Гонка хакеров и защитников. На чьей стороне время?

Эльман Бейбутов, 08/12/22

Злоумышленники начинают сканировать узлы Интернета в поиске уязвимостей буквально в течение часа с момента публикации данных об очередной CVE. Как быть, если производители не торопятся с выпуском патчей? Разберемся, сколько на самом деле есть времени на повышение защищенности у компаний, использующих уязвимое ПО, и как правильно им распорядиться.

Автор: Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies

По нашим экспертным оценкам, активное сканирование злоумышленниками IP-адресов на наличие уязвимых сервисов можно наблюдать спустя десятки минут после публикации CVE. Это то, что в первую очередь делают хакеры на этапе разведки по матрице MITRE ATT&CK [1]. Но после выявления уязвимых узлов киберпреступникам еще нужно время, чтобы разработать эксплойт самим или дождаться его появления на специализированных площадках. Для громких, но несложных уязвимостей хакеры в течение пары часов могут подготовить инструкцию и набор команд для развития векторов атак.

Будет ли эксплойт доступен широкому кругу атакующих? Будет ли эксплойт бесплатным? В первые дни, как правило, нет. До начала массовой эксплуатации уязвимости может пройти несколько дней. На подготовку эксплойта тратится несколько часов. На выпуск патчей производителям уязвимого ПО могут потребоваться недели, месяцы, а в сложных случаях – даже годы. По нашим данным, из всех выявленных и отправленных вендорам в 2021 г. уязвимостей, в частности в промышленных системах, в разумные сроки было исправлено меньше половины – 47%.

Разная сложность – разная скорость

Если злоумышленник стремится захватить узел, продать доступ или запустить майнер, то он может обойтись одним эксплойтом. Атака же с реально значимыми последствиями потребует от преступников значительно больше шагов и ресурсов. Злоумышленнику потребуется время на то, чтобы преодолеть сетевой периметр, получить первоначальный доступ к узлам и закрепиться на них, повысить привилегии, получить доступ к ключевым сегментам сети и целевым серверам, компьютерам, собрать дополнительные данные и, наконец, реализовать недопустимые события. Часть задач может быть выполнена злоумышленниками для последующей перепродажи своих результатов специализированным группировкам, что занимает время и удлиняет цепочку атаки.

В итоге на всю атаку целиком злоумышленникам может потребоваться не 15 минут, а несколько недель. По данным Positive Technologies, за 30 дней злоумышленники могут реализовать 71% событий, которые повлекут неприемлемые последствия.

Добавить трудностей хакерам

Важно максимально затруднить работу киберпреступнику, а именно сделать реализацию потенциальной атаки максимально невыгодной с точки зрения затрачиваемых ресурсов. Для этого нужно провести следующие тактические мероприятия:

определить недопустимые события, именно для вашей организации;
выделить ключевые бизнес-процессы и целевые системы, для которых недопустимые события должны быть невозможны;
разделить сеть на критические сегменты под каждую целевую систему;
повысить базовый уровень безопасности путем харденинга настроек целевых систем;
регулярно проводить инвентаризацию активов, контролировать периметр и критические сегменты сети: отслеживать появление новых узлов и сервисов, изменение настроек их безопасности;
организовать службу контроля защищенности, мониторинга и реагирования на инциденты;
участвовать в киберучениях, организовывать повышение квалификации специалистов по ИБ;
повышать киберграмотность сотрудников.

Игра на опережение

Злоумышленники торопятся с выпуском эксплойтов, а значит, и вам важно действовать проактивно:

анализировать киберугрозы и мониторить публикации о новых уязвимостях [2] (используйте экспертизу производителей VM-решений [3] по приоритизации уязвимостей);
в случае обнаружения новых релевантных инфраструктуре уязвимостей – анализировать возможность выявления фактов их эксплуатации по косвенным признакам в сети или на узле и описывать полученные результаты в правилах детектирования угроз;
выявлять сетевые и узловые аномалии с помощью специализированных решений класса NTA [4] и XDR [5], отправлять сработки на корреляцию событий в SIEM-систему;
мониторить инциденты с помощью SIEM-решений [6], используя соответствующие правила детектирования;
реагировать по дежурным процедурам в четко поставленные сроки, включая активные действия в инфраструктуре.

Откуда ждать помощи?

При реализации мер безопасности нужно учитывать, что злоумышленник проэксплуатирует уязвимость быстрее, чем получится ее устранить и появится обновление от производителя ПО. Эшелонированная защита, сегментация сети, харденинг систем – это минимальный, но недостаточный набор мероприятий. А анализ киберугроз и разработка правил их детектирования требуют уникальных компетенций, которые имеют единичные представители компаний – лидеров в своих отраслях. В одиночку отдельно взятой организации будет тяжело справиться с защитой целевых систем в таких условиях.

Поэтому применение систем управления уязвимостями (VM), анализа сетевой активности (NTA), мониторинга событий безопасности (SIEM) и расширенного реагирования (XDR) с обширной экспертизой разработчика может значительно повысить уровень информированности об угрозах и фактической защищенности. Объединение экспертизы поставщика решений в сфере ИБ и знаний собственной инфраструктуры защитниками компаний, позволяет достичь результативной кибербезопасности в условиях реальных вторжений со стороны атакующих.