Как расследуют кибератаки: полный разбор Incident Response

[thxStuck]

Не знаю, как будто прям вот поверхностная ИИ выжимка. Ну то есть ты читаешь, допуская что человек это сам писал, а оно какое-то вот максимально пресное. Почему условно в рекомендация не написано строить СОК, но заниматься TI надо. Касаемо даже того же сока - ну вот пришел бизнес на эту статью, такой о нифига нам нужен SOC и че и где его строить. Вот даже мониторинг - че мониторить то будем? Все сегменты? А Все - это какие? И вот мы получаем что на самом деле нам бы по хорошему инвентаризировать инфру. Наверное сразу все подрубить мы не сможем - скорее всего у нас сил не хватит. Значит надо определить что для нас важнее. А теперь прикиньте если сети нет? Значит еще и перестроить все надо - а пока перестраиваете получается хакеры не нападают? И вот получается что чета под мониторинг, где-то пройтись повключать дефендоры, где-то поставить антивирусы, проходиться смотреть что юзеры новые не появились, антивирусы не повырубали и попутно строить сеть. К чему я это все? В статье все так расписано будто это вот пальцем щелкни и все. Если они начали строить безопасность - значит они встали на тяжелый и дорогой путь, в котором простых решений не будет. И если писать такую статью - то как будто бы это тоже проговаривать надо. Кстати процесс расследования инцидентов и без СЗИ класа СИЕМ возможен.

[AlexeyK77]

Этот комментарий полезнее чем вся гигантская простыня статьи.

От себя добавлю, что вся безопасность либо тормозится либо просто разбивается о бардак в ИТ. Если удается продвигаться во безопаности то все равно придется иметь дело с бардаком.

И по хорошему вначале надо не сием внедрять, а построить хотя бы частично процессы ITIL в ИТ.

[thxStuck]

Да! Без it нет ИБ. Условно если заказчик не знает че куда у него доступно, кто куда ходит - то во время инцидента практически невозможно понять какая активность нормальная, какие инструменты использует атакующий, а какие админы.

[thxStuck]

Понять возможно* но сьедает время на построение гипотез. Понять конечно чаще всего можно, на то есть соответствующие артефакты и таймлайн. Но это ест куча полезного времени.

[hisbvsi]

Для обычной организации сойдет.

а пока перестраиваете получается хакеры не нападают?

А что нам ждать с моря погоды? Два года инвентаризацией заниматься?

Иб в любом случае непрерывный процесс, тут сколько не делай, все равно мало будет. Надо с небес на землю спускаться. В текущих реалиях для среднестатистической организации (не бигтеха, который у вендора на обслуге и отдел иб их с вендором в пинг понг играют "делегируя ответственность") ни IR, ни TI не выгодны. Сидит условный отдел 2, в редких случаях 5 безопасников. Никакого деления на профили нет. Что от них надо организации, чтоб их не разогнали и что будет для них области выполнимого? Бесперебойность бизнес процессов. Они не будут делать как с иголочки, они будут делать то, что должно было быть сделано вчера, кое-как, но будут делать. Делать они это будут под шквалом писем пресейлов вендоров красного, синего и зелёного цветов, в которых им будут доказывать, что занимаются они какой-то ерундой, надо прогнозировать, планировать, вкладывать и подписывать бумажки на предоставление услуг. У них не будет полной видимости во внедренном SIEM, но что-то они будут видеть, по гайдам в интернете с опенсорсным сиемом (который по факту и у вендоров опенсорсный, только иконки под свои перекрашены). Нужно ли им будет в IR заниматься расследованием? Не дальше чем поверхностный сбор IOC. Как минимум криминалистикой занимаются для установления причастности лица, но сфера тут такая что бизнес ни с кого ничего не взыщет, а значит смысл тратиться на это? Бизнес интересует только восстановление и часто это идёт во вред сбору доказательств, но кого это волнует, ведь это не пойдет в TI. TI отдельная песня, которая затрагивает отечественную ИБ в целом. Там где по уму: MISP, OpenCTI, abuse.ch, YETI, делятся фидами по типу OTX, sigmapy и под оперсорс и под платные решение можно правила трансформить. У нас?

Тяжёлый и дорогой путь без лёгких решений

так вы в колеса палки и ставите, вендора сами гребут бесплатные решения, фиды и продают по невменяемым ценам. А регулятор им зачем то потакает, заставляя всю госуху и КИИ пользоваться их услугами и губя талант/инициативу рядовых безопасников на корню (когда она есть конечно). Причем у каждого вендора такие решения, что гибкости при переходе между ними никакой.

[thxStuck]

Какой смысл восстанавливаться не найдя точку входа. FULL AHUI. Что вам могу сказать - восстанавливайтесь, пока есть чему. Некст раз без нормального респонса к вам прийдут и в 0 все вместе с беками запишут, будете новый бизнес строить:) Расследование это не по приколу придумали ради TI. Но вы делайте как вы хотите, а мы дружно посмотрим на еще один уничтоженный бизнес.

Просто вот ваш комментарий - это боль типичных безопасников в оргах, я даже ее понимаю. Но наша задача говорить как надо бизнесу - потому что все что вы сказали от того что мир у нас не идеальный, но разве должны мы считать нормой все то что вы сказали? Касаемо IR - его главная задача найти точку входа, найти все закрепы, установить некоторые другие факты если возможно и проконсультировать по восстановлению и тому как сделать чтоб этого не было. Устанавливают причастных пожалуй МВД России и Федеральная служба безопасности. Кстати судит тоже Суд, не вендора) А то вдруг вы не знали. А вот против опенсорса в небольшом бизнесе ничего не имею, просто должен быть порядок. Ну и опенсорса потом будут траблы в масштабировании.

[thxStuck]

Кстати про уничтоженные бизнесы - у Лукацкого точно было пару постов, фактчекинг в студию.

[hisbvsi]

Какой смысл восстанавливаться не найдя точку входа.

Я напоминаю, когда вы работаете не в вендоре, вы - не источник дохода. Ваша задача обеспечивать бесперебойность бизнес процессов, решение о приоритете расследования или восстановления принимаете не вы. Если бизнес считает, что важнее восстановиться, восстанавливаемся, потому что завтра будет нечему восстанавливаться не из-за повторной атаки, а из-за того что орга прибыль не получает. Гарантии на то, что IR извне, найдет всё, нет. По сему большинству (на кого статья и рассчитана) только базовый IR и нужен, я думаю и без аутсорса закреп найден может быть. К тому же найдут точку входа, не найдут другие потенциально возможные, при таком раскладе внешний аудит всё еще полезнее выглядит. Про уничтоженный бизнес смешно читать. Если инфру пошифровали то тем более в приоритете будет восстановление (в местах где по уму кстати организации совместно трудятся над созданием тулов по дешифровке результатов работы АПТшек, чаще на гос уровне). Кража данных? Помер ли бизнес если утрата данных организации солнышек которые два года назад штрафы по 60 тысяч за утраты ПДн получали? Глава РКН говорит что вообще соглашение об обработке прошлый век. Увы, но всё катится к тому, что расследования это удел КИИшек, а в остальном всем по боку.

Устанавливают причастных пожалуй МВД России и Федеральная служба безопасности. Кстати судит тоже Суд, не вендора) А то вдруг вы не знали.

Я знаю, что ОРМ проводят и МО, и СВР, и таможенники, а если я вам начну объяснять, что такое дознание в контексте действа и дознание в контексте органа дознания, что суд не судит, а выносит решения или приговоры вы много нового откроете, это я изначально вел к тому, что криминалистики в самой DFIR мало, только методология при работе с доказательствами оттого и целеполагание страдает. Опять же как там где по уму, они доходят вплоть до конкретных личностей (APT31) с инфой по тому в какой воинской части они своими непотребствами занимаются. Но бизнесу всё еще от этого ни холодно, ни жарко, для них DFIR это всё еще больше про IR, чем DF.

[thxStuck]

То, что бизнесу надо восстановиться - это еще у древних греков было. Оправдывать что мы skill issue и не можем найти точку компромитации, так давайте забьем у нас же бизнес - это такое себе. Если такой бизнес, значит надо еще быстрей точку искать:)

[hisbvsi]

А кто сказал, что skill issues, я уверен, что люди, оказывающие услуги обычно всего "на одну тему впереди" тех, кому они эту услугу оказывают, условно реверс ВПО. Я говорю о том, что если вы не госуха, это не вам решать, что в приоритете, реагирование или восстановление. Каждый свое болото хвалит, я могу рассказывать, что всем нужен мониторинг, но честно, я понимаю, что это часто слив денег в унитаз по множеству причин. Также вебсек, будет до талого топить что вам нужен наш, уникальный WAF и каждый месяц процедуру аудита заказывайте, и на багбаунти выйдете чтоб толпа пыталась с автотуламии и ллмками завалить вас тонной бесполезной информации в репортах в попытке получить свой горшочек золота. Но в конце концов сколько бы Алексей не рассказывал про общение с ИБ на языке бизнеса, это не работает, так как только им и решать что они будут делать с риском (принимать они его будут). Да потом придет регулятор когда риск перестанет быть предположением, но это все уже постфактум.

[thxStuck]

Прям сейчас ллмка пастревел нашла до /etc/passwd пойду репорт занесу

[thxStuck]

Ну по больше такое пишите в интернете - регуляторы прочитают и большие штрафы получите;))
""
Помер ли бизнес если утрата данных организации солнышек которые два года назад штрафы по 60 тысяч за утраты ПДн получали? ""

Смешно не смешно про закрытый бизнес после инцев - а такие были, есть и я вам скажу еще больше будет. Не желание искать информацию и говорить мол если я не знаю, значит нет - сыграет вам не лучшую службу.

[thxStuck]

так вы в колеса палки и ставите

Тут уж в трудной ситуации сильный ищет выход, слабый оправдания.

--------------

Кстати вот заметил вы взяли мой комментарий и немного как будто не верно его интерпретировали. Я как раз говорю что пока инвентаризацией всей темой занимаетесь, то где-то просто прошлись позакрывали порты, повключали дефендеры, где-то мб сами посканили файлы. Ну если можете - то антивирусники позапускали. Есть много чего можно сделать для уменьшения вероятности, для усложнения и без дорогих сзи.
Я наоборот это и говорил выше.

Про гибкость решений тоже понимаю, согласен. Вообще во многом согласен в целом, просто процесс IR у нас большие расхождения.

[hisbvsi]

Кстати вот заметил вы взяли мой комментарий и немного как будто не верно его интерпретировали. Я как раз говорю что пока инвентаризацией всей темой занимаетесь, то где-то просто прошлись позакрывали порты, повключали дефендеры, где-то мб сами посканили файлы. Ну если можете - то антивирусники позапускали. Есть много чего можно сделать для уменьшения вероятности, для усложнения и без дорогих сзи.

Но весь этот процесс по сути дела харденинг, он мало того что к IR не особо то относится как и к статье в целом, так он еще и часто проводится не ИБ, а ИТ, в моем опыте ИБ отдел только гайдлайны составляет. А в одну статью запихнуть и мониторинг, в котором свои подотрасли должны быть инженерных и аналитических задач, реагирование, админство (харденинг/интвентаризация): если такая статья будет написана тут, еще и грамотная, пара коммерческих центров обучения при вендорах удавятся на месте.

[CIOlogia]

Благодарю за коммент, учту комментарий и рекомендации!