Руслан Рахметов, Security Vision
Сегодня даже обычный смартфон хранит больше личной информации, чем бумажник: фотографии, переписка, банковские приложения, пароли. Для бизнеса ситуация ещё серьёзнее, ведь утечка данных или сбой в работе систем может стоить миллионов и репутации. Всё это – следствие киберинцидентов. Киберинцидент – это событие, которое нарушает нормальную работу цифровой системы или угрожает её безопасности. Говоря проще, это как пожар в здании или попытка взлома замка на цифровой двери. В этой статье разберём, что именно считается киберинцидентами, как они классифицируются, и приведём реальные примеры.
Обычно данные в информационных системах принято описывать триадой конфиденциальность- доступность-целостность (КДЦ), поэтому, если в системе что-то пошло не так и это может повредить данным или бизнесу – это инцидент. Киберинцидент – это событие, связанное с нарушением конфиденциальности, целостности или доступности информации, ИТ-систем или сетей.
Помимо того, что инциденты бывают преднамеренные или случайные, их делят по другим признакам: от источника угрозы до последствий, поэтому для продолжения мы рассмотрим несколько популярных моделей:
1) По источнику угрозы инциденты можно разделить на внутренние (ошибки конфигурации, утеря устройств) и внешние (атаки извне — хакеры, вирусы, фишинг). Например, если сотрудник скачал заражённый файл – источник угрозы становится внутренним, но инициатором мог быть внешний злоумышленник.
2) По типу воздействия на параметры КДЦ: утечка персональных данных воздействует на конфиденциальность, вирус меняет содержимое файлов и нарушает целостность, а когда не работают серверы и клиенты не могут пользоваться сервисами – происходит влияние на доступность. Если взять в качестве объекта письмо, то все эти три типа влияния можно описать следующими кейсами: кто-то прочитал ваше письмо, подделал его или если письмо не дошло вовсе.
3) По уровню критичности инциденты обычно делят на 3 уровня: низкий (не влияет на бизнес, например, заражение одного ПК без доступа к сети), средний (влияет на отдельные отделы или сервисы), высокий (который парализует работу компании или ведёт к утечке чувствительных данных). Иногда к уровням добавляют критический, также стоит учитывать ложноположительные срабатывания (ЛПС).
4) По типу нарушенной системы, например, пользовательские устройства (телефоны, ноутбуки), серверы и СУБД (базы данных, веб-сервисы), сетевые устройства (маршрутизаторы, VPN, файрволлы) и облачные сервисы (утечки из Dropbox, Яндекс.Диск, Google Drive, облачных CRM) и т.д.
5) По способу реализации, которые мы ранее рассматривали детально тут и тут, киберинциденты включают: вредоносное программное обеспечение (ВПО, например, вирусы, трояны и шифровальщики), брутфорс (взлом пароля / подбор логина), фишинг и социальная инженерия, эксплуатация уязвимостей ПО (эксплойты), перегрузка каналов для вызова отказа в обслуживании (DDoS), физический доступ (украденный ноутбук) и др. Представьте, что ваши документы заперли в сейф и потребовали выкуп (так часто действуют ВПО), если бы кто-то открыл дверь вашим ключом и залез в шкаф (это несанкционированный доступ), если бы багаж с перелета достался другому пассажиру (аналог утечки данных из информационных систем), если бы 1000 человек одновременно звонили вам, а члены семьи и друзья не дозвонились бы по важным вопросам (отказ в обслуживании) или если бы кто-то случайно стер жёсткий диск (сбой из-за ошибки персонала).
Даже если инцидент произошёл по ошибке (например, сотрудник открыл фишинговое письмо), он всё равно считается киберинцидентом, если повлиял на безопасность. Большинство серьёзных инцидентов – это не внезапный взрыв, а скорее «операция по плану». Как и в ограблении квартиры, всё начинается с разведки, а заканчивается исчезновением следов. Этот процесс часто называют «кибератакой в фазах» или «цепочкой атаки» (killchain). Поэтому рассмотрим, из чего обычно состоит подобная цепочка, а также почему модуль управления инцидентами Security Vision SOAR использует эту методологию.
Этап 1. Разведка (Reconnaissance), когда злоумышленник изучает цель (сканирует сеть и открытые порты, ищет уязвимые сервисы и собирает информацию из открытых источников (OSINT), например — имена сотрудников в LinkedIn, адреса e-mail из презентаций, расписания из соцсетей). Как вор, изучающий дом: когда уезжают жильцы, где хранят ключи, есть ли сигнализация, хакер находит PDF-файл на сайте компании, смотрит свойства документа — а там имя системного администратора, которое будет использовать в будущем.
Этап 2. Проникновение (Initial Access), когда злоумышленник «входит в дом» через фишинговое письмо с вредоносной ссылкой или вложением, брутфорс слабого пароля, взлом старой уязвимости в веб-сервере или использование скомпрометированных учётных данных из даркнета. На этом этапе, как если бы вор открыл замок чужими ключами или пролез через незапертую форточку, сотрудник получает письмо «от службы безопасности» и вводит пароль на поддельном сайте.
Этап 3. Закрепление (Persistence), когда злоумышленник укрепляет позиции (создаёт новые учётные записи, устанавливает backdoor, или «чёрный вход» в систему и настраивает автоматический запуск вредоносного ПО). Как вор, который делает дубликат ключа, чтобы вернуться позже, вирус прописывается в автозагрузку, и даже после перезагрузки продолжает действовать.
Этап 4. Расширение доступа (Privilege Escalation и Lateral Movement), когда хакер движется дальше по сети (повышает свои права и переходит с одного устройства на другое). Как вор, начавший с чердака, но нашедший ключи от сейфа в гостиной, войдя в ПК бухгалтера, злоумышленник получает доступ к серверу с зарплатами.
Этап 5. Целевые действия (Action on Objectives), когда начинается основное:
- Кража данных (выгрузка на сторонние серверы);
- Шифрование файлов (для выкупа);
- Саботаж (удаление баз, запуск скриптов);
- Установка майнеров или ботов.
Вор нашёл драгоценности, взял их и ушёл — либо поджёг дом, а вирус-шифровальщик WannaCry за считанные часы вывел из строя тысячи компьютеров.
Этап 6. Сокрытие следов (Covering Tracks), когда хакер «подчищает» логи, удаляет временные файлы, закрывает уязвимости, чтобы замаскировать следы атаки. Как если бы вор после ограбления подмёл пол и поставил замок обратно.
Из этой цепочки возникла модель реагирования на инциденты от NIST (Национального института стандартов и технологий США), она – одна из самых понятных и логичных, поэтому широко используется в корпоративной практике:
1) ПОДГОТОВКА (Preparation), этап до инцидента: организация должна быть «в форме»: настроены средства защиты, инструкции написаны, сотрудники обучены. Например, компания провела обучение сотрудников фишингу и настроила фильтр, который блокирует подозрительные письма. Это как подготовка к пожару: есть огнетушитель, план эвакуации и все знают, где выход.
2) ОБНАРУЖЕНИЕ (Detection), фиксация признаков инцидента. Это может быть как мгновенный алерт, так и тревожные симптомы: странная активность, жалобы пользователей, необычное поведение систем. Например, если сотрудник заметил, что его мышь движется сама по себе, а в SIEM зафиксирован логин из другой страны, или как заметить запах гари или дыма – это ещё не пожар, но повод насторожиться.
3) СДЕРЖИВАНИЕ (Containment), когда нужно не дать инциденту распространиться, «запереть злоумышленника в одной комнате» и не дать заразить всю сеть. Так заражённый ПК изолируется от сети, но не выключается, чтобы сохранить доказательства. Это как закрыть двери и выключить вентиляцию при пожаре, чтобы огонь не перешёл в другие комнаты.
4) РАССЛЕДОВАНИЕ (Investigation), анализ инцидента: откуда пришёл, что сделал, какие системы затронуты. Например, когда из логов выяснилось, что атака началась через фишинг и злоумышленник использовал PowerShell для закрепления. Аналогией из бытовой жизни будет выяснение причины возгорания, где оно началось, кто виноват, какие могут быть последствия.
5) УСТРАНЕНИЕ (Eradication), удаление вредоносного кода, закрытие уязвимостей, устранение точек входа. Когда сотрудники ИБ удалили троян, сбросили все пароли и обновили уязвимый сервер. Как не просто потушить огонь, а устранить источник — неисправную проводку.
6) ВОССТАНОВЛЕНИЕ (Recovery), возврат к нормальной работе. Важно не просто «запустить всё обратно», а убедиться, что злоумышленник не остался в системе. Сервера развёрнуты заново из образов, но работают в ограниченном режиме под наблюдением SOC. Как после ремонта дома включать электричество поэтапно и смотреть, не заискрит ли снова.
7) ПОСТ-ИНЦИДЕНТ (Post-Incident), разбор инцидента и улучшение защиты на будущее. После инцидента компания обновила политику паролей, добавила 2FA и провела тренинг по фишингу. Как разбор пожара и установка новых датчиков дыма, чтобы такого больше не случилось. Этот этап включает:
- Постмортем (Post-mortem): разбор по этапам;
- Обновление документации и инструкций;
- Обучение персонала;
- Улучшение инструментов защиты;
- При необходимости — уведомление регуляторов.
Киберинциденты бывают у всех: у крупных корпораций и у микробизнеса, у госструктур и у студентов-фрилансеров. Главное — не быть беспомощным. Даже если вы не специалист по ИБ, вы можете быть звеном в цепочке безопасности. Как и с пожарной безопасностью: знать простые правила должен каждый. Не нужно бояться технологий, достаточно понимать, как они могут быть использованы против вас… и не давать злоумышленникам такой возможности.
Важно помнить, что:
• Профилактика дешевле реагирования;
• Обучение персонала — один из лучших щитов;
• Инцидент — не провал, а возможность стать сильнее;
• Нет стыда в том, чтобы звать на помощь.
