Пожалуй, нет ни одного системного администратора, который хотя бы раз не представлял себе этот сценарий. Утро начинается совершенно обычно: сотрудники постепенно подключаются к корпоративной сети, открывают почту, запускают привычные приложения, а затем начинают поступать первые тревожные сообщения. У кого-то перестали открываться документы, кто-то потерял доступ к сетевым ресурсам, система мониторинга буквально засыпает уведомлениями о подозрительной активности, а нагрузка на один из серверов внезапно достигает максимальных значений. Сначала кажется, что произошел очередной технический сбой, однако уже через несколько минут становится понятно — организация столкнулась с настоящим инцидентом информационной безопасности. Именно в этот момент начинается отсчет времени, и от того, насколько грамотно будут приняты первые решения, зачастую зависит не только объем ущерба, но и скорость восстановления всей инфраструктуры.
Специалисты по реагированию на компьютерные инциденты давно называют первые шестьдесят минут после обнаружения атаки «золотым часом». Именно в этот период можно остановить распространение вредоносного кода, сохранить цифровые доказательства, предотвратить компрометацию критически важных систем и существенно облегчить последующее расследование. К сожалению, практика показывает, что во многих случаях основной ущерб наносит не сама атака, а хаотичные действия сотрудников, которые пытаются как можно быстрее что-нибудь предпринять. Кто-то начинает перезагружать серверы, кто-то удаляет подозрительные файлы, кто-то отключает оборудование от питания, искренне считая, что тем самым спасает инфраструктуру. На самом деле подобные решения зачастую уничтожают важнейшие следы присутствия злоумышленника и значительно усложняют работу специалистов по информационной безопасности.
Напомню еще раз простую истину, в мире киберугроз ваши эмоции — ваш враг.
Именно поэтому первое правило реагирования звучит довольно неожиданно — не спешите. Это вовсе не означает, что нужно бездействовать. Напротив, действовать необходимо быстро, но исключительно осознанно. Паника становится одним из главных союзников атакующего. В состоянии стресса человек перестает мыслить системно и начинает принимать решения, основанные исключительно на эмоциях. Между тем каждая минута должна использоваться максимально эффективно.
Прежде всего необходимо убедиться, что перед вами действительно кибератака, а не обычная техническая неисправность. Причиной похожих симптомов могут оказаться неудачное обновление операционной системы, отказ накопителя, ошибки виртуализации, проблемы с сетевым оборудованием или некорректная работа программного обеспечения. Однако если одновременно появляются признаки массового шифрования файлов, неизвестные процессы, подозрительная активность PowerShell, создание новых административных учетных записей, отключение средств защиты, всплеск сетевого трафика или большое количество попыток аутентификации, вероятность компрометации становится крайне высокой. Именно сочетание нескольких подобных признаков обычно говорит о том, что злоумышленник уже находится внутри инфраструктуры.
После подтверждения инцидента необходимо как можно быстрее понять его масштаб. Самая распространенная ошибка заключается в том, что внимание концентрируется исключительно на первом обнаруженном компьютере. Между тем современные атаки редко ограничиваются одной рабочей станцией. Пока администратор изучает симптомы на одном устройстве, злоумышленник может уже перемещаться по внутренней сети, получать доступ к файловым серверам, компрометировать контроллеры домена или закрепляться в инфраструктуре через дополнительные механизмы доступа. Именно поэтому одной из главных задач первого часа становится определение реальных границ инцидента. Нужно понять, какие системы уже затронуты, продолжается ли распространение атаки, сохранили ли работоспособность критически важные сервисы и существует ли риск дальнейшей компрометации.
На этом этапе особую ценность приобретают журналы событий. Именно они позволяют увидеть картину, которая пока еще скрыта от пользователей. Логи межсетевых экранов нового поколения, IDS/IPS, VPN-шлюзов, прокси-серверов, SIEM, контроллеров домена и систем мониторинга способны буквально по минутам показать развитие атаки, определить предполагаемую точку проникновения и выявить устройства, которые уже взаимодействовали с вредоносной инфраструктурой злоумышленника. Очень часто именно анализ журналов позволяет понять, что инцидент начался вовсе не несколько минут назад, а несколькими днями или даже неделями ранее.
Следующая задача — максимально быстро локализовать распространение атаки. При этом крайне важно понимать разницу между полной остановкой системы и ее изоляцией. Если зараженная рабочая станция продолжает обмениваться данными с другими устройствами, ее необходимо немедленно отключить от сети. Для этого достаточно заблокировать порт коммутатора, отключить сетевой кабель или разорвать беспроводное соединение. При этом само устройство по возможности лучше оставить включенным. Работающая операционная система содержит огромное количество информации, которая может оказаться критически важной для расследования: содержимое оперативной памяти, активные процессы, сетевые соединения, ключи шифрования, временные файлы и множество других артефактов. Простое отключение питания уничтожает значительную часть этих данных буквально за несколько секунд.
Если же под компрометацию попал сервер, принимать решение следует значительно осторожнее. Полное отключение может привести к остановке бизнес-процессов, потере данных и дополнительным финансовым потерям. Во многих случаях гораздо разумнее временно ограничить сетевой доступ с помощью правил NGFW, ACL или сегментации сети, сохранив при этом работоспособность самой системы. Главная задача администратора заключается не в том, чтобы выключить как можно больше оборудования, а в том, чтобы прекратить дальнейшее распространение атаки и сохранить максимальное количество информации для последующего анализа.
Продолжение следует...
Соответствует редакционной политике
