Дуже часто факт кібератаки проявляється, вже коли шкоди заподіяно і потрібно витрачати багато часу, щоб розібратися з наслідками. В таких випадках вони несуть не лише грошові збитки для компанії, а й репутаційні.
Класичний підхід до безпеки — реактивний. Він використовує такі рішення як антивірус, IPS та пісочниця, які реагують лише на активні загрози.
Але навіщо очікувати неминучого, якщо можна підготуватися до ймовірних загроз і скоротити час, потрібний для виявлення, вивчення і знешкодження загрози?
Для цього потрібно побудувати "проактивну" інфраструктуру безпеки.

Що таке проактивний підхід? 

Суть проактивного підходу у тому, щоб змістити фокус ліворуч від моменту атаки, до її планування, тому його ще називають "Shift to Left". У такому випадку можна підготуватися до атак будь-якого рівня, уникаючи безпосереднього контакту.

Проактивний підхід до безпеки складається з декількох елементів:
● Вивчення нових кібератак; ● Актуалізація зміни рішень безпеки;● Threat Hunting.

Як дізнатися про атаки заздалегідь? Класичні підходи 

Один із форматів отримання інформації про нові загрози це ресурси, такі як CERT-UA (Computer Emergency Response Team of Ukraine). Тут можна знайти новини й тематичні статті, в яких коротко описують кожну нову атаку на Україну та надають індикатори компрометації.
Формат важливий та корисний, проте не вичерпний. Одна з причин — нестача даних про техніки й тактики атак по фреймворку MITRE ATT&CK, який суттєво спрощує процес вивчення загрози. Статті також зазначають IoC, але їх не оновлюють, тому за цією інформацією відловлювати модифікації однієї і тієї ж загрози вже неможливо.

Також інформацію про загрози можна отримати, інтегрувавши "Threat Intelligence Feeds", наприклад misp.gov.ua (Malware Information Sharing Platform "Ukrainian Advantage"). Такі ресурси автоматично насичують засоби захисту (AV, IPS, SIEM тощо) новітніми індикаторами компрометації, таким чином, підтримуючи актуальність сигнатурних баз.
Вже з таким способом отримання Threat Intelligence можна захиститися від новітніх відомих загроз, проте він не вирішує проблему неінформативних IoC.
Наприклад, ось список доменних імен у списку IoC, які самі по собі ніякої особливої інформації не дають:
● gdsfkjlaskd532.onion ● kdowodkve12353.com ● 123igkfklas0or.org
Корисно було би дізнатися яке хакерське угрупування стоїть за ними, які країни та галузі (державна, банківська і т. д.) є ціллю атак. Зрештою, важливо знати, які заходи безпеки могли б допомогти успішно попередити атаки, що стоять за цими доменними іменами.
На додаток, цю інформацію потрібно постійно оновлювати та поширювати між співробітниками ІБ у всьому світі.

Trellix Insights: як рішення допомагає досягти проактивного захисту 

Trellix (раніше McAfee) — це унікальне у своєму роді рішення, яке поєднує обидва вищеописані способи отримання Threat Intelligence. Воно має легкий у використанні інтерфейс та безліч інтеграцій

Trellix Insights забезпечує аналіз кіберзагроз штучним інтелектом і фахівцями в режимі реального часу. Таким чином ви отримуєте комплексні розвіддані, що допомагають пріорітезувати найбільш ймовірні для вашої компанії загрози. Більше того, ви отримаєте прогноз наслідків та рекомендації щодо покращення вашої безпеки.
Давайте розберемося, які ще переваги є у Trellix Insights.

Глобальна база даних про загрози 

Наразі в базі Insights можна знайти інформацію про 70 хакерських організацій та понад 2000 атакуючих кампаній. Trellix збирає цю информацію з понад мільярда сенсорів, яких стало в рази більше після об'єднання McAfee з FireEye.
На сторінці кожної атакуючої кампанії ви знайдете:
● Короткий опис загрози; ● Посилання на додаткові розслідування; ● Країни, з яких атакували; ● Інформацію щодо виявлення загроз у вашій організації, секторі, країні; ● Актуальні індикатори компрометації; ● Зіставлення тактик та технік зловмисників з MITRE ATT&CK.

Аудит політик Trellix ENS та Skyhigh Security 

Аудит політик Trellix Endpoint Security та Skyhigh Security (компанія, створена на базі McAfee Enterprise, куди увійшли продукти, які відповідають концепції Security Service Edge (SSE)) — це інструмент для підготовки до ймовірних атак, що дає оцінку від 1 до 100.
Він також надає рекомендації щодо покращення оцінки, такі як:
● Оновлення сигнатур Endpoint Security до актуальної версії; ● Усунення виявлених загроз; ● Активація відновлення системи після виявлення загроз; ● Підключення до хмарної служби репутації.

Інструмент допомагає виявити на яких робочих станціях було тимчасово відключено захист, наприклад, для встановлення сумнівного програмного забезпечення.
Кнопка “Actions” для переходу в каталог політик ePolicy Orchestrator дає можливість додати необхідні зміни та підвищити захищеність організації всього у декілька кліків.

Threat Hunting 

Зловмисники шукають вразливі місця у системі, щоб збирати конфіденційні дані усередині організації протягом тривалого часу. Завдяки інструменту Trellix EDR, ми можемо проводити Threat Hunting, тобто спостерігати за наявністю певних IoC у системах організації, щоб виявити зловмисників.
Інструмент перевіряє робочі станції на наявність певних ключів реєстру, файлів та процесів в режимі реального часу і дозволяє видаляти їх за потреби.

Ось можливий процес розгортання Threat Hunting: 
1. Робимо пошук найбільш розповсюджених атакуючих кампаній в Україні через Trellix Insights.

2. Обираємо атакуючу кампанію, переходимо на її сторінку та відкриваємо вкладку "Indicators of Compromise (IoCs)".

3. Виділяємо цікаві для нас IoC та натискаємо кнопку "Real-Time Search in Trellix EDR". Ця дія запустить автоматичне створення запиту в EDR на пошук обраних IoC по усім робочим станціям нашої організації.
Якщо у результаті пошуку система виявить індикатори компрометації, їх можна буде одразу дослідити, заблокувати або видалити прямо на цій сторінці в меню "Actions".

Insights автоматично виявляє сліди атакуючих кампаній у вашій організації. Далі розглянемо, як це відбувається.

Trellix Insights як інструмент розслідування 

Припустимо, що під час атаки, антивірусна програма виявила шкідливий файл "ghost.doc", який класифікується як "W97M/Downloader.dvh", і заблокувала його. На цьому компетенція антивірусу закінчується.
Оскільки нам потрібно продовжити розслідування, перейдемо в консоль керування ePolicy Orchestrator, де відразу бачимо повідомлення про виявлення GhostWriter Espionage Operation. Це атакуюча кампанія.

Натискаємо "More Info", щоб отримати короткий огляд кампанії в Trellix Insights.

У докладному вигляді, на карті, бачимо, що Україна була найчастішою ціллю в цій кампанії.

А ще бачимо, що атаки не припиняються, тому заходи необхідно вжити якнайшвидше.

Виявлений IoC підсвічено червоним. Експортуємо всі індикатори компрометації, щоб їх можна було використати в інших рішеннях безпеки.

Далі переходимо до дослідження тактик і технік, використаних у даній кампанії. GhostWritter доставляється через Spear Phishing, використовує для виконання шкідливих скриптів mshta.exe і потай логує натискання клавіш. Враховуючи ці техніки, ми можемо скласти повну картину кампанії та почити вживати необхідні заходи для її знешкодження.

Техніки кампанії автоматично організовуються у таблицю за допомогою матриці MITRE ATT&CK, щоб побачити, крок за кроком, дії GhostWritter.

Як усунути загрозу? 

Для цього у вкладці "Indicators of Compromise IoCs" вибираємо раніше підсвічений червоним IoC і натискаємо кнопку "Real-Time Search in Trellix EDR".

Бачимо, що цей хеш виявлений одразу на двох робочих станціях.

Відмічаємо галочками всі системи і застосовуємо дії Contain>> Quarantine Device у меню Actions. Таким чином, ми заблокували всі мережеві з'єднання робочої станції, крім з'єднань Trellix, забезпечили захист системи та отримали більше часу на розслідування. Застосовуємо дії Mitigate>> Stop And Remove File Safe у меню Actions, щоб видалити шкідника та процеси, які він міг створити. Вводимо в поле sha256 значення хеша та натискаємо "Confirm".