Константин Сапронов: О реагировании нужно задумываться до того, как произошёл киберинцидент

Актуальные тенденции в области работы с киберинцидентами указывают на смещение акцентов от предотвращения в сторону обнаружения и реагирования. Заметно повышается важность качественного расследования. Как правильно реагировать на инциденты и что с ними делать дальше, мы обсудили с Константином Сапроновым, руководителем отдела оперативного решения компьютерных инцидентов «Лаборатории Касперского».

Давайте для начала разберёмся в понятиях и терминах. Есть «реагирование на инцидент» и «расследование инцидента». Как эти термины между собой связаны и можно ли сказать, что расследование — это часть реагирования?

К. С.: Да, при правильном реагировании расследование является его частью. Реагирование — более широкое понятие, оно больше относится к инцидентам, которые мы видим в текущей фазе. Сначала нам нужно отреагировать: понять источник и быстро изолировать его. Затем нужно проводить более подробное расследование и определять, по какой причине это произошло.

Каковы основные этапы расследования, начиная с обнаружения инцидента и до момента его купирования?

К. С.: Как правило, обнаружить инцидент можно по-разному. Бывает обнаружение постфактум, когда не заметить атаку уже нельзя (как, например, с шифровальщиками, когда данные зашифрованы и инцидент уже произошёл), а бывают ситуации, когда заказчик обнаружил какое-то подозрительное событие. В данном случае нам необходимо просто определить, инцидент это или нет. Если это инцидент, то в первую очередь нужно понять точку входа, начальную фазу атаки. После того как мы её купируем и изолируем, мы сможем проводить более детальное расследование.

То есть в первую очередь мы должны понять, был ли это инцидент или ложное срабатывание. Далее мы собираем дополнительные данные?

К. С.: Да, можно собрать небольшой первоначальный набор, чтобы убедиться в том, что это, действительно, не ложное срабатывание. Далее уже собираем дополнительные данные.

В какой момент нужно начинать проводить расследование? Когда мы видим, что произошёл инцидент? Или сначала устраняем последствия?

К. С.: Во-первых, нельзя дать какой-то общий план, который будет эффективным всегда, варианты действий могут быть разными в зависимости от ситуаций. Разберёмся на примере ранее упомянутых шифровальщиков. С одной стороны, клиент обычно хочет сразу что-то сделать, потому что случилась беда и надо быстро на неё реагировать (хотя уже можно не торопиться, скорее всего, самое страшное уже случилось). Здесь в первую очередь важно не навредить и часто бывает необходимо сначала собрать набор данных. Даже выключение питания и обесточивание некоторых систем может быть преждевременным. Шифровальщики иногда добираются только до одного типа системы, и часть данных до перезагрузки ещё возможно сохранить — а после перезагрузки система может стать мёртвой. С другой стороны, если шифрование случилось в одной части сети, а у компании есть несколько сегментов, тогда есть угроза распространения атаки на нетронутые злоумышленниками данные.

Обычно мы призываем клиентов в случае инцидентов или подозрений на них обращаться к нам как можно скорее. Но на самом деле о правильном реагировании нужно задуматься до того, как произошёл инцидент.

Первый этап цикла реагирования — это подготовка. После неё идут мониторинг, обнаружение и подтверждение. Если инцидент уже произошёл, то далее следуют сдерживание и ликвидация.

Получается, это как страховка? Ты должен её купить заранее и можешь рассчитывать на помощь, если что-то произошло?

К. С.: Если продолжить аналогию со страховкой и здоровьем, то правильно заботиться о своём здоровье заранее: ходить в спортзал, правильно питаться. Всё это — подготовка. Здесь то же самое: правильно заранее делать бэкапы и не хранить их на одном диске с другими данными. Ведь если шифруются данные, то шифруются и бэкапы.

Какая часть этого процесса реагирования всегда лежит на заказчике, а какую часть готова брать на себя «Лаборатория Касперского» как внешний профессиональный подрядчик и помощник?

К. С.: Мы готовы подключиться в любой момент и на любом этапе реагирования. У нас есть профессиональные тренинги по реагированию на инциденты, расследованию, анализу вредоносных программ. Есть сервис по круглосуточному мониторингу, который позволит заранее обнаружить угрозу. Заказчик может обратиться к нам ещё до наступления инцидента и получить весь спектр услуг, чтобы быть к нему готовым.

Если инцидент всё-таки произошёл и заказчик не был к нему готов, мы призываем обращаться к нам как можно раньше. Реагирование на первых шагах очень важно.

Хотелось бы подробнее узнать о сервисе Kaspersky Incident Response. Что это такое, как работает и из чего состоит?

К. С.: У нас в компании под «сервисом по реагированию» понимается несколько сервисов. Обычно не нужно покупать какой-то один конкретный, можно просто купить общую подписку на них. Таким образом заказчик получает сервис по реагированию, сервис по расследованию и сервис по анализу вредоносных программ — и одновременно это будет уже некой «страховкой», гарантией того, что мы придём на помощь. В подписку входят SLA (гарантированное время реагирования) и реагирование 24×7. Также мы проводим установочную встречу с клиентами, чтобы проговорить все шаги и объяснить, как мы работаем. Мы делимся утилитами, которые используем, чтобы заказчики могли их применять также и самостоятельно, если понадобится собирать какие-то данные.

Если вдруг клиент заранее не позаботился о защите, можно купить разовую услугу. Она будет включать в себя сервис по реагированию, но SLA в разовую услугу не входит. Мы стараемся помочь всем, но возможны ситуации, когда ресурсов не будет хватать. А когда заказчик покупает подписку на сервис по реагированию, у него появляется выделенный ресурс.

Заказчикам важно понимать: в острый момент без этой страховки-гарантии есть вероятность, что реагирование на возможный инцидент не будет оперативным.

К. С.: Более того, так как это всё-таки коммерческий сервис, нужно будет первоочерёдно разрешить различные бизнес-вопросы: подписание контракта, NDA (соглашения о неразглашении). Всё это в критический момент занимает очень много времени и всегда некстати.

Кто те самые люди, которые у вас в команде занимаются реагированием? Какая у них квалификация?

К. С.: Исторически сложилось так, что команда у нас глобальная и интернациональная. Мы предоставляем сервис по всему миру и у нас организована поддержка 24×7 благодаря расположению команды в разных часовых поясах. Но у каждого региона, конечно, есть своя специфика деятельности. Например, российская команда в основном занимается расследованиями в постсоветском пространстве. Тем не менее иногда эта команда подключается и к международным инцидентам. Все сотрудники — уже опытные специалисты, в основном сертифицированные по разным специальным международным программам.

На каких заказчиков ориентирована ваша услуга Incident Response? Есть ли тут какие-то ограничения по размеру бизнеса или области деятельности?

К. С.: Услуга подходит абсолютно всем. У нас ежегодно выходят специальные аналитические отчёты, из которых следует, что спектр весьма широк.

Сейчас любая организация может быть подвержена атаке. Иногда эти атаки могут быть нецеленаправленными и проходить веерно.

Если вы видите, что идёт волна атак на заказчиков из одной отрасли, оповещаете ли других клиентов из этой отрасли о возросшем уровне угрозы? Или это делается в рамках каких-то других сервисов?

К. С.: В моменте у нас такого оповещения нет. Тем не менее мы всегда стараемся эти тренды доносить посредством отчётов, вебинаров или публикаций на наших сайтах. Мы не можем поделиться данными одного клиента с другим, но мы видим общую картину, которая помогает разбираться в ряде инцидентов и вовремя на них реагировать.

Для использования Kaspersky Incident Response обязательно ли заказчику покупать средства защиты от «Лаборатории Касперского»?

К. С.: Нет, не обязательно. Заказчик может использовать абсолютно любые СЗИ. Мы разработали такой подход, при котором используем бесплатные утилиты для сбора данных (что крайне важно) и никогда не основываемся на наборе данных от какого-то определённого продукта или вендора. Конечно, когда у клиента есть наши продукты, всё может проходить легче и нам проще реагировать.

Как вы действуете, если у заказчика нет инструментария по реагированию? Можете ли кому-то отказать в связи с недостаточным развитием компании?

К. С.: Случай, который вы описали, абсолютно неуникален. К сожалению, таких компаний много. Но нет, мы всё равно будем пытаться помочь, насколько это возможно. И всегда идём до конца, используя все средства, которые могут быть доступны. Если по каким-то причинам мы не сможем добраться до нашей конечной цели, то мы обоснованно об этом расскажем клиенту. Как минимум, ему необходимо будет сделать работу над ошибками.

Сколько времени в среднем требуется на анализ инцидента и на проведение расследования?

К. С.: Если говорить о начальном реагировании, когда надо остановить атаку, изолировать атакующего и начать восстанавливать бизнес, то это обычно день-два. Чтобы получить полноценный отчёт — неделя или несколько недель. Это сильно зависит от масштабов. Плюс ко всему, не всё зависит от нас. Часто это зависит от заказчика: насколько активно он будет с нами сотрудничать. Например, мы можем запросить данные, которые заказчик пришлёт только через несколько дней или даже больше.

В рамках вашего сервиса возможно проанализировать вредоносный код. Что на практике это может дать и для чего делается?

К. С.: Мы обязательно подробно описываем любую вредоносную программу, обнаруженную в рамках реагирования. Так у нас построены правила. Клиент получает индикаторы, которые может в будущем использовать для сканирования инфраструктуры, чтобы обнаружить все системы, которые были вовлечены в атаку. Индикаторы можно добавить в средства мониторинга. Мы как производитель решений для защиты конечных устройств обязательно добавляем детектирование этого вредоносного кода. В очень редких случаях нам даже удаётся спасти какие-то данные после шифрования.

Насколько глубоко заказчику приходится пускать ваших специалистов в свою инфраструктуру? В случае расследования необходимо предоставить полный доступ или можно обойтись отдельными сегментами?

К. С.: Если говорить о том необходимом наборе данных, которые собираются нашими утилитами, то, как правило, речь не идёт о какой-то очень конфиденциальной информации. Если мы говорим про персональные данные, то да, конечно, это всё будет нам доступно. Но наша цель — собрать не эти данные. Если они не имеют отношения к атаке, интереса к ним у нас нет.

Последнее время часто обсуждается атрибуция атак. Насколько часто удаётся понять, кто стоит за этими атаками, и что эта информация может дать заказчику на практике?

К. С.: С технической стороны установление конкретного атакующего вряд ли как-то улучшит безопасность конкретной организации. С другой стороны, возможно, этих атакующих людей стоит наказывать. Но это выходит за рамки нашей компетенции. Во время расследования мы можем установить IP-адреса, имена пользователей, и если нам удаётся установить атакующих, мы обязательно описываем это в своих отчётах. А дальше — уже воля заказчика. Он с нашим отчётом может пойти в правоохранительные органы.

В большинстве случаев по имеющимся индикаторам вы сможете сказать, что это была за группировка, из какой страны и насколько целевой была атака, верно?

К. С.: Да, иногда такую атрибуцию провести можно, но это не самоцель. Из того же анализа вредоносного кода по некоторым почеркам, по набору определённых утилит, по характеру действий иногда можно атрибутировать конкретную группу. Но обычно мы даже не даём им названий.

Правильно ли я понимаю, что если атрибуция здесь не самоцель, то важно понять, откуда была совершена атака и с чего она началась, и в большинстве случаев вы дадите ответ на вопрос «что привело к этому инциденту»?

К. С.: Я бы даже сказал, что это — самое важное. У заказчика могут оказаться бэкапы, или мы можем что-то расшифровать, или он сам может восстановить данные. Но если при этом к нему зашли через RDP (Remote Desktop Protocol) со слабым паролем и всё это осталось в том же виде, то восстанавливать данные — абсолютно бесполезное занятие, потому что его ещё раз атакуют.

Насколько часто со стороны заказчиков появляются ложные срабатывания?

К. С.: Нечасто, но иногда бывают такие истории. Например, пентесты, при которых заказчики в больших компаниях не знают о действиях пентестеров в разных сегментах. Иногда бывает, что заказчики забывают созданные ими же учётные записи.

Такой выезд в любом случае тарифицируется?

К. С.: В общем — да. Иногда с такими атаками бывает даже сложнее. Сказать, что это ложное срабатывание, означает взять на себя ответственность. Поэтому мы практически на 100 % должны быть уверены в том, что это ложное срабатывание. Чтобы объяснить это заказчику, в том числе.

Если заказчик хочет реагирование, расследование и мониторинг под ключ и у него нет компетенций и сотрудников для этого, сможете помочь таким клиентам? Есть у вас такие услуги сейчас?

К. С.: Да, у нас есть сервис Kaspersky MDR (Managed Detection and Response). Он был создан для того, чтобы помочь нашим заказчикам обнаруживать атаки на ранней стадии. Он базируется на наших продуктах, поэтому воспользоваться им могут заказчики, которые уже имеют наше решение Kaspersky Security для бизнеса. Этот сервис помогает не только обнаруживать вредоносные программы, но и выявлять подозрительные события, а также оповещать об этом заказчика. От заказчика информация попадает к нам, и мы проводим расследование. У нас есть в одной «коробке» два решения: MDR и Incident Response. Мне это кажется очень удобным для компаний, в которых нет выделенной ИБ-команды.

В завершение хотел бы поговорить о тенденциях в компьютерных инцидентах. На фоне тех расследований и инцидентов, которые вы видите, что сейчас происходит и к чему нам надо готовиться в самое ближайшее время?

К. С.: В последние несколько лет тенденции не меняются. Одни и те же начальные векторы, одни и те же причины обращений. Это шифрование данных, утечки и компрометация учётных данных. Это эксплуатация публичных сервисов, вредоносная почта. В сумме они составляют 80 % инцидентов.

Если заказчик использует правильные средства по устранению этих рисков, то он практически на 80 % повышает свою защищённость.

Большинство заказчиков попадают под веерные удары. Поэтому, чтобы не быть легкодоступным для подобных массовых атак, нужно эти 80 % исключить.

Для чего сейчас чаще всего осуществляются атаки? Какое-то время назад было очень много шифровальщиков, целью являлось вымогательство денег. Сейчас же говорят о волнах хактивизма, когда злоумышленники могут просто портить данные.

К. С.: Да, всё так. Доля так называемых хактивистов за последние несколько лет сильно увеличилась. Но коммерческая составляющая там всё равно присутствует. Примерно половина.

Большое спасибо за содержательное и интересное интервью. В завершение посоветую нашим читателям заранее думать о реагировании и расследовании возможных инцидентов. Думайте о том, кто и как будет это делать, и по возможности покупайте страховку, о которой мы сегодня говорили. Проводите расследования правильно, и, возможно, в будущем это сохранит ваши деньги, время и другие активы. Всего вам самого безопасного!

Реклама. Рекламодатель АО «Лаборатория Касперского», ИНН 7713140469, ОГРН 1027739867473

Erid: LdtCKHmNi