Многие компании сталкивались с такой ситуацией, когда факт кибератаки проявляется только после получения ущерба, в том числе по средствам и репутации. В таком случае потребуется много времени на то, чтобы изучить атаку и устранить ее последствия.

Классическая инфраструктура безопасности состоит из решений, которые реагируют на возникшие угрозы, например антивирус, IPS, песочница. Такой "реактивный" подход демонстрирует успехи на протяжении многих лет, но зачем ждать атаки, если можно подготовиться к ней заранее?

В этом поможет новый "проактивный" подход к безопасности.

В чем суть проактивного подхода? 

Проактивный подход помогает исследовать и подготавливаться к самым опасным кибератакам, напрямую не сталкиваясь с ними. Он еще называется "Shift to Left", ведь мы смещаем фокус левее — от момента атаки, к ее планированию.

К элементам проактивного подхода к безопасности можно отнести:
● Изучение новейших кибератак; ● Актуализация конфигурации решений безопасности; ● Threat Hunting.
Но откуда можно узнать о будущих атаках, если они еще не состоялись?

Классические подходы к проактивной защите 

Обычно о новейших угрозах можно узнать из новостей и тематических статей, например из CERT-UA (Computer Emergency Response Team of Ukraine), которая кратко описывает каждую новую атаку на Украину и предоставляет соответствующие индикаторы компрометации.

Такой формат получения Threat Intelligence, безусловно, важный и полезный, но не является исчерпывающим.

Например, IoC, которые указывают в статьях, не обновляются с течением времени, что не позволяет отлавливать модифицированные примеры одной и той же угрозы. Также не хватает данных о тактиках и техниках атак по фреймворку MITRE ATT&CK, который существенно упрощает процесс изучения угрозы.

Еще одним вариантом получения информации об угрозах является интеграция с "Threat Intelligence Feeds". Они автоматически насыщают средства защиты (AV, IPS, SIEM и т. д.) новейшими индикаторами компрометации, поддерживая актуальность сигнатурных баз.
Примером таких ресурсов является misp.gov.ua (Malware Information Sharing Platform "Ukrainian Advantage").
Этот способ получения Threat Intelligence уже позволяет защититься от новейших известных угроз, но "голые" IoC не дают никакого контекста.
Например, что вам говорят эти доменные имена в списке IoC?
● gdsfkjlaskd532.onion ● kdowodkve12353.com ● 123igkfklas0or.org
Ничего особенного. А хотелось бы посмотреть какая хакерская группировка стоит за этим IoC, какие страны и отрасли (государственная, банковская и т. д.) она атакует. В конце концов какие дополнительные меры безопасности следует внедрить, чтобы успешно отразить атаки, стоящие за этими доменными именами.
К тому же, важно чтобы информация о каждой атаке анализировалась, сохранялась и распространялась для повышения квалификации сотрудников ИБ по всему миру.

Проактивная защита с Trellix Insights 

Trellix (ранее McAfee) объединил оба вышеописанные подхода в единое решение, которому нет аналогов, добавив в него понятный графический интерфейс, разнообразие полезных интеграций и аналитики кибератак. Имя этому решению — Trellix Insights.

Trellix Insights обеспечивает проактивный подход к защите с помощью с аналитики в режиме реального времени. Комплексные разведданые, проанализированные искусственным интеллектом и специалистами, приоритизируют угрозы, которые с большой вероятностью могут коснуться вашей компании. Trellix Insights прогнозирует, как именно угроза повлияет на вашу безопасность и даёт рекомендации, что необходимо сделать, чтобы улучшить вашу безопасность.

Какие у него преимущества? Давайте разберемся.

Глобальная база данных об угрозах 

Всего в базе Insights насчитывается более 2000 атакующих кампаний и 70 хакерских группировок. Информация о них собирается с более чем миллиарда сенсоров по всему миру, а после объединения McAfee с FireEye их стало в разы больше.
Страница каждой атакующей кампании содержит то, чего не хватало в предыдущих примерах:
● Краткое описание угрозы со ссылками на полноценные исследования; ● Атакуемые страны; ● Данные по обнаружению в вашей организации, секторе, стране; ● Обновляемые индикаторы компрометации; ● Сопоставление тактик и техник злоумышленников с MITRE ATT&CK.

Аудит политик Trellix ENS и SkyHigh 

Trellix Insights предоставляет еще один инструмент для подготовки к возможным атакам — аудит политик Trellix Endpoint Security и SkyHigh. Результатом аудита является оценка от 1 до 100 с рекомендациями по ее увеличению.
Например, оценку повысят:
● Обновление сигнатур Endpoint Security до последней версии; ● Активация восстановления системы после обнаружения угроз; ● Подключение к облачной службе репутаций; ● Устранение ранее обнаруженных угроз.

Часто данный инструмент помогает обнаружить рабочие станции, для которых была временно отключена защита. Например, для установки не совсем бесплатного программного обеспечения.

Удобными также являются предложения по усилению безопасности и кнопка “Actions” для перехода в каталог политик ePolicy Orchestrator(консоль управления конечными точками). Благодаря им в пару касаний можно внести необходимые изменения и повысить защищенность организации.

Threat Hunting 

Пробравшись внутрь организации, злоумышленник может незаметно собирать данные и искать конфиденциальные материалы на протяжении нескольких месяцев. Threat Hunting позволяет выявить таких злодеев с помощью постоянного мониторинга систем организации на наличие определенных IoC.

В нашем случае для проведения Threat Hunting понадобится еще один инструмент — Trellix EDR. Он позволяет искать определенные файлы, процессы и ключи реестра на рабочих станциях в режиме реального времени и, в случае чего, удалять их.

Процесс Threat Hunting может выглядеть следующим образом:

1. В Trellix Insights ищем атакующие кампании, которые наиболее распространены в Украине.

2. Переходим на страницу выбранной атакующей кампании и далее во вкладку "Indicators of Compromise (IoCs)".

3. Выбираем интересующие нас IoC и нажимаем кнопку "Real-Time Search in Trellix EDR". После этого EDR автоматически создаст запрос поиска выбранных IoC по всем рабочим станциям в нашей организации.

В случае обнаружения индикатора компрометации его можно удалить, заблокировать или исследовать прямо на этой странице. Для этого нужно выбрать IoC и соответствующее действие в меню "Actions".

Далее рассмотрим, как Insights автоматически выявляет следы атакующих кампаний в вашей организации.

Trellix Insights как инструмент расследования 

Предположим, что произошла атака. Антивирусное решение обнаружило вредоносный файл "ghost.doc", который классифицирует как "W97M/Downloader.dvh".

Факт блокировки — это прекрасно, но зачастую на этом расследование с помощью антивируса заканчивается.

Далее перейдем в консоль управления ePolicy Orchestrator. В глаза сразу бросается уведомление об обнаруженной атакующей кампании — GhostWriter Espionage Operation.

Нажав на ссылку «More Info», сразу же попадаем в Trellix Insights, в котором сразу видим краткий обзор атакующей кампании.

Углубимся в подробный вид. По карте видно, что в этой кампании чаще всего атакам подвергалась Украина.

Ниже видим, что атаки происходят до сих пор, соответственно меры необходимо предпринимать как можно скорее.

Тут же видим обнаруженный IoC, который подсвечен красным. Экспортируем все индикаторы компрометации для дальнейшего импорта в другие решения.

Далее описание обнаруженных техник позволяет сложить полную картину действий злоумышленников и сразу же начать предпринимать действия. Мы видим, что GhostWritter доставляется через Spear Phishing, использует для выполнения вредоносных скриптов mshta.exe и скрытно фиксирует нажатия клавиш.

С помощью матрицы MITRE ATT&CK организовывает все техники в таблицу, в котором шаг за шагом видно действия GhostWritter.

Устранение угрозы 

Для того, чтобы устранить угрозу, переходим в "Indicators of Compromise IoCs", выбираем ранее подсвеченный красным IoC и нажимаем кнопку "Real-Time Search in Trellix EDR".

Видим, что этот хеш обнаружен сразу на двух рабочих станциях.

Ставим галочку возле всех систем и переходим по следующему пути: "Actions>> Contain>> Quarantine Device". Функция карантина заблокирует все сетевые соединения рабочей станции, кроме соединений Trellix. Это обезопасит систему и даст нам больше времени на расследование.

Теперь удалим обнаруженный вредонос и заодно процесс, который он мог создать: "Actions>> Mitigate>> Stop And Remove File Safe". Вводим в поле sha256 значение хеша и нажимаем "Confirm".