Threat Prediction: превентивная работа с угрозами в BI.ZONE TDR
Классический центр мониторинга и реагирования (Security Operations Center) сосредоточен на реактивном подходе, т. е. обнаруживает атаку в момент реализации киберинцидента. Продвинутые атаки таким образом можно обнаружить, только когда злоумышленник проник в инфраструктуру.
Чтобы предотвратить попытки компрометации и сократить возможности для продвижения по корпоративной сети, с угрозами необходимо работать проактивно. Это означает, что уязвимости и небезопасные настройки ПО (мисконфигурации) нужно найти и устранить до того, как ими воспользуется злоумышленник.
Поговорим об инструменте Threat Prediction (превентивное выявление угроз), который решает эту задачу в сервисе BI.ZONE Threat Detection and Response (BI.ZONE TDR).
Превентивное выявление угроз объединяет набор подходов и технических средств, которые помогают подготовиться к кибератакам, опираясь на накопленные знания о методах злоумышленников, наиболее распространенных уязвимостях и прочих элементах ландшафта киберугроз.
Threat Prediction — первый этап в рамках процесса по выявлению и предупреждению киберугроз на всех этапах их жизненного цикла
Модуль Threat Prediction в составе BI.ZONE TDR позволяет прогнозировать потенциальные векторы атаки и устранять их на самом раннем этапе. Комплекс инструментов помогает сузить поверхность атаки, ограничить возможности злоумышленника по повышению привилегий и горизонтального перемещения в инфраструктуре. Это становится возможным благодаря непрерывному выявлению на хостах — рабочих станциях, серверах и т. д. — мисконфигураций и уязвимостей, которые активно используются киберпреступниками.
Мисконфигурации классифицируются по трем уровням критичности:
- High — позволяют рядовому пользователю получить привилегии в системе или несанкционированный доступ к ней.
- Medium — позволяют скомпрометировать систему в совокупности с другими недостатками безопасности.
- Low — не позволяют скомпрометировать систему, но осложняют ее эффективную защиту.
Как правило, для компрометации инфраструктуры достаточно несколько мисконфигураций уровня High и одной учетной записи со слабым паролем.
Вот несколько примеров из нашей практики, когда неправильные настройки создавали реальные угрозы безопасности.
1. Слабый пароль
Мы обнаружили на Linux‑сервере с публично доступным SSH слабый пароль от учетной записи. Мы сообщили об этом клиенту и рассказали, как устранить угрозу.
Примерно через месяц мы зафиксировали подключение к серверу с IP‑адреса, который в BI.ZONE Threat Intelligence помечен как принадлежащий к одной из хакерских группировок. После подключения злоумышленники отключили сохранение истории команд и собрали информацию о хосте: изучили список пользователей, просмотрели директории и содержимое различных конфигурационных файлов, бекапов.
Реагирование на инцидент проводилось совместно с клиентом. Сервер был отключен от сети и отправлен на дополнительное изучение. У взломанной учетной записи поменяли пароль.
Развития инцидента удалось избежать, однако его можно было вовсе предотвратить, если бы клиент выполнил наши рекомендации.
2. Критическая уязвимость веб‑сервера
В начале 2024 года стало известно о критической уязвимости CVE‑2023‑7028 в GitLab CE/EE. Она использует логическую ошибку в функции сброса пароля, позволяя получить доступ к любой учетной записи, в том числе с правами администратора.
Мы сообщили об угрозе клиентам, однако одна компания не успела вовремя обновить свой сервер. Это удалось обнаружить до реальной кибератаки: при проведении планового тестирования на проникновение уязвимостью воспользовалась команда пентестеров. В результате им удалось скомпрометировать корпоративный сервер GitLab. Впоследствии компания обновила ПО до актуальной версии.
3. Небезопасные права доступа
В другом случае последствия были серьезнее. Мы обнаружили на публично доступном сервере клиента возможность для непривилегированных пользователей запускать файл /usr/sbin/service от имени sudo. Команда отправила информацию клиенту, но злоумышленникам все же удалось получить доступ к хосту до изменения настроек. Они воспользовались небезопасной функцией, чтобы получить права администратора.
В дальнейшем злоумышленников обнаружили по характерным командам для сбора информации о сети, атаку заблокировали в ходе реагирования.
Наш модуль Threat Prediction отличается от классических сканеров уязвимостей: он не проверяет хосты по расписанию и не выгружает отчеты с тысячами небезопасных настроек и уязвимостей. Вместо этого система обеспечивает постоянное наблюдение за инфраструктурой и ручную приоритизацию угроз.
Первую задачу удалось решить благодаря интеграции с агентами BI.ZONE EDR, которые непрерывно направляют на сервер телеметрию. Это позволяет оперативно выявлять мисконфигурации на любых хостах под управлением Windows, Linux и macOS.
Анализируемые данные включают в себя множество классов информации. Вот некоторые категории.
| Тип данных | Пример | Windows | Linux | macOS |
|---|---|---|---|---|
| Сведения об установленном ПО |
|
+ |
+ |
Будет реализовано в будущем |
| Сведения о версии ОС и установленных обновлениях |
|
+ |
+ |
+ |
| Сведения о группах, пользователях и их привилегиях |
|
+ |
+ |
+ |
Инвентаризация правил sudo |
Парсинг правил |
Неприменимо |
+ |
+ |
| Значения ключей реестра, в которых хранятся различные параметры безопасности ОС Windows |
Куст: Путь: Имя параметра: Значение: |
+ |
Неприменимо |
Неприменимо |
| Права доступа к критичным объектам ОС, а также объектам, прописанным в автозагрузку |
Планировщик Windows, сервисы Windows, задачи |
+ |
+ |
+ |
| Состояние штатных механизмов безопасности ОС |
UAC, LSA Protection, AppArmor, Gatekeeper, XProtect |
+ |
+ |
+ |
| Значения параметров из определенных конфигурационных файлов |
Инвентаризация параметров конфигурационного файла |
+ |
+ |
+ |
| Значения заданных параметров ядра |
|
Неприменимо |
+ |
Неприменимо |
| Возможность получения и обработки вывода команд ОС, возвращающих информацию о критичных настройках |
Вывод команды Аудит состояния Аудит привязки устройства к MDM-решению |
+ |
+ |
+ |
| Информация об общих сетевых каталогах |
Перечень общих каталогов и права на них |
+ |
+ |
+ |
| Инвентаризация контейнеров и их параметров |
Перечень запущенных контейнеров и их Capabilities |
+ |
+ |
+ |
Собранные данные проверяются с помощью специальных правил детектирования мисконфигураций и уязвимостей. В библиотеке BI.ZONE TDR уже более 250 таких правил, которые предотвращают самые разные нежелательные последствия:
- удаленное выполнение произвольного кода;
- побег за пределы контейнеров;
- повышение привилегий — локальных и в домене Active Directory;
- недостаточное журналирование событий;
- получение аутентификационного материала учетных записей.
- Использование слабых паролей. С помощью BI.ZONE EDR решение обнаруживает слабые пароли на Linux- и Windows‑хостах. Агент читает хеши паролей из файлов shadow и SAM и сравнивает с хешами из словаря паролей. При совпадении хешей мы сообщаем клиенту о существующей угрозе. Сами пароли или хеши никуда не передаются
- Наличие уязвимого шаблона сертификата. Находясь на хостах с ролью Active Directory Certificate Service (AD CS), BI.ZONE EDR проверяет недостатки конфигурации Certification Authority (CA). Наличие уязвимых шаблонов может позволить злоумышленнику выпускать сертификаты для любых пользователей, в том числе для учетной записи администратора
- Некорректные права доступа к связанным с сервисами объектам. BI.ZONE EDR инвентаризирует сервисы Windows, их настройки, права доступа к объектам сервисов, ключи реестра с конфигурацией сервисов, запускаемые исполняемые файлы и скрипты. Все это позволяет обнаруживать сервисы, в которых злоумышленник может выполнить локальное повышение привилегий
- Ненастроенные параметры безопасности Kubernetes. BI.ZONE EDR проверяет настройки штатных параметров безопасности Kubernetes. Таким образом можно обнаружить, например, включенный доступ к API‑серверу, способный открыть злоумышленникам путь к ресурсам кластера
- Небезопасные настройки SSH‑сервера. Как и в случае Kubernetes, BI.ZONE EDR может обнаруживать нежелательные параметры SSH‑сервера, например вход по паролю для учетной записи root или использование Host‑based аутентификации
Правила детектирования также позволяют Threat Prediction обнаруживать активно эксплуатируемые злоумышленниками уязвимости. Сейчас не будем на этом останавливаться — лучше почитайте отдельную статью о работе BI.ZONE TDR с уязвимостями на примере бэкдора XZ.
Весь этот массив данных по итогам работы Threat Prediction поступает к аналитикам BI.ZONE, которые ранжируют обнаруженные мисконфигурации и уязвимости по критичности. О наиболее серьезных пробелах безопасности, которые в настоящий момент эксплуатируются злоумышленниками, мы оперативно сообщаем клиенту. Дальше расскажем, какую информацию содержит такой отчет.
В интерфейсе BI.ZONE SOC Portal отобранные мисконфигурации оформляются в виде карточек инцидентов.
Каждая карточка содержит:
- подробное описание недостатка;
- рекомендации по устранению;
- перечень уязвимых активов;
- события инвентаризации, по которым сработало правило детектирования.
Карточка инцидента Threat Prediction
Здесь же прикрепляется запись с подробной информацией о правиле детектирования, которое спровоцировало создание инцидента.
Информация о правиле детектирования
Информация о выявленных мисконфигурациях регистрируется во внутренней SOAR‑системе c привязкой к активам.
Перечень обнаруженных мисконфигураций и уязвимостей во внутренней SOAR‑системе
Последняя функция на текущий момент доступна только аналитикам BI.ZONE. В будущем в BI.ZONE SOC Portal появится отдельный интерфейс «Рекомендации безопасности», который будет представлять собой реестр недостатков с подробной информацией: когда и где обнаружены, какие риски несут, как устранить. Клиенты смогут самостоятельно изучить все мисконфигурации с привязкой к своим активам.
Реестр мисконфигураций — далеко не единственная новая функция из области превентивного выявления угроз, которую вы увидите в ближайших обновлениях. Вот что еще мы планируем:
- Расширять базу правил детектирования. В настоящий момент есть правила для выявления некорректных настроек в Linux, Windows, macOS, Kubernetes. В ближайшее время к списку добавятся мисконфигурации Active Directory: слабые доменные пароли, учетные записи с неограниченным делегированием или подверженные атаке kerberoasting и пр.
- Покрыть проверки различных сканеров Active Directory, например PingCastle и Purple Knight.
- Расширить поддержку CIS Benchmarks для популярных операционных систем (сейчас правила работают по наиболее критичным рекомендациям).
- Обеспечить работу с рекомендациями ФСТЭК по настройке операционных систем.
- Предоставить пользователям возможность автоматически проверять соответствие хостов различным стандартам безопасности.
- Подготовить правила для выявления мисконфигураций в популярном ПО, например «1С‑Битрикс», Microsoft Office, браузерах.
- Автоматически выявлять все известные уязвимости для ОС и критичного прикладного ПО (сейчас выявляются только активно используемые уязвимости).
- Создать возможность исправлять мисконфигурации в один клик с помощью BI.ZONE EDR. Например:
- Если мисконфигурация выявлена по ключу в реестре, BI.ZONE EDR может установить рекомендованное значение параметра.
- При обнаружении слабого пароля, BI.ZONE EDR позволяет включить параметр «Требовать смену пароля при следующем входе».
