Москва, 09 июня 2022 года. — Паника – первый враг безопасности, которых и так слишком много, чтоб его игнорировать. Именно это проиллюстрировал в одном из недавних кейсов специалист по тестированию на проникновение компании RuSIEM Александр Герман в ходе конференции «Код ИБ. Безопасная среда. 10 ошибок при реагировании на инциденты».
Участники мероприятия отметили следующие типичные ошибки пострадавших от кибератак, о половине которых предупредил эксперт RuSIEM:
паника;
отсутствие регламента по реагированию на инциденты;
инстинктивная реакция, попытка все решить своими силами;
поспешное лечение симптомов без анализа причин;
установка обновлений;
низкая скорость реагирования;
неправильное выстраивание модели угроз и правил корреляции;
несогласованность действий ИТ- и ИБ-подразделений;
неправильные настройки СЗИ;
отсутствие знаний о бизнес-процессах/неполнота знаний о своей инфраструктуре.
«Первая ошибка – это паника. Это самая настоящая проблема, поскольку она усугубляет и без того сложную ситуацию. Что произошло у нашего заказчика: злоумышленники выложили в открытый доступ конфиденциальную информацию. Казалось бы, понятно: выложить файлы – не обязательно единственная цель. Почти всегда задача злоумышленников – посеять панику и подтолкнуть ИТ- и ИБ-службы к импульсивной и потому с вероятностью практически 100% – ошибочной реакции. Что и произошло», - рассказал эксперт.
В наборе «бей», «замри» или «беги» любая реакция – неправильная, потому что инстинктивная, считает Александр Герман, рассказывая об ошибке № 2. Чтобы в случае инцидента действовать максимально быстро и правильно, нужно заранее смоделировать алгоритм таких действий, зафиксировать его во внутреннем регламенте (не иметь его – ошибка № 3) и протестировать на киберучениях. Это позволит избежать еще одной ошибки (№ 4) – попытки устранить симптомы вместо причин проблемы. В результате попыток сотрудников заказчика обойтись поверхностными мерами исчезла информация о конфигурации и логах нескольких серверов компании.
Ошибка № 5 – это не устанавливать обновления. После того, как команда RuSIEM определила все-таки IP-адрес сервера, открылась до боли знакомая картина: ряд обновлений не был установлен, и информация об этом была в открытом доступе. Злоумышленники получили возможность пользоваться этим окном в течение долгого времени, методично проводя свои атаки.
«Это типичная атака, с которыми сталкиваются сейчас практически все российские организации. Целью злоумышленников было получить доступ к чувствительной информации компании, что им вполне удалось. Учитывая профиль ее деятельности, это наверняка было хорошим кейсом для других антироссийских хактивистов», - резюмирует эксперт.