Для осуществления атаки, злоумышленник должен выполнить последовательность действий, так называемую kill chain – необходимую последовательность действий, которая приведет к результативному вторжению.
Собственно, зная возможные последовательности атак, сотрудники ответственные за ИБ могут выработать стратегию защиты информационной системы.
В целом можно разделить жизненный цикл атаки на следующие этапы:
1. Разведка и сбор данных – на этом этапе происходит сбор информации об организации и ее информационных активах. В данном случае, необходимо выявить возможные пути проникновения – технологические и социальные. Для технологических каналов разведка может быть активной или пассивной – просмотр DNS или, например, сканирование портов.
2. Выбор способа атаки – выбирается ПО, с помощью которого будет происходить атака и канал доставки.
3. Доставка – процесс доставки вредоносного ПО до места назначения.
4. Эксплуатация – активация вредоносного ПО.
5. Закрепление – вредоносное ПО создаёт свои копии, маскируется и закрепляется на машинах ИС, чтобы затруднить обнаружение и удаление.
6. Исполнение команд – исполнение команд в автоматическом режиме или команд, полученных от злоумышленника.
7. Достижение цели.
С каждым шагом ущерб, нанесённый компании, растёт. Кроме того, в зависимости от того, на каком этапе обнаружена атака зависит эффективность расследования – например, обнаружение атаки на последнем этапе означает, что система ИБ просто-напросто не работает. Ранее обнаружение атаки возможно на этапах доставки и закрепления.
В целом, процедуру реагирования тоже можно представить как цепочку действий:
• Подготовка – это комплекс мер по ИБ – технических и организационных – которые призваны не допустить выполнение атаки;
• Обнаружение – использование специализированного ПО для обнаружения атаки с помощью предоставляемых отчетов, статистического анализа, аномальных событий и т.д.;
• Сдерживание – идентификация скомпрометированных компьютеров и настройка правила безопасности, чтобы ограничить заражение;
• Удаление – удаление вредоносного ПО и остаточных явлений;
• Восстановление – введение «вылеченных» компьютеров обратно в сеть;
• Выводы – анализ произошедшего и корректировка стратегии ИБ.
Время реагирования – это самый важный компонент, поэтому важен быстрый и качественный анализ происходящего в сети. В частности, используемые системы должны сообщать о событиях, которые являются признаками атаки:
- Событие, входящее в перечень шаблонов атак;
- Срабатывания антивируса;
- Появление неизвестного ПО в списках автозагрузки;
- Появление неизвестных сервисов в списке сервисов ОС;
- Запуск исполняемых файлов из папок, в которых в обычное время ПО отсутствует;
- Необычная сетевая активность;
- Неожиданное изменение привилегий пользователей.
Если система уведомляет об одно из этих событий – практически со 100% уверенностью можно сказать, что осуществляется атака. Все дальнейшее будет зависеть от скорости реакции сотрудников и их выучки.
Переходите на сайт staffcop.ru и узнайте больше о системе контроля действий сотрудников Staffcop Enterprise