Bирусозависимый компьютерный инцидент: куда бежать?

Павел Наконечный

19 августа прошёл онлайн-семинар компании Dr.Web "Bирусозависимый компьютерный инцидент: куда бежать?" в рамках онлайн-конференции Secuteck ADAPT 2020. Его провёл Вячеслав Медведев - ведущий аналитик отдела развития Dr. Web.

Модные системы превентивной защиты и поведенческого анализа зачастую спасают от новых угроз. Файловый монитор сейчас есть во всех антивирусах. Но не существует антивирусов, которые ловят 100% новых угроз. Нужно защищаться иными мерами.

Все боятся шифровальщиков и шпионов, однако процентов 20-30% инцидентов - простой перебор паролей, вход через забытый порт, использование встроенных утилит или установка легальных архиваторов (например, WinRAR). Нельзя забывать о базовых правилах безопасности, даже когда вы используете антивирусы.

При защите от компьютерных атак компании совершают три основные ошибки:

• Не готовятся к атаке
• Принимают простые сбои системы за атаки
• Не готовят сотрудников к действиям после и во время атаки

Что делают до атаки?

Бывает, что средства защиты не ставят. Кто же ставит антивирус на Linux? Там же не бывает вирусов. На Linux-серверы не ставятся антивирус и обновления безопасности. Появляется скомпрометированный сервер, который считается безопасным. Его атакуют первым.

В других случаях средства защиты ставят и забывают. Что-то происходит, а что - никто не заметил. Бывает, что программа сидит несколько лет, пока не обратятся. Необходимо настроить систему уведомлений не только админа, но и на тех, кто  его заменяет и будут готовы вмешаться в нештатную ситуацию в выходные и праздники.

Никто не следит за тем, что происходит на серверах. Туда же ходит только админ. Зачастую из-за некомпетентности администратора после атаки определить, откуда произошла атака, невозможно.

Что же происходит во время атаки?

Готовы ли ваши сотрудники отличить обычный инцидент безопасности от компьютерного преступления? Большинство проблем автоматически списываются на действия хакера. Тогда есть варианты: быстро изолировать, пролечить CureIT, а затем восстановить систему. Или же собрать комиссию, определить порядок действий согласно корпоративным стандартам, запечатать ПК и отправить на экспертизу.

Зачастую сотрудники видели предупреждения об атаке, но продолжали работать. Если нужно сохранить данные от атаки – просто выдерните вилку из розетки. Готовы ли вы к тому, что компьютер может быть изъят для экспертизы на длительный срок?

Очень важно вести логирование в системе, потому что зловредные анализаторы могут удалять логи своих действий в ней. Именно поэтому в СМИ не пишут о том, как шифровальщик попал в систему - установщик удалился. Админы не имеют понятия, как произошла атака.

Первым делом сисадмины проходят по системе с помощью CureIT. Тогда утилита всё удаляет, и найти и расшифровать вредонос уже будет нельзя. Не нужно никогда спешить и выполнять стандартные действия.

Компания должна быть готова к любому инциденту. Должна быть инструкция действий для каждого сотрудника. Если сисадмин заболеет, то действия по борьбе с угрозой должен суметь повторить любой заменяющий его сотрудник. В каждой дежурной смене должен быть ответственный за проведение действий в случае проведения атаки.

Главные урок пандемии коронавируса в том, что компании никогда не просчитывали такой вариант развития событий. Компании должны готовиться к войне с любыми «марсианами». Существует открытый стандарт NIST Special Publication 800-61 Revision 2. Computer Security Incident Handling Guide по работе с инцидентами пост-фактум. Он всегда должен быть под рукой у сотрудников.

Как собрать доказательства?

Распространенная проблема - отсутствие сбора доказательств. Компьютер - это доказательство. Даже скан антивируса приводит к изменениям даты доступа. Любой адвокат противной стороны может использовать это как аргумент. Прежде чем проводить работу необходимо снять полную копию. Все забывают про буткиты. В загрузчике тоже может что-то быть: простейший шифровальщик, троян.

Обязательное действие антивируса должно быть - переместить в карантин. Когда вы изымаете компьютер у сотрудника, должна быть создана комиссия, должен быть составлен акт о том, что сотрудник не возражает и с компьютером ничего сделано не было. Данные снимаются спецоборудованием.

Знают ли сотрудники, куда позвонить в случае инцидента? Адресаты тревожных звонков - руководство, PR- подразделение, юрист, подразделение IT- безопасности.

Замусоривание системы приводит к зависаниям. Готовы ли ваши сотрудники анализировать данные? У вас проводятся compliance-проверки? Готовы ли вы к тому, что сотрудники попытаются скрыть результаты заражения? Налажены ли контакты с ЦОДом, который также может вести анализ и расследование? Знают ли сотрудники, где они могут найти улики атаки? Кстати, антивирусы зачастую умеют сами составлять отчёт для техподдержки.

Компании крайне редко сталкиваются с уголовным правом. А есть ли у вас юрист, разбирающийся в тонкостях уголовного права? Ведь заражение - это уголовное право.

Лицо, имеющее право подписи, должно быть доступно в любое время. Правоохранительные органы любят затягивать процесс. Юрист должен быть готов подписать договор с внешними специалистами. Необходимо иметь возможность быстро сделать обращение к вендорам и производителям легального ПО.

Бльшинства инцидентов можно было бы избежать или найти виновных.

Что даёт Dr.Web?

Продукты Dr. Web для безопасности:

• Dr.Web vxCube - песочница для анализа файлов онлайн
• Dr.Web FixIt! - сервис для удалённой диагностики инцидентов ИБ и устранения их последствий
• Экспертиза ВКИ - огромный опыт работы с кибербезопасностью: рекомендации, советы и анализ.

Необходимо использовать нормальные средства защиты - антивирусы, соблюдать правила компьютерной безопасности в компании, быть готовым привлекать внешних специалистов: экспертов безопасности, юристов, правоохранительные органы и вендоров ПО.