Аналитики Juniper Research сообщают о среднем увеличении мирового ущерба от кибератак на 11% ежегодно. Злоумышленники злоупотребляют неожиданностью атак и требуют от бизнеса миллионы долларов.
Предотвратить последствия инцидентов возможно, если знать признаки подозрительной активности. Руководитель Cloud Security Operations в Yandex Cloud Юрий Наместников делится способами быстрой идентификации инцидентов и реагирования на атаки.
В прошлом году произошли значительные кибератаки, включая утечку данных американского оператора связи «AT&T», где хакеры компрометировали данные 110 миллионов пользователей через уязвимость в облачном хостинге «Snowflake», что создало общенациональную угрозу.
В России, по данным «Infowatch» и «Positive Technologies», в 2024 году утекло свыше 1 миллиарда строк персональных данных, и каждая вторая атака приводит к утечке.
Проблема заключается в недостаточной подготовленности команд к действиям во время инцидентов: согласно исследованию «Лаборатории Касперского», в 42% организаций, столкнувшихся с компрометацией данных в 2022 году, не был назначен ответственный за обработку таких событий.
Разные подходы к управлению инцидентами зависят от организации инфраструктуры — облачной или локальной.
Существует несколько ключевых отличий между собственной инфраструктурой компании и облачной платформой. Собственная инфраструктура включает серверы, рабочие станции, сетевое оборудование и программное обеспечение, которые защищаются средствами безопасности, такими как межсетевые экраны. В этом случае компания самостоятельно управляет доступом к данным, а также отвечает за безопасность приложений, физическую и сетевую безопасность.
В облачной инфраструктуре ситуация иная: здесь у компании нет доступа к управлению основным оборудованием и сети. Ресурсы виртуализированы и описаны программно, представляя собой записи в базе данных провайдера. Управление осуществляется через программный слой, называемый «control plane». Это улучшает наблюдаемость инфраструктуры, позволяя специалисту по информационной безопасности видеть активные ресурсы, их потребление и доступы, выданные сотрудникам.
Кроме того, использование облачной платформы снижает риски Shadow IT, возникающие, когда сотрудники устанавливают программное обеспечение без одобрения IT-службы, что может создать уязвимости. Облачные платформы уже содержат встроенные механизмы безопасности, такие как сервисы для сбора аудитных логов, используемых при расследовании инцидентов.
Однако, несмотря на растущий интерес к облачным технологиям, многие IT-специалисты не обладают достаточным опытом работы с информационной безопасностью в облачной среде. Это и приводит к ошибкам и угрозам безопасности, требующим внимания и надлежащих мер для защиты данных.
Аналитики Cloud Security Alliance выделяют основные ошибки, связанные с безопасностью облачных платформ: ошибки конфигурации, недостаточный контроль изменений, управление идентификацией и доступом, небезопасные интерфейсы и API, уязвимости сторонних ресурсов, а также несанкционированный доступ к ресурсам.
Часто компании не замечают масштабные атаки сразу, а списывают проблемы на технические сложности. Тем не менее, существуют типичные сигналы, указывающие на возможное присутствие злоумышленников в облачной инфраструктуре.
Для доступа к облаку пользователь должен иметь соответствующие права, предоставленные участниками организации. Важно следить за появлением новых пользователей, так как злоумышленник может инициировать доступ к ресурсам из интернета, что открывает ему доступ к другим частям облака и потере контроля над уязвимостями.
Получив права администратора, хакер способен получить доступ ко всем ресурсам, включая данные, которые могут быть зашифрованы или использованы для остановки бизнеса.
Важно отметить, что ресурсы для бизнес-операций и разработки должны функционировать изолированно. Разработчики не должны иметь доступ к важным бизнес-данным, однако они становятся целью злоумышленников.
Провайдеры могут использовать свои внутренние механизмы для выявления подозрительной активности и предотвращения несанкционированных действий. Эффективные меры безопасности помогают минимизировать риски утечки данных и компрометации систем.
Определение подозрительных сервисных аккаунтов и анализ использованных уязвимостей для доступа к облаку — важная задача в сфере кибербезопасности.
В случае заражения вредоносным кодом необходимо уметь снимать образ памяти. Крупные облачные провайдеры предлагают пошаговые инструкции и скрипты для устранения уязвимостей.
Оценка уровней критичности инцидентов основывается на потенциальном ущербе и финансовых потерях для компании. Установлено четыре уровня: низкий, средний, высокий и критичный.
Например, подключение злоумышленника к офисному принтеру классифицируется как инцидент низкого уровня.
В 2021 году хакеры атаковали «Colonial Pipeline» — крупнейший трубопровод в США, обеспечивающий 45% топливных потребностей Техаса. Остановка трубопровода на несколько дней вызвала дефицит бензина и рост цен, что можно отнести к критическому инциденту.
В случаях критической угрозы реагирование должно начинаться немедленно после обнаружения проблемы.
Для анализа инцидентов используются облачные логи и системы анализа данных, такие как сервисы сбора событий безопасности, например, «Audit Trails». Эти инструменты помогают собирать информацию и отправлять её в систему SIEM (управление информацией и событиями безопасности) для анализа.
Они способствуют выявлению потенциальных инцидентов и пониманию действий злоумышленников, будь то деградация сервиса, кража данных или использование систем для дальнейших атак.
Для эффективной защиты облачной инфраструктуры в случае инцидента важно определить сервисный аккаунт, через который произошло нарушение безопасности, и изолировать данный сегмент облака, ограничив его доступ к остальным ресурсам.
Основная цель этой меры — предотвратить дальнейшее распространение атаки. При этом можно задействовать группы безопасности, а также настроить различные сегменты VPN для управления доступом к ресурсам.
Чтобы автоматизировать остановку действий злоумышленников, рекомендуется заранее разработать плейбуки — инструкции, активирующиеся при возникновении определенных условий.
К примеру, при обнаружении критических событий, можно запрограммировать триггеры для вызова облачной функции, которая изменит сетевые правила или ограничит права сервисного аккаунта.
После блокировки атаки следует проверить, каким образом злоумышленник получил доступ и где он мог оставить следующие точки входа — измененные настройки, администраторские доступы или подмененные логи, что может затруднить анализ действий на виртуальной машине.
Если у компании есть опыт в области информационной безопасности, она может самостоятельно провести расследование. В противном случае целесообразнее обратиться к облачному провайдеру или кулинарной компании, специализирующейся на расследованиях кибератак.
В ходе составленного расследования используются два типа доказательств: снапшоты дисков и память. Снапшот представляет собой моментальный снимок состояния диска или его файловой системы, позволяя зафиксировать информацию, не влияя на работу системы.
Снапшоты могут быть использованы в судебных разбирательствах, что говорит о их значимости в расследованиях. Подобные мероприятия часто требуют времени, поскольку необходимо детально проанализировать различные источники информации: память, диски и логи, чтобы восстановить полную картину произошедшего.
В этой связи активно применяются облачные решения, такие как «Cloud Security Posture Management». Эти инструменты помогают выявить основные ошибки конфигурации системы, например, ошибочное состояние виртуальной машины, когда публичный адрес передан внутреннему ресурсу, или предоставление избыточных прав пользователям. Фиксация таких ошибок позволяет избежать повторного злоупотребления в будущем.
В процессе расследования может возникнуть конфликт интересов между необходимостью быстрого устранения последствий атаки и возможностью обращения в правоохранительные органы. Организации сталкиваются с выбором: сосредоточиться на оперативном восстановлении работы бизнеса или продолжить сотрудничество с правоохранительными органами.
При очистке системы могут быть удалены важные улики, такие как IP-адрес злоумышленников. На данном этапе на помощь приходят сервисы «Cloud Backup» и инфраструктура в облаке, поддерживаемая концепцией «Infrastructure as Code». Это позволяет быстро восстановить необходимые ресурсы с правильными настройками.
Специалисты создают машиночитаемые описания для автоматического развертывания инфраструктуры, что исключает возможность ошибок, связанных с ручной настройкой. После завершения расследования крайне важно пересмотреть и обновить процедуры стандартов безопасности. Это включает как устранение недоработок в процессах, так и возможное изменение модели нарушения безопасности.
Регулярное обновление и реализация регламентированных процессов снизит риск повторения инцидентов. Информация по инциденту будет полезной не только CISO, но и DevOps-специалистам и разработчикам, что способствует взаимному сотрудничеству в команде.
Полный анализ инцидента включает в себя восстановление хронологии событий, выявление причин, анализ реакции и разработку стратегий для улучшения процессов в будущем.
