Альянс «Пять глаз» представил руководство для организаций по реагированию на инциденты

Альянс «Пять глаз» (Five Eyes), в который входят спецслужбы США, Великобритании, Канады, Австралии и Новой Зеландии, опубликовал руководство для организаций по обнаружению вредоносной активности и реагированию на инциденты безопасности.

Согласно руководству, процедуру реагирования на инцидент лучше всего начинать со сбора артефактов, логов и данных для последующего анализа. Далее рекомендуется предпринимать шаги по блокировке атаки таким образом, чтобы злоумышленники не знали, что их присутствие в скомпрометированной сети было замечено.

Авторы руководства рекомендуют организациям, ставшим жертвами кибератак, обратиться за помощью к сторонним ИБ-компаниям, которые не только окажут им необходимую техническую поддержку, но также смогут полностью удалить злоумышленников из сети и предотвратить проблемы, которые могут возникнуть в результате дальнейших взломов.

Технический подход к выявлению вредоносной активности включает в себя поиск индикаторов компрометации (IOC), анализ трафика (сетевого и хостов), анализ данных с целью обнаружения повторяющихся шаблонов и выявление аномалий.

Во время изучения сети или анализа хоста рекомендуется обращать внимание на самые разные артефакты, в том числе на DNS-трафик, RDP-, VPN- и SSH-сеансы, вредоносные процессы, новые приложения, ключи реестра, открытые порты, установленные подключения, учетные данные пользователей, команды PowerShell и пр.

Принимая ответные меры против кибератаки, организации должны избегать распространенных ошибок, например, не предпринимать никаких действий сразу же после обнаружения инцидента (это может подсказать злоумышленнику, что его раскрыли), не восстанавливать систему до того, как были собраны и изолированы все необходимые для расследования артефакты, не получать доступ и не блокировать инфраструктуру злоумышленников, не сбрасывать пароли «на всякий случай» и не удалять записи реестра. Распространенной ошибкой также является не предпринимать никаких мер по устранению первоначальной причины кибератаки.

Для предотвращения атак по самым популярным векторам рекомендуется ограничение или отключение FTP, Telnet и неодобренных VPN-сервисов, удаление неиспользуемых служб и систем, отправка скомпрометированных хостов в карантин, закрытие необязательных портов и протоколов, отключение инструментов для удаленного администрирования сети, регулярная смена пролей и устранение уязвимостей и пр.

По мнению авторов руководства, сегментация сети, физическая изоляция чувствительных данных, следование принципу наименьших привилегий и использование безопасных конфигураций по всем сегментам и уровням сети должны уменьшить ущерб в случае кибератаки.