Продолжим тему проактивной реактивности
Ранее мы уже обсуждали поведение state-sponsored APT. Из той заметки главная мысль, что на практике очень непросто оставаться не взломанным, кстати, как и неуязвимым, и наша задача своевременно побеждать злоумышленников, раньше чем они успевали нам нанести ущерб. Если говорить о state-sponsored APT, то надо понимать, что на той стороне [почти] военные, выполняющие боевую задачу, причем, как на любом, хорошо организованном, предприятии, там реализовано разделение труда: есть ребята, которые отвечают за пробив и обеспечение стабильного удаленного доступа, есть ребята, ответственные за шпионаж, которые далее шарятся по сети, отыскивая интересное. Причем, если доступ пропал и кампанию вычистили, ответственные за пробив должны в кратчайшие сроки восстановить доступ (вполне возможно, у них даже есть SLA), поэтому после успешного респонса, они точно вернутся, поскольку ребятам, ответственным за шпионаж тоже нужно выполнять свою боевую задачу по сбору данных. Поэтому, пока жертва продолжает заниматься ровно тем же, чем и раньше, мотивация атакующих сохраняется, и поэтому они непременно возвращаются снова и снова, что мы не раз видели и видим на реальных проектах.
Следует оговориться, что мы рассмотрим сценарий, когда деструктивная цель не ставится, а задача именно сохранять долгое присутствие в сети... ну и чтобы, в целом, оставаться в курсе что там новенького у подопечных. Жертвами подобных атак часто являются государственные учреждения и всяческие их партнеры, как с целью эксплуатации Trusted relationship, так и вследствие того, что проекты государственной важности выполняются именно на предприятиях-партнерах, и выполнение таких проектов атакующим как раз и надо контролировать.
По классификации Kaspersky MDR инциденты вследствие человекоуправляемых атак получают уровень критичности Высокий и типовая рекомендация в этом случае – полномасштабный Incident Response. Это связано с тем, что для организации эффективного реагирования следует установить корневую причину, «пациента зеро», чтобы закрыть вектор первоначального пробива и злоумышленникам пришлось бы искать новый, а также выявить все точки закрепления и их аккуратненько почистить. Кроме того, очевидное слабое место MDR – нет возможности осуществлять мониторинг систем, с которых нет телеметрии (на которых нет агента), а в сети могут быть такие хосты, и они могут быть как важными для восстановления полной картины инцидента, так и точками закрепления злоумышленника, которые надо почистить для результативного реагирования, да и реагирование в MDR ограничено техническими возможностями инструментария MDR, тогда как команда DFIR может что угодно. В общем, когда мы видим, что за атакой стоит человек, мы и рекомендуем полностью человекоуправляемое реагирование, без технологических ограничений MDR (в дорожной карте есть развитие MDR до полнофункционального инструмента команды DFIR, надеюсь, скоро это будет реализовано).
Однако, есть заказчики, которые не следуют нашим рекомендациям по инициализации полномасштабного DFIR, и все что у нас остается – это автоматизированное реагирование с помощью EPP/EDR. В случае Kaspersky MDR используется единый агент, выполняющий функцию и EPP и EDR, говоря проще, функционал сбора EDR-телеметрии и человекоуправляемого EDR-реагирования является частью EPP, все в соответствии с заветами (странно блокируется blogspot: текст виден без проблем, а картинки – через VPN). Будучи производителем EPP, в рамках решения MDR, Kaspersky может оперативно добавлять обнаружение для новых угроз, а так как транспорт телеметрии в Kaspersky MDR – инфраструктура KSN, и поэтому у клиентов Kaspersky MDR включен KSN, доставка новых детектов может выполняться достаточно оперативно за счет UDS. В большинстве инцидентов, которые обнаруживаются в рамках Kaspersky MDR создание новых детектов и контроль того, что они эффективно отработали – основной сценарий реагирования. Как ни странно, этот простой процесс: обнаружение угрозы в MDR > создание правил обнаружения и лечения в EPP > контроль успеха отработки EPP со стороны MDR, вполне эффективно работает и в случае «пассивных APT», направленных на шпионаж. Следует добавить, что современный EPP имеет широкую функциональность по возможностям детектирования, и для целей более эффективного предотвращения, для одной и той же угрозы всегда используется несколько технологий обнаружения и предотвращения, буквально, все, какие только возможности имеются, т.е. одна и та же угроза будет «продетекчена» и по файлу, и эвристиками и по поведению, причем всеми возможными способами.
Мне стоит сознаться, что несмотря на "высокую технологичность" видосы типа вот этого у меня всегда вызывали улыбку - просматривается какая-то неуклюжая манипуляция, когда недостаток, а именно, невозможность малвару удалить автоматически и необходимость ее удалить вручную (!), позиционируется как великое преимущество - смотрите, мол, мы малвару можем удалять вручную! Причем подобные заявления, как правило, слышны от тех, у кого нет нормального EPP.... и поэтому им приходится малвару удалять вручную, а потом, наверно, добавлять ее куда-то к себе в блокировку запуска по хешу или по Yara... ну или постоянно ее удалять вручную и продолжать этим гордиться :)
Есть у нас ряд клиентов, где с завидной периодичностью мы обнаруживаем новые подозрительные события, которые впоследствии по телеметрии MDR расследуются в человекоуправляемые атаки. Здесь как раз тот случай, когда заказчик игнорирует не может выполнить нашу рекомендацию инициировать полномасштабный DFIR, и нам остается реагировать через EPP. Первичный вектор проникновения не всегда видно ввиду неполного покрытия агентами, поставляющими телеметрию (а если и видно, то требуются действия от заказчика по устранению уязвимости, но он не может...), однако, видно достаточно для добавления в EPP: видны инструменты, их запчасти, видны командные центры, некоторая часть будет продетекчена автоматически и командой Threat Research (TR), а в остальном - поможет MDR, также с подключением TR. Такое реагирование через EPP спасает не надолго, поскольку, вероятно, первоначальные векторы проникновения не закрыты, а, может, и не все точки закрепления почищены, тем не менее, такое реагирование дает свои результаты: атакующий исчезает на время, видимо, поразрабатывать новые инструменты, которые какое-то время не будут автоматически детектиться EPP (пока их не заметит MDR, например), порегистрировать и понастраивать новые C&C... - по телеметрии в MDR это действительно заметно как некоторое «затишье», однако, прекрасно понимая все о чем я здесь пишу, мы ожидаем его (или их) скорого возвращения. Появившись с новыми тулами, ребята снова будут обезоружены и все будет бесконечно повторяться, а мы это будем называть Security Operations.
Это, наверно, может показаться смешным, но описанная ситуация имеет и ряд позитивных моментов. Заказчик сохраняет состояние защищенности, поскольку на доступном нам объеме мониторинга мы не наблюдаем какой-либо эксфильтрации и\или попыток диструктивных действий, следовательно, до ущерба не доходит. Внутри, в шутку, мы называем таких заказчиков хонипотами, поскольку они поставляют нам новые знания об угрозах и помогают развивать наши возможности по обнаружению, тренировать команду аналитиков, а накопленными знаниями о тактиках и техниках мы щедро делимся с общественностью, что позволяет двигать всю отечественную отрасль.