу
- провести базовый тренинг
Ситуация 8. Ноутбук генерального директора заражен шифровальщиком, он принес его на работу чтобы разобраться в проблеме
Разбор 8. Перечислите ваши действия:
- подключался ли ноутбук к корпоративной сети?
- изъять ноутбук, снять дамп
- попробовать найти расшифровальщик, nomoreransome
- проверить какие сетевые ресурсы были подмаплены
- восстановить сетевые ресурсы из бэкапа
- проверить что все свежие обновления установлены
- проверим какое АВПО стояло на ноутбуке
- получить хэш процесса и проверить по базе IOC
Ситуация 9. Зафиксирован резкий рост количества защифрованного трафика в сети
Разбор 9. Какие могут быть причины:
- выкатка нового сервиса
- внутренний нарушитель, который выгружает информацию наружу
- бэкап про который мы не знаем
- работа вредоносного ПО
- возможно аутсорсинг
- может быть уязвимости в коде (особенно опенсорсные куски)
- может быть web приложение, которое позволяет загружать файлы
- вредоносные обновления от партнеров
Для мониторинга защифрованного трафика - утилита Joy, анализ netflow. Если это SSH - то могут быть использованы средства анализа трафика администрирования типа Balabit
Вброс 4. Генеральному директору предложили заплатить выкуп за расшифровку данных
Разбор вброса 4:
- объяснить что даже в случае оплаты выкупа нет гарантии восстановления данных
- сделать контрольную проверку или посмотреть в интернете отзывы об успешности восстановления
- заснять дамп, так как в будущем может появится дешифровщик
- платить выкуп
- попробовать поискать данные в icloud или на телефонах
Ситуация 10. Необходимо подготовить пятиминутный доклад руководству о событиях прошлой недели с планом дальнейших мероприятий
Тут лучше посмотреть на видео, но с отчетами руководству все провалились. По хорошему, нужно было сделать краткий разбор по каждому инциденту на языке бизнеса:
- что произошло и к какому ущербу привело
- почему это произошло
- какие меры необходимо принять
Можно рассматривать все это как как отличный учебный материал посмотреть что предлагали делать коллеги в случае различных инцидентов и подумать как бы вы поступали в этих случаях. Также напомню что на ближайшем SOC Forum 2019 будет ещё раз подобное мероприятие, в котором можно поучаствовать или посмотреть его в живую.