реагирование на инциденты
5 статей с этим тегом
Базовая безопасность для средних и крупных организаций: стандартный фундамент для команд
В масштабе база смещается от «чек-листа» к «программам с владельцами». Порядок приоритета совпадает с инди-версией: 1) идентичность, 2) секреты и цепочка поставок, 3) приложение и инфраструктура, 4) обнаружение и реагирование, плюс сквозной слой людей и управления. Большое изменение: ведущая причина взломов смещается от оплошностей к людям, процессам, доступу уволенных и третьим сторонам.
Что такое EDR — запись «поведения» конечных точек для обнаружения и реагирования на проскользнувшие атаки
EDR непрерывно записывает поведение конечной точки, обнаруживает подозрительную активность (в стиле IOA) и поддерживает реагирование (изолировать, расследовать). Он ловит бесфайловые и living-off-the-land атаки, которые пропускает сигнатурный/IOC-антивирус, по поведению и временной шкале. Небольшим командам часто не нужен полноценный EDR — встроенная защита ОС плюс журналы плюс мышление IOA дают большую часть пользы.
Что такое IOA (Indicator of Attack) — обнаружение взлома по поведению, а не по следам
IOA (Indicator of Attack) обнаруживает взлом по поведению атаки в процессе (повышение привилегий → горизонтальное перемещение → вывод данных). Это противоположность ретроспективного IOC. Злоумышленники мгновенно меняют хеши и IP, но техника (поведение) трудно меняется — поэтому IOA служат дольше. Даже небольшие команды могут подойти к этому, отслеживая поведение, отличающееся от нормального.
Что такое IOC (Indicator of Compromise) — следы, выдающие взлом
IOC (Indicator of Compromise) — это след, который оставляет взлом: известные вредоносные хеши файлов, IP/домены злоумышленника, URL, необычные процессы. Его ценность — механически обнаруживать/блокировать известное вредоносное. Но это реактивная улика, которую злоумышленники меняют дёшево, поэтому сопоставление IOC — финальная проверка, а не лекарство. Реальная защита — проектирование, которое не горит (минимум привилегий, обновления, MFA).
Что такое C2 (command and control) — канал, через который злоумышленники управляют устройством после взлома
C2 — канал, через который скомпрометированное устройство «звонит обратно» на сервер злоумышленника (beacon), чтобы получать команды и выводить данные — стадия после взлома. Ключи к обнаружению — подозрительный периодический исходящий трафик и известные вредоносные адреса. Защита: фильтрация исходящего трафика, мониторинг DNS, сопоставление с IOC/IOA, минимум привилегий. Подтверждение «нет резидентного C2» — важная часть расследования инцидента.