22 июля, 2020
В тёмном-тёмном лесу офисе
Весьма вероятно, что ваш офис сегодня также пуст, как и наш. Редко-редко раздаются шаги охраны и технических служб, да гудят системы охлаждения серверов, нагруженные всякой «удалёнкой». Кажется, ничего не нарушает покой и крепкий сон системного администратора – кроме невидимых человеческому глазу и неслышных человеческому уху событий, происходящих в тёмном лесу IT-инфраструктуры.
Роль IT-безопасника в некотором смысле похожа на роль лесника – чтобы поймать браконьера (вредоносное ПО) и нейтрализовать угрозу для обитателей леса, надо для начала его обнаружить. Можно, конечно, дождаться звуков выстрелов и быстро бежать в их сторону, но это значит, что событие уже произошло и остаётся только разбираться с последствиями. Можно в превентивных целях расставить по всему лесу сигналы и видеокамеры и реагировать на каждый новый шорох (и быстро лишиться сна и разума). А если учесть, что «браконьеры» научились здорово прятаться и не оставлять следов, то выясняется, что главный вопрос безопасности заключается в умении вычленять подозрительные события из множества событий повседневных.
Современные кибер-браконьеры всё чаще маскируются именно при помощи совершенно легитимных инструментов и операций – например, открытия документа в Microsoft Office, получения администратором удаленного доступа, запуска скрипта в PowerShell или активацией механизма шифрования данных. Новая волна так называемого «бесфайлового» вредоносного ПО и вовсе не оставляет никаких следов на жёстком диске, что заметно усложняет работу традиционных подходов к защите. Именно так, например, группировка Platinum проникала в компьютеры дипломатических организаций. Офисные документы, загружающие вредоносную нагрузку, применялись для заражения через фишинг в операции DarkUniverse, да и многих других. Ещё один пример — «бесфайловый» вымогатель-шифровальщик Mailto (aka Netwalker), который использует PowerShell скрипт для загрузки вредоносного кода непосредственно в память системного процесса.
Итак, если традиционными средствами не обойтись, то можно попытаться запретить целый ряд операций пользователям и ввести жёсткие политики доступа и использования ПО. Однако в этом случае и пользователи, и вредоносы скорее всего найдут обходные пути, как находят их лесные ручьи или звериные тропы.
Лучше найти решение, которое сможет определять аномалии в стандартных процессах и уведомлять о них администратора. Главная сложность такого решения, чтобы научиться автоматически определять «подозрительность» процессов во всем их многообразии, и не досаждать администратора постоянными криками «Волки! Волки!»
И у нас такое решение есть – Adaptive Anomaly Control. В основе сервиса лежат три основных компонента – правила, статистика и исключения. Правила охватывают основные офисные приложения, пакет приложений Windows Management Instrumentation, стандартные скрипты и другие компоненты, совмещённые со списком «аномальных» активностей. Эти правила являются частью решения и не требуют от администратора создавать их заново.
После активации система примерно на протяжении пары недель изучает процессы, происходящие в организации, детектирует отклонения от стандартных правил и создает «персонализированный» список исключений. Обучение может быть двусторонним – например, администратор может создать собственное исключение для какого-то определённого процесса, а может и обнаружить непредвиденную аномалию. Обучающий процесс можно даже разделить по отделам, чтобы специалисты с профилем «финансовая служба», например, не могли запускать Java скрипты, а специалисты из «R&D», наоборот, могли, но не имели бы доступа к финансовым инструментам.
В «боевом» режиме система уведомит о любом отклонении от списка «исключений», укажет на подозрительный процесс и устройство, на котором он запущен. Например, запуск Windows Command Processor или HTML Application Host с помощью скрипта PowerShell из офисного приложения или с виртуальной машины технически возможен, но вряд ли является разрешённой операцией. Или, скажем, если файл с легитимным именем системного файла хранится в папке, отличной от системной, то это сигнал обратить на приложение самое пристальное внимание.
При этом администратор может заблокировать процесс или разрешить его с уведомлением пользователя. По желанию, период обучения для какого-то правила можно увеличить, чтобы изучить как именно оно будет применяться в будущем.
«А зачем же нам тогда нужен антивирус, если система так хорошо работает?» спросит критично настроенный лесник, то есть администратор. А затем, что Adaptive Anomaly Control – это, в первую очередь, система раннего обнаружения, которая подскажет где именно происходит что-то подозрительное. А вот бороться с угрозой – это уже задача других ключевых компонентов защиты, вроде наших EDR-решений.
Эх, не зря я вспомнил про леса – это мне предстоит паковаться в очередную экспедицию в дикие места Алтайского края. Вот уж где средства индивидуальной защиты и раннего предупреждения пригодятся. А если сомневаетесь в лесниках в IT, то почитайте историю от нашего главы Core Technologies Алексея Тотмакова об одном научном специалисте, который так и уехал лесником на Алтай, а вернулся – разработчиком.