Как распознать что против бизнеса или персоны началась информационная атака ответ

Сетевые атаки могут подорвать ресурсы организации, привести к финансовым потерям и потере репутации, а практические способы их локализации и раннего обнаружения обеспечивают полную защиту.

Как отразить информационную атаку: основные правила и действия

Вопрос о том, как отвести информационные атаки, в идеале должен быть поднят вовремя, до того, как бизнес совершит значительную конкуренцию или ошибку. В этой работе, как и в медицине, профилактика является лучшим средством, поскольку, как только соответствующий дизайн может оказаться полезным, его необходимо разработать заранее.

В большинстве случаев информационные атаки происходят неожиданно, но некоторые простые правила все же могут помочь. В этой статье рассказывается о том, как предотвратить информационные атаки, какой контроль должна иметь компания перед атакой и как предотвратить подобные угрозы.

Цели любой информационной атаки

Информационные атаки, которые могут иметь катастрофические последствия для компании, просто направлены на нанесение ущерба репутации компании и возможности ее ликвидации. Такой деятельностью занимаются конкуренты, инвесторы конкурирующих компаний, бывшие или нынешние сотрудники и даже пострадавшие клиенты.

Персона: Василий Крылов

Репутационный ущерб явно влияет на прибыль компании и вызывает убытки, включая упущенную выгоду. Кумулятивный ущерб может быть определен различными способами. В области информации к ним относятся расчет частоты запросов, продвижение ресурсов и показатель принятия решения об отказе от рынка.

Случай в Ополье в 2016 году наводит на мысль. Американская компания Pepsico, к которой принадлежала компания, была вынуждена отозвать молочный продукт, в котором якобы были обнаружены. Это привело к временной потере доли рынка.

Первоначальные новости о появлении пенной лихорадки в продукции владимирского ООО «ВКВ» привели к распространению дезинформации в социальных сетях и мессенджерах, заразив другие молочные продукты PepsiCo, включая продукцию Agusha, Imsell и Lambert.

В официальном заявлении представители PepsiCo утверждали, что против них была предпринята атака. Это подтвердил Роспотребнадзор, который сделал предположение, что в ситуации может быть замешан конкурент из США, добавив, что продукция «Агуши» производится другой компанией.

В результате изъятия огромного количества молочной продукции общие убытки компании «Ополье» составили около 100 млн рублей, хотя точная сумма не разглашается.

Правила, которые нужно помнить, если вас атакуют

Одним из первых методов, используемых для ликвидации информационных атак, является спиннинг (искаженное изложение событий, способствующее созданию положительного образа человека или компании). Это позволяет изменить негативное изображение в свою пользу. Ситуация должна быть правильно оценена, а приоритеты определены таким образом, чтобы точно отразить поведение другой стороны.

В случае публичного скандала требуются скоординированные усилия всего персонала. Планы реагирования на кризисные ситуации содержат точные инструкции о том, кто будет точно представлять компанию, чтобы информация, передаваемая общественности, была единообразной.

Не следует игнорировать сотрудничество с сотрудниками, которые могут распространять неконтролируемую информацию, не соответствующую той, которая специально подготовлена для общественности. Очень сложно контролировать информацию, распространяемую сотрудниками компании вне официальных каналов.

Обычной практикой является прямое общение с сотрудниками, даже рядовыми, когда компании сталкиваются с трудностями. Люди начинают расспрашивать сотрудников о проблеме, возможных последствиях и т.д.

Впоследствии мнения, сформированные на основе информации, полученной сотрудниками компании, распространяются как лавина, что еще раз подтверждает зависимость безопасности информации от качества внутренних коммуникаций.

Ответ должен быть целенаправленным. Не стоит отражать информационные атаки, особенно в одиночку. Изначально работа должна строиться на сотрудничестве с заинтересованными сторонами, которые могут участвовать во внешних организациях, таких как профсоюзы, волонтерские и общественные движения.

Как отразится на России военная спецоперация Китая против Тайваня. Если китай нападет на тайвань что будет.

Использование такого внешнего участия неприемлемо, если компания действительно совершила серьезную ошибку. Протоколы действий включают публичное признание вины и извинения. Этим должны заниматься непосредственно руководители высшего звена.

Самая распространенная ошибка, которую совершают компании, подвергающиеся атакам, — использование нерелевантных каналов связи. Категория, указанная на федеральном телеканале с большой аудиторией, влечет за собой аналогичный ответ, причем не малейший отказ на новостных сайтах, а гораздо больше на собственном сайте компании.

Мелкие споры, разгорающиеся в ограниченных онлайн-сообществах, не обязательно должны выходить на национальный уровень с помощью доминирующих СМИ. Стоит помнить, к кому прислушиваться и какие мнения игнорировать.

Уникальная информация привлекает различные СМИ, экспертов, журналистов, желтые СМИ и блогеров. Впоследствии в процесс вовлекаются конкуренты и критики. Обычно через три-четыре дня интерес общественности ослабевает.

Закрепление в сети

Как только агрессору разрешено выполнять заказы в системе, ему необходимо получить основание для того, чтобы иметь постоянный канал доступа к инфраструктуре. Одним из обычных способов получения доступа к хосту является добавление вредоносной исполняемой программы в автозагрузку.

Детектирование по журналам событий

Журнал Sysmon должен отслеживать добавление или изменение ключа реестра и цены в 12 ‘add keys’ и 13 ‘prices’ в определенных секторах реестра, связанных с режимом автозапуска.

Кроме того, рекомендуется отслеживать события sysmon в c:ߋ programmedata microsoft windows start menu spartup startup event id 11 ‘File creation’. Файл, .com, .bat или .exe.

Пример события 4771 с кодом ошибки 0x18.

Детектирование по сетевому трафику

Этот подход не отражается на циркуляции сети, если действие выполняется локально на узле. Однако злоумышленник может выполнять операции на расстоянии. Например, они получают доступ к реестру с помощью Winreg (Windows Remote Registry Protocol).Протокол удаленного реестра Windows), Invader добавляет значения в HKCU/Software Microsoft Windows currentVersion run.

Invader также может копировать файлы по протоколу SMB, если у него есть соответствующие права. Например, если исполняемый файл или файл BAT, содержащий инструкции оболочки, скопирован в C:Ż ProgramData Microsoft Windows Start Menu Programs Startup, операционная система будет автоматически запускать этот файл, когда пользователь подключается к Запустите этот файл.

Сессия с KDC_ERR_C_PRINCIPAL_UNKNOUNT

Сбор данных об инфраструктуре

Злоумышленникам необходимо понимать, где они находятся, какие узлы инфраструктуры их интересуют и как они могут до них добраться. Если целью является кража денег, то это компьютеры с доступом к финансовым системам. Поэтому злоумышленники определяют Просмотрите узлы, к которым они имеют доступ, и получите список адресов контроллеров домена и администраторов. Определите текущие привилегии и группу, к которой принадлежит пользователь, выполняющий команду.

Пример мероприятия с «добавленной стоимостью».

Поиск информации о системе

Применение технологииУзнайте системную информацию. Можно найти в журналах событий безопасности Windows и PowerShell, а также в журнале Sysmon. Должны быть обнаружены следующие события

net.exe или net1.exe с помощью команды config, то в программе

коммандос, qfe, win32_quickfixengineering, win32_operatingsystem, the

Прочитайте раздел реестраsoftwareMicrosoftWindowsCurrentVersion.

Выполнение команд PowerShell, содержащих запросы WMI, для получения информации о системе.

Изучение прав доступа групп пользователей

Просмотрите его использование.Группы по защите прав на открытия. Техника на локальном компьютере заключается в запуске процесса net.exe или net1.exe с помощью команды localgroup, group / domain или group/dom. В журнале событий безопасности идентификатор события запуска процесса равен 4688, а идентификатор события запуска процесса Sysmon равен 1.

Список групп пользователей

Можно определить технологии сетевого трафика путем обнаружения соответствующих запросов. Информация о группах может быть получена с помощью сетевых протоколов LDAP и SAMR. В случае LDAP это в основном searchRequest и поле фильтра для обнаружения.

Список членов команды администраторов домена

Развитие атаки во внутренней сети

Для подключения к различным узлам инфраструктуры (серверам и рабочим станциям) пароль пользователя или фрагментированный пароль должен быть известен или иметь соответствующий билет Kerberos.

Вид на жительство Греции: виды ВНЖ, как получить, продлить и сколько займет времени. Как получить внж греции.

Атака Kerberoasting

Использование атакиАтака Kerberos. Злоумышленники могут получить пароли для служебных учетных записей, которые часто являются привилегированными учетными записями. Все пользователи домена могут запросить билет Kerberos для доступа к службе, и этот запрос считается легитимным. Фрагментация пароля учетной записи службы используется для шифрования билета, и злоумышленник может попытаться расшифровать билет в автономном режиме путем перебора пароля.

Журнал событий должен выявлять аномалии в запросах на получение билетов TGS (событие 4769 ‘Kerberos service ticket requested’): все учетные записи и IP-адреса, для которых был запрошен сервис, должны быть проанализированы и адрес, чтобы проверить, обычно ли учетная запись запрашивает билет TGS для этой услуги с того же IP.

Следует также проверить алгоритм шифрования запроса: использование алгоритма RC4 является одним из индикаторов атаки Kerberoasting.

Трафик в сети должен фиксировать запросы к службе каталогов ActiveDirectory, которая может стать целью атаки. Этот шаг необходим злоумышленнику для выбора сервиса атаки и выполняется до запроса билета TGS и автономного перебора пароля. Например, службы можно перечислить, используя ключевое слово servicePrincipalName в полях LDAP и фильтра.

Список служб ActiveDirectory.

Административные общие ресурсы SMB/Windows

Злоумышленники могут удаленно взаимодействовать с системой, используя общие административные ресурсы, такие как C $, ADMIN $ и IPC $. Эта техника используется как для передачи файлов, так и для запуска служб на удаленных компьютерах.

Выявление поведения злоумышленников требует анализа фактов, указывающих на доступ к общим административным ресурсам и запущенным процессам.

4624 — ‘Успешная ссылка’,.

5140 и 5145 — Доступ к элементам общих сетевых папок, событие,.

7045 ‘Установлена новая услуга’,.

4688 ‘Процесс, созданный процессом’, родительский процесс с именем services.exe. При использовании SMBEXEC служба создается в каталоге Out -of -System и дальнейшие команды выполняются с помощью services.exe.

Для выявления обработки файлов необходимо отслеживать сетевой доступ к совместно управляемым ресурсам. Контролируя вызовы протокола SVCCTL, служба может обнаружить работу.

Запросы на создание услуг

Злоумышленники могут использовать различные инструменты для удаленного доступа к рабочему столу, например, технологию VNC: TightVNC, UltravNC, RealVNC, VNC Connect. Модифицированные версии этих программ могут использоваться пользователями незаметно. проданы в DarkNet и работают.

Тональность упоминаний или Что любят читатели

Если вы знаете, что такое PR, то вам знакомо понятие «тон голоса». И если негативный тон медленного заявления преобладает, можно сказать, что бренд подвергается атаке.

Люди любят негатив, а в Интернете его больше, чем позитива. Она способствует развитию чувства терпимости, виртуальности и иммунитета и устраняет барьеры на пути к достоинству. Негатив популярен среди широкой публики. Его читают, публикуют и обсуждают позитивно и с удовольствием.

Фейковые новости или Проблема неожиданности

Распространение информации, на которую люди фактически не реагируют, очень распространено в СМИ в наши дни. В кризисной ситуации злоумышленник делает несколько шагов вперед, и у компании обычно не хватает времени на ответные действия, поскольку его сценарий четко прописан. Жертвы находятся в следующих ситуациях

• не ожидает атаки;
• не знает, кто ее оппонент, и каковы будут его следующие действия;
• какие у него цели;
• какой информацией он обладает;
• ущерб какого масштаба он способен нанести.

Как отличить естественную новость от фейка

Природные события связаны с потоком информации, возникающим из самого себя. Если им нравится какой-то факт, люди будут им делиться.

Уникальная информация привлекает различные СМИ, экспертов, журналистов, желтые СМИ и блогеров. Впоследствии в процесс вовлекаются конкуренты и критики. Обычно через три-четыре дня интерес общественности ослабевает.

Что такое ретушь фотографий и как на этом можно заработать. Что такое ретушь фотографий

Наиболее важным аспектом ложной истории является достижение целевой аудитории. Даже если юристы бренда или представители компании вмешаются, им никто не поверит. Поэтому важно быть готовым к объяснениям и аргументам. И это ситуация, в которой вы должны действовать очень быстро.

Успешная загрузка уязвимости и веб-оболочки может быть доказана созданием файлов с определенными расширениями, такими как .asmx, .jsp, .php и .aspx в списке файлов выполняемой службы.

5 тактик, которые научат сотрудников распознавать фишинговые атаки

1. Обучайте на реальных примерах. Людям часто кажется, что фишинговые атаки — это откровенные манипуляции, которые мгновенно бросаются в глаза. Но фишинг уже давно эволюционировал: каждые пару недель появляются новые методы, которые помогают злоумышленникам добиться своего. Важно следить за повесткой и знакомить сотрудников со всем многообразием приемов социальной инженерии. Для этого полезно периодически готовить и использовать дайджесты кейсов, подобранных с учетом специфики компании. Старайтесь показать сотрудникам все многообразие мошеннических схем — и лучше всего для этого собирать скриншоты реальных кейсов, а не составлять абстрактные графики и презентации.
2. Делайте упор на практику. Распознание реальной атаки невозможно, если сотрудник знает о ней только в теории. Теорию нужно обязательно закреплять непрерывной практикой — имитированными атаками. Крупные компании регулярно проводят «тестовые учения» — рассылают сотрудникам фальшивые фишинговые письма и следят за их последующими действиями. Многие вендоры предлагают готовые учебные системы, которые можно интегрировать в контур организации. Это позволяет не только рассылать тестовые письма, но также собирать статистику, проводить анализ и совершенствовать программу обучения. Важно, что с помощью таких сервисов можно создать сотни сценариев и отработать все психологические и технологические векторы атак.
3. Не забывайте о физических векторах атак. Учитывайте, что некоторые виды атак на какое-то время отходят на второй план, а потом вновь становятся популярными — как раз потому что о них уже забыли. Например, флешками сегодня пользуются все реже — в корпоративной среде больше распространены облачные хранилища. Сотрудники уже отвыкли пользоваться внешними накопителями — если им попадется интересная флешка, они из любопытства захотят проверить, что на ней хранится. Важно, чтобы администраторы настроили запрет на подключение любых неизвестных съемных устройств к рабочим компьютерам и проинструктировали персонал. Можно также проводить имитированные атаки, например оставить в офисе флешку без каких-либо маркировок и проверить, что сделают сотрудники.
4. Анализируйте результаты. Изучайте статистику проведенных антифишинговых кампаний и постоянно корректируйте стратегию. Определите, перед какими векторами атак наиболее уязвимы сотрудники — и уделяйте этим направлениям больше внимания. Убедитесь, что персонал знает алгоритм действий и понимает, какие шаги предпринять при получении подозрительного сообщения. Первым этапом всегда должен быть поверхностный анализ полученного письма, после этого нужно провести оценку гипотезы и оценку рисков. Все это сотрудник должен проделать, не открывая само письмо. Хорошо, если у человека есть возможность связаться со специалистом по информационной безопасности, который должен всегда быть на связи — тем более сейчас, когда компании работают удаленно.
5. Организуйте непрерывный процесс. Обучение и тренировка навыков должны происходит непрерывно и автоматизировано, для всех сотрудников организации, без исключений.

Предприятия планируют увеличить свои бюджеты, инвестировать в новые технологии и расширить специализированные команды для борьбы с киберугрозами. Однако все усилия могут оказаться напрасными, если работники будут продолжать участвовать в нестабильной деятельности. В процесс обучения должны быть вовлечены все — от руководителей высшего звена до обучаемых. Важно участвовать, а не предоставлять учебные пособия для «самоучителей».

Источник: gbiznesblog.ru

Фейк-наступление: как распознать дезинформацию и не попасть под ее влияние?

Последние несколько недель пространство соцсетей, а потом и некоторые СМИ потрясали шокирующие новости: хакеры угрожали вывести деньги со счетов россиян, а неизвестные источники сообщали о заморозке вкладов, повышении кредитных ставок по действующим кредитам и отсутствии денег в банкоматах. Как крупнейший российский банк противостоял фейкам, а также какие правила распознавания дезинформации стоит использовать при чтении новостей, «Б.О» рассказал зампред правления Сбербанка Станислав Кузнецов

Александр Садчиков
Банковское обозрение
Станислав Кузнецов

Заместитель председателя правления Сбербанка

Станислав Кузнецов, заместитель председателя правления Сбербанка

— Станислав Константинович, почему в последние недели активизировались авторы фейков?

— Есть такое устойчивое выражение: «Ловить рыбу в мутной воде», этим и занимались авторы фейков. С 24 февраля ситуация и в геополитическом пространстве, и на российском финансовом рынке, мягко говоря, была очень волатильной и напряженной. Люди нервничали, были эмоционально взвинчены.

И цель фейков заключалась в том, чтобы посеять в людях панику, заставить их принимать необдуманные решения и расшатать финансовую систему. Информационные атаки провоцировали очереди в офисах банков, клиенты снова шли к банкоматам, но это длилось недолго. Мы по всем клиентским каналам оперативно донесли информацию о безопасности средств и возможности получить их в любом отделении Сбера, организовали в выходные дни 26-27 февраля работу офисов по графику будней. Люди нам поверили. В итоге волна быстро сошла на нет, и до сих пор мы не наблюдаем ажиотажа.

— Какие были самые распространенные фейки?

— Конечно, про невозможность получить деньги. Деньги — это важная ценность для людей, и никто их не хочет потерять. Поэтому появлялись сообщения о заморозке вкладов, невозможности снять наличность в банкоматах, краже данных банковских карт на популярных маркетплейсах и взломах банковских систем, после которых деньги на счетах россиян исчезнут. Конечно, даже при первичном анализе этой информации вскрывался факт ее недостоверности.

— Как обычному человеку определить: новость фейковая или нет?

— Иногда даже профессиональные журналисты попадают в ловушку дезинформаторов, и нам приходится давать им опровержения. Однако если у сотрудников СМИ есть возможность запросить комментарий у официальных источников и узнать мнение другой стороны, то у простого читателя этого инструмента фактчекинга нет. Поэтому нужно руководствоваться общими правилами: обращать внимание на эмоциональность заголовков и текста; на то, кто сообщает о проблемах и насколько этому источнику можно доверять; на то, реалистична картинка или она сделана при помощи специальных приложений по обработке фото; на то, есть ли заявления участника конфликтной ситуации или обвинения общие.

Нужно руководствоваться общими правилами: обращать внимание на эмоциональность заголовков и текста; на то, кто сообщает о проблемах и насколько этому источнику можно доверять

Важно также отметить, что создатели фейков часто эксплуатируют массовые страхи или пытаются мимикрировать под правду. Яркий пример — начало пандемии: весной 2020 года люди не выходили из дома, автомобильный трафик снизился, и тогда, в первую волну пандемии, широко тиражировалась новость о том, что якобы из-за улучшения экологии в Венецию вернулись дельфины. Сегодня это является уже мемом, а тогда новость выглядела логичной, и многие в нее поверили. Также и сейчас — старшее поколение помнит разрушение всей экономической системы в начале 1990-х годов, эти страхи и эксплуатируют создатели фейков.

— Как противостоять фейкам?

— В первую очередь необходимо опираться на критическое мышление: не принимать все написанное в соцсетях и СМИ за чистую монету и не принимать на веру изложенные в этих текстах факты. Обращать внимание на эмоциональность высказываний и самого сообщения. Также стоит задуматься о том, какую цель преследует автор и к каким действиям он призывает читателей статьи, насколько в ней авторитетные источники информации или все же ими выступают неизвестные знакомые, соседка или таинственный клиент. Всегда важно, чтобы в тексте, который содержит негатив по отношению к какой-либо компании или человеку, содержалось мнение этой стороны. Иначе ценность этой новости нулевая.

Источник: bosfera.ru

У нас кибератака. Что делать?

Число кибератак стремительно растет: если раньше их количество исчислялось десятками в месяц, сейчас насчитывают тысячи инцидентов только за одну неделю: «Касперский» заявляет о 8-кратном увеличении числа DDoS-атак на российские организации. В то же время недавнее исследование SearchInform сообщает, что из 900 опрошенных ими компаний 95% ограничиваются только антивирусом в вопросах защиты от кибератак. В таких условиях вероятность столкнуться с инцидентом ИБ значительно выше, чем может показаться. Поэтому все же стоит отбросить сомнения, вроде «да кому наша информация нужна», и заранее разобраться, что делать, если инцидент уже случился.

Как понять, что инцидент случился?

Из очевидного: мониторить события безопасности антивирусов и межсетевых экранов. Помимо этого, стоит обратить внимание на эти пункты.

1. Запуск ПО, неразрешенного к установке или запуску пользователям. Пример: если вы видите, что от имени учетной записи бухгалтера открыта сессия в powershell.execmd.exe, это повод для беспокойства.
2. Неизвестный сетевой трафик. Пример: обращения узлов к несуществующим dns-серверам.
3. Активная деятельность пользователя в нерабочее время.
4. Подозрительная загруженность систем. Пример: аномальная загруженность процессора.
5. Подозрительные изменения в реестре. Пример: добавление программ в автозагрузку.
6. Сообщения о критической системной ошибке и перезагрузка систем. Это может свидетельствовать о попытках атаки на информационную систему компании.
7. Аномальная работа с файлами и программами. Пример: появление зашифрованных файлов или установка стороннего ПО, копирование файлов на внешние носители.
8. Подозрительное изменение настроек операционной системы, антивирусного и прикладного ПО. Пример: отключение антивируса на рабочем месте.
9. Неизвестная активность на электронной почте. Пример: здесь все просто – спам.
10. Аномалии в журналах авторизации. Пример: многократные попытки ввода неверных паролей.

Обнаружили кибератаку. Что дальше?

Сначала расставим приоритеты. Для этого нужно оценить уровень критичности скомпрометированных информационных ресурсов и технических средств: критичный, высокий, средний или низкий. От того, насколько серьезен ущерб, зависит количество времени, которое потребуется на расследование, и оперативность принятия решений.

Важный момент: если вы обнаружили кибератаку, ни в коем случае не отключайте технику от питания, это может привести к потере ценных индикаторов, необходимых для расследования, и сбою системы при запуске.

Теперь перейдем непосредственно к реагированию на кибератаку.

Этап 1. Изолируем скомпрометированный участок сети

В первую очередь, важно минимизировать количество скомпрометированных объектов инфраструктуры, ограничить дальнейшее продвижение злоумышленников по сети.

• Перенастроить правила на маршрутизирующем оборудовании (в случае вирусной атаки лучше сделать это так, чтобы остался доступ в интернет, а возможность добраться до других машин в локальной сети – нет. Это нужно, чтобы предотвратить самоуничтожение вредоносного ПО и всех следов, которые оно может оставить);
• Настроить правила на уровне межсетевого экрана операционной системы;
• Отключить сетевой кабель;
• Физически разорвать кабель (например, перерезать ножом, такой радикальный способ уместен, если нет быстрого доступа к портам технических средств; возможно, сервер находится в запертом на ключ шкафу).

Этап 2. Собираем свидетельства инцидента

На этом этапе важно сохранить как можно больше информации о состоянии инфраструктуры, составить отчет об инциденте и зафиксировать все данные. Это позволит использовать их в качестве юридически значимых свидетельств для привлечения злоумышленников к ответственности.

Что нужно собрать?

1. Журналы событий безопасности установленных средств защиты информации. Это возможно, только если в них было настроено логирование событий.
2. Журналы событий операционной системы (лог-файлы, даты созданиямодификации файлов). Это нужно, чтобы понять, какие действия в системе были совершены и в какое время: попытки авторизации, запуск приложений и изменение файлов.
3. Дампы оперативной памяти, swap-раздела или pagefile.sys. Позволяет зафиксировать состояние системы в момент инцидента, чтобы можно было проанализировать его, пока система восстанавливается. Если вредоносная программа исполняется, не копируя себя на скомпрометированную систему, эти данные станут единственным доступным источником для расследования инцидента. Если же в систему проник вирус-шифровальщик, из оперативной памяти можно вытащить ключи шифрования для восстановления данных. Кроме того, дамп оперативной памяти покажет, какие действия совершал сотрудник в момент инцидента, это поможет доказать факт утечки данных.
4. Трафик маршрутизаторов и коммутационного оборудования. Эта информация пригодится для определения источника инцидента, уязвимостей, через которые удалось атаковать инфраструктуру, и вектора распространения. В случае утечки, по логам трафика можно понять, какие файлы похитили.
5. Посекторная копия физического диска. Полная копия диска компьютера со всеми журналами, пользовательскими и системными файлами – это возможность восстановить удаленные данные и изучить все связанные с потенциальным вредоносом файлы.

Этап 3. Восстанавливаем работу системы

Есть несколько способов это сделать. Все зависит от характера атаки и степени повреждения данных. При выборе метода не стоит забывать о трудозатратах и временных затратах, зачастую утраченная информация стоит меньше, чем потраченные на ее восстановление ресурсы.

Восстановление данных. Как это сделать?

• Применить ПО для восстановления удаленной информации. Покупать его может быть невыгодно для компании, стоит оно дорого. Поэтому, если бесплатные решения не смогли восстановить поврежденную информацию, целесообразнее будет обратиться к специалистам.
• Обратиться к специалистам по восстановлению данных.
• Воспользоваться резервными копиями. Самый надежный и простой вариант. Но для этого в компании изначально должно быть настроено резервное копирование.

Переустановка конфигурации рабочей станции

На автоматизированном рабочем месте сотрудника рекомендуется полностью переустановить систему и все ПО. Это сэкономит время и деньги на восстановление поврежденных данных.

Автоматизированные средства удаления вредоносного ПО

Если причиной инцидента стало вредоносное ПО, можно задействовать сканирование антивирусным программным обеспечением. Если такой возможности нет, используйте отдельные портативные решения, которые решат проблему точечно.

Этап 4. Расследуем инцидент ИБ

Лучше по этому вопросу обратиться сразу к специалистам. Чтобы качественно изучить кибератаку, нужно обладать пулом специальных навыков и знаний об устройстве операционных систем, типичных видах атак и их особенностях.

Когда станет понятно, что стало причиной инцидента и где нашлись уязвимости, важно заняться их устранением. Иначе все ресурсы будут потрачены впустую, и за этим инцидентом последуют еще десятки. Это может стать пятым этапом реагирования.

Теперь на практике

Ждать, пока у вас случится инцидент, чтобы проверить все эти этапы на практике, мы, конечно, не будем. Просто пройдемся по готовому кейсу для понимания

Инцидент: в систему попал вредоносный файл.

Этап 1. Изоляция скомпрометированного участка сети

Ограничиваем скомпрометированное техническое устройство от локальной сети с сохранением доступа к интернету: настраиваем либо межсетевой экран, либо коммутирующее оборудование. На ОС семейства Windows это можно сделать с помощью команды в netsh:

advfirewall firewall add rule name=»*TEMPORARY BLOCK*» dir=out protocol=tcp interface=any action=block remoteip=–

Для ОС семейства Linux можно воспользоваться межсетевым экраном iptables:

iptables -A FORWARD -s -d -j DROP

— сеть, в которой расположен сервер (например, 10.0.2.0/24),

– сеть, в которую запрещен любой доступ с сервера (например,10.0.0.0/24).

Этап 2. Сбор и сохранение информации для расследования инцидента

Первое. Делаем дампы оперативной памяти (можно с помощью Belkasoft RAM Capturer). Созданные дампы лучше скопировать на диск и сохранить. Его можно будет использовать для приобщения к материалам проверки и для проведения компьютерно-технической экспертизы. Упаковка диска должна быть такой, чтобы к нему невозможно было получить доступ без видимого нарушению.

Второе. Копируем лог-файлы. Для ОС семейства Windows мы делаем это так:

1. Запускаем программу «Просмотр событий» (win+r, «eventvwr.msc»).
2. Выбираем необходимый журнал и нажимаем кнопку «Сохранить все события как…» в окне «Действия».

Если так сохранить лог-файлы не получается, можно просто скопировать все файлы из папки «С:/Windows/System32/winevt/Logs».

Третье. Сохраняем файлы реестра «SYSTEM», «SOFTWARE», «SAM», «SECURITY» из папки «WindowsSystem32config» и «NTUSER.DAT» из домашней папки пользователя «Users\».

Четвертое. Сохраняем настроенные расширения браузеров. Их местоположения:

Для ОС семейства Linux нужно просто сохранить файлы из директории «/var/logs». Скопировать системные и недавно появившиеся/изменившиеся файлы.

Этап 3. Восстановление работы системы

В случае удаления данных:

1. Самостоятельно восстанавливаем удаленные данные с помощью специальных программ.
2. Делаем посекторный образ диска и отдаем на восстановление в специализированную лабораторию. Это пункт для тех, кто потерял информацию высокого уровня критичности.
3. Восстанавливаем резервные копии, если они есть.

В случае шифрования данных:

1. Обращаемся в компанию по разработке антивирусного ПО, которая может предоставить инструменты для противодействия конкретному виду шифровальщика. Если данные возможно восстановить, то скорее всего такая компания может предоставить дешифратор для файлов.
2. При расследовании инцидента есть вероятность, что эксперты смогут помочь с дешифрованием файлов, если процесс реагирования на инцидент был последовательным и никакие данные не уничтожены.

Этап 4. Проводим расследование инцидента

Собираем все сохраненные данные и идем к сторонней компании, специализирующейся на расследовании инцидентов.

Этап 5. Устраняем причины инцидента

• обновление ПО до актуальной версии;
• обновление групповых политик на контроллере домена.

• Информационная безопасность
• IT-инфраструктура
• Восстановление данных
• Хранение данных
• IT-компании

Источник: habr.com