2105
Киберучения: полноценная проверка готовности к киберугрозам
Одними из последних громких атак были массовые DDoS-атаки в конце июля 2024 года на инфраструктуры крупных банков, таких как ВТБ, Райффайзен, Росбанк и других. Несмотря на высокий уровень информационной безопасности в этих финансовых организациях, злоумышленникам удалось достичь негативного эффекта с помощью так называемой ковровой DDoS-атаки.
В этом случае паразитный трафик с десятков тысяч устройств направляется на ресурс компании, а также на целые подсети и канальное оборудование телекоммуникационных операторов. При этом нет необходимости генерировать большой объем трафика с одного устройства. Наоборот, чем меньше трафика будет с конкретного IP-адреса, тем сложнее его обнаружить в общем потоке и тем труднее от него защититься.
Сценарий комплексной атаки
Если вам кажется, что организация атак такого типа достаточно сложна – это не так. В своей работе я достаточно много анализирую различные открытые источники, среди которых, например, встречаются анонимные телеграм-каналы и чаты, посвященные хакерству и конкретно атакам на ИТ-инфраструктуру РФ.
Администраторы и пользователи этих ресурсов распространяют готовые решения в виде docker-образов и инструкций как их запустить на любом устройстве, чтобы оно принимало участие в таких массовых атаках на постоянной основе. Количество комментариев и общая активность на таких ресурсах – впечатляет!
Также существует мнение, что данные атаки могут проводиться не только с целью на непродолжительное время вывести из строя какую-то часть инфраструктуры, но и с целью отвлечь ценные ресурсы ИТ и ИБ подразделений от какой-то более критичной атаки. Например, компрометации внешнего периметра и закрепления своего доступа во внутренней сети.
Сценарий такой комплексной атаки примерно следующий: злоумышленник находит уязвимость в каком-нибудь сервисе на внешнем периметре компании-жертвы, готовит все необходимые ресурсы и инструменты для успешной эксплуатации и в определенный момент начинает осуществлять DDoS-атаку. Ответственные подразделения начинают реагировать на эту атаку, утилизируя таким образом свои ресурсы, а в это же время с совершенно других адресов злоумышленник успешно эксплуатирует выявленную уязвимость, закрепляется в системе и уничтожает следы проникновения.
В связи с возросшим количеством кибератак на рынке услуг по информационной безопасности все более востребованными становятся услуги их имитации. Они отличаются от классического тестирования на проникновение тем, что в них акцент делается не только на выявлении уязвимостей и подтверждении возможности их эксплуатации. Важной задачей является проверка внутренних процессов компании, которые должны оперативно реагировать на возможные атаки и принимать меры для их остановки, а также устранения последствий.
Эти услуги обычно называют «киберучения» или Red Team Assessment. Они представляют собой контролируемую имитацию хакерской атаки с использованием техник, тактик и процедур, применяемых в реальных атаках. При этом, такая имитация может проводиться как на отдельно выстроенном полигоне (чаще можно встретить название «Киберполигон»), который частично воспроизводит ИТ-инфраструктуру компании, так и на существующей ИТ-инфраструктуре (классический Red Team Assessment).
У каждого метода есть свои плюсы и минусы, но общая цель у них одна – проверить готовность своих процессов к возможным атакам, отточить навыки реагирования и в конечном итоге повысить уровень информационной безопасности.
Стоит учесть, что данные услуги, несмотря на их концептуальную схожесть с тем же тестированием на проникновение, имеет свои ключевые особенности, которые делают «киберучения» отдельным видом услуг.
Разберем эти особенности на примере Red Team Assessment, когда атака проводится на существующую ИТ-инфраструктуру компании:
Минимальное количество ограничений. Большинство специалистов уже привыкли, что в тестировании на проникновение есть такие понятие, как «границы работ» или «скоуп» – перечень систем, которые пентестеры авторизованы тестировать. Иногда скоуп ограничивают какой-то конкретной подсистемой или бизнес-единицей. При проведении Red Team Assessment таких ограничений быть не должно, потому что реальные атакующие не будут себя ограничивать в выборе конкретных серверов или приложений. И зачастую, успех взлома целевой компании зависит от уровня защищенности связанных систем, будь то дочерние организации, партнеры или арендованные облачные сервисы. Поэтому в рамках Red Team Assessment в скоуп должны быть включены любые активы, которые так или иначе связаны с целевой ИТ-инфраструктурой.
Временные рамки. Если мы говорим про тестирование на проникновение, то в данном процессе не ожидается какого-либо активного противодействия со стороны Blue Team. Пентестеру не нужно скрывать свои действия, растягивать продолжительную атаку во времени или искать методы уклонения от средств защиты, т. к. основная цель тестирования – выявить уязвимости и подтвердить возможность их проэксплуатировать. В Red Team Assessment же скрытность и глубока проработка вектора атаки важнее, ведь у реальных злоумышленников нет (ну или практически нет) временных ограничений, планировать и готовить атаку они могут месяцами.
Уровень осведомленности служб ИБ. При тестировании на проникновение все заинтересованные стороны должны быть в курсе выполняемых действий, включая время проведения работ, этапы и получаемые результаты. Это нужно для того, чтобы в любой момент времени можно было получить полноценную обратную связь, а в случае нештатных ситуаций определить их причину и своевременно устранить негативные последствия. При Red Team Assessment осведомленность служб ИБ сводится к нулю, об активности знает только «контрольная группа», которая наблюдает за ходом работ и предпринимает действия для повышения эффективности всего мероприятия. Ведь реальные злоумышленники никогда не предупреждают о своих намерениях и не сообщают о промежуточных результатах. При этом лишняя информация, способная повлиять на естественное развитие событий при атаке, не выходит за пределы «контрольной группы» ни в сторону нападающих, ни в сторону защитников. По крайней мере, так сохраняется чистота эксперимента.
Применяемые техники и инструменты. В силу ограниченных ресурсов при тестировании на проникновение классически не используются 0-day эксплойты, техники скрытой эксплуатации уязвимостей и прочие приватные хакерские инструменты, потому что они не говорят о наличии уязвимости и, что самое главное, их применение не позволяет дать объективные рекомендации по устранению уязвимостей. Но эти же техники и инструменты позволяют проверить, могут ли процессы реагирования определить дальнейшие действия атакующих по другим признакам, будь то записи журналов событий, события файловых систем, паттерны в сетевом трафике и т. д. Поэтому при проведении Red Team Assessment использование таких техник и инструментов оправдано и иногда даже необходимо.
Использование методов социальной инженерии. Когда компания заказывает тестирование на проникновение, иногда в перечень работ включается и т. н. социотехнический тест, когда проверяют насколько работники компании осведомлены о возможных фишинговых атаках, или любых других атаках с применением методов социальной инженерии. И если при пентесте цель «социалки» – проверить грамотность работников, то цель при Red Team Assessment – получить полноценный доступ к управлению компьютером «жертвы» и преодолеть внешний периметр для развития атаки вглубь ИТ-инфраструктуры, используя при этом те же «хакерские инструменты» из предыдущего пункта. Некоторые клиенты обесценивают эти методы и иногда даже запрещают их использование в Red Team Assessment, что не совсем корректно. Ведь реальные злоумышленники будут стараться использовать все доступные методы, не так ли?
Некоторые эксперты полагают, что проведение киберучений в условиях постоянных кибератак можно отложить. Однако полностью отказываться от них не стоит. Другие специалисты настаивают на важности таких учений, поскольку цена возможной кибератаки слишком высока – это финансовые и репутационные риски. Поэтому необходимо быть готовым к возможным кибератакам.
Сейчас компании активно тренируются, разбирая реальные инциденты. Но такие ситуации не могут длиться вечно, и в перерывах между ними можно повышать свои навыки. Ведь хакеры постоянно совершенствуются и ищут новые способы проникновения в системы.
Те, кто занимается организацией киберучений, понимают, что уязвимости будут присутствовать в каком-то объеме в любой информационной системе, а успешность атаки зачастую зависит от человеческого фактора и недостатков самих процессов реагирования на инциденты ИБ. Поэтому поставщики таких услуг рекомендуют не только регулярно проводить классическое тестирование на проникновение, но и «держать в тонусе» свой Blue Team.
Судя по тенденции, количество и качество атак на инфраструктуры российских компаний еще не скоро снизится (если не увеличится), поэтому мы рекомендуем не забывать, что не только отсутствие уязвимостей и наличие различных средств защиты, но и грамотно натренированная команда Blue Team позволит вам оставаться защищенными и снизить риск потерять свои деньги.
