Alert A22-011A

Это частичный перевод документа Alert (AA22-011A) Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure от 11 января 2022 года. При переводе из документа изъяты разбросанные по тексту в произвольных местах "russian state sponsored hackers" и отсылки к приписываемым им тактикам и процедурам, после чего получилось добротное руководство по обеспечению начального уровня безопасности сети.

Глоссарий, в самом документе отсутствовавший, но важный

ICS - промышленная система управления. Программно-аппаратный комплекс для управления физическим оборудованием. Самый известный представитель ICS - системы диспетчерского управления (SCADA). К ICS относятся промышленные контроллеры, датчики, управляющие компьютеры, исполнительные механизмы и проч.

ОТ-сеть - в данном документе - компьютерная сеть, которая объединяет элементы ICS.

ИТ-сеть - компьютерная сеть, которая объединяет пользовательские компьютеры, сервера, доступ в интернет и т.п.

Излишне говорить (и авторы документа считают это само собой разумеющимся), что ОТ-сеть и ИТ-сеть - это разные сети, хотя, между ними и существует защищённый межсетвым экраном (с грамотными настройкми и тщательным разграничением доступа) стык. Ну, по крайней мере, так обстоит дело в идеальном мире.

Обнаружение

Внедрите надежные сбор и хранение логов. Без централизованного логирования и централизованного же мониторинга, возможности вашей организации по расследованию инцидентов или по обнаружению злоумышленников - крайне ограничены. В зависимости от окружения, это могут быть:

• Нативные инструменты, такие как M365 Sentinel.
• Сторонние инструменты, например, Sparrow, Hawk или CrowdStrike's Azure Reporting Tool (CRT) для обнаружения необычной активности в облаке Azure.

Мы пубикуем, как было в оригинале,но тащить инструменты CrowdStrike в свою среду категорически не рекомендуем. Смотрите в направлении популярных опенсорс-решений. Если вы предпочитаете платные решения, то можно глянуть на Maxpatrol SIEM, ruSIEM и т.п. А если вы – объект критической информационной инфраструктуры, то вы и сами должны знать, какие решения для вас допустимы – @cybersecgame

Далее авторы документа предлагают искать артефакты действий российских хакеров, исходя из тактик и процедур им приписываемых (таблица 1 в исходном документе). Но этот перечень тактик настолько широк, что покрывает потребности почти любого атакуемого. Для поиска подозрительных IP и хостов существует большое количество сервисов, оценивающих репутацию адресов – @cybersecgame.

Ищите поведенческие признаки и IP и host-based артефакты:  

Чтобы обнаружить атаку с "распылением паролей", проверяйте журналы авторизации на предмет ошибок авторизации. Ищите несколько неудачных попыток аутентификации подряд сразу для нескольких учётных записей.

Чтобы обнаружить использование скомпрометированных учётных записей:

• Ищите случаи “невозможного логина”, например когда в процессе сессии меняется имя пользователя, строки user-agent, IP-адрес Или входы, в которых география IP-адреса не соответствуют ожидаемому местоположению пользователя.
• Ищите случаи, когда один IP-адрес используется для нескольких учетных записей, за исключением IP-адресов, для которых вы ожидаете такое поведение [например IP вашего-же офиса].
• Ищите “невозможные путешествия", когда пользователь входит в систему с нескольких IP-адресов, расположенных на значительном географическом расстоянии друг от друга. Примечание. у вас могут быть ложные срабатывания, если нормальные пользователи штатно применяют VPN.
• Ищите процессы и аргументы командной строки, которые могут свидетельствовать о сбросе пароля, особенно, попытки доступа к файлу ntds.dit на контроллере домена или попытки его копирования.
• Обратите внимание на подозрительное использование привилегированных учетных записей после того, как на них был сброшен пароль или сработала защита от перебора паролей, защита от многократного входа и т.п.
• Ищите активность учетных записей, которые обычно не используются.
• Ищите необычные строки user-agent, например, не связанные с обычной деятельностью пользователя, которые могут указывать на то, что под его именем действует бот.

Для организаций с системами OT/ICS: 

• Обращайте внимание на странное поведение оборудования; например, неожиданные перезагрузки контроллеров и других устройств и программ.
• Мониторьте увеличение задержек или сбои связи с удалённым оборудованием или другими устройствами OT. Обращайте внимание на ситуации, когда элементы системы лагают или вообще не отзываются.

Реагирование на инциденты

Организации, обнаружившие потенциальное присутствие APT в своих ИТ или ОТ-сетях должны:

1. Немедленно изолировать пораженные системы.
2. Сделать резервную копию. Убедиться, что резервные копии хранятся автономно и находятся и в безопасности. Если возможно, проверить резервные копии с помощью антивирусных программ, чтобы убедиться, что они не содержат вредоносного ПО.
3. Собрать и изучить соответствующие журналы.
4. Обдумать возможность обращения за поддержкой к сторонней ИТ-компании, которая обладает необходимыми экспертными знаниями и способна удалить злоумышленника из сети и устранить все проблемы, которые могут привести к последующей эксплуатации.
5. Сообщайте об инцидентах в CISA и/или в ФБР через местное отделение ФБР или дежурному ФБР по телефону (855) 292-3937 или CyWatch@fbi.gov [в органы внутренних дел и в ФСБ через местное УФСБ или по электронной почте fsb@fsb.ru] 

Примечание для OT-систем организация должна иметь план обеспечения устойчивости, в котором описывается, как действовать в случае потери доступа к ИТ и/или OT среде или контроля над ней. Дополнительную информацию см. в разделе "Меры по смягчению последствий".

Меры по смягчению последствий

CISA, ФБР и АНБ призывают все организации выполнить следующие рекомендации для повышения их киберустойчивости к этой [любой] угрозе.

Будьте Готовы

Организуйте процесс информирования и сведите к минимуму пробелы в охвате

В этом заголовке, который тяжело перевести в двух словах, авторы имеют ввиду – организовать и донести до пользователей то, каким образом они должны сообщать о подозрительных событиях или инцидентах. Кроме того, надо сделать так, чтобы мониторинг ИБ был либо постоянным, либо с минимальными перерывами на выходные и праздники – @cybersecgame

• Составьте список контактов. Выделите в нём контакты людей, которые будут заниматься решением предполагаемого инцидента, распределите среди них роли и обязанности и убедитесь, что персонал знает, кому, как и когда сообщать об инциденте.
• Сведите к минимуму интервалы, когда сотрудники службы ИБ недоступны -- организуйте постоянное дежурство для реагирования на инциденты. Известно, что киберпреступники нападают в выходные и праздничные дни, когда с процессом обеспечения  кибербезопасности имеются сложности. Организации, занимающиеся критически важной инфраструктурой, должны активно защищать себя, сводя такие пробелы в охвате к минимуму.
• Убедитесь, что сотрудники службы ИБ имеют доступ к ключевым средствам обеспечения безопасности и в состоянии обнаружить аномальные события. 

Планируйте

• Создайте, регулярно обновляйте и при необходимости применяйте план реагирования на кибер-инциденты и план обеспечения непрерывности деятельности.
• Убедитесь, что сотрудники знакомы с основными задачами, которые им необходимо выполнить во время инцидента, и готовы действовать спокойно и согласованно.

Ключевые вопросы:

• Есть ли у персонала необходимый доступ?
• Знают ли они необходимые процессы?

Для OT-систем и сетей:

• Создайте план обеспечения устойчивости, в котором рассматривается, как действовать в случае потери доступа или контроля над ИТ—средой и/или средой OT.
• Определите взаимозависимости OT и ИТ-сетей и разработайте обходные пути или ручные средства управления, чтобы иметь возможность изолировать сети ICS, если соединения создают риск для безопасной и надежной работы процессов OT. Регулярно устраивайте учения по планам действий в чрезвычайных ситуациях, например, по переходу на ручное управление, чтобы во время кибер-инцидента можно было продолжать эксплуатировать критически важные элементы. Убедитесь, что сеть OT сохраняет связность и её пропускной способности достаточно даже в ситуации, когда ИТ-сеть скомпрометирована и отключена.
• Регулярно проверяйте ручное управление, чтобы можно было поддерживать работу важнейшего оборудования даже в ситуации, когда придётся отключить управляющие контроллеры или всю сеть ОТ.
• Внедрите процедуры резервного копирования данных как в ИТ-сетях, так и в сетях OT. Процедуры резервного копирования следует проводить часто и регулярно. Регулярно проверяйте процедуры резервного копирования. Убедитесь, что резервные копии хранятся в изолированном от сети месте.
• Дополнительно к резервному копированию данных разработайте документы для восстановления, которые включают параметры конфигурации и для обычных устройств и для  критически важного оборудования. Это может помочь быстрее восстановить деятельность после инцидента.

Улучшайте кибер-позиции вашей организации

CISA, ФБР и АНБ рекомендуют организациям применять приведенные ниже рекомендации по управлению идентификацией и доступом, средствам защиты и архитектуре, а также управлению уязвимостями и конфигурациями.

Управление идентификацией и доступом

• Внедрите многофакторную аутентификацию для всех пользователей без исключения.
• Требуйте, чтобы учетные записи имели надежные пароли, и не разрешайте использовать одинаковые пароли для нескольких учетных записей или хранить их в системе, к которой может получить доступ злоумышленник.

Безопасность учетных данных

• Используйте виртуализированные решения на современном оборудовании и ПО, чтобы безопасно хранить учетные данные.
• Отключите хранение открытых паролей в памяти LSASS.
• Рассмотрите возможность отключения или ограничения NTLM и аутентификации WDigest.
• Внедрите Credentional Guard для Windows 10 и Server 2016 (Дополнительные сведения см. в разделе Microsoft: Управление защитой учетных данных Windows Defender). Для Windows Server 2012R2 включите Protected Process Light (PPL) для Local Security Authority (LSA).
• Минимизируйте поверхность атаки Active Directory, чтобы уменьшить вредоносную активность по выдаче тикетов. Атаки типа  “Kerberoasting”, используют сервисные тикеты TGS для получения хэшей паролей, с которыми злоумышленник попытается попасть в систему.

И попадёт. Вообще мало, что может остановить злоумышленника, у которого уже есть хэши паролей от Active Directory. К сожалению, конкретных рекомендаций по уменьшению поверхности атаки тут не приводится. Можем порекомендовать, например, PingCastle – аналитическую приблуду, которая, будучи запущена в среде с AD под обычной пользовательской учёткой, генерирует отчёт в html, из которого вам становится понятен фронт работ в этом направлении на ближайшие полгода – @cybersecgame

• Установите надежную политику паролей для учетных записей служб.
• Проверьте, что на домен-контроллерах логируются успешные запросы Kerberos TGS и убедитесь, что такие события отслеживаются на предмет аномальной активности.

Привилегированные учетные записи

• Применяйте принцип наименьших привилегий. Учетные записи администраторов должны иметь минимальные доступы, необходимые для выполнения своих задач.
• Убедитесь, что для каждого набора административных задач существуют уникальные и отдельные учетные записи администратора.
• Создайте непривилегированные учетные записи для администраторов и убедитесь, что они используют их для всего непривилегированного доступа (например, для просмотра веб-страниц, доступа к электронной почте).

Защитные средства управления и архитектура

• Выявляйте, обнаруживайте и исследуйте аномальную активность, которая может указывать на распространение ("боковое перемещение") злоумышленника или вредоносного ПО. Используйте средства мониторинга сети, средства логирования на конечных точках (EDR). Инструменты EDR особенно полезны для обнаружения боковых подключений, поскольку они позволяют получить представление о необычных соединениях каждого хоста.
• Фильтруйте спам
• Включите надежные спам-фильтры, чтобы предотвратить попадание фишинговых писем к конечным пользователям.
• Фильтруйте электронные письма, содержащие исполняемые файлы, чтобы они не попадали к конечным пользователям.
• Внедрите программу обучения пользователей, чтобы помешать пользователям посещать вредоносные веб-сайты или открывать вредоносные вложения.

Примечание: CISA, ФБР и АНБ также рекомендуют, в качестве долгосрочной стратегии, чтобы организации с критической инфраструктурой реализовали сегментацию сети для разделения сегментов сети на основе ролей и функций. Сегментация сети может помочь предотвратить “боковое перемещение” злоумышленника, контролируя потоки трафика между различными подсетями и доступ к ним.

• Надлежащим образом организуйте сегментацию сети между сетями IT и OT. Сегментация сети ограничивает способность злоумышленников попасть в сеть OT, даже если ИТ-сеть скомпрометирована. Организуйте DMZ, которая исключает нерегулируемую связь между сетями IT и OT.
• Организуйте активы OT в логические зоны, принимая во внимание критичность, последствия и оперативную необходимость. Определите приемлемые способы связи между зонами и разверните средства контроля безопасности для фильтрации сетевого трафика и мониторинга связи между зонами. Запретите протоколам ходить через ИТ-сеть.

Управление уязвимостями и конфигурациями

• Своевременно обновляйте программное обеспечение, включая операционные системы, приложения и встроенное ПО на сетевых ресурсах ИТ. Определите приоритет исправления известных эксплуатируемых уязвимостей, особенно тех CVE, которые определены в этом документе, а затем критических уязвимостей, которые допускают удаленное выполнение кода или отказ в обслуживании на оборудовании, подключенном к Интернету.
• Рассмотрите возможность использования централизованной системы управления уязвимостями. Для сетей OT используйте риск-ориентированную стратегию, чтобы определить сетевые активы и зоны OT, которые должны участвовать в программе управления исправлениями.

Здесь и далее под “риск-ориентированной стратегией” иностранец понимает следующее: для каждого из имеющихся в ОТ-сети ресурсов  вам придётся выбирать, что опаснее – случайно сломать ресурс обновлением или оставить его беззащитным перед злоумышленниками – @cybersecgame

• Подумайте о том, чтобы подписаться на услуги CISA по кибергигиене, включая сканирование уязвимостей, чтобы помочь снизить подверженность угрозам. Служба сканирования уязвимостей CISA оценивает уязвимость внешнего сегмента вашей сети, выполняя непрерывное сканирование общедоступных статических IP-адресов на наличие доступных служб и уязвимостей.

Очевидно, что для России имеются свои поставщики услуг по кибергигиене. Интересно, что авторы документа не предлагают организовать хоть какое-то сканирование внешнего периметра своими силами, что, обычно, не очень сложно и заведомо лучше, чем никакого – @cybersecgame

• Используйте рекомендуемые в отрасли антивирусные программы.
• Установите антивирусные/антивирусные программы для регулярного сканирования сетевых ресурсов ИТ с использованием современных сигнатур.
• Используйте риск-ориентированную стратегию инвентаризации активов, чтобы определить, какие сетевые активы OT необходимо сканировать на наличие вредоносных программ.
• Внедряйте строгие программы управления конфигурациями. Убедитесь, что программы могут отслеживать и смягчать возникающие угрозы. Просмотрите конфигурации системы на предмет неправильной конфигурации и слабых мест в системе безопасности.
• Отключите все ненужные порты и протоколы
• Просмотрите журналы устройств сетевой безопасности и определите, следует ли отключать ненужные порты и протоколы. Контролируйте общие порты и протоколы для действий по управлению и управлению.
• Отключите любые ненужные службы (например, PowerShell) или функции на устройствах.
• Убедитесь, что оборудование OT находится в режиме только для чтения.

Повышение Бдительности Организации

Регулярно просматривайте сообщения об этой [авторы документа всё о “рашен стэйт спонсоред”, но вы читайте сообщения о любых угрозах – @cybersecgame] угрозе. Подумайте о том, чтобы подписаться на уведомления CISA, чтобы получать своевременную информацию о текущих проблемах безопасности, уязвимостях и т.п.