Центр кибербезопасности (ACSC) разработал приоритетные стратегии смягчения последствий, чтобы помочь специалистам в области кибербезопасности во всех организациях смягчить инциденты кибербезопасности, вызванные различными киберугрозами. В этом руководстве рассматриваются целевые кибер-вторжения (т.е. Выполняемые продвинутыми постоянными угрозами, такими как службы внешней разведки), программы-вымогатели и внешние злоумышленники с деструктивными намерениями, злонамеренные инсайдеры, «компрометация корпоративной электронной почты» и системы промышленного контроля.
Введение
Этот документ, разработанный Австралийским центром кибербезопасности (ACSC), заменяет публикацию «
Стратегии смягчения целевых кибер-вторжений - сведения о смягчении последствий» и непосредственно дополняет публикацию «
Стратегии смягчения инцидентов кибербезопасности».
Дополнительная информация представлена в этом документе, чтобы помочь организациям смягчить инциденты кибербезопасности, вызванные:
- целевые кибер-вторжения (например, выполняемые продвинутыми постоянными угрозами, такими как службы внешней разведки) и другие внешние злоумышленники, которые крадут данные
- программы-вымогатели, отказывающие в доступе к данным с целью получения денежной выгоды, и внешние злоумышленники, которые уничтожают данные и препятствуют работе компьютеров / сетей
- злонамеренные инсайдеры, которые крадут такие данные, как сведения о клиентах или интеллектуальная собственность
- злонамеренные инсайдеры, которые уничтожают данные и препятствуют работе компьютеров / сетей
- 'компрометация корпоративной электронной почты'
- угрозы для промышленных систем управления.
.
Обзор угроз
На странице представлен обзор угроз целевых кибер-вторжений, программ-вымогателей и внешних злоумышленников, которые уничтожают данные и препятствуют работе компьютеров / сетей, а также злоумышленников изнутри.
Руководство по внедрению связанных стратегий смягчения последствий приведено ниже в этом документе, а сводная таблица связанных стратегий смягчения последствий представлена в дополнительной публикации «
Стратегии смягчения
инцидентов кибербезопасности» .
Целевые кибер-вторжения
Обзор
Целенаправленные кибер-вторжения вовлекают внешних злоумышленников, которые крадут данные. Это может нанести ущерб конкурентным преимуществам и репутации затронутых организаций, нанести ущерб экономическому благополучию страны, повлиять на общественное мнение, негативно повлиять на граждан из-за раскрытия их личных данных и излишне потреблять скудные финансовые и кадровые ресурсы для реагирования на такие вторжения.
Организациям необходимо определить тип и местоположение своих конфиденциальных данных, хранящихся в электронном виде, в рамках оценки рисков безопасности, выполняемой для определения уровня защиты, необходимой их активам от различных угроз. Для целей этого документа под конфиденциальными данными понимается несекретная или секретная информация, определенная как требующая защиты. Эта защита часто направлена на поддержание конфиденциальности данных, хотя целостность и доступность данных также важны и часто игнорируются. Такие данные могут храниться в организациях в различных местах, включая представления правительственных ведомств и другие документы, детализирующие намерения правительства, документы стратегического планирования, деловые предложения, тендеры, протоколы встреч, финансовые и бухгалтерские отчеты, юридические документы,
Этапы целевого кибервторжения
Никакая единая стратегия защиты не может предотвратить целевое кибервторжение, и организациям следует внедрять стратегии защиты, которые охватывают все три стадии целевого кибернетического вмешательства на высоком уровне.
Этап 1. Доставка и выполнение вредоносного ПО:
- Злоумышленники проводят разведку для выбора целевого пользователя и обычно отправляют пользователю вредоносное «целевое фишинговое» электронное письмо, содержащее либо гиперссылку на веб-сайт с вредоносным содержанием, либо вредоносное вложение электронной почты. Примеры таких вложений электронной почты включают исполняемую программу, документ Microsoft Office, содержащий вредоносный макрос, или файл сценария (например, JScript, VBScript, файл сценария Windows, приложение HTML или PowerShell) - эти файлы могут быть в zip-архиве, RAR или другом архивный файл. В качестве альтернативы злоумышленники могут скомпрометировать законный веб-сайт, который, вероятно, посетит пользователь, что называется «водопой» или «стратегическая веб-компрометация».
- Эта разведка упрощается для злоумышленников, если имя пользователя и / или адрес электронной почты доступны через веб-сайт их работодателя, веб-сайты социальных сетей или если пользователь использует свой рабочий адрес электронной почты для целей, не связанных с работой.
- Затем вредоносное ПО запускается на компьютере пользователя и часто конфигурируется для сохранения, автоматически выполняясь каждый раз, когда пользователь перезагружает свой компьютер и / или входит в систему. Вредоносная программа взаимодействует с интернет-инфраструктурой «командования и управления», контролируемой злоумышленниками, обычно загружая дополнительные вредоносные программы, позволяя злоумышленникам удаленно управлять компьютером пользователя и выполнять любые действия или получать доступ к любым данным, которые может получить взломанная учетная запись пользователя.
Этап 2 - Распространение сети:
- Злоумышленники могут использовать скомпрометированные учетные данные или, в некоторых случаях, эксплуатируемые уязвимости системы безопасности, влияющие на другие компьютеры в организации, для распространения (горизонтального перемещения) по сети с целью обнаружения и доступа к конфиденциальным данным. Распространение по сети может происходить быстро в сетях с неадекватными ограничениями доступа к сети, особенно когда несколько компьютеров используют одну и ту же парольную фразу локального администратора. К часто используемым данным относятся файлы Microsoft Office, файлы электронной почты Outlook, файлы PDF, а также данные, хранящиеся в базах данных. Злоумышленники обычно получают доступ к таким деталям, как иерархия организации, имена пользователей и парольные фразы, включая учетные данные для удаленного доступа, а также к системным данным, включая детали конфигурации компьютеров и сети.
- Хотя парольные фразы могут храниться в виде криптографических хэшей, чтобы расстроить злоумышленников, эти хэши часто могут быть извлечены противником. В зависимости от криптографической стойкости алгоритма хеширования эти хэши могут быть взломаны для получения связанных парольных фраз с использованием свободно доступного программного обеспечения и одного компьютера или общедоступной службы облачных вычислений. Некоторое смягчение последствий обеспечивается требованием от всех пользователей выбирать надежную парольную фразу, которая соответствующим образом хэшируется с использованием криптостойкого алгоритма. В качестве альтернативы злоумышленники могут использовать регистратор нажатий клавиш или метод «передачи хэша», избегая необходимости взламывать хеши парольных фраз [8] .
- Использование в организации аутентификации единого входа может значительно принести пользу злоумышленникам. Напротив, надлежащее использование многофакторной аутентификации помогает препятствовать злоумышленникам, особенно если она реализована для удаленного доступа, а также в тех случаях, когда пользователи выполняют привилегированные действия, такие как администрирование компьютера, и когда пользователи получают доступ к важным (конфиденциальным или высокопроизводительным) действиям. доступность) хранилище данных.
Этап 3 - Кража данных:
- Злоумышленники часто используют zip, RAR или другие архивные файлы для сжатия и шифрования копии конфиденциальных данных организации.
- Злоумышленники извлекают эти данные из сети, используя доступные сетевые протоколы и порты, разрешенные межсетевым экраном шлюза организации, например HTTPS, HTTP или, в некоторых случаях, DNS или электронную почту.
- Злоумышленники могут получить виртуальную частную сеть (VPN) или другие учетные данные учетной записи удаленного доступа, особенно в отсутствие многофакторной аутентификации, и использовать это зашифрованное сетевое соединение для перехвата данных с целью обойти сетевой мониторинг.
- У злоумышленников обычно есть несколько скомпрометированных компьютеров в сети организации, а также скомпрометированные учетные записи VPN или других учетных записей удаленного доступа, которые используются в качестве бэкдоров для облегчения дальнейшего сбора и кражи данных в будущем.
Наиболее вероятные цели
Фраза «Наиболее вероятные цели» описывает пользователей, которые с наибольшей вероятностью станут целью на первом этапе целевого кибер-вторжения, и включает:
- руководители высшего звена и их помощники
- сотрудники службы поддержки, системные и сетевые администраторы, а также другие пользователи, обладающие административными привилегиями для операционных систем или приложений, таких как базы данных
- все пользователи, имеющие доступ к конфиденциальным данным, включая данные, которые могут предоставить иностранному правительству или организации стратегическое или экономическое преимущество
- пользователи с удаленным доступом
- пользователи, чья рабочая роль включает взаимодействие с нежелательными электронными письмами от представителей общественности и других неизвестных людей, общающихся через Интернет - это включает пользователей, которые обрабатывают запросы о свободе информации, сотрудников средств массовой информации и связей с общественностью, группу кадров, чья работа включает чтение вложений электронной почты, таких как как заявления о приеме на работу, а также финансовые группы, которые получают счета или тендерные документы.
Понимание целей злоумышленников может дать представление о том, какие другие пользователи могут быть нацелены на их доступ к конфиденциальным данным. Таргетинг может происходить непосредственно перед важной предстоящей встречей или другим бизнес-событием, имеющим отношение к противникам.
Программы-вымогатели и внешние злоумышленники с деструктивными намерениями
Обзор
Программа-вымогатель запрещает доступ к данным, обычно путем их шифрования, до тех пор, пока в течение определенного периода времени не будет выплачен денежный выкуп. Программа-вымогатель может удалять доступные резервные копии, иногда распространяется на другие компьютеры и шифрует все доступные данные, включая данные, хранящиеся на локальных жестких дисках, сетевых дисках (общих файловых ресурсах) и съемных носителях, таких как USB-накопители. Программы-вымогатели могут препятствовать работе компьютеров, например, если файлы операционной системы или данные конфигурации зашифрованы. «Локеры» - это связанные вредоносные программы, которые направлены на предотвращение работы компьютеров до уплаты выкупа.
Некоторые злоумышленники нацелены на конкретные организации, например, больницы очень заинтересованы в уплате выкупа в случае опасности для жизни, а учебные заведения обычно зависят от доступа к своим данным. Такие компрометации могут происходить в результате рассылки злоумышленниками целевых фишинговых писем, использования уязвимостей безопасности на компьютерах, доступных в Интернете, таких как веб-сайты и связанные с ними базы данных, или путем подбора парольной фразы методом перебора для удаленного доступа к компьютерам, подключенным к Интернету, через протокол удаленного рабочего стола (RDP). . Дополнительные методы, используемые злоумышленниками для мотивации жертв к уплате выкупа, включают угрозы либо удалить файлы, либо публично опубликовать конфиденциальные файлы в Интернете.
Ограниченное количество вариантов программ-вымогателей имеет криптографические уязвимости, или их главный ключ дешифрования был раскрыт, что позволяет дешифровать файлы в ограниченных случаях с помощью бесплатных инструментов
[9] .
Выплата выкупа имеет этические последствия и не гарантирует, что зашифрованные файлы будут расшифрованы. Злоумышленники могут быть нечестными и не заслуживающими доверия
[10] , программа-вымогатель может не иметь технических возможностей для дешифрования данных
[11] , или данные могут быть зашифрованы / удалены несколькими противниками
[12] .
Внешние злоумышленники, которые уничтожают данные и мешают работе компьютеров / сетей, часто мотивированные политическими целями, могут удалять или повреждать данные различными способами. Это включает в себя удаление или повреждение пользовательских данных, приложений, файлов операционной системы, загрузочной прошивки, доступной через BIOS / UEFI и другую прошивку, или настроек конфигурации компьютеров и других сетевых устройств, которые не позволяют им загружать свою операционную систему или иным образом нормально работать.
Вредоносные инсайдеры
Обзор
Злонамеренные инсайдеры, мотивированные деньгами или, в некоторых случаях, принуждением, идеологией, эгоизмом или волнением, могут украсть такие данные, как сведения о клиентах или интеллектуальная собственность.
Злонамеренные инсайдеры, мотивированные местью или недовольством по таким причинам, как отрицательная оценка эффективности работы, отказ в продвижении по службе или недобровольное увольнение, могут уничтожить данные и помешать работе компьютеров / сетей.
Для целей этого документа определение злонамеренной внутренней угрозы исключает сотрудников, не являющихся злоумышленниками, которые непреднамеренно и непреднамеренно способствуют возникновению инцидента кибербезопасности, например, путем взаимодействия с вредоносными электронными письмами, отправленными внешними злоумышленниками - в этом случае сотрудник не является угрозой. скорее они являются слабостью, которую эксплуатирует внешняя угроза.
Некоторые отраслевые комментаторы предполагают, что злонамеренные инсайдеры, которые крадут данные, могут быть смягчены с помощью тех же стратегий предотвращения, реализованных в том же приоритетном порядке, что и для целевого кибер-вторжения, которое ставит под угрозу компьютерную учетную запись сотрудника для доступа и эксфильтрации данных. Однако существует разница в предотвращении этих двух угроз, поскольку злоумышленники, которые крадут данные, обычно уже имеют учетную запись и доступ к данным, поэтому нет необходимости использовать вредоносное ПО для получения начального доступа. Кроме того, у злоумышленников есть возможность использовать съемные носители информации, такие как USB-накопители, для эксфильтрации данных. Как правило, это не жизнеспособный вариант утечки с низким уровнем риска для целевого кибер-вторжения, когда злоумышленники находятся в физически удаленном месте, например в чужой стране.
Актуальность стратегий смягчения дополнительных угроз
В дополнительной публикации «
Стратегии смягчения
инцидентов кибербезопасности» явным образом не дается руководство по смягчению угрозы «компрометации деловой электронной почты» или угроз для промышленных систем управления. Тем не менее, на следующих страницах даны неисчерпывающие указания по этим угрозам, чтобы подчеркнуть, насколько актуальны существующие стратегии смягчения и можно ли их использовать в качестве основы для смягчения этих угроз.
Компрометация корпоративной электронной почты
Обзор
«Компрометация деловой электронной почты» предполагает, что злоумышленники используют методы социальной инженерии или целевого кибернетического вторжения, чтобы злоупотребить доверием к бизнес-процессам целевой организации с типичной целью совершения мошенничества. Примеры включают проведение несанкционированных переводов денег или, в некоторых случаях, получение сведений о персонале для совершения налогового мошенничества
[13] .
Иногда злоумышленники взламывают законную учетную запись электронной почты или создают учетную запись электронной почты с аналогичным адресом электронной почты, который затем используется для взаимодействия с целью. Злоумышленники могут изменить номера банковских счетов и контактные данные в счетах-фактурах, чтобы злоумышленники случайно получили оплату
[14] .
Злоумышленники могут взломать учетную запись электронной почты генерального директора или старшего должностного лица цели или отправить «поддельные» электронные письма, которые, как представляется, исходят от генерального директора или высшего руководителя. Эти методы также называют «мошенничеством со стороны генерального директора», «выдачей себя за другое лицо» и «подделкой деловой электронной почты».
Руководство по смягчению последствий
Руководство по предотвращению взлома корпоративной электронной почты включает:
- Обучите сотрудников, которые могут выполнять денежные переводы, о целевых фишинговых письмах и бизнес-процессах, чтобы они могли звонить запрашивающему (избегая использования телефонных номеров в электронном письме) для проверки необычных запросов, таких как запрос денег, превышающих пороговую сумму, оказание давления с требованием немедленных действий или требуя сохранения секретности для обхода бизнес-процессов. Избегайте публичного раскрытия контактных данных таких сотрудников и подробностей о том, когда с руководителями невозможно связаться, например, потому что они путешествуют на самолете.
- Блокировать поддельные электронные письма:
- использовать Sender Policy Framework (SPF) или Sender ID для проверки входящих писем
- настроить записи DNS для домена организации, чтобы добавить запись SPF TXT с жестким сбоем, а также запись проверки подлинности сообщений, отчетности и соответствия на основе домена (DMARC)
- отклонять входящие электронные письма, которые имеют домен организации в качестве отправителя электронной почты, но исходят не с серверов электронной почты, утвержденных организацией
- желательно регистрировать домены, которые выглядят очень похожими на домен организации, когда буквы, такие как «l» и «o», заменяются цифрами, такими как «1» и «0».
- Реализуйте по крайней мере четыре «основных» стратегии смягчения, чтобы «предотвратить доставку и выполнение вредоносных программ», особенно на компьютерах, используемых финансовыми и кадровыми группами, руководителями высшего звена и их помощниками.
Системы промышленного контроля
Обзор
Системы промышленного управления (ICS) используют среды операционных технологий (OT), которые включают такие компоненты, как электронные датчики, а также такие системы, как сетевое вычислительное оборудование. Это оборудование часто используется для мониторинга или управления промышленным оборудованием, как правило, для поддержки функций надежности и безопасности.
Среда OT является специализированной и рассчитана на десятилетия эксплуатации. Этот расширенный жизненный цикл активов, характеризуемый нечастыми обновлениями и заменами, увеличивает период времени, в течение которого активы OT уязвимы для киберугроз, и со временем создает дополнительную сложность в отношении применения стратегий смягчения. Решения безопасности должны поддерживать высокие требования к надежности и доступности сред ОТ и редкие возможности для запланированных отключений.
Среды OT отличаются от сред информационных технологий (ИТ), общих для многих организаций, которые используются для функций общего назначения (например, электронная почта, написание документов и просмотр веб-страниц) и предназначены для использования в производственной среде обычно в течение одного-трех лет перед обновлением. , с регулярными возможностями для плановых отключений.
Руководство по смягчению последствий
Сделайте приоритетным защиту активов ОТ (включая вспомогательные компьютеры), которые имеют решающее значение для способности организации предоставлять основные услуги.
Руководство по смягчению последствий для сред ОТ включает:
- ограничивать сетевое подключение к ИТ-средам и Интернету - отмечая, что полностью закрытые среды OT могут быть непрактичными, ограничивать удаленный доступ из Интернета, а там, где используется удаленный доступ, реализовывать шифрование на уровне сети, такое как VPN, многофакторная аутентификация и строгая политика парольных фраз
- гарантировать, что только авторизованный код может быть введен в среду OT и запущен, путем управления съемными носителями и подключенными устройствами, реализации контроля приложений, где это возможно, и рассмотрения возможности использования подписи кода
- использовать приложения и операционные системы, поддерживаемые поставщиками, и своевременно исправлять связанные уязвимости безопасности как можно скорее в рамках ограничений, связанных с требованиями к работоспособности системы - обратите внимание на отсутствие доступных исправлений для части уязвимостей безопасности, характерных для активов OT, которые считаются слишком сложно отремонтировать или связанное с ним оборудование больше не поддерживается поставщиком
- обратитесь к дополнительному руководству, предоставленному властями США [15] [16] [17] .
Руководство по смягчению последствий для ИТ-сред включает реализацию стратегий смягчения последствий, перечисленных в
Стратегиях смягчения
инцидентов кибербезопасности, как для целевых кибер-вторжений, так и для программ-вымогателей и внешних злоумышленников с деструктивными намерениями, особенно с упором на компьютеры, которые администрируют среды ОТ, разработка программного обеспечения для ОТ среды или иным образом могут взаимодействовать со средами ОТ.
Общие соображения при реализации стратегий смягчения последствий
Контроль приложений и сетевой активности
Концепция разрешения только утвержденных приложений или сетевых подключений является ключевой темой стратегий смягчения последствий. В таких случаях такие действия, как выполнение приложений или сетевое взаимодействие, запрещены по умолчанию, и разрешается только деятельность, явно одобренная системными администраторами и администраторами сети для удовлетворения бизнес-требований.
Традиционный подход к блокировке ограниченного подмножества приложений или сетевого обмена данными, который известен как вредоносный, является очень реактивным подходом, обеспечивающим ограниченную безопасность
[18] [19] [20].
В продуктах поставщиков все чаще рекламируются альтернативные подходы к определению того, являются ли приложения, сетевое взаимодействие, поведение компьютера или связанные журналы признаками вредоносной активности. Примеры альтернатив включают использование аналитики угроз, состоящей не только из индикаторов компрометации, аналитики больших данных, эвристики, машинного обучения, искусственного интеллекта и математики / статистики. Некоторые из этих альтернативных подходов предполагают, что нормальное поведение пользователей и компьютеров может быть точно определено, чтобы идентифицировать аномалии, избегая ложных срабатываний. Организации должны критически оценить ценность таких подходов перед покупкой таких продуктов поставщика, отмечая, что ценность, вероятно, будет варьироваться в зависимости от реализации каждого поставщика.
Эффективность сетевых стратегий смягчения последствий
Эффективность сетевых стратегий смягчения последствий продолжает снижаться из-за эволюции архитектуры ИТ-инфраструктуры. Например, периметр сети продолжает разрушаться из-за все более широкого использования внешней компьютерной инфраструктуры, такой как услуги облачных вычислений, а также мобильных вычислительных устройств, используемых сотрудниками. Кроме того, становится все более невозможным осуществлять обратное соединение или иным образом направлять сетевой трафик в одно узкое место для реализации сетевых стратегий смягчения, таких как «Сетевая система обнаружения / предотвращения вторжений» и «Захват сетевого трафика». Эти изменения также влияют на возможность реализации стратегии смягчения последствий «Запретить корпоративным компьютерам прямое подключение к Интернету».
Киберстрахование
Оплата киберстрахования не заменяет вложения в защиту кибербезопасности за счет реализации этих стратегий смягчения последствий, хотя киберстрахование может побудить организации реализовать эти стратегии смягчения, чтобы снизить стоимость своей премии киберстрахования.
Даже если инцидент кибербезопасности покрывается полисом киберстрахования, страховая выплата может быть не в состоянии устранить ущерб, такой как украденная интеллектуальная собственность и связанная с этим потеря долгосрочных конкурентных преимуществ, ущерб репутации организации, потеря лояльности клиентов и граждане, сталкивающиеся с последствиями компрометации их личных данных и их использования в злонамеренных целях, таких как кража личных данных и мошенничество.
Стратегии смягчения последствий для предотвращения доставки и выполнения вредоносных программ
Контроль приложений
Стратегия смягчения последствий
Контроль приложений для предотвращения выполнения неутвержденных / вредоносных программ, включая .exe, DLL, сценарии (например, Windows Script Host, PowerShell и HTML-приложения) и установщики.
Обоснование
Правильно настроенная реализация управления приложениями помогает предотвратить нежелательное выполнение программного обеспечения независимо от того, было ли программное обеспечение загружено с веб-сайта, выбрано в виде вложения электронной почты или введено через съемный носитель CD / DVD / USB.
Внедрение контроля приложений на важных серверах, таких как Active Directory, почтовые серверы и другие серверы, обрабатывающие аутентификацию пользователей, может помочь предотвратить запуск злоумышленниками вредоносных программ, которые получают хэши парольных фраз или иным образом предоставляют злоумышленникам дополнительные привилегии.
Руководство по реализации
Следующие примеры не относятся к управлению приложениями:
- просто запретить пользователю устанавливать новые приложения на жесткий диск своего компьютера
- использование межсетевого экрана нового поколения в попытке определить, создается ли сетевой трафик одобренным приложением.
- с помощью программного обеспечения кибербезопасности нового поколения или любого другого продукта поставщика, который решает, следует ли разрешить выполнение приложения на основе факторов, отличных от предварительно настроенного системным администратором списка утвержденных приложений.
Способность управления приложениями обеспечивать разумный барьер для инцидентов кибербезопасности от низкого до среднего уровня сложности зависит от решения, выбранного для реализации управления приложениями, в сочетании с его параметрами конфигурации, а также от прав доступа к файлам, определяющих, какие каталоги использует пользователь (и, следовательно, вредоносное ПО) может писать и выполнять из.
Убедитесь, что контроль приложений предотвращает запуск неутвержденных программ независимо от расширения их файлов.
Самая простая реализация для предотвращения запуска некоторых несложных вредоносных программ включает использование управления приложениями или разрешений файловой системы для блокировки выполнения из каталогов профилей пользователей. К таким каталогам относятся% AppData%,% LocalAppData%, их подкаталоги, а также% TEMP%. Кроме того, чтобы предотвратить запуск вредоносных сценариев при нажатии пользователем, программа блокнота может быть связана с расширениями файлов сценариев, такими как .hta, .js, .jse, .vbs, .vbe, .wsf и .ps1.
Организациям, которым не требуется использование Windows Script Host, настоятельно рекомендуется отключить его
[21] , в то время как другим организациям следует использовать контроль приложений, чтобы разрешить выполнение только утвержденных сценариев.
После выполнения тестирования, чтобы подтвердить отсутствие значительного влияния на бизнес, запретите типичным пользователям с низкими привилегиями возможности запускать все механизмы выполнения сценариев, поставляемые с Microsoft Windows, включая Windows Script Host (cscript.exe и wscript.exe, которые запускают JScript и VBScript, включая Windows Файлы сценариев), powershell.exe, powershell_ise.exe, cmd.exe, wmic.exe и, где возможно, Microsoft HTML Application Host (mshta.exe).
ACSC призывает организации проявлять осторожность при использовании правил сертификатов издателя, чтобы разрешить выполнение файлов операционной системы и других приложений. Существует риск безопасности, связанный с непреднамеренным разрешением приложений, имеющих цифровую подпись одного и того же издателя, которые могут использоваться в законных или злонамеренных целях, таких как распространение по сети и запуск вредоносных программ. Чтобы снизить этот риск безопасности, убедитесь, что в правилах сертификатов издателя указано «Название продукта» в дополнение к «Имя издателя».
По возможности не позволяйте пользователям (и, следовательно, вредоносным программам, работающим от имени пользователя) запускать системные исполняемые файлы, обычно используемые для злонамеренных целей, как указано в стратегии смягчения последствий «Непрерывное обнаружение инцидентов и реагирование на них». Обратите внимание на исключение для regsvr32.exe и rundll32.exe - они необходимы для законной функциональности, но могут использоваться для обхода контроля приложений, что можно уменьшить, настроив правила в Microsoft's Enhanced Mitigation Experience Toolkit (EMET).
Рекомендуется развертывать контроль приложений поэтапно, а не пытаться развернуть его сразу во всей организации. Например, после полного тестирования и понимания управления приложениями во избежание ложных срабатываний один из подходов состоит в развертывании управления приложениями на компьютерах, используемых руководителями высшего звена и их помощниками. Такие пользователи являются наиболее вероятными целями, которые обычно запускают ограниченное количество программных приложений, таких как Microsoft Office, почтовая программа и веб-браузер. Дополнительным преимуществом является то, что, когда эти пользователи узнают, что они щелкнули вредоносное вложение электронной почты или посетили вредоносный веб-сайт, а контроль приложений снизил риск взлома, они могут предоставить дополнительную поддержку для развертывания контроля приложений на большем количестве компьютеров в организации.
Развертывание контроля приложений упрощается, если организация имеет подробную информацию о том, какое программное обеспечение установлено на компьютерах. Такую прозрачность можно получить, используя стандартную операционную среду, ведя инвентаризацию установленного программного обеспечения и внедряя надежный процесс управления изменениями. Первоначальное тестирование управления приложениями в режиме «аудит» / «только ведение журнала» помогает организациям провести инвентаризацию установленного программного обеспечения, избегая при этом включения существующих вредоносных программ в инвентарь. После проведения инвентаризации можно правильно настроить управление приложениями в принудительном режиме, чтобы предотвратить запуск неутвержденных программ.
При установке нового программного обеспечения избегайте создания хэшей для добавленных файлов, которые не являются исполняемыми. В противном случае, если каждый новый файл хешируется, список хэшей, вероятно, станет слишком большим, и, если он распространяется через групповую политику, может неприемлемо замедлить вход пользователей в свои компьютеры. Кроме того, обратите внимание, что установка нового программного обеспечения может создавать подкаталоги в разрешенных путях, которые предоставляют пользователям (и, следовательно, вредоносным программам) разрешения на запись и выполнение, позволяя запускать произвольные неутвержденные или вредоносные программы. Организациям необходимо периодически проверять эффективность контроля приложений, особенно после установки нового программного обеспечения.
Установщики или установочные пакеты могут устанавливать, изменять или удалять программы. Общие рамки установщика включают установщик Windows и InstallShield. Установщики часто содержат информацию об установке, а также файлы для установки в одном пакете. Файлы пакета установщика Windows имеют расширение имени файла MSI / MSP и обычно используются для установки или изменения программ в средах Microsoft Windows.
Программное обеспечение для защиты конечных точек или защиты от вредоносных программ от некоторых поставщиков включает функцию управления приложениями. ACSC стал свидетелем конфликта управления приложениями с программным обеспечением для защиты от вредоносных программ от другого поставщика, которое запускалось со случайным именем файла в попытке спрятаться от вредоносного ПО.
Элемент управления приложениями в Защитнике Windows, представленный в Microsoft Windows 10 и Microsoft Windows Server 2016, представляет собой элемент управления приложениями, который использует виртуализацию, чтобы защитить себя от отключения злонамеренными администраторами или вредоносными программами, работающими с административными привилегиями, которые уже обошли управление приложениями (что несколько отрицает необходимость зловреда отключить контроль приложений).
Дальнейшая информация
Дополнительные инструкции, включая применимость для операционных систем, отличных от Microsoft Windows, доступны по адресу:
View a list of recommended block rules, based on knowledge shared between Microsoft and the wider security community.
docs.microsoft.com
Информация о Application Control в Защитнике Windows доступна по адресу
https://docs.microsoft.com/en-au/wi...defender-application-control-deployment-guide .
Патч приложений
Стратегия смягчения последствий
Исправляйте приложения, особенно Adobe Flash, веб-браузеры и плагины / надстройки / расширения веб-браузеров, Microsoft Office, средства просмотра Java и PDF. Также исправляйте серверные приложения, такие как базы данных, в которых хранятся важные (конфиденциальные или высокодоступные) данные, а также программное обеспечение веб-сервера, доступное через Интернет.
Устранение или устранение последствий для компьютеров, подверженных «экстремальным рискам» уязвимостей в системе безопасности, в течение 48 часов с момента обнаружения уязвимости. ACSC разработал руководство для упрощения подхода к управлению рисками при применении исправлений на основе серьезности и потенциального воздействия на бизнес связанных уязвимостей безопасности.
Используйте последнюю версию приложений, поскольку они обычно включают дополнительные технологии безопасности, такие как песочница и другие средства защиты от эксплуатации. Для приложений некоторых поставщиков обновление до последней версии - единственный способ исправить уязвимость системы безопасности. Не используйте версии приложений, которые больше не поддерживаются поставщиками с исправлениями для устранения уязвимостей.
Обоснование
«Экстремальные риски» уязвимости в программном обеспечении, используемом организацией, могут позволить злоумышленникам выполнить вредоносный код, что может привести к серьезным последствиям для организации. Уровень риска безопасности также может зависеть от того, доступен ли код эксплойта для уязвимости безопасности коммерчески или публично, например, в инструменте с открытым исходным кодом, таком как Metasploit Framework, или в комплекте эксплойтов для киберпреступлений.
Руководство по реализации
Подходы к исправлению
Существует множество подходов к развертыванию исправлений для приложений и операционных систем, работающих на компьютерах пользователей, в зависимости от уровня допустимости риска организации, а также от того, сколько приложений использует организация, если они являются устаревшими, не поддерживаются, разработаны собственными силами или плохо спроектированы. .
- Некоторые организации используют сбалансированный подход, предполагающий ожидание в течение нескольких часов после выпуска исправления, чтобы поставщик мог отозвать исправление, если сообщалось, что оно нарушает функциональность бизнеса. Затем организация развертывает исправление на нескольких компьютерах, принадлежащих подмножеству системных администраторов или аналогичных технически квалифицированных пользователей, при желании проверяя возможность отката исправления для его удаления. Если в течение дня не было обнаружено неисправных функций, организация затем развертывает исправление на небольшом проценте компьютеров, принадлежащих пользователям из каждого бизнес-подразделения, особенно пользователям, которые являются наиболее вероятными целями. Если в течение дня нет жалоб на нарушение функциональности, исправление развертывается на всех остальных компьютерах пользователей.
- Некоторые организации тратят значительное количество времени на тестирование исправлений для пользовательских компьютеров перед развертыванием. Хотя такой подход облегчает управление изменениями и сводит к минимуму вероятность того, что развернутое исправление нарушит функциональность бизнеса, длительный процесс тестирования исправлений сопряжен с финансовыми затратами и оставляет организацию уязвимой до тех пор, пока исправление не будет развернуто или не будет реализовано обходное решение.
Другой подход, предполагающий более тщательное тестирование, обычно используется для развертывания исправлений на серверах, а также для развертывания обновлений, которые вводят важные дополнительные функции и возможности.
Управление исправлениями
Чтобы получить представление о том, какое программное обеспечение требует установки исправлений, ведите инвентаризацию программного обеспечения, установленного на каждом компьютере, особенно ноутбуков, которые могут подключаться к сети организации лишь изредка, и включать сведения о версиях программного обеспечения и истории исправлений.
Отдайте приоритет исправлению уязвимостей безопасности в программном обеспечении, используемом для взаимодействия с контентом из Интернета, а также в программном обеспечении, работающем с повышенными привилегиями, например в антивирусном ПО и видеодрайверах сторонних производителей.
Используйте автоматизированный механизм для подтверждения и записи того, что развернутые исправления были установлены, успешно применены и остаются на месте.
Используя последнюю версию
Не используйте программное обеспечение, которое больше не поддерживается поставщиком с исправлениями для уязвимостей безопасности. Это особенно важно для программного обеспечения, которое взаимодействует с ненадежными и потенциально вредоносными данными.
Не используйте Adobe Reader до версии X или неподдерживаемые версии Internet Explorer (в настоящее время версия 10 и старше), особенно при доступе в Интернет.
Дальнейшая информация
Руководство Microsoft по улучшению практики управления исправлениями доступно по адресу
https://blogs.msdn.microsoft.com/govtech/2015/04/21/if-you-do-only-one-thing-to-reduce-your-cybersecurity- риск / .
Настроить параметры макроса Microsoft Office
Стратегия смягчения последствий
Настройте параметры макросов Microsoft Office для блокировки макросов из Интернета и разрешите проверенные макросы только в «надежных местах» с ограниченным доступом на запись или с цифровой подписью с помощью доверенного сертификата.
Обоснование
Эта стратегия смягчения воздействует на злоумышленников, использующих макросы Microsoft Office в попытке запустить вредоносный код, избегая при этом базовой фильтрации содержимого электронной почты и контроля приложений.
Руководство по реализации
При настройке новой функции безопасности, добавленной в Microsoft Office, для блокировки макросов из Интернета, также настройте диспетчер вложений Microsoft Windows, чтобы пользователи не могли удалять информацию о зоне, чтобы обойти эту функцию безопасности.
Для организаций с бизнес-требованиями к запуску макросов Microsoft Office настройте Microsoft Office для каждого пользователя и для каждого приложения, чтобы запускать только макросы, проверенные как заслуживающие доверия и предпочтительно помещенные в каталоги «надежного расположения», что невозможно для обычных пользователей с низким уровнем привилегий. писать или, что менее предпочтительно, иметь цифровую подпись от доверенных издателей. Обратите внимание, что злоумышленники могут попытаться приобрести или украсть сертификат подписи кода, выпущенный доверенным центром сертификации, и использовать его для подписи вредоносного макроса - даже если сертификат связан с ненадежным издателем, пользователю может быть нежелательно предоставлено решение и возможность запускать макрос.
Обеспечьте соблюдение параметров конфигурации безопасности макросов с помощью групповой политики, чтобы пользователи не могли изменять их для запуска вредоносного или иного неутвержденного макроса.
Дальнейшая информация
Дополнительная информация о новой функции безопасности в Microsoft Office для блокировки макросов из Интернета доступна по адресу
https://www.microsoft.com/security/...n-now-block-macros-to-help-prevent-infection/
Повышение безопасности пользовательских приложений
Стратегия смягчения последствий
Укрепление пользовательских приложений. Настройте веб-браузеры для блокировки Flash (в идеале, если возможно, удалите его), рекламы и ненадежного кода Java в Интернете. Отключите ненужные функции в Microsoft Office (например, OLE), веб-браузерах и средствах просмотра PDF.
Обоснование
Эта стратегия смягчения значительно помогает уменьшить поверхность атаки пользовательских компьютеров. Это также помогает смягчить последствия использования злоумышленниками вредоносного содержимого в попытке обойти контроль приложений, используя либо легитимные функции приложения, либо уязвимость системы безопасности, для которой недоступен патч производителя.
Руководство по реализации
Сосредоточьтесь на усилении конфигурации приложений, используемых для взаимодействия с контентом из Интернета. Для веб-браузеров заблокируйте Adobe Flash (в идеале удалите его), ActiveX, Java, Silverlight и QuickTime для Windows. Разрешать только надежные веб-сайты, которым требуются такие функции веб-браузера для определенных бизнес-целей, например устаревшее приложение Flash, используемое во внутренней сети организации. Обратите внимание, что некоторые веб-браузеры имеют встроенную версию Flash.
В идеале удалите Flash, поскольку простое отключение Flash в веб-браузере не устраняет все способы эксплуатации, такие как Microsoft Office или средства просмотра PDF. Кроме того, функциональность веб-браузера «щелкни и работай» обеспечивает ограниченное смягчение последствий, поскольку требует от пользователей принятия правильных решений по безопасности. Некоторые пользователи могут сделать неправильный выбор, например, включить вредоносную Flash-рекламу, размещенную на законном веб-сайте.
Блокировать интернет-рекламу с помощью программного обеспечения веб-браузера (и фильтрации веб-контента в шлюзе) из-за преобладающей угрозы со стороны злоумышленников, использующих вредоносную рекламу (вредоносную рекламу) для нарушения целостности законных веб-сайтов и компрометации посетителей таких веб-сайтов. Некоторые организации могут выбрать поддержку выбранных веб-сайтов, которые полагаются на рекламу для получения дохода, путем размещения только своей рекламы и потенциально рискуя компромиссом.
Для предотвращения запуска вредоносного кода Java, размещенного в Интернете, можно использовать различные подходы, в том числе:
- удалите Java, если для ее использования нет бизнес-требований
- настроить Java на отключение «содержимого Java в браузере» [22]
- используйте современный веб-браузер, который запрещает запуск устаревших плагинов Java [23]
- применять специальные настройки конфигурации веб-браузера, которые отключают Java в веб-браузере [24]
- использовать отдельный веб-браузер, который может запускать только код Java, расположенный во внутренних системах организации.
- использовать набор правил развертывания [25], чтобы разрешить только утвержденные Java-апплеты и приложения Java Web Start.
- используйте фильтрацию веб-содержимого для обеспечения глубокой защиты, включая предоставление исключения для утвержденных веб-сайтов, которые требуют использования Java в деловых целях.
Блокировка JavaScript, за исключением одобренных веб-сайтов, идеальна, хотя и является сложной задачей из-за большого количества веб-сайтов, которым требуется такая функциональность для законных целей, и ее трудно реализовать в крупномасштабном развертывании.
Настройте Microsoft Office, чтобы отключить активацию пакетов связывания и встраивания объектов (OLE)
[26] .
Настройте функции проверки файлов Microsoft Office и защищенного просмотра для проверки и проверки файлов Microsoft Office на предмет потенциально вредоносных отклонений.
Автоматизированный динамический анализ электронной почты и веб-контента в песочнице
Стратегия смягчения последствий
Автоматический динамический анализ электронной почты и веб-контента выполняется в изолированной программной среде, блокируется при обнаружении подозрительного поведения (например, сетевой трафик, новые или измененные файлы или другие изменения конфигурации системы).
Обоснование
В динамическом анализе используются возможности обнаружения на основе поведения вместо использования сигнатур, что позволяет организации обнаруживать вредоносные программы, которые еще не были идентифицированы сообществом кибербезопасности.
Руководство по реализации
Анализ может быть выполнен в инструментальной песочнице, расположенной либо на шлюзе организации, на компьютере пользователя, либо во внешней среде облачных вычислений, с учетом проблем, связанных с конфиденциальностью данных, конфиденциальностью и безопасностью канала связи.
Предпочтительно использовать продукт поставщика, который:
- может расшифровывать и анализировать электронную почту и веб-контент, зашифрованный с помощью SSL / TLS, при передаче через Интернет
- анализирует электронные письма перед их доставкой пользователям, чтобы пользователи не подвергались воздействию вредоносного контента
- быстро и эффективно предотвращает появление веб-контента, который уже был доставлен пользователям и впоследствии был идентифицирован как вредоносный - меры могут включать в себя блокирование доступа компьютера пользователя к интернет-инфраструктуре, с которой связывается вредоносный контент, или помещение в карантин компьютера пользователя иным образом
- позволяет настроить песочницу в соответствии с операционными системами, приложениями и параметрами конфигурации компьютеров, используемых в организации.
Используйте реализацию, которая регулярно обновляется поставщиком, чтобы смягчить развивающиеся методы уклонения, которые ставят под сомнение эффективность этой стратегии смягчения. Избегайте использования реализаций, которые легко обойти злоумышленники с помощью таких методов уклонения, как:
- управление сетевым трафиком с использованием подходов, которые исторически использовались для обхода сетевых систем обнаружения / предотвращения вторжений
- выполнение злонамеренных действий только при соблюдении определенных условий, например, по истечении определенного периода времени или указанной даты, после того, как пользователь взаимодействовал с компьютером, например, щелкнул кнопкой мыши, или если вредоносная программа считает компьютер настоящим пользователем компьютер, а не виртуальная машина или приманка.
Фильтрация содержимого электронной почты
Стратегия смягчения последствий
Фильтрация содержимого электронной почты. Разрешить только одобренные типы вложений (в том числе в архивах и вложенных архивах
[27] ). Анализируйте / очищайте гиперссылки, вложения PDF и Microsoft Office. Поместить в карантин макросы Microsoft Office.
Обоснование
Фильтрация содержимого электронной почты помогает предотвратить взлом компьютеров пользователей через злоумышленников, использующих вредоносные электронные письма. Разрешение только утвержденных типов вложений, связанных с бизнесом, значительно эффективнее, чем попытки идентифицировать и заблокировать полный список вредоносных типов файлов и расширений файлов, включая те, которые все чаще используются злоумышленниками, например, файлы ярлыков .lnk, файлы PowerShell и JScript.
Руководство по реализации
Блокировать / помещать в карантин контент, который нельзя проверить, например архивные файлы, защищенные парольной фразой (например, zip или RAR). Проверяйте архивные файлы контролируемым образом, чтобы избежать отказа в обслуживании из-за исчерпания ресурсов.
Отклонять входящие электронные письма, в которых домен организации указан в качестве отправителя электронной почты, но которые исходят не с серверов электронной почты, утвержденных организацией.
Один из подходов к очистке утвержденных типов вложений, связанных с бизнесом, заключается в использовании программного обеспечения «Content Disarm and Reconstruction», которое заменяет вложение электронной почты новым файлом, содержащим то же содержимое, но без потенциально вредоносного кода.
Желательно архивировать вложения PDF и Microsoft Office и повторно сканировать их на наличие вредоносных программ каждый месяц в течение нескольких месяцев.
Предпочтительно помещать в карантин вложения и отключать гиперссылки в сообщениях электронной почты от поставщиков веб-почты, которые предоставляют бесплатные адреса электронной почты анонимным пользователям Интернета, поскольку злоумышленники часто используют такие адреса электронной почты из-за отсутствия атрибуции.
Фильтрация веб-контента
Стратегия смягчения последствий
Фильтрация веб-контента. Разрешить только одобренные типы веб-контента и веб-сайты с хорошей репутацией. Блокируйте доступ к вредоносным доменам и IP-адресам, рекламе, сетям анонимности и бесплатным доменам.
Обоснование
Эффективный фильтр веб-содержимого снижает риск доступа к вредоносным программам, а также затрудняет взаимодействие злоумышленников со своими вредоносными программами. Определение списка одобренных типов веб-контента поможет удалить один из наиболее распространенных методов доставки вредоносных программ.
Руководство по реализации
Предпочтительно блокировать весь исполняемый контент по умолчанию и использовать процесс, позволяющий выбранным пользователям получить доступ к определенному исполняемому контенту, если существует бизнес-обоснование.
Предпочтительно блокировать доступ к веб-сайтам, которые фильтр веб-содержимого считает «неклассифицированными» или относящимися к категории, которая не требуется для деловых целей.
В идеале блокируйте Flash, ActiveX и Java, за исключением одобренных веб-сайтов, которым требуются такие функции в законных целях. Однако административные ресурсы, необходимые для анализа законных бизнес-требований в более крупных организациях, могут быть значительными.
Внедрите решение, которое проверяет трафик HTTPS на наличие вредоносного содержимого, особенно связи HTTPS с незнакомыми веб-сайтами, учитывая, что зашифрованный сетевой трафик стал широко распространенным.
Если фильтр веб-содержимого имеет возможность проверять файлы Microsoft Office, поместите такие файлы в карантин, если они содержат макросы, особенно если они загружены из Интернета, а не из интрасети организации.
Блокировать интернет-рекламу с помощью фильтрации веб-контента на шлюзе (и в программном обеспечении веб-браузера) из-за распространенной угрозы со стороны злоумышленников, использующих вредоносную рекламу (вредоносную рекламу) для нарушения целостности законных веб-сайтов и компрометации посетителей таких веб-сайтов. Некоторые организации могут выбрать поддержку выбранных веб-сайтов, которые полагаются на рекламу для получения дохода, путем размещения только своих объявлений и потенциально рискуя компромиссом.
Блокируйте исходящие сетевые подключения к анонимным сетям, таким как Tor, Tor2web и I2P, чтобы помочь предотвратить вредоносное ПО, которое использует такие сети для управления и контроля, а также для кражи данных. Некоторые организации могут выбрать поддержку входящих сетевых подключений из анонимных сетей к общедоступным веб-сайтам организации, доступным в Интернете, чтобы обслуживать посетителей веб-сайтов, которые хотят оставаться анонимными по соображениям конфиденциальности.
Инциденты кибербезопасности часто связаны с использованием «динамических» доменов и других доменов, которые бесплатно предоставляются анонимным пользователям Интернета из-за отсутствия атрибуции. Заблокируйте доступ к таким доменам после подтверждения того, что организация не имеет доступа к законным веб-сайтам, использующим эти домены.
По возможности блокируйте попытки доступа к веб-сайтам по их IP-адресу, а не по их доменному имени, чтобы заставить злоумышленников получить доменное имя, которое может внести свой вклад в контрольный журнал, который может помочь в выявлении связанных инцидентов кибербезопасности.
Эффективность этой стратегии защиты снижается из-за того, что злоумышленники используют законные веб-сайты, которые необходимы для деловых целей, для доставки вредоносных программ, управления и контроля и кражи. К таким веб-сайтам относятся веб-форумы, веб-сайты социальных сетей, службы облачных вычислений, законные, но временно взломанные веб-сайты и ряд другой веб-инфраструктуры.
Запретить корпоративным компьютерам прямое подключение к Интернету
Стратегия смягчения последствий
Запретите корпоративным компьютерам прямое подключение к Интернету. Используйте межсетевой экран шлюза, чтобы требовать использования разделенного DNS-сервера, почтового сервера и проверенного веб-прокси-сервера для исходящих веб-соединений.
Обоснование
Межсетевой экран шлюза ограничивает доступ внешних злоумышленников к корпоративным компьютерам, на которых запущены уязвимые сетевые службы, и служит точкой регистрации и блокирования входящего и исходящего сетевого трафика.
Вредоносное ПО более низкой сложности может не передавать данные и работать правильно, если оно ожидает прямого подключения к Интернету и не может проникнуть через Интернет-шлюз организации, в результате чего Интернет-шлюз обнаруживает и блокирует такое несанкционированное сетевое соединение.
Руководство по реализации
Брандмауэр должен быть настроен так, чтобы разрешать только утвержденные сетевые порты и протоколы, необходимые для бизнес-функций, и должен быть способен обрабатывать трафик IPv6.
Внедрите веб-прокси, который расшифровывает и проверяет зашифрованный трафик HTTPS на предмет вредоносного содержимого, особенно связи HTTPS с незнакомыми веб-сайтами.
Предпочтительно настраивать компьютеры с устройством сетевого захвата без маршрутизации в качестве маршрута по умолчанию, чтобы помочь обнаружить вредоносные программы, пытающиеся напрямую связаться с Интернетом, учитывая, что некоторые законные приложения или функции операционной системы могут генерировать ложные срабатывания.
Серверы должны иметь очень ограниченные возможности, а в идеале - отсутствие возможности просматривать веб-сайты и получать доступ к электронной почте из Интернета.
Эту стратегию смягчения последствий не следует интерпретировать так, что пользователи Интернета, посещающие общедоступные веб-сайты организации, должны проходить аутентификацию через веб-прокси.
Защита от общих эксплойтов операционной системы
Стратегия смягчения последствий
Общие меры защиты от эксплойтов операционной системы, например, предотвращение выполнения данных (DEP), рандомизация адресного пространства (ASLR) и расширенный инструментарий для смягчения последствий (EMET)
[28] .
Linux с повышенной безопасностью (SELinux) и grsecurity являются примерами механизмов защиты от эксплойтов для операционных систем Linux.
Обоснование
Эти технологии обеспечивают общесистемные меры, помогающие смягчить методы, используемые для использования уязвимостей безопасности, в том числе для приложений, для защиты которых специально настроен EMET, даже в тех случаях, когда наличие и подробности уязвимостей безопасности не являются общедоступными.
Руководство по реализации
Настройте аппаратные и программные механизмы DEP для применения ко всем программам операционной системы и другим программным приложениям, поддерживающим DEP.
Настройте ASLR для всех программ операционной системы и других программных приложений, поддерживающих ASLR.
Помимо настройки общесистемных правил EMET, настройте правила EMET для приложений, которые взаимодействуют с потенциально ненадежным контентом, например веб-браузеров, Microsoft Office и средств просмотра PDF.
Настройте правила EMET, чтобы предотвратить злоупотребление легитимными файлами операционной системы Microsoft Windows regsvr32.exe и rundll32.exe для обхода контроля приложений.
Используйте 64-битную версию Microsoft Windows вместо 32-битной версии, поскольку 64-битная версия содержит дополнительные технологии безопасности.
Дальнейшая информация
Microsoft отмечает, что их операционная система Microsoft Windows 10 и веб-браузер Edge изначально реализуют многие функции и средства защиты EMET, что делает EMET менее актуальным для Microsoft Windows 10. EMET наиболее полезен для защиты предыдущих версий операционной системы, устаревших приложений и стороннего программного обеспечения:
Повышение безопасности серверных приложений
Стратегия смягчения последствий
Серверное приложение усиливает защиту, особенно доступных через Интернет веб-приложений (дезинфицируйте ввод и используйте TLS, а не SSL) и баз данных, а также других серверных приложений, которые обращаются к важным (конфиденциальным или высокодоступным) данным (например, о клиентах, финансах, людских ресурсах и других хранилищах данных системы).
Обоснование
Укрепление серверных приложений помогает организации вести свой бизнес со сниженным риском для безопасности злонамеренного доступа к данным, кражи, раскрытия, повреждения и потери.
Руководство по реализации
Руководство OWASP помогает снизить уязвимости безопасности веб-приложений, таких как внедрение SQL, и охватывает проверку кода, проверку и очистку данных, управление пользователями и сеансами, защиту данных при передаче и хранении, обработку ошибок, аутентификацию пользователей, ведение журналов и аудит.
Дальнейшая информация
ACSC разработал руководство по обеспечению безопасности систем управления контентом, работающих на веб-серверах, в рамках реагирования ACSC на инциденты кибербезопасности с участием злоумышленников, компрометирующих веб-серверы, доступные в Интернете, и использования «веб-оболочек», которые могут облегчить удаленный доступ, администрирование и переход к внутренние системы организации.
Повышение безопасности операционной системы
Стратегия смягчения последствий
Усиление защиты операционной системы (в том числе для сетевых устройств) на основе стандартной операционной среды (SOE), отключение ненужных функций (например, RDP, AutoRun, LanMan, SMB / NetBIOS, Link-Local Multicast Name Resolution (LLMNR) и Auto-Discovery Web Proxy ( WPAD)).
Обоснование
Преимущества компьютеров и сетевых устройств, имеющих согласованную управляемую конфигурацию SOE, включают:
- системные администраторы, выполняющие управление конфигурацией и зная, какое программное обеспечение работает на компьютерах, тем самым облегчая реализацию контроля приложений и исправление уязвимостей безопасности
- возможность обнаружения аномального программного обеспечения путем мониторинга отклонений от стандартного базового уровня - реализация контроля приложений, даже если он настроен в режиме «аудит» / «только ведение журнала», может обеспечить эту возможность
- сетевые администраторы, зная, какое программное обеспечение работает на сетевых устройствах, тем самым облегчая исправление уязвимостей безопасности, а также знают, какое программное обеспечение может обмениваться данными в сети, тем самым облегчая определение ожидаемой сетевой активности
- возможность быстрого восстановления скомпрометированных компьютеров и сетевых устройств до известного чистого состояния.
Руководство по реализации
Упрочнение разрешений для файлов и реестра Windows, например, где это возможно, не позволяет пользователям (и, следовательно, вредоносным программам, работающим от имени пользователя) запускать системные исполняемые файлы, которые обычно используются в злонамеренных целях, как указано в стратегиях смягчения последствий «Контроль приложений» и «Непрерывное обнаружение инцидентов и реагирование на них». .
Настройте службу планировщика задач Windows, чтобы запретить компьютерам пользователей создавать запланированные задачи (особенно на серверах) для выполнения вредоносных программ.
Настройте алгоритм пути поиска DLL, чтобы уменьшить вероятность загрузки вредоносных файлов DLL с помощью методов перехвата порядка поиска DLL.
Отключите серверный блок сообщений (SMB) и службы NetBIOS, работающие на компьютерах, где это возможно, особенно, чтобы помочь уменьшить внутреннюю разведку и распространение сети.
Отключение LLMNR и связанных с ним служб разрешения имен, таких как NetBIOS Name Service, где это возможно, помогает предотвратить попытки злоумышленников в сети организации отвечать на запросы имен, выполняемые другими компьютерами организации, и собирать их учетные данные для аутентификации.
Организации должны создать запись WPAD DNS на своем внутреннем DNS-сервере и / или в файле «hosts» компьютеров пользователей. Организации, которые не используют автоконфигурацию прокси, должны отключить эту функцию в веб-браузерах.
Настройка отображаемых расширений файлов помогает пользователям понять тип файла, в противном случае вложение электронной почты с именем «file.txt.exe» может отображаться как «file.txt», заставляя пользователя думать, что это безобидный текстовый файл.
Нехватка неиспользуемых и доступных общедоступных адресов IPv4 приводит к возрастанию потребности в IPv6, который будет использоваться компьютерами, которые напрямую подключаются к Интернету. Однако IPv6 может не понадобиться компьютерам во внутренней сети организации, которые используют адреса IPv4 в зарезервированном диапазоне.
Антивирусное ПО с использованием эвристики и рейтингов репутации
Стратегия смягчения последствий
Антивирусное программное обеспечение, использующее эвристику и рейтинги репутации для проверки распространенности файла и цифровой подписи перед запуском. Используйте антивирусное программное обеспечение от разных поставщиков для шлюзов, а не для компьютеров.
В частности, это включает проверку распространенности сомнительного файла среди пользовательской базы поставщика, а в идеале также проверку того, использует ли файл с цифровой подписью сертификат надежного поставщика, который не был отозван и срок действия которого не истек, когда цифровая подпись была добавлена в файл.
Обоснование
Антивирусное программное обеспечение помогает обнаруживать вредоносные программы, в том числе компьютерные вирусы, черви, трояны, шпионское и рекламное ПО.
Руководство по реализации
Настройте возможность эвристического анализа поведения для достижения приемлемого баланса между идентификацией вредоносных программ, избегая при этом негативного воздействия на пользователей и группу реагирования на инциденты организации из-за ложных срабатываний.
Проверять файлы при доступе к ним и по расписанию.
Программное обеспечение для защиты конечных точек или защиты от вредоносных программ от некоторых поставщиков включает функции эвристики и оценки репутации.
Управление съемными носителями и подключенными устройствами
Стратегия смягчения последствий
Управляйте съемными носителями и подключенными устройствами. Заблокируйте неутвержденные CD / DVD / USB-носители. Заблокируйте подключение к неутвержденным смартфонам, планшетам и устройствам Bluetooth / Wi-Fi / 3G / 4G / 5G.
Обоснование
Использование съемных носителей и подключенных устройств контролируемым и подотчетным образом снижает риск выполнения вредоносных программ и несанкционированного доступа к данным.
USB-флеш-накопители, зараженные вредоносным ПО, могут быть преднамеренно предоставлены целевым пользователям в качестве подарка и были случайно распространены основными поставщиками на нескольких австралийских конференциях по кибербезопасности. Кроме того, злоумышленники могут разбросать USB-накопители, компакт-диски и DVD-диски, содержащие вредоносный контент, на автостоянке целевых пользователей.
Руководство по реализации
При использовании съемных носителей для передачи данных между компьютерами соблюдайте надежную политику передачи носителей данных, особенно если они расположены в разных сетях или в разных доменах безопасности. В идеале следует установить альтернативный одобренный корпорацией метод передачи данных, который позволяет избежать использования съемных носителей.
Компьютеры без необходимости использования съемных носителей или подключенных устройств могут быть настроены для предотвращения такого подключения путем удаления связанных драйверов из операционной системы, использования сторонних решений для разрешения и блокировки доступа к определенным классам устройств, настройки параметров BIOS / UEFI компьютера. для отключения доступа к соответствующему оборудованию, а также физического удаления или отключения связанного оборудования, используемого для внешнего хранилища данных или подключения внешних устройств.
Блокировать поддельные электронные письма
Стратегия смягчения последствий
Блокируйте поддельные электронные письма. Используйте Sender Policy Framework (SPF) или Sender ID для проверки входящих писем. Используйте записи SPF TXT и DMARC DNS с жестким сбоем, чтобы уменьшить количество электронных писем, подделывающих домен организации.
Обоснование
SPF или альтернативные реализации, такие как Sender ID, снижают вероятность доставки поддельных писем целевому пользователю.
Руководство по реализации
Настройте записи DNS SPF TXT для «жесткого сбоя» для доменов и поддоменов организации и настройте DNS-запись SPF TXT с подстановочными знаками для сопоставления с несуществующими поддоменами.
Идентификатор отправителя - это альтернативная версия SPF, которая проверяет легитимность адреса электронной почты отправителя, который отображается для получателя электронной почты. Дополнительные реализации включают DomainKeys Identified Mail (DKIM).
Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC) позволяет владельцу домена указать политику, в которой указано, какие действия должен предпринять почтовый сервер получателя, если он получит электронное письмо, которое не прошло проверку SPF и / или проверку DKIM. DMARC также содержит функцию отчетов, которая позволяет владельцу домена получить некоторую информацию о том, подделывается ли его домен в электронных письмах, отправленных злоумышленниками.
Настройте запись DNS DMARC для домена организации, указав, что электронные письма из домена и поддоменов организации должны отклоняться, если они не проходят проверку SPF (и / или DKIM проверяет, настроен ли DKIM для домена организации). В отсутствие записи DNS DMARC ACSC отреагировал на инцидент кибербезопасности, связанный с крупным провайдером бесплатной веб-почты, который доставил поддельное электронное письмо в почтовый ящик получателя, даже если оно не прошло проверку SPF.
Организации могут консервативно развернуть DMARC, если они обеспокоены тем, что законные электронные письма, отправленные из их домена, неправильно отклоняются.
Отклонять входящие электронные письма, в которых домен организации указан в качестве отправителя электронной почты, но которые исходят не с серверов электронной почты, утвержденных организацией.
Обучение пользователей
Стратегия смягчения последствий
Обучение пользователей. Избегайте фишинговых писем (например, со ссылками для входа на поддельные веб-сайты), слабых парольных фраз, повторного использования парольных фраз, а также неутвержденных корпоративных съемных носителей, подключенных устройств и внешних ИТ-сервисов, таких как облачные вычисления, включая веб-почту.
Информируйте пользователей, особенно наиболее вероятных целей, об интернет-угрозах, таких как выявление целевых фишинговых писем или неожиданных дубликатов писем, и сообщение о таких письмах отделу ИТ-безопасности организации. Пользователи также должны сообщать о потенциальных инцидентах кибербезопасности, в том числе о подозрительных телефонных звонках, например о неопознанных звонках, пытающихся получить подробную информацию об ИТ-среде организации. Наконец, пользователям следует избегать использования слабых парольных фраз, повторного использования парольных фраз, использования несанкционированных съемных носителей и подключенных устройств, а также раскрытия своих адресов электронной почты, например, через социальные сети.
Обучение пользователей должно быть сосредоточено на влиянии на поведение пользователей.
Обоснование
Обучение пользователей может дополнять технические стратегии смягчения последствий. Пользователи могут замечать и сообщать о неожиданном поведении, таком как подозрительное электронное письмо, пустой документ или несоответствующее содержимое документа, отображаемое при открытии вложения электронной почты. Это может помочь в обнаружении целевых фишинговых писем как вектора вторжения. Однако для предотвращения и автоматического обнаружения попытки взлома предпочтительнее использовать техническую стратегию смягчения последствий (например, контроль приложений, настроенный для регистрации и сообщения о нарушениях), чем полагаться на обучение пользователей.
Предоставление пользователям возможности принимать решение, связанное с безопасностью, и надежда на то, что все они научены всегда делать правильный выбор, может привести к тому, что некоторые пользователи сделают неправильный выбор, что приведет к компромиссу.
ACSC известно о некоторых целевых фишинговых электронных письмах, в которых используется умный прием и которые настолько правдоподобны, что никакое обучение пользователей не помогло бы предотвратить или обнаружить компрометацию.
Обучение пользователей не помешает пользователю посетить законный веб-сайт, который был временно скомпрометирован для обслуживания вредоносного контента в рамках "загрузки путем загрузки", "водопонижения" или "стратегического взлома Интернета", в том числе там, где вредоносная реклама запускает вредоносное программное обеспечение без требующие взаимодействия с пользователем. Посещение такого веб-сайта может поставить под угрозу компьютер пользователя без каких-либо явных признаков взлома, которые пользователь может обнаружить.
Руководство по реализации
Обучайте пользователей избегать:
- вход на поддельные веб-сайты путем посещения гиперссылок в электронных письмах, пришедших из Интернета [29] [30] [31] [32]
- обмен паролями с другими пользователями
- выбор слабых парольных фраз
- повторное использование ранее использованной ключевой фразы
- использование одной и той же парольной фразы в нескольких разных местах
- хранение парольных фраз в незашифрованном виде в файлах
- использование съемных носителей и другого ИТ-оборудования, не предоставленного корпорацией
- выполнение работы с использованием неутвержденных корпоративных внешних ИТ-сервисов, таких как облачные вычисления, включая веб-почту
- необоснованное раскрытие своего адреса электронной почты и личных данных (например, через общедоступные социальные сети)
- посещение веб-сайтов, не связанных с работой.
Объясните пользователям, почему соблюдение политик кибербезопасности помогает им защищать конфиденциальные данные, которые им поручено обрабатывать, и надлежащим образом обращаться с ними. Поделитесь с пользователями анекдотическими подробностями предыдущих инцидентов кибербезопасности, затронувших организацию и аналогичные организации, подчеркнув влияние, которое такие инциденты оказывают на организацию и на пользователя. Такое обучение могло бы снизить уровень сопротивления пользователей реализации стратегий смягчения последствий. Например, пользователи с меньшей вероятностью будут сопротивляться удалению своих ненужных административных привилегий, если они поймут, почему требуется стратегия смягчения.
Обучение пользователей должно быть адаптировано к должностным обязанностям пользователя. Дополнительное профильное образование полезно пользователям с определенными ролями, например:
- обучать собственных разработчиков программного обеспечения писать безопасный код
- обучить штатных тестировщиков программного обеспечения распространенным уязвимостям безопасности, которые следует искать
- обучать сотрудников, выполняющих технические функции (например, системных администраторов, сетевых администраторов, администраторов баз данных, архитекторов предприятий, инженеров ИТ-проектов и системных интеграторов), о кибербезопасности и методах защиты от злоумышленников.
- обучить старших представителей бизнеса понимать риски безопасности, связанные с спешкой завершить проект с неадекватным дизайном и тестированием безопасности, а также риски безопасности, связанные с предпочтением бизнес-функциональности над безопасностью вместо интеграции безопасности с бизнес-функциональностью
- научите сотрудников службы поддержки иметь здоровый уровень подозрений, например, при обработке запроса на сброс парольной фразы от пользователя, который не может надлежащим образом подтвердить свою личность - психологическое желание помочь не должно преобладать над документированными бизнес-политиками, процессами или здравым смыслом.
Успех обучения пользователей необходимо измерять, используя такие доказательства, как то, способствовало ли обучение пользователей:
- увеличение доли целевых фишинговых писем и других индикаторов вредоносной активности, которые пользователи обнаруживают и сообщают отделу ИТ-безопасности организации
- снижение частоты и серьезности успешных компромиссов, включая компрометацию в результате целевого фишинга и тестов на проникновение, когда пользователи выполняли действия, которые способствовали компрометации.
Антивирусное ПО с актуальными сигнатурами
Стратегия смягчения последствий
Антивирусное программное обеспечение с актуальными сигнатурами для выявления вредоносных программ от поставщика, который быстро добавляет сигнатуры для новых вредоносных программ. Используйте антивирусное программное обеспечение от разных поставщиков для шлюзов, а не для компьютеров.
Обоснование
Антивирусное программное обеспечение помогает обнаруживать вредоносные программы, в том числе компьютерные вирусы, черви, трояны, шпионское и рекламное ПО. Однако антивирусное программное обеспечение на основе сигнатур - это реактивный подход, который затрудняет защиту от целевого вредоносного ПО, которое еще не известно поставщику антивируса.
Руководство по реализации
Проверять файлы при доступе к ним и по расписанию.
Шифрование TLS между почтовыми серверами
Стратегия смягчения последствий
Шифрование TLS между почтовыми серверами для предотвращения перехвата законных писем и их последующего использования для социальной инженерии. Выполняйте сканирование содержимого после расшифровки почтового трафика.
Обоснование
Включение шифрования TLS как на исходном, так и на принимающем почтовых серверах помогает предотвратить перехват законных писем в пути и их последующее использование для социальной инженерии.
Руководство по реализации
Выполняйте сканирование содержимого после расшифровки почтового трафика.
Стратегии смягчения последствий для ограничения масштабов инцидентов кибербезопасности
Ограничить административные привилегии
Стратегия смягчения последствий
Ограничьте административные права для операционных систем и приложений в зависимости от обязанностей пользователя. Подтвердите требование о предоставлении пользователям прав администратора и подтвердите это требование не реже одного раза в год, а лучше ежемесячно.
Привилегированные пользователи должны использовать отдельную непривилегированную учетную запись и, желательно, отдельный физический компьютер, для действий, не связанных с администрированием или связанных с риском, таких как чтение электронной почты, просмотр веб-страниц и получение файлов через интернет-службы, такие как обмен мгновенными сообщениями или социальные сети - технический контроль должен быть реализован для блокировки всех учетных записей привилегированных пользователей от выполнения таких действий.
Обоснование
Последствия компрометации уменьшаются, если пользователи (и, следовательно, вредоносное ПО, работающее от имени пользователя) имеют низкие привилегии вместо административных привилегий.
Руководство по реализации
Эта стратегия смягчения последствий применяется к:
- пользователи, имеющие права администратора домена или локальной системы, а также эквивалентные административные привилегии в операционных системах, отличных от Microsoft Windows
- пользователи с повышенными привилегиями операционной системы [33] [34]
- пользователи, которые имеют привилегированный доступ к приложениям, таким как база данных
- административные учетные записи, которые позволяют поставщикам выполнять удаленный доступ.
Патч для операционных систем
Стратегия смягчения последствий
Патч для операционных систем. Устранение или устранение последствий для компьютеров (включая сетевые устройства), подверженных «экстремальному риску» уязвимостей безопасности, в течение 48 часов с момента обнаружения уязвимости. ACSC разработал руководство для упрощения подхода к управлению рисками при применении исправлений на основе серьезности и потенциального воздействия на бизнес связанных уязвимостей безопасности.
Используйте последнюю версию операционных систем, поскольку они обычно включают дополнительные технологии безопасности, такие как средства защиты от эксплуатации. Не используйте версии операционной системы, которые больше не поддерживаются поставщиками с исправлениями для устранения уязвимостей.
Обоснование
«Экстремальный риск» уязвимостей безопасности в операционных системах, используемых организацией, может позволить злоумышленникам выполнять такие действия, как повышение своих привилегий, что может привести к значительным последствиям для организации. Уровень риска безопасности также может зависеть от того, доступен ли код эксплойта для уязвимости безопасности коммерчески или публично, например, в инструменте с открытым исходным кодом, таком как Metasploit Framework, или в комплекте эксплойтов для киберпреступлений.
Руководство по реализации
См. Руководство по реализации для стратегии смягчения последствий «Патч-приложения».
Применяйте исправления микропрограмм, в том числе для сетевых устройств, таких как маршрутизаторы, коммутаторы и брандмауэры, и особенно для тех устройств, которые доступны в Интернете.
Используйте 64-битную версию Microsoft Windows вместо 32-битной версии, поскольку 64-битная версия содержит дополнительные технологии безопасности.
Дальнейшая информация
Руководство Microsoft по улучшению практики управления исправлениями доступно по адресу
https://blogs.msdn.microsoft.com/govtech/2015/04/21/if-you-do-only-one-thing-to-reduce-your-cybersecurity- риск / .
Многофакторная аутентификация
Стратегия смягчения последствий
Многофакторная аутентификация, особенно для наиболее вероятных целей, VPN, RDP, SSH и других возможностей удаленного доступа, а также для всех пользователей, когда они выполняют привилегированное действие (включая системное администрирование) или получают доступ к важному (конфиденциальному или высокодоступному) репозиторию данных.
Многофакторная аутентификация предполагает, что пользователи проверяют свою личность, используя по крайней мере любые два из следующих трех механизмов:
- что-то, что знает пользователь, например кодовая фраза или PIN-код
- что-то, что есть у пользователя, например, физический токен или программный сертификат
- что-то, что есть у пользователя, например его отпечаток пальца или радужная оболочка глаза.
Обоснование
При правильной реализации многофакторная проверка подлинности может значительно усложнить злоумышленникам использование украденных учетных данных для облегчения дальнейших злонамеренных действий против организации, включая создание собственной VPN или другого подключения для удаленного доступа к сети организации.
Руководство по реализации
Различные механизмы многофакторной аутентификации обеспечивают разные уровни безопасности. Примеры включают:
- Физически отдельный токен с привязанным ко времени значением, который физически не подключен к компьютеру, может быть наиболее безопасным вариантом в зависимости от его использования и реализации.
- Смарт-карта может быть менее безопасным вариантом, в зависимости от ее использования и реализации, в том числе от того, остается ли смарт-карта подключенной к компьютеру, а также от того, в какой степени программное обеспечение, запущенное на компьютере, может взаимодействовать со смарт-картой.
- Программный сертификат, который хранится и защищается операционной системой, является еще менее безопасным вариантом. Его могут скопировать злоумышленники, получившие административные привилегии на таком компьютере, отметив, что пометка таких сертификатов как неэкспортируемых обеспечивает некоторое смягчение последствий.
- Сертификат на основе программного обеспечения, который хранится в виде файла без дополнительной защиты, является еще менее безопасным вариантом. Его могут легко скопировать злоумышленники, не требуя административных привилегий.
Серверы, которые хранят данные аутентификации пользователей и выполняют аутентификацию пользователей, часто становятся объектами атак злоумышленников, поэтому необходимо приложить дополнительные усилия для защиты таких серверов.
Использование многофакторной аутентификации для удаленного доступа не полностью снижает риски пользователей, вводящих парольную фразу на скомпрометированном вычислительном устройстве. Злоумышленники, получившие кодовую фразу пользователя, могут получить физический доступ к корпоративному компьютеру и просто войти в систему как пользователь. К смягчению этого относится использование многофакторной аутентификации для всех учетных записей пользователей, включая корпоративные компьютеры в офисе, или обеспечение того, чтобы парольные фразы для удаленного доступа отличались от парольных фраз, используемых для корпоративных компьютеров в офисе. Кроме того, злоумышленники могут использовать украденную парольную фразу для доступа к сетевым дискам пользователя, если любой другой пользователь, имеющий доступ к корпоративной сети организации, был удаленно скомпрометирован.
Убедитесь, что учетные записи административных служб и другие учетные записи, которые не могут использовать многофакторную проверку подлинности, используют надежную парольную фразу.
Многоэтапная аутентификация с использованием одного фактора не является многофакторной аутентификацией, например, пользователь получает доступ к VPN удаленного доступа организации путем аутентификации с использованием только одного фактора, а затем получает доступ к внутренней электронной почте организации или другому внутреннему серверному приложению, аутентифицируя только единственный фактор, даже если первый фактор отличается от второго фактора (например, две разные парольные фразы).
Отключить учетные записи локального администратора
Стратегия смягчения последствий
Отключите учетные записи локальных администраторов или назначьте случайные и уникальные парольные фразы для учетной записи локального администратора каждого компьютера, чтобы предотвратить легкое распространение злоумышленников по сети организации с использованием скомпрометированных учетных данных локального администратора, которые используются совместно несколькими компьютерами.
Обоснование
Отключение учетных записей локальных администраторов или назначение случайных уникальных парольных фраз помогает предотвратить распространение злоумышленников по сети организации.
Руководство по реализации
В случаях, когда невозможно отключить учетную запись локального администратора на серверах, таких как сервер аутентификации Active Directory, убедитесь, что в учетной записи локального администратора есть надежная парольная фраза. Надлежащим образом защищайте записи парольных фраз, используемых для таких серверов.
Microsoft разработала бесплатный инструмент под названием «Решение с паролем локального администратора» (LAPS) для периодического изменения парольной фразы учетной записи локального администратора на каждом компьютере с Microsoft Windows в домене на случайное значение.
Дальнейшая информация
Дополнительная информация о Microsoft LAPS доступна по адресу
https://www.microsoft.com/en-au/download/details.aspx?id=46899 .
Сегментация сети
Стратегия смягчения последствий
Сегментация сети. Если не требуется, запрещайте трафик между компьютерами. Ограничьте использование устройств с низкой степенью уверенности (например, «принесите свое устройство» (BYOD) и «Интернет вещей» (IoT)). Ограничьте доступ пользователей к сетевым дискам и хранилищам данных в соответствии с обязанностями пользователя.
Обоснование
Сегментация сети помогает предотвратить распространение злоумышленников по сети организации. При правильной реализации это может значительно затруднить злоумышленникам обнаружение и получение доступа к важным данным организации (конфиденциальным или высокодоступным).
Руководство по реализации
Ограничьте доступ в зависимости от требуемого подключения, должностной роли пользователя, бизнес-функции, границ доверия и степени важности данных.
Разработайте и внедрите набор правил, определяющий, каким компьютерам разрешено связываться с другими компьютерами. Например, в большинстве корпоративных сетей прямой сетевой обмен данными между пользовательскими компьютерами не требуется или разрешается.
Сетевые элементы управления, которые могут помочь с ограничением доступа к сети, включают коммутаторы, виртуальные локальные сети, анклавы, диоды данных, межсетевые экраны, маршрутизаторы и управление доступом к сети.
Разрешения на файлы и сетевые диски (общие файловые ресурсы) могут использоваться для ограничения доступа к данным.
Ограничьте использование VPN и другого удаленного доступа, беспроводных подключений, устройств IoT, а также принадлежащих пользователям ноутбуков, смартфонов и планшетов, которые являются частью реализации BYOD.
Организациям, использующим виртуализацию операционных систем, (особенно сторонних) инфраструктуру облачных вычислений или предоставляющим пользователям BYOD или удаленный доступ к сети организации, могут потребоваться элементы управления, которые в меньшей степени зависят от физической архитектуры сети. Такие элементы управления включают межсетевой экран «микросегментацию», реализованный на уровне платформы виртуализации, программный межсетевой экран, реализованный на отдельных компьютерах и виртуальных машинах, а также «сервер IPsec и изоляцию домена».
Использование аутентификации IPsec может гарантировать, что определенный сетевой порт или порты на чувствительном сервере могут быть доступны только для определенных компьютеров, таких как компьютеры, принадлежащие администраторам.
Важные серверы, такие как Active Directory и другие серверы аутентификации, должны иметь возможность администрирования только с ограниченного числа промежуточных серверов, называемых «серверами перехода», «узлами перехода» или «блоками перехода». За серверами переходов следует внимательно следить, они должны быть хорошо защищены, ограничивать количество пользователей и сетевых устройств, которые могут подключаться к ним, и, как правило, не иметь доступа в Интернет. Некоторым серверам перехода может потребоваться ограниченный доступ в Интернет, если они используются для администрирования определенных компьютеров, расположенных за пределами локальной сети организации.
Организации с критически важными данными могут выбрать для хранения и доступа к ним с помощью компьютеров с воздушным зазором, недоступных из Интернета. Заплаты безопасности и другие данные могут передаваться на такие компьютеры с воздушным зазором и с них в соответствии с надежной политикой и процессами передачи мультимедиа.
Злоумышленники могут распространяться по сети, используя существующие системы организации, используемые для распространения программного обеспечения, такого как исправления уязвимостей безопасности, программы входа в систему или запланированные задачи, настроенные с помощью объектов групповой политики, обновленного программного обеспечения механизма обнаружения вредоносных программ или эталонного образа стандартной операционной среды компьютера. В качестве альтернативы злоумышленники могут превратить веб-сайт организации в интрасети в водопой, чтобы скомпрометировать пользователей при их посещении. Поэтому защищайте системы распространения программного обеспечения от модификаций, которые являются злонамеренными или иным образом неавторизованными, в сочетании с внедрением надежного процесса управления изменениями.
Защитить учетные данные для аутентификации
Стратегия смягчения последствий
Защитите учетные данные для аутентификации. Удалите значения CPassword (MS14-025). Настройте WDigest (KB2871997). Используйте Credential Guard. Измените парольные фразы по умолчанию. Требовать длинные сложные парольные фразы.
Обоснование
Злоумышленникам сложнее получить и взломать хэши парольных фраз для распространения по сети организации, если парольные фразы являются уникальными, сложными, длинными, хешируются с помощью криптостойкого алгоритма и надежно хранятся.
Руководство по реализации
Убедитесь, что установлен патч Microsoft MS14-025 (CVE-2014-1812). Самое главное, впоследствии вручную удалить существующие сохраненные парольные фразы.
Для операционных систем Microsoft Windows, предшествующих Microsoft Windows 8.1 и Microsoft Windows Server 2012 R2, убедитесь, что применен патч Microsoft KB2871997, и настройте для параметра реестра Windows UseLogonCredential значение 0, чтобы предотвратить получение злоумышленниками учетных данных в открытом виде, хранящихся в памяти.
Настройте функцию Credential Guard в Microsoft Windows 10 и Microsoft Windows Server 2016, учитывая заявленные Microsoft ограничения этой функции, в том числе, что она не защищает базу данных Active Directory, работающую на контроллерах домена Microsoft Windows Server 2016, и не предотвращает злоумышленников с помощью вредоносных программ. запущен на компьютере от использования привилегий, связанных с любыми учетными данными
[35] .
Обеспечьте строгую политику парольных фраз, охватывающую сложность, длину и срок действия. Это особенно важно для учетных записей служб и всех других учетных записей с административными привилегиями. Избегайте повторного использования парольной фразы, использования одного слова из словаря и незашифрованного хранения парольных фраз.
Используйте правильно настроенную и защищенную программу-менеджер парольных фраз, иногда называемую хранилищем парольных фраз, для помощи в хранении и управлении множеством сложных парольных фраз. Это помогает избежать того, чтобы пользователи сохраняли парольные фразы в незашифрованном виде в файлах, что помогает злоумышленникам распространяться по сети организации.
Избегайте раскрытия парольных фраз через небезопасную связь, например, через незашифрованное удаленное администрирование или другой незашифрованный удаленный доступ.
Отключите Link-Local Multicast Name Resolution (LLMNR) и связанные службы разрешения имен, такие как NetBIOS Name Service, где это возможно, в рамках стратегии смягчения последствий «Укрепление операционной системы». Это помогает предотвратить попытки злоумышленников в сети организации отвечать на запросы имен, выполняемые другими компьютерами организации, и собирать их учетные данные для аутентификации.
Дальнейшая информация
Дополнительная информация о патче Microsoft MS14-025 доступна по адресу
https://support.microsoft.com/en-au...-group-policy-preferences-could-allow-elevati .
Дополнительная информация о патче Microsoft KB2871997 доступна по адресу:
Информация о Credential Guard доступна по адресу
https://docs.microsoft.com/en-au/wi...-protection/credential-guard/credential-guard .
Информация о настройке дополнительной защиты для процесса Local Security Authority (LSA) для предотвращения внедрения кода, который может поставить под угрозу учетные данные, доступна по адресу
https://docs.microsoft.com/en-au/previous-versions/windows/it-pro/windows. -server-2012-R2-and-2012 / dn408187 (v = ws.11) .
Непостоянная виртуализированная изолированная среда
Стратегия смягчения последствий
Непостоянная виртуализированная изолированная среда, запрещающая доступ к важным (конфиденциальным или высокодоступным) данным для рискованных действий (например, просмотр веб-страниц и просмотр ненадежных файлов Microsoft Office и PDF).
Обоснование
Злоумышленники, компрометация которых содержится в непостоянной виртуализированной изолированной среде, будут иметь ограниченную возможность сохраняться и распространяться по сети организации.
Руководство по реализации
Существует несколько различных подходов к реализации этой стратегии смягчения последствий с различными уровнями эффективности безопасности, потенциальным сопротивлением пользователей и стоимостью.
Один частичный подход заключается в использовании приложений, которые были спроектированы для работы во встроенной песочнице, часто с использованием функциональных возможностей операционной системы для помощи в реализации песочницы. Такие встроенные «песочницы» включают такие приложения, как веб-браузеры
[36] [37] и программы просмотра PDF
[38] от некоторых поставщиков. Этот подход имеет меньшее потенциальное сопротивление и стоимость со стороны пользователя, хотя уязвимости системы безопасности, позволяющие выйти из песочницы, периодически публикуются.
Альтернативный подход, который можно использовать в сочетании с предыдущим подходом для повышения эффективности безопасности, заключается в запуске приложений в непостоянной виртуализированной среде. Такой подход имеет более высокую потенциальную сопротивляемость и стоимость, хотя некоторые решения поставщиков снижают стоимость за счет запуска виртуализированной среды на компьютере пользователя или в вычислительной инфраструктуре общедоступного облака, чтобы организации не создавали выделенные виртуализированные среды в собственном центре обработки данных. Требование к злоумышленникам использовать дополнительную уязвимость безопасности для выхода из виртуализированной среды может повысить эффективность безопасности этого альтернативного подхода, хотя уязвимости безопасности гипервизора иногда публично раскрываются.
При реализации этого альтернативного подхода следует также реализовать стратегию смягчения последствий «Сегментация сети», чтобы снизить риск безопасности, связанный с доступом скомпрометированной виртуализированной среды к важным данным организации. Кроме того, следует использовать надежную политику и процессы, позволяющие передавать данные из виртуализированной среды в локальную среду пользователя. Наконец, хотя непостоянный характер этой стратегии смягчения последствий помогает автоматически восстановить скомпрометированную систему до заведомо исправного состояния, это удалит некоторые свидетельства судебной экспертизы, связанные с компрометацией, подчеркнув важность выполнения централизованного ведения журнала.
Программный брандмауэр приложений, блокирующий входящий сетевой трафик
Стратегия смягчения последствий
Программный брандмауэр приложений, блокирующий входящий сетевой трафик, который является вредоносным или несанкционированным, и запрещающий сетевой трафик по умолчанию (например, ненужный / несанкционированный трафик RDP и SMB / NetBIOS).
Обоснование
Блокирование ненужного / несанкционированного сетевого трафика уменьшает поверхность атаки компьютеров, ограничивая доступ к сетевым службам, а также уменьшая способность злоумышленников распространяться по сети организации.
Руководство по реализации
Настройте брандмауэр, чтобы ограничить доступ к сетевым службам, работающим на компьютерах, особенно, чтобы помочь уменьшить внутреннюю разведку и распространение сети.
Программное обеспечение для защиты конечных точек или защиты от вредоносных программ от некоторых поставщиков включает функциональные возможности программного брандмауэра приложений.
Программный брандмауэр приложений, блокирующий исходящий сетевой трафик
Стратегия смягчения последствий
Программный брандмауэр приложений, блокирующий исходящий сетевой трафик, который не создается утвержденными / доверенными программами, и запрещающий сетевой трафик по умолчанию.
Обоснование
Блокирование исходящего сетевого трафика, который не создается одобренными / доверенными программами, помогает предотвратить распространение злоумышленников по сети организации и кражу данных организации.
Руководство по реализации
Программное обеспечение для защиты конечных точек или защиты от вредоносных программ от некоторых поставщиков включает функциональные возможности программного брандмауэра приложений.
Предотвращение потери исходящих веб-данных и электронной почты
Стратегия смягчения последствий
Предотвращение потери исходящих веб-данных и электронной почты. Блокируйте неутвержденные сервисы облачных вычислений, включая личную почту. Регистрируйте и сообщайте о получателях, размере и частоте исходящих писем. Блокируйте и регистрируйте исходящие электронные письма с конфиденциальными ключевыми словами или шаблонами данных, которые считаются слишком важными для адреса электронной почты получателя.
Обоснование
Эта стратегия смягчения последствий помогает выявлять и блокировать кражу конфиденциальных данных организации.
Руководство по реализации
Обратите внимание, что злоумышленники могут использовать шифрование, пытаясь обойти эту стратегию защиты.
Эффективность этой стратегии смягчения последствий еще больше снижается, если конфиденциальные данные неструктурированы и поэтому их трудно идентифицировать с помощью ключевых слов или шаблонов данных, таких как регулярные выражения.
Стратегии смягчения последствий для обнаружения инцидентов кибербезопасности и реагирования
Непрерывное обнаружение инцидентов и реагирование
Стратегия смягчения последствий
Непрерывное обнаружение инцидентов и реагирование на них с автоматическим немедленным анализом централизованных синхронизированных по времени журналов разрешенных и запрещенных компьютерных событий, аутентификации, доступа к файлам и сетевой активности.
Обоснование
Постоянное обнаружение инцидентов и реагирование на них увеличивает способность организации быстро обнаруживать инциденты кибербезопасности и своевременно реагировать на них, чтобы минимизировать влияние на бизнес.
Общее руководство по реализации
Используйте решение для управления информацией и событиями безопасности (SIEM) для выполнения в реальном времени автоматизированного агрегирования и корреляции журналов из нескольких источников для выявления шаблонов подозрительного поведения, включая поведение, которое отклоняется от базового уровня типичных шаблонов использования системы пользователями.
Современные решения SIEM обычно содержат функции, помогающие интерпретировать, анализировать и предоставлять контекст для регистрации данных, приоритизации предупреждений, включения рабочего процесса реагирования на инциденты и автоматизации процесса, где это возможно, при использовании структур хранения данных, которые улучшают масштабируемость и обеспечивают гибкий поиск данных и запросы, которые быстро вернуть свои результаты.
При выборе решения SIEM определите, что именно имеет в виду поставщик, если он рекламирует свой продукт как использование аналитики угроз, анализа больших данных, эвристики, машинного обучения, искусственного интеллекта, математики / статистики или определения базового уровня нормального поведения пользователей и системы.
Храните журналы не менее 18 месяцев или дольше, если этого требует соответствие нормативным требованиям.
Регулярно проверяйте план, процессы и технические возможности организации по реагированию на инциденты.
Чтобы максимально использовать ограниченные кадровые ресурсы, используйте автоматизацию и контекст, чтобы сосредоточиться на высокоприоритетных событиях безопасности и избежать ложных срабатываний.
Руководство по внедрению с использованием компьютерных журналов
Важные журналы включают журналы, созданные продуктами безопасности, а также журналы событий Active Directory и другие журналы, связанные с аутентификацией пользователей, включая VPN и другие подключения удаленного доступа.
Своевременно проводите анализ журнала, уделяя особое внимание:
- Наиболее вероятные цели, особенно пользователи, которые имеют административные привилегии для операционных систем или приложений, таких как базы данных
- журналы управления приложениями, показывающие попытки выполнения, но заблокированные программы, а также журналы, созданные другими продуктами безопасности
- пробелы в журналах, в которых должна происходить периодическая активность, например, отсутствие ожидаемых ежедневных журналов продуктов безопасности, обычно генерируемых компьютерами пользователей, которые находятся в офисе и предположительно используют их компьютеры, что потенциально указывает на то, что злоумышленники отключили продукты безопасности
- действия пользователя в нерабочее время, отмечая, что вредоносное ПО, компрометирующее учетную запись пользователя, может отображаться в журналах, как если бы действия вредоносного ПО - это действия пользователя
- новые или измененные службы или ключи реестра Windows, используемые для автоматического запуска программ при загрузке или входе пользователя
- новые или измененные файлы, которые являются исполняемыми
- доступ к критически важным компьютерам, на которых хранятся или обрабатываются важные (конфиденциальные или высокодоступные) данные
- доступ к файлам на сетевых дисках
- несанкционированные попытки доступа или изменения журналов событий
- использование инструментов, поставляемых с Microsoft Windows, для выполнения кода, разведки и распространения в сети (например, cscript.exe, wscript.exe, cmd.exe, mshta.exe, ipconfig.exe, net.exe, net1.exe, netstat.exe, reg.exe, wmic.exe, powershell.exe, powershell_ise.exe, at.exe, schtasks.exe, tasklist.exe, regsvr32.exe, rundll32.exe, gpresult.exe и systeminfo.exe) [39] [40] [41]
- аутентификация пользователя и использование учетных данных.
При выполнении анализа журнала аутентификации пользователя и использования учетных данных сосредоточьтесь на:
- аутентификация пользователя от пользователя, который в настоящее время находится в отпуске или другом отпуске
- аутентификация пользователя с компьютеров, отличных от обычного компьютера пользователя, особенно если с компьютеров, расположенных за пределами географического местоположения пользователя
- VPN и другие подключения удаленного доступа из стран, в которых связанный пользователь не находится
- один IP-адрес пытается пройти аутентификацию как несколько разных пользователей
- VPN и другие подключения удаленного доступа, выполняемые пользователем с двух разных IP-адресов одновременно
- неудачные попытки входа в систему для учетных записей с административными привилегиями
- учетные записи пользователей, которые блокируются из-за слишком большого количества попыток ввода неправильной парольной фразы
- учетные записи административных служб неожиданно подключаются к другим компьютерам
- создание учетных записей пользователей или повторное включение отключенных учетных записей, особенно учетных записей с административными привилегиями
- активируются модификации свойств учетной записи пользователя, такие как «Сохранить пароль с использованием обратимого шифрования» или «Срок действия пароля не истекает».
Руководство по внедрению с использованием сетевых журналов
Поддерживайте карту сети и перечень устройств, подключенных к сети, чтобы определить базовые показатели нормального поведения в сети и выявить аномальную сетевую активность.
Важные журналы включают в себя журналы DNS, веб-прокси, содержащие сведения о подключении, включая значения User-Agent, аренду DHCP, журналы брандмауэра с подробным описанием входящего и исходящего сетевого трафика из сети организации, а также журналы (особенно исходящего) заблокированного сетевого трафика и метаданные, такие как Network Flow. данные.
Своевременно проводите анализ журналов, уделяя особое внимание соединениям и объему данных, передаваемых наиболее вероятными целями, чтобы выявить аномальный внутренний сетевой трафик, такой как подозрительный перебор как сетевых дисков (общих файловых ресурсов), так и пользовательских данных, включая учетные записи honeytoken. Также обратите внимание на аномальный внешний сетевой трафик, пересекающий границы периметра, например:
- периодический трафик радиомаяков
- Сеансы HTTP / HTTPS с необычным соотношением исходящего и входящего трафика
- Трафик HTTP / HTTPS со значением заголовка User-Agent, который не связан с легитимным программным обеспечением, используемым организацией.
- Поиск в DNS доменных имен, которые не существуют и не являются очевидной опечаткой пользователя, указывающей на то, что вредоносное ПО связывается с доменом, который еще не был зарегистрирован злоумышленниками.
- Поиск DNS для доменных имен, которые разрешаются в IP-адрес localhost, например 127.0.0.1, что указывает на вредоносное ПО, с которым злоумышленники не готовы взаимодействовать
- большой объем трафика
- трафик вне рабочего времени
- долгоживущие связи.
Руководство по реализации для программ-вымогателей
Анализируйте и действуйте в режиме реального времени предупреждениями журнала, генерируемыми инструментами мониторинга файловой активности, чтобы выявлять подозрительные быстрые и многочисленные изменения файлов, отражающие несанкционированное удаление или модификацию данных, например шифрование.
Руководство по внедрению, применимое к злонамеренным инсайдерам
Анализируйте и действуйте в режиме реального времени предупреждениями журнала, генерируемыми инструментами мониторинга файловой активности, для выявления подозрительных быстрых и многочисленных копий или изменений файлов.
Журналы должны анализироваться персоналом, у которого нет других привилегий или должностных ролей, чтобы помочь предотвратить злонамеренное внутреннее лицо с административными привилегиями, игнорирующими или удаляющими журналы своих собственных злонамеренных действий.
Своевременно проводите анализ журнала, уделяя особое внимание:
- использование съемных носителей и подключенных устройств, особенно USB-накопителей
- использование компьютера в нерабочее время
- доступ к данным и печать, которые являются чрезмерными по сравнению с обычными базовыми показателями для пользователя и его коллег-коллег
- передача данных в неутвержденные службы облачных вычислений, включая персональную веб-почту, а также использование неутвержденных VPN из сети организации.
Руководство по реализации, применимое к реагированию на инциденты
Разработка и внедрение возможностей реагирования на инциденты требует поддержки со стороны технического персонала и представителей бизнеса, включая владельцев данных, корпоративные коммуникации, связи с общественностью и юристов. Организациям необходимо регулярно тестировать и обновлять свой план реагирования на инциденты, процессы и технические возможности, уделяя особое внимание сокращению времени, необходимого для обнаружения инцидентов кибербезопасности и реагирования на них.
Когда обнаружено целевое кибер-вторжение, его необходимо в разумной степени понять, прежде чем принимать меры. В противном случае организация играет в «крота», очищая скомпрометированные компьютеры, а также блокируя сетевой доступ к интернет-инфраструктуре, которая, как известно, контролируется злоумышленниками, в то время как одни и те же злоумышленники просто взламывают дополнительные компьютеры, используя другое вредоносное ПО и другую интернет-инфраструктуру, чтобы избежать обнаружения.
В случае целенаправленных кибер-вторжений более высокой сложности ACSC может помочь австралийским правительственным организациям с ответом. Это включает в себя разработку стратегического плана по сдерживанию и искоренению вторжения, а также предоставление рекомендаций по улучшению положения в области кибербезопасности в рамках подготовки к попыткам злоумышленников восстановить доступ к компьютерам организации.
Система обнаружения / предотвращения вторжений на основе хоста
Стратегия смягчения последствий
Система обнаружения / предотвращения вторжений на основе хоста (HIDS / HIPS) для выявления аномального поведения во время выполнения программы (например, внедрение процесса, регистрация нажатия клавиш, загрузка и сохранение драйверов). Такое постоянство подразумевает, что вредоносное ПО пытается сохраниться после перезагрузки компьютера, например, путем изменения или добавления параметров реестра Windows и файлов, таких как компьютерные службы.
Обоснование
HIDS / HIPS использует возможности обнаружения на основе поведения вместо использования сигнатур, что позволяет организациям обнаруживать вредоносные программы, которые еще не были идентифицированы сообществом кибербезопасности.
Руководство по реализации
Настройте возможность HIDS / HIPS для достижения баланса между идентификацией вредоносных программ, избегая при этом негативного воздействия на пользователей и группу реагирования на инциденты организации из-за ложных срабатываний.
Программное обеспечение для защиты конечных точек или защиты от вредоносных программ от некоторых поставщиков включает функции HIDS / HIPS.
Программное обеспечение для обнаружения конечных точек и реагирования
Стратегия смягчения последствий
Программное обеспечение для обнаружения и реагирования конечных точек (EDR) на всех компьютерах для централизованного ведения журнала поведения системы и облегчения реагирования на инциденты. Бесплатный инструмент Microsoft SysMon - это вариант начального уровня
[42] .
Обоснование
Программное обеспечение EDR обычно генерирует непрерывный поток журналов поведения системы и других метаданных телеметрии. Это облегчает своевременное обнаружение инцидентов на основе известных индикаторов компрометации и, что более важно, обнаружение инцидентов кибербезопасности без ранее известных индикаторов компрометации. Типичная функциональность позволяет организациям проводить расследования и реагировать, например, быстро анализировать несколько компьютеров, блокировать определенные попытки сетевого взаимодействия и изолировать скомпрометированный компьютер от сети.
Руководство по реализации
Настройте программное обеспечение EDR для достижения баланса между идентификацией вредоносных программ, избегая при этом негативного воздействия на пользователей и группу реагирования на инциденты организации из-за ложных срабатываний.
ACSC стал свидетелем преимуществ программного обеспечения EDR, развернутого на пользовательских компьютерах, особенно до того, как произойдет целевое кибер-вторжение, которое регистрирует, какие программы были запущены (включая отдельные процессы и файлы DLL), какие изменения были внесены в реестр Windows и файловую систему, а также какие сетевые подключения были предприняты и установлены.
Перед покупкой программного обеспечения EDR проявите должную осмотрительность, особенно в связи с быстрым внедрением инноваций в стартапах, и оцените:
- создает ли продукт журналы и другие метаданные телеметрии в формате, который можно легко интегрировать в существующие инструменты организации для выполнения агрегирования и анализа журналов
- поддерживает ли продукт поиск на наличие индикаторов компрометации, указанных организацией
- будут ли продукт и продавец существовать через 18 месяцев
- насколько развита функциональность продукта и реагирует ли служба поддержки клиентов поставщика на добавление ключевых функций, которые в настоящее время отсутствуют
- насколько масштабируемым является продукт и позволяет ли он перегружать системы и пропускную способность сети организации
- генерирует ли продукт достаточно полезных данных, чтобы можно было идентифицировать инциденты кибербезопасности, не вызывая слишком большого количества ложных срабатываний, которые перегружают группу реагирования на инциденты организации.
У некоторых поставщиков программных продуктов EDR есть дополнительные функции, помогающие предотвращать инциденты кибербезопасности, охватывающие другие стратегии смягчения, такие как контроль приложений, система обнаружения / предотвращения вторжений на основе хоста и песочница / контейнеризация приложений
[43] .
Охота, чтобы обнаружить инциденты
Стратегия смягчения последствий
Охота на обнаружение инцидентов кибербезопасности, основанных на знаниях о злоумышленниках. Используйте аналитику угроз, состоящую из проанализированных данных об угрозах с контекстом, позволяющим принимать меры, а не только индикаторы компрометации.
Обоснование
Охота - это очень проактивная и целенаправленная деятельность по обнаружению инцидентов кибербезопасности с использованием аналитики угроз, которая обеспечивает понимание целей, стратегии, тактики, методов, процедур и, в меньшей степени, инструментов злоумышленника. Основное внимание уделяется не обнаружению инцидентов кибербезопасности на основе списка известных вредоносных доменов, IP-адресов, хэшей файлов и других индикаторов компрометации, подобных реактивным сигнатурам.
Общее руководство по реализации
Эта стратегия смягчения последствий требует сравнительно очень высоких затрат на квалифицированный персонал.
Аналитика угроз помогает в процессе поиска, хотя организациям следует критически оценить, является ли поток данных внешней информации об угрозах ценным, исходя из того, что:
- организация уже внедрила стратегии смягчения, которые имеют более высокую эффективность безопасности, включая «Непрерывное обнаружение инцидентов и реагирование», и использует журналы и аналитику угроз, уже доступные в организации.
- у организации есть кадровые ресурсы и возможности ИТ-инфраструктуры для использования и принятия мер по анализу угроз
- Аналитика угроз состоит не только из доменов, IP-адресов, хэшей файлов и других индикаторов компрометации, которые похожи на реактивные сигнатуры и мало актуальны при регулярном изменении или для каждой жертвы [44] [45] [46]
- аналитика угроз имеет контекст и в идеале адаптирована к организации (или, по крайней мере, к их бизнес-сектору / отрасли), чтобы обеспечить высокое отношение сигнал / шум с незначительными ложными срабатываниями
- Аналитика угроз позволяет принять меры, помогая организации принимать информированные меры, такие как выбор и реализация стратегий смягчения последствий для предотвращения и выявления инцидентов кибербезопасности на основе осведомленности о целях, стратегии, тактике, методах, процедурах и, в меньшей степени, инструментах злоумышленника.
В качестве примера реальной информации об угрозах, состоящей не только из индикаторов компрометации, ACSC предоставил австралийской организации информацию об угрозах о конкретном злоумышленнике, который мог отправлять целевые фишинговые электронные письма сотрудникам организации в течение определенного периода времени в один месяц до получить данные по определенной теме. Это позволило организации принять меры, определив, какие сотрудники имеют доступ к таким данным, дважды проверив, что на их пользовательских компьютерах уже реализованы ключевые стратегии смягчения последствий, убедившись, что фильтрация содержимого электронной почты будет блокировать такие электронные письма, а также увеличить ведение журнала и сосредоточиться на анализе журналов, связанных с эти сотрудники.
Руководство по внедрению, применимое к злонамеренным инсайдерам
Сосредоточьтесь на неэффективных пользователях, которые скоро будут уволены или намереваются уволиться.
Ищите инструменты взлома, а также собранные репозитории данных, ожидающие эксфильтрации.
Сетевая система обнаружения / предотвращения вторжений
Стратегия смягчения последствий
Сетевая система обнаружения / предотвращения вторжений (NIDS / NIPS), использующая сигнатуры и эвристику для выявления аномального трафика как внутри сети, так и через границы периметра сети.
Обоснование
NIDS / NIPS, правильно настроенный с актуальными подписями и поддерживаемый соответствующими процессами, может оказать некоторую помощь в выявлении инцидентов кибербезопасности.
Руководство по реализации
Проверяйте трафик, пересекающий границы периметра сети, на наличие ключевых слов, таких как классификационные метки, указывающие на конфиденциальные данные, отмечая, что злоумышленники обычно сжимают и / или шифруют извлеченные данные в попытке обойти такую проверку. Кроме того, злоумышленники используют законные веб-сайты, которые необходимы для деловых целей, для доставки вредоносных программ, управления и контроля, а также для кражи данных. К таким веб-сайтам относятся веб-форумы, веб-сайты социальных сетей, службы облачных вычислений, а также законные, но временно взломанные веб-сайты.
Распространенность зашифрованного сетевого трафика может ограничить эффективность этой стратегии смягчения последствий, требуя потенциально сложных подходов к расшифровке и проверке сетевого трафика.
Захват сетевого трафика
Стратегия смягчения последствий
Захватывайте сетевой трафик между корпоративными компьютерами, на которых хранятся важные данные или которые считаются критически важными активами, а также сетевой трафик, пересекающий периметр сети, для обнаружения и анализа инцидентов.
Обоснование
Захват сетевого трафика может помочь организации определить методы, используемые злоумышленниками, выполнить оценку ущерба и помочь в устранении компрометации.
Руководство по реализации
Сосредоточьтесь на захвате трафика с компьютеров во внутренних сетях, которые хранят конфиденциальные данные или имеют к ним доступ.
Желательно также захватить трафик с периметра сети, учитывая, что его полезность уменьшается, если эксфильтрованные данные зашифровываются и отправляются на компьютер, который, вероятно, не может быть отнесен к злоумышленникам.
Чтобы свести к минимуму затраты на хранение полных захватов сетевого трафика, такие данные, возможно, потребуется перезаписать через относительно короткий промежуток времени, с риском безопасности, что к моменту выявления инцидента связанный с ним захваченный сетевой трафик будет удален. Метаданные, относящиеся к сетевым соединениям, включая заголовки сетевых пакетов, могут дополнять ведение журнала и занимают меньше места для хранения, чем сетевые пакеты.
При возникновении серьезного инцидента в области кибербезопасности сохраните копию сетевого трафика в течение нескольких дней до исправления, а также в течение нескольких дней после исправления, в течение которых злоумышленники могут попытаться восстановить доступ к сети организации.
По соображениям конфиденциальности убедитесь, что пользователи знают, что сетевой трафик организации отслеживается.
Стратегии смягчения последствий для восстановления данных и доступности системы
Ежедневные резервные копии
Стратегия смягчения последствий
Ежедневные резервные копии важных новых / измененных данных, программного обеспечения и параметров конфигурации, которые хранятся отключенными и хранятся не менее трех месяцев. Проверяйте процесс восстановления при первоначальной реализации возможности резервного копирования, ежегодно и при каждом изменении ИТ-инфраструктуры.
Обоснование
Недавнее резервное копирование данных и проверенный процесс восстановления данных жизненно важны для смягчения последствий шифрования, повреждения или удаления данных программами-вымогателями или другими деструктивными вредоносными программами, злонамеренными инсайдерами, случайными ошибками пользователей или неумышленным отказом оборудования хранения по целому ряду причин. включая неисправное оборудование, износ, отключение электроэнергии, пожар или наводнение.
Руководство по реализации
Поощряйте пользователей избегать хранения данных на локальных носителях, таких как жесткий диск их компьютера или USB-носитель, резервное копирование которых маловероятно, и вместо этого используйте корпоративные файловые серверы и одобренные корпорацией облачные службы хранения, для которых выполняется резервное копирование.
Храните резервные копии в автономном режиме или иным образом отключенные от компьютеров и сети, поскольку программы-вымогатели, разрушительные вредоносные программы и злоумышленники могут зашифровать, повредить или удалить резервные копии, которые легко доступны.
Некоторые организации могут иметь операционные требования для ежечасного или непрерывного резервного копирования
[47]. Если резервные копии необходимо хранить в Интернете или иным образом подключать к компьютерам и сети, например, из-за использования непрерывного резервного копирования с облачными службами хранения, требуется использование многофакторной аутентификации с вмешательством человека для изменения или удаления резервных копий.
Протестируйте процесс восстановления данных, чтобы убедиться, что резервные копии полны и что данные могут быть успешно восстановлены.
Настроенные сценарии могут использоваться для генерации предупреждения после ежедневного резервного копирования, если необычно большое количество файлов было удалено, создано или изменено, особенно если такие созданные или измененные файлы имеют высокую степень энтропии (случайности), указывающую на шифрование
[48] .
Храните резервные копии не менее трех месяцев и достаточно долго, чтобы к моменту выявления инцидента кибербезопасности были доступны резервные копии, содержащие неповрежденные копии файлов. Реализуйте стратегию резервного копирования, которая минимизирует или предпочтительно устраняет зависимости, чтобы одну версию файлов можно было восстановить, даже если другие версии были зашифрованы, повреждены или удалены. Наконец, убедитесь, что в процессе реагирования на инциденты организации выявляются и восстанавливаются все файлы, которые были злонамеренно изменены или удалены.
Например, в 2016 году австралийская правительственная организация обнаружила программу-вымогатель на компьютере пользователя и в ответ просто повторно создала образ жесткого диска компьютера. Три месяца спустя ИТ-персонал организации понял, что тысячи файлов, необходимых для судебного разбирательства и хранящиеся на сетевом диске (файловом ресурсе), также были зашифрованы программой-вымогателем. Из-за того, что прошло много времени, резервные копии организации содержали зашифрованные копии файлов.
Планы обеспечения непрерывности бизнеса и аварийного восстановления
Стратегия смягчения последствий
Планы обеспечения непрерывности бизнеса и аварийного восстановления, которые тестируются, документируются и распечатываются в печатном виде, а электронная копия хранится в автономном режиме. Сосредоточьтесь на системах с наивысшим приоритетом и данных для восстановления.
Обоснование
Надежные планы обеспечения непрерывности бизнеса и аварийного восстановления помогают организациям оставаться в бизнесе и продолжать предоставлять важнейшие услуги и продукты клиентам и другим заинтересованным сторонам.
Руководство по реализации
Задокументируйте критерии и пороговые значения, при которых операции должны быть перенесены на площадку аварийного восстановления, избегая при этом изнурения и неэффективности внутреннего и внешнего персонала, участвующего в деятельности по реагированию на инциденты.
Возможности восстановления системы
Стратегия смягчения последствий
Возможности восстановления системы, например виртуализация с резервным копированием моментальных снимков, удаленная установка операционных систем и приложений на компьютеры, утвержденная корпоративная мобильность и контракты на поддержку поставщиков на месте.
Обоснование
Возможности восстановления системы помогают бороться с разрушительными вредоносными программами, злонамеренными инсайдерами, которые стремятся уничтожить системы, и неумышленными отказами критически важного ИТ-оборудования.
Руководство по реализации
Примеры возможностей восстановления системы, реализованных до возникновения инцидента кибербезопасности, включают:
- виртуализация с резервными копиями моментальных снимков для упрощения восстановления систем и ограничения возможности вредоносных программ по повреждению микропрограмм - использование внешних облачных сервисов обеспечивает резервное оборудование, передает ответственность за исправление поврежденного оборудования поставщику облачных услуг и позволяет пользователям и лицам, отвечающим на инциденты, общаться через облако электронная почта, если внутренние почтовые серверы организации недоступны
- возможность быстрой установки операционных систем и приложений на компьютеры по сети, чтобы избежать физического посещения компьютеров для их восстановления, гарантируя, что основные копии программного обеспечения защищены от удаления или злонамеренных изменений
- корпоративная мобильность, включая виртуальные рабочие столы, позволяющая пользователям получать доступ к корпоративным данным и приложениям через утвержденные планшеты, смартфоны и ноутбуки, особенно когда другие компьютеры в офисе повреждены и непригодны для использования
- своевременная поддержка поставщика на месте по контракту для ремонта и замены поврежденных компьютеров и сетевых устройств, таких как коммутаторы, маршрутизаторы и IP-телефоны.
Стратегия смягчения, специфичная для предотвращения злонамеренных инсайдеров
Кадровый менеджмент
Стратегия смягчения последствий
Управление персоналом, например, постоянная проверка, особенно для пользователей с привилегированным доступом, немедленное отключение всех учетных записей (особенно учетных записей удаленного доступа) уходящих пользователей и напоминание пользователям об их обязательствах по обеспечению безопасности и штрафах.
Обоснование
Управление персоналом помогает избежать наличия у сотрудников злонамеренного намерения, развития злонамеренного намерения или выполнения своих злонамеренных намерений незамеченными до тех пор, пока не будет нанесен ущерб.
Некоторые злонамеренные инсайдеры руководствуются деньгами, принуждением, идеологией, эгоизмом или волнением и могут украсть копию сведений о клиентах или интеллектуальной собственности. Другие злонамеренные инсайдеры мотивированы местью или недовольством по таким причинам, как отрицательная оценка эффективности работы, отказ в продвижении по службе или недобровольное увольнение, и могут нанести ущерб, например уничтожить данные и помешать работе компьютеров / сетей.
Руководство по реализации
Выполняйте предварительную проверку перед приемом на работу и текущую проверку, включающую проверку предыдущего места работы и образования для всех сотрудников, а также проверку криминального прошлого, по крайней мере, для сотрудников, имеющих привилегированный доступ.
Немедленно отключите все учетные записи и потребуйте дезинфекции или возврата мобильных вычислительных устройств уходящим сотрудникам и напомните им об их обязательствах по обеспечению безопасности и штрафах за нарушения. Требовать от увольняющихся сотрудников также возвращать предметы, которые могут облегчить доступ к компьютерам и данным организации, включая их удостоверения личности и ключи, используемые для доступа к зданиям и ИТ-объектам организации.
Научите сотрудников никогда не сообщать или иным образом раскрывать свой пароль другим сотрудникам, в том числе с помощью «серфинга по плечу». Обучайте сотрудников блокировать экран компьютера, когда они находятся вдали от компьютера.
Руководители и руководство организации могут снизить мотивацию сотрудников к тому, чтобы они становились злонамеренными инсайдерами, способствуя формированию культуры уважаемых и вовлеченных сотрудников, которые имеют справедливое вознаграждение и возможности карьерного роста на основе заслуг.
Для относительно небольшого числа организаций, в которых сотрудники имеют доступ к строго засекреченным данным или другим чрезвычайно конфиденциальным данным, психологическая оценка должна выполняться квалифицированным персоналом для изучения тем, включая пристрастия и убеждения, а также слабые стороны характера, которые могут использоваться и манипулировать противниками. . Сотрудников следует поощрять сообщать группе безопасности персонала о необычном поведении других сотрудников, а также об их собственных значительных изменениях в жизни, таких как финансовые проблемы, проблемы в отношениях и здоровье.
