Альянс «Пять глаз» представил руководство для организаций по реагированию на инциденты
9 сентября 2020 года
Альянс «Пять глаз» (Five Eyes), в который входят спецслужбы США, Великобритании, Канады, Австралии и Новой Зеландии, опубликовал руководство для организаций по обнаружению вредоносной активности и реагированию на инциденты безопасности.
Согласно руководству, процедуру реагирования на инцидент лучше всего начинать со сбора артефактов, логов и данных для последующего анализа. Далее рекомендуется предпринимать шаги по блокировке атаки таким образом, чтобы злоумышленники не знали, что их присутствие в скомпрометированной сети было замечено.
Авторы руководства рекомендуют организациям, ставшим жертвами кибератак, обратиться за помощью к сторонним ИБ-компаниям, которые не только окажут им необходимую техническую поддержку, но также смогут полностью удалить злоумышленников из сети и предотвратить проблемы, которые могут возникнуть в результате дальнейших взломов.
Технический подход к выявлению вредоносной активности включает в себя поиск индикаторов компрометации (IOC), анализ трафика (сетевого и хостов), анализ данных с целью обнаружения повторяющихся шаблонов и выявление аномалий.
Во время изучения сети или анализа хоста рекомендуется обращать внимание на самые разные артефакты, в том числе на DNS-трафик, RDP-, VPN- и SSH-сеансы, вредоносные процессы, новые приложения, ключи реестра, открытые порты, установленные подключения, учетные данные пользователей, команды PowerShell и пр.
Принимая ответные меры против кибератаки, организации должны избегать распространенных ошибок, например, не предпринимать никаких действий сразу же после обнаружения инцидента (это может подсказать злоумышленнику, что его раскрыли), не восстанавливать систему до того, как были собраны и изолированы все необходимые для расследования артефакты, не получать доступ и не блокировать инфраструктуру злоумышленников, не сбрасывать пароли «на всякий случай» и не удалять записи реестра. Распространенной ошибкой также является не предпринимать никаких мер по устранению первоначальной причины кибератаки.
Для предотвращения атак по самым популярным векторам рекомендуется ограничение или отключение FTP, Telnet и неодобренных VPN-сервисов, удаление неиспользуемых служб и систем, отправка скомпрометированных хостов в карантин, закрытие необязательных портов и протоколов, отключение инструментов для удаленного администрирования сети, регулярная смена пролей и устранение уязвимостей и пр.
По мнению авторов руководства, сегментация сети, физическая изоляция чувствительных данных, следование принципу наименьших привилегий и использование безопасных конфигураций по всем сегментам и уровням сети должны уменьшить ущерб в случае кибератаки.
Источники[править]
Эта статья содержит материалы из статьи «Альянс «Пять глаз» представил руководство для организаций по реагированию на инциденты», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.