Реагирование на инциденты (IR) - это гонка на время. Вы привлекаете свою внутреннюю или внешнюю команду, потому что есть достаточно доказательств того, что происходит что-то плохое, но вы по-прежнему слепы к масштабам, последствиям и первопричине. Общий набор инструментов и практик IR-связи предоставляет IR-командам возможность обнаруживать вредоносные файлы и исходящие сетевые подключения. Однако аспект идентификации, а именно точное определение скомпрометированных учетных записей пользователей, которые использовались для распространения в вашей сети, к сожалению, остается без внимания. Эта задача оказывается самой трудоемкой для команд IR-служб и превратилась в сложную битву в гору, которая позволяет злоумышленникам выиграть драгоценное время, в течение которого они все еще могут наносить урон.
В этой статье мы анализируем первопричину идентификации ИК-слепых зон и приводим примеры ИК-сценариев, в которых это препятствует быстрому и эффективному процессу. Затем мы представляем Унифицированную платформу Silverfort для защиты персональных данных и показываем, как ее MFA в режиме реального времени и сегментация персональных данных могут преодолеть это слепое пятно и провести различие между ограниченным инцидентом и дорогостоящим взломом.
Так или иначе, самая срочная задача, как только ИК начнет работать, - это рассеять тьму и получить четкое представление о скомпрометированных объектах в вашем окружении. После обнаружения и проверки можно предпринять шаги для сдерживания атак путем помещения компьютеров в карантин, блокирования исходящего трафика, удаления вредоносных файлов и сброса настроек учетных записей пользователей.
Так получилось, что последняя задача далека от тривиальной при работе со скомпрометированными учетными записями пользователей и представляет собой еще не решенную проблему. Давайте разберемся, почему это так.
В результате обнаружение скомпрометированной учетной записи происходит только после обнаружения скомпрометированных компьютеров и помещения их в карантин, и даже тогда требуется ручная проверка всех учетных записей, которые там зарегистрированы. И еще раз – при гонке со временем зависимость от ручного и подверженного ошибкам расследования создает критическую задержку.
И здесь необходимо разобраться с аспектом идентификации. Единственное доступное средство защиты - это отключение учетной записи пользователя в AD или сброс ее пароля. Первый вариант не используется из-за сбоев в работе, которые он создает, особенно в случае ложных срабатываний. Второй вариант также не подходит; если подозреваемая учетная запись является учетной записью межмашинной службы, сброс ее пароля, вероятно, приведет к нарушению критически важных процессов, которыми она управляет, что приведет к дополнительному ущербу сверх того, который вызвала атака. Если злоумышленнику удалось скомпрометировать саму инфраструктуру идентификации, сброс пароля будет немедленно решен путем перехода на другую учетную запись.
Яркими примерами являются уязвимые протоколы аутентификации, такие как NTLM (или, что еще хуже, NTLMv1), неправильные настройки, такие как учетные записи с неограниченным делегированием, теневые администраторы, устаревшие пользователи и многие другие. Противники наслаждаются этими слабостями, зарабатывая на жизнь за счет наземных маршрутов. Невозможность найти, перенастроить или защитить учетные записи и компьютеры, обладающие этими недостатками, превращает IR в стадо кошек, где, пока аналитик занят анализом, чтобы определить, скомпрометирована ли учетная запись A, злоумышленники уже используют скомпрометированную учетную запись B.
Давайте посмотрим, как эти возможности ускоряют и оптимизируют процесс идентификации IR:
Как только политика настроена, процесс становится простым:
Дополнительное примечание: Теперь, когда есть подтвержденная скомпрометированная учетная запись, все, что нам нужно сделать, это отфильтровать все компьютеры, на которых эта учетная запись входила в систему, на экране журнала Silverfort.
Однако Silverfort автоматически обнаруживает эти учетные записи и получает представление об их повторяющихся моделях поведения. Благодаря такой видимости Silverfort позволяет настраивать политики, которые блокируют доступ всякий раз, когда учетная запись службы отклоняется от своего поведения. Таким образом, вся стандартная активность учетной записи службы не прерывается, в то время как любые попытки злоумышленников злоупотребить ею блокируются.
Цель № 2 достигнута: атака локализована, и команда IR может быстро приступить к расследованию
Цель № 3 достигнута: недостатки идентификационных данных устранены и не могут быть использованы для вредоносного распространения.
Чтобы узнать больше о возможностях ИК-связи платформы Silverfort, свяжитесь с одним из наших экспертов и запланируйте быструю демонстрацию.
В этой статье мы анализируем первопричину идентификации ИК-слепых зон и приводим примеры ИК-сценариев, в которых это препятствует быстрому и эффективному процессу. Затем мы представляем Унифицированную платформу Silverfort для защиты персональных данных и показываем, как ее MFA в режиме реального времени и сегментация персональных данных могут преодолеть это слепое пятно и провести различие между ограниченным инцидентом и дорогостоящим взломом.
IR 101: Знание - сила. Время - это все
Запуск процесса ИК-обработки может принимать миллион форм. Все они схожи в том, что вы думаете – или даже уверены, – что что-то не так, но не знаете точно, .,, Если вам повезет, ваша команда обнаружила угрозу, когда она еще наращивала свою мощь внутри, но еще не выполнила свою вредоносную задачу. Если вам не так повезло, вы узнаете о присутствии злоумышленника только после того, как его воздействие уже проявилось – зашифрованные компьютеры, пропавшие данные и любая другая форма вредоносной активности.Так или иначе, самая срочная задача, как только ИК начнет работать, - это рассеять тьму и получить четкое представление о скомпрометированных объектах в вашем окружении. После обнаружения и проверки можно предпринять шаги для сдерживания атак путем помещения компьютеров в карантин, блокирования исходящего трафика, удаления вредоносных файлов и сброса настроек учетных записей пользователей.
Так получилось, что последняя задача далека от тривиальной при работе со скомпрометированными учетными записями пользователей и представляет собой еще не решенную проблему. Давайте разберемся, почему это так.
Пробел в Identity IR # 1: нет способа обнаружить скомпрометированные учетные записи
В отличие от вредоносных файлов или вредоносных исходящих сетевых подключений, скомпрометированная учетная запись не делает ничего по сути вредоносного – она просто входит в систему ресурсов тем же способом, что и обычная учетная запись. Если это учетная запись администратора, которая ежедневно получает доступ к нескольким рабочим станциям и серверам – что имеет место во многих атаках – ее боковое перемещение даже не покажется аномальным.В результате обнаружение скомпрометированной учетной записи происходит только после обнаружения скомпрометированных компьютеров и помещения их в карантин, и даже тогда требуется ручная проверка всех учетных записей, которые там зарегистрированы. И еще раз – при гонке со временем зависимость от ручного и подверженного ошибкам расследования создает критическую задержку.
Пробел в Identity IR # 2: нет плана действий для немедленного сдерживания атаки и предотвращения дальнейшего распространения
Как и в реальной жизни, полному лечению предшествует этап оказания немедленной первой помощи. Эквивалентом в мире IR является сдерживание атаки в ее текущих границах и обеспечение того, чтобы она не распространилась дальше, даже до обнаружения ее активных компонентов. На сетевом уровне это достигается путем временной изоляции сегментов, которые потенциально содержат вредоносную активность, от тех, которые еще не скомпрометированы. На уровне конечных точек это достигается путем помещения в карантин компьютеров, на которых находится вредоносное ПО.И здесь необходимо разобраться с аспектом идентификации. Единственное доступное средство защиты - это отключение учетной записи пользователя в AD или сброс ее пароля. Первый вариант не используется из-за сбоев в работе, которые он создает, особенно в случае ложных срабатываний. Второй вариант также не подходит; если подозреваемая учетная запись является учетной записью межмашинной службы, сброс ее пароля, вероятно, приведет к нарушению критически важных процессов, которыми она управляет, что приведет к дополнительному ущербу сверх того, который вызвала атака. Если злоумышленнику удалось скомпрометировать саму инфраструктуру идентификации, сброс пароля будет немедленно решен путем перехода на другую учетную запись.
Пробел в Identity IR # 3: отсутствие плана действий по сокращению открытых поверхностей для идентификационных атак, на которые нацелены противники в рамках атаки
Слабые места, которые открывают поверхность атаки с использованием идентификационных данных для доступа злоумышленников к учетным данным, повышения привилегий и бокового перемещения, являются "слепыми пятнами" для положения и средств гигиены в стеке безопасности. Это лишает команду IR критических признаков компрометации, которые могли бы значительно ускорить процесс.Яркими примерами являются уязвимые протоколы аутентификации, такие как NTLM (или, что еще хуже, NTLMv1), неправильные настройки, такие как учетные записи с неограниченным делегированием, теневые администраторы, устаревшие пользователи и многие другие. Противники наслаждаются этими слабостями, зарабатывая на жизнь за счет наземных маршрутов. Невозможность найти, перенастроить или защитить учетные записи и компьютеры, обладающие этими недостатками, превращает IR в стадо кошек, где, пока аналитик занят анализом, чтобы определить, скомпрометирована ли учетная запись A, злоумышленники уже используют скомпрометированную учетную запись B.
Итог: никаких инструментов. Никаких ярлыков. Просто медленный и ручной анализ журнала, пока атака в разгаре
Итак, таков статус-кво: когда команде IR нужно, наконец, выяснить, кто является скомпрометированными учетными записями пользователей, которые злоумышленник использует для распространения в вашей среде. Это секрет, о котором никто не говорит, и истинная первопричина того, почему атаки с боковым перемещением настолько успешны и их трудно сдержать, даже когда происходит ИК-процесс.Унифицированная защита идентификационных данных Silverfort для IR-операций
Единая платформа защиты идентификационных данных Silverfort интегрируется с инфраструктурой идентификации непосредственно и в облаке (Active Directory, Entra ID, Okta, Ping и т.д.). Эта интеграция позволяет Silverfort иметь полную информацию о любой попытке аутентификации и доступа, обеспечивать принудительный доступ в режиме реального времени для предотвращения вредоносного доступа с помощью MFA или блокировки доступа, а также автоматизированного обнаружения и защиты учетных записей служб.Давайте посмотрим, как эти возможности ускоряют и оптимизируют процесс идентификации IR:
Обнаружение скомпрометированных учетных записей в MFA с нулевым сбоем в работе
Silverfort - это единственное решение, которое может обеспечить защиту MFA при любой аутентификации AD, включая инструменты командной строки, такие как PsExec и PowerShell. Благодаря этой возможности единая политика, требующая от всех учетных записей пользователей проверки их личности в MFA, может обнаружить все скомпрометированные учетные записи за считанные минуты.Как только политика настроена, процесс становится простым:
- Злоумышленник пытается продолжить свой вредоносный доступ и входит в систему на компьютере с взломанными учетными данными учетной записи.
- Истинному пользователю предлагается ввести MFA и он отрицает, что запрашивал доступ к указанному ресурсу.
Дополнительное примечание: Теперь, когда есть подтвержденная скомпрометированная учетная запись, все, что нам нужно сделать, это отфильтровать все компьютеры, на которых эта учетная запись входила в систему, на экране журнала Silverfort.
Сдерживайте атаку с помощью MFA и блокируйте политики доступа
Политика MFA, которую мы описали выше, служит не только для определения того, какие учетные записи скомпрометированы, но и дляпредотвращения любого дополнительного распространения атаки. Это позволяет команде IR заморозить плацдарм противника там, где он есть, и гарантировать, что все еще не скомпрометированные ресурсы останутся нетронутыми.Пересмотрена защита при сбоях в работе: увеличение количества учетных записей служб
Особое внимание следует уделять учетным записям служб, поскольку они подвергаются серьезному насилию со стороны субъектов угроз. Эти межмашинные учетные записи не связаны с пользователем-человеком и не могут быть защищены MFA.Однако Silverfort автоматически обнаруживает эти учетные записи и получает представление об их повторяющихся моделях поведения. Благодаря такой видимости Silverfort позволяет настраивать политики, которые блокируют доступ всякий раз, когда учетная запись службы отклоняется от своего поведения. Таким образом, вся стандартная активность учетной записи службы не прерывается, в то время как любые попытки злоумышленников злоупотребить ею блокируются.
Цель № 2 достигнута: атака локализована, и команда IR может быстро приступить к расследованию
Устранение выявленных слабых мест на поверхности идентификационной атаки
Доступ Silverfort ко всем аутентификациям и попыткам доступа в среде позволяет ИТ-отделу обнаруживать и устранять распространенные уязвимости, которыми пользуются злоумышленники. Вот несколько примеров:- Настройка политик MFA для всех теневых администраторов
- Настройка политик блокировки доступа для любых аутентификаций NTLMv1
- Найдите все учетные записи, которые были настроены без предварительной аутентификации
- Найдите все учетные записи, для которых было настроено неограниченное делегирование
Цель № 3 достигнута: недостатки идентификационных данных устранены и не могут быть использованы для вредоносного распространения.
Вывод: получение возможностей Identity IR крайне важно - вы готовы?
Скомпрометированные учетные записи являются ключевым компонентом более чем 80% кибератак, что делает риск быть атакованным практически неизбежным. Заинтересованные стороны в области безопасности должны инвестировать в наличие инструментов IR, которые могут решить этот аспект, чтобы обеспечить их способность эффективно реагировать, когда происходит такая атака.Чтобы узнать больше о возможностях ИК-связи платформы Silverfort, свяжитесь с одним из наших экспертов и запланируйте быструю демонстрацию.
