Напрямки дій після атаки 13-14 січня

USEFUL TIPS

By Pakurity on Sat Jan 15 2022

Згідно даних CERT.GOV.UA у ніч з 13 на 14 січня 2022р. було здійснено хакерську атаку на низку сайтів державних органів України. На головній сторінці цих сайтів було розміщено повідомлення провокаційного характеру. Контент сайтів при цьому змінено не було та витоку персональних даних, за попередньою інформацією, не відбулося. В таблиці нижче ми наводимо рекомендації для керівництва постраждалих організації з усунення наслідків та недопущення схожих інцидентів в майбутньому.

НапрямокДіїКоментар
1Криміналістика та полювання за загрозамиОтримати та зберегти (в тому числі оффлайн) наступні дані щодо постраждалаих систем: - Журнали доступу та помилок веб-додатків, відладочні журнали (якщо велись); - Журнали роботи операційних систем, баз даних пов'язаних компонент (віртуалізація, черги повідомлень, оркестрація тощо); - Образи жорстких дисків віртуальних машин (контейнерів); - Образи пам'яті (RAM) віртуальних машин (контейнерів); - Журнали мережевих єкранів, реверсивних проксі, WAF що забезпечували доступ до компонент; - Журнали NetFlow з'єднань з серверами; - Журнали доступу проміжних систем за якими велось адміністрування постраждалих систем (SSH/RDP/VPN).
2Криміналістика та полювання за загрозамиЗ зібраних даних побудувати хронологію атак (timeline) та відповідні ідентифікатори загроз. За необхідності зробити пошук по видалених даних на дисках, аномальних процесів в образах пам'яті, реверс інженерію інструментів хакеру, кореляції мережевих з'єднань.
Криміналістика та полювання за загрозамиОрганізувати пошук та моніторінг появи ідентифікаторів загроз по решті компонент інфраструктури. За необхідності впровадити додаткові заходи збору журналів, моніторингу цілосності файлів, вмикнути аудит подій безпеки, розгорнути агенти live forensics/incident response.
3Захист додатків та систем1. Виявити механізм проведення атаки та дир безпеки в програмному коді; 2. Верифікувати на QA наявність цих дир; 3. Отримати та застосувати латки від постачальника; 4. Верифікувати на QA + тестуванням на проникнення ефективність латки (відсутність дир); 5. Зробити аудит коду на наявність схожих помилок в інших системах від того ж виробника; 6. Зробити правила IDS/WAF для виявлення спроб експлуатації дир безпеки.
4Захист додатків та систем1. Зрозуміти чи була справді відома дира в безпеці у зламаних системах; 2. Організувати відслідковування вразливостей в компонентах (залежностях, пакетах), що складають зламані (та інші) системи (security management in dependencies). Застосувати автоматизовані засоби для відстеження таких вразливостей; 3. Організувати регулярне сканування динамічними аналізаторами вразливостей веб-додатків (при виборі сканеру врахувати той, що показує наявність вразливої версії компоненту); 4. Організувати тестування на проникнення систем.
5Взаємодія з постачальникомВпровадити вимоги безпеки (OWASP-TOP10/OWASP ASVS/ISO27001) в контракті з постачальником. Отримати гарантії (наприклад через незалежний аудит), що постачальник впровадив у себе безпечний цикл розробки (наприклад на базі OWASP SAMM), в тому числі: - регулярні навчання співробітників безпечному кодуванню; - аудити вихідного коду; - керування безпекою залежностей; - надання механізмів перевірки цілісності компонент системи (геші файлів, цифровий підпис).
6Адміністративні заходиПровести службове (дисциплінарне, інше) розслідування в організації. Вияснити в чиї обов'язки входило : - захист систем, в тому числі виявлення та усунення вразливостей; - виявлення атак, відслідковування подій безпеки, координація інцидентів безпеки. Якщо визначенні обов'язки не були виконані, чи виконувались не ефективно, притягнути до відповідальності. Якщо обов'язки не були розподілені, притягнути до відповідальності керівників/начальників відповідного рівня. У разі високо ризику компрометації персональних та інших чутливих даних повідомити іх власникіів про ризик.
7Загальні заходи безпеки- Ізолювати в окремих мережах з мінімальними правами мережевого доступу вразливі системи, - Перевстановити з безпечних образів зкомпроментовані системи, - Впровадити безпечний доступ підрядників та адміністраторів (через проміжні сервери та VPN), з прив'язкою IP адрес та багатофакторною аутентифікацією. Закрити доступ до адмін панелей з інтернет., - Змінити всі потенційно зкомпроментовані паролі та ключі, - Відпрацювати процедури резервного копіювання та відновлення.
By Pakurity on Sat Jan 15 2022

Featured Articles

This website uses cookies to give you the best experience. Terms & Conditions