Мир ИБ в историях: логируем инциденты и смотрим, как читатели Хабра справляются с киберугрозами

Информационная безопасностьСистемное администрированиеАнтивирусная защитаСтатистика в IT
В мире кибербезопасности 2019 год запомнился наступлением шифровальщиков, ростом направленных атак на юридических лиц и возросшим вниманием злоумышленников к ценной информации. 2020 год зажёг вообще для всех, а в ИБ он добавил тренд на атаки по распределённым инфраструктурам. Чтобы показать этот опасный мир не на безликих цифрах, а на реальных историях, мы вместе с «Лабораторией Касперского» подготовили опрос про инциденты ИБ, с которыми вам приходилось сталкиваться, и используемые инструменты защиты. Через две недели мы обработаем результаты опроса в отдельном мегапосте, а самые интересные истории выложим апдейтом.


UPD. Всем спасибо за участие в опросе! Детально результаты мы разберём в мегапосте, а пока выложим самые интересные и показательные ответы, которые нам прислали.

Каких инструментов не хватает в работе?

  • Денег
  • Времени
  • BFG (а как же give weapon_bfg?)

Какие есть недостатки у инструментов, которые вы используете?

  • Стоимость
  • Много ложных срабатываний
  • Вендорозависимость и сложность интеграции
  • Нет целостности управления
  • Не всегда логичный вывод информации
  • Запутанность настроек
  • Скорость обработки
  • Баги
  • Печальная техподдержка
  • Несовместимость СЗИ с актуальными обновлениями ОС
  • Множественные ошибки в новых версиях СЗИ
  • Отсутствие поддержки старых версий ОС
  • Нет биометрии
  • Необходимость настроек вручную
  • Тяжело мониторить Linux и Mac

Почему текущий рынок средств защиты не обеспечивает полную защиту?

  • Не успевает. Инструменты атаки появляются и развиваются быстрее. Злоумышленник идёт на шаг впереди. Взломщики не стоят на месте, а разработчики защиты не всегда могут вовремя сделать апдейт. Это непрерывный процесс, меч vs щит. Инициатива в этой борьбе в основном идёт со стороны атакующих. А значит, средства защиты обычно догоняют, то есть на все 100 500 векторов атаки, которые прикрыты средствами защиты на данный момент, уже есть 100 501-й.
  • Человеческий фактор. (11 раз)
  • Нет грамотных специалистов. (3 раза)
  • Дорого и сложно. (2 раза)
  • Мало кто хочет тратить деньги на безопасность в маленьких фирмах. (2 раза)
  • Не готова законодательная база. (2 раза)
  • Потому что риски финансовых потерь в случае инцидентов для многих компаний приемлемы. Следовательно, им выгоднее заплатить штраф или оплатить устранение последствий.
  • Потому что полная защищённость невозможна. Возможна достаточная защищённость с учётом модели нарушителя / модели угроз.
  • Нет удобных для работы высокозащищённых компонент к популярным системам.
  • Чрезмерная интеграция потенциально опасного ПО.
  • Полной защищённости не существует, только разумное соотношение рисков и вложений / усложнения работы.
  • Уязвимости и закладки есть в аппаратных средствах.
  • Невозможно перекрыть все каналы, расшифровать зашифрованные данные, запретить разработчикам работать с продовыми данными, сложно обязать команды шифровать в логах критическую инфу (СМС-коды, номера телефонов, суммы сделок).

Расскажите о самом необычном инциденте ИБ, с которым сталкивались.

  • Модуль с кейлогером был включён в разрыв с клавиатурой у сотрудника в опенспейсе.
  • Однажды я приобрёл компьютер. В этом причина всех инцидентов ИБ.
  • Фишинг с использованием веб-интерфейса корпоративной почты.
  • Пароль начальника написали на бумажке (чтобы от его имени внести настройки), бумажка «пошла» по отделу.
  • Попытка кражи дисков из ЦОД.
  • Эксфильтрация данных через описания предметов на игровом сервере Minecraft.
  • Антивирус блокировал копирование легитимных файлов (распознавал как вирус-шифровальщик) с удалённого сервера на клиентскую машину. После нескольких месяцев переписки с техподдержкой антивирусной компании выяснилось, что на удалённом сервере в соседней папке, из которой производилось копирование файлов, действительно находились файлы, когда-то зашифрованные вирусом-шифровальщиком. После удаления этих файлов копирование было выполнено успешно.
  • Появление неизвестного хоста с неизвестным MAC в сети, который оказался мобильным телефоном Nokia, легитимным, сменившим после очередного обновления MAC на непонятный, по базам не определяемый.
  • Стремительное распространение вредоносного объекта по компьютерам в локальной сети в течение нескольких часов, а затем его полное исчезновение.
  • Сотрудник вытащил и унёс жёсткий диск с данными.
  • На одном из коммерческих проектов в лаборатории университета один товарищ поставил к БД пароль password. На проде! Естественно, все данные зашифровали и попросили выкуп в биткоинах.
  • Человек, занимавший высокий пост в компании, случайно отформатировал свой жёсткий диск, потеряв множество важных данных.
  • Удалённый взлом сервера «вручную», в том числе выборочным удалением бэкапов.
  • Непутёвый пользователь отдал пароли всех своих учётных записей всем сотрудникам своего отдела типа ради того, чтобы они что-то могли делать в его отсутствие на его рабочем терминале, в результате чего позже удивлялся пропаже данных. В результате выяснилось, что один из сотрудников, которые имели эти пароли, собственно, эти данные и выносил. Мораль сей басни такова: какой бы современной и суперзащищённой ни была система, человеческий фактор всегда будет играть самую большую роль, пока детей ещё в школах в начальных классах не будут учить информационной грамотности. И родители не будут подкреплять эти знания каждый день своим примером, чтобы у человека с самого малого возраста было понятие, что делать можно, а что категорически нельзя. Все системы безопасности совершенно бесполезны, пока существует человеческий фактор.
  • Инсайдер — жена бывшего сотрудника, занимавшая должность в другом отделе.
  • Когда отдел ИБ разослал «фишинговые письма» для тренировки сотрудников и 60 % сотрудников ввели доменные учётные данные на стороннем ресурсе :)
  • В момент ремонта совмещённого с серверной помещения была украдена СХД со всей информацией и виртуальными машинами.

Как вы считаете, в чём причина инцидентов ИБ?

  • Человеческий фактор. (15 раз)
  • Доступность инструментов автоматического взлома.
  • Спрос на бот-сети.
  • Переход на удалённую работу.
  • Активность злоумышленников.
  • Некомпетентность работников.
  • В цифровизации. Образование деградировало, СМИГ отупляют, а киберугроз в жизни всё больше и больше.
  • Тут не хватит места, чтобы описать все причины, но главные из них — это деньги и безалаберность.
  • Формальный подход отдела ИБ к своим обязанностям.
  • Я плохо справляюсь со своими обязанностями из-за плохих софт-скиллов и отсутствия желания спорить с людьми; и всем вообще ничего не надо (живём по принципу «пока гром не грянет»).
  • В несоблюдении норм безопасности, закрывании глаз на парольную политику и доступы.
  • В глобальной цифровизации и развитии сервиса в интернете.
  • Халатное отношение к ИБ как у сотрудников внутри предприятия, так и у представителей организаций, связанных и предоставлением услуг связи.

История про удалённый Windows:

Первая работа. Работал на полставки (через день) полгода системным администратором, был молод и зелен. Наступил выходной четверг в конце года, бухгалтер ушла в отпуск, и с её ПК, с которого выполняются платежи в банк, работала другая сотрудница. К вечеру звонок — компьютер завис, только заставка Windows XP. Советую выключить и не трогать, а завтра в рабочий день приду и буду разбираться. Оказалось, что в таком состоянии компьютер провёл часа два (бухгалтер надеялась, что «отвиснет»). Сам ПК действительно после загрузки переходил к нестандартному состоянию, когда на весь экран развёрнута одна картинка, а на клавиатуру и мышь не реагирует. Поняв, что дело нечистое, а ПК нужен для работы, просто отформатировал диск и переустановил ОС (в то время для меня это был единственный верный способ избавиться от заразы (хотя и так сейчас считаю)). Проходят выходные, и наступает рабочий понедельник. Выясняется, что в четверг вечером пропали все деньги (около миллиона рублей) со счёта компании по левому платёжному поручению. Суматоха, нервы, паника, ор директора. К органам обращаться не стали, но пригласили стороннего следователя, который опросил всех о том, как всё было. Результатов положительных для организации не было, так как за этот срок сумма успела несколько раз перейти на счета разных банков, а затем ушла за границу. Подозревали всех, и, видимо, поэтому после Нового года меня приняли на полную ставку, чему я обрадовался и удивился, поскольку считал, что вины моей тут больше, чем остальных, и вместо такого неоправданного доверия меня должны были как минимум уволить, а как максимум — посадить и взыскать упущенную прибыль. Ведь меня наняли как раз для того, чтобы навести порядок в IT-инфраструктуре и в том числе побороть гулявшие вирусы. Но процесс тянулся неспешно, сотрудники сопротивляются, когда к «их» компьютерам (на самом деле это ПК компании, но большинство сотрудников считает иначе — сужу по многолетнему опыту) имеет доступ кто-то другой, тем более молодой пацан, нанятый только что. Сейчас понимаю, что приняли меня на полный рабочий день, чтобы проследить за моим поведением: не «встану ли я на лыжи», не начну ли нервничать, буду ли я тратить суммы, несоразмерные своему доходу. Хитро, грамотно. Для компании печальный опыт, а для меня пара нервных тиков.

Очень драматичная история с лихим сюжетом:

Коллеги, пишу эти нелитературные и нетехнические заметки, чтобы привести в порядок свои воспоминания последних 13 дней. Возможно, кому-то будет полезно.
Тот вечер. Очередной рабочий день закончен. Маршрутка домой. СМС: видеосервер недоступен. Почта — несколько невнятных писем от мониторинга. В том числе одно от 48-портового cisco catalyst: процессор загружен на 50 %. Странно. Кто-то из коллег ещё на работе, звоню. В ответ одни эмоции. Еще два-три звонка, из которых понятно, что произошло что-то страшное… и не только у нас на площадке. Страшно, но не срочно. Еду домой выгуливать одинокую собаку, ужинать — там что-нибудь выяснится. Пока еду, гуляю и ужинаю, звоню всем знакомым айтишникам с вопросом, знают ли они что-то про недавние вирусные атаки. Думаю, не один человек в тот вечер крутил пальцем у виска, слушая меня. Один выслушал серьёзно (у него и хозяйство серьёзное) и через час перезвонил и рассказал, что у него всё хорошо, но вот у соседей по сфере деятельности, похоже, всё плохо. На следующий день газеты подтвердили. Реакция двух видящих происходящее коллег на работе была диаметрально противоположной. Один разумно сказал, что пора спать, потому что мы это будем разгребать недели, а второй говорил, что уже этой ночью нужно что-то сделать. Я понимал, что первый прав, но любопытство и эмоции зашкаливали. Домашний ноут под мышку, Uber — и я на работе.

Как взрывается кибероружие

Итак, одномоментно «по всей Руси великой» все Windows-компьютеры (включая серверы!) превращаются в тыкву. То есть просто не грузятся.
Вы (ну да, мы на самом деле) думали, что пожара по всему зданию не бывает, одновременно все диски не ломаются… В общем, гарантированно выжили данные на лентах, но это мы поймём потом.
Выжил отдельный домен на 10 машин, находящийся в отдельной подсети, — не нашёл его ExPeter. Несколько машин с VipNet. Linux-машины. Хорошо хоть PBX у нас не на Windows-сервере — звонить можно.
Осмотрелись, поняли, что вот этот один домашний ноутбук — это все наши инструменты. Проверили выход в интернет, запустили на скачку кучу дистрибутивов, развернули аварийный Wi-Fi — и домой, поспать хоть 3 часа.

Аврал

Жалею, что не записывал сразу, многое забылось. На следующий день газеты рассказали, что мы не одни такие. Ещё осмотрелись. Пытались восстанавливать убитый MBR, спасать выжившие файлы, которые потом оказались почти все зашифрованы. В общем, ориентировочная реакция и у айтишников, да и у руководства.
Два наблюдения. И коллеги, и руководство бодры и конструктивны, даже оптимистичны и почти веселы — аврал был профессионально интересный. Руководство таки дезориентировано, на мой взгляд, и не занялось своей основной задачей — подтягиванием ресурсов. Вязанка быстрых флешек сразу, организованное питание и транспорт для айтишников — об этом можно было только мечтать. Всё сами. Про внешнюю помощь вообще речи не было.
Повезло, что на другом сайте на VmWare-виртуалках выжили доменные контроллеры и за двое суток удалось восстановить домены леса. Не могу себе представить, как бы жили без этого! К концу третьего дня заработала учётная система. На выходных — почта и файлы. Да и ПК в общем практически все восстановили.
У меня была неделя часов по 12 на работе. Коллеги — или включеннее, или моложе — проводили на работе больше времени.
На вопрос о какой-нибудь компенсации, говорят, услышали: «А ничего, что вы спасали кампанию?»

Анализ

Умеете делать резервные копии MS AD, чтобы восстановиться при утере всех контроллеров? Делайте это!
Бэкап — это то, что лежит в сейфе. Ну может и на облаке, и на СХД…
Если у вас есть 100 мест, которые настроили и забыли, как это делается (какую-нибудь ole db связь между базами, хитрый драйвер старого принтера, цифровую подпись и т. д.), то у вас сразу 100 нетривиальных задачек, а не одна, как это бывает в обычной жизни.
Вы что-то документировали? Это в файлах, WiKi и т.  д. Ну как восстановите бэкап — так прочтёте :)
У вас централизованная авторизация на сетевое оборудование, WiFi, iLO, базы 1С. А пароли локальных администраторов у вас есть?
Если Windows Server 2012 вдруг не ставится через privisioning на HP Proliant, то это 7 Gb (часа два-три) скачивать Proliant Support Pack, писать на дешёвую флешку (час), обновлять (час), а потом он всё равно не ставится и ты ставишь обычной загрузкой, подложив драйвер на raid-контроллер. А потом у тебя сервер 1С не цепляется к базе SQL, пока ты не обновишь драйвер сетевой карты на том самом HP Proliant.
Да и откаталогизировать пару десятков LTO-кассет, а потом прочитать штуки три — это много времени.
Теги:Опросинциденты ИБ
Хабы: Информационная безопасность Системное администрирование Антивирусная защита Статистика в IT
+17
19,1k 18
Комментарии 3