Поделиться
1300 конечных устройств под защитой: как обеспечивать кибербезопасность крупных мероприятий
Международные спортивные события всегда привлекают внимание киберзлоумышленников. Их значимость, масштаб и зрелищность подстегивают интерес хакеров, подталкивая сорвать или хотя бы временно нарушить ход мероприятий. В этом году Positive Technologies выступила ключевым партнером по кибербезопасности первого международного мультиспортивного фиджитал-турнира «Игры будущего». На его примере Кирилл Черкинский, руководитель практики защиты конечных устройств, Positive Technologies рассказывает, на что следует обращать внимание при защите конечных точек на подобных соревнованиях. А также реально ли, находясь на расстоянии, за несколько минут устранять киберугрозы на пользовательских устройствах и чем может быть полезен бизнесу MaxPatrol EDR.
Дано: самый жесткий срок SLA из возможных
Задача по защите сложной инфраструктуры «Игр будущего», которая охватывала несколько территориально распределенных площадок и динамично менялась во время турнира, вызвала у нашей команды спортивный интерес. Развернутый на базе технологий Positive Technologies центр противодействия киберугрозам (ЦПК) обеспечивал непрерывный мониторинг безопасности всей инфраструктуры с 2 тыс. ИТ-активов, а также проактивный поиск угроз и реагирование на выявленные инциденты. Настоящим вызовом для нас стало время, а точнее — требование организаторов турнира выдерживать строжайшие ограничения по сроку (SLA). На решение инцидентов отводилось не более двух часов: за это время было необходимо выявить и подтвердить инцидент, устранить угрозы и, если потребуется, переустановить операционную систему на пораженном оборудовании. Для сравнения: в соглашениях об уровне сервиса для корпоративных инфраструктур то же самое время, как правило, заложено лишь на первый этап обработки инцидента — идентификацию и локализацию. В рамках SLA также требовалось, чтобы период подтверждения инцидентов не превышал 15 минут, а блокирование угроз происходило за несколько минут. И MaxPatrol EDR, продукт для обнаружения угроз на конечных устройствах и реагирования на них, помог ЦПК его обеспечить.
Решение: защита «Казань Экспо», буткемпа и пользователей по VPN
Функциональность MaxPatrol EDR позволяет автоматизированно установить и настроить инструменты расширенного мониторинга. Продукт умеет собирать и анализировать события безопасности непосредственно на устройствах, а также отправлять системные события и результаты анализа в SIEM-системы. Мы запустили его агенты на 1300 устройствах, обеспечивающих проведение соревнования. Среди них были Windows- и Linux-серверы, компьютеры киберспортсменов и организаторов. Сбор данных для ядра ЦПК — MaxPatrol SIEM — также выполнялся с помощью агентов MaxPatrol EDR. Они были внедрены в эталонные образы, которые легко и удобно использовать в качестве отправной точки для развертывания на нескольких компьютерах. Базовые образы уже содержат параметры с учетом сценариев развертывания, и их несложно установить на нескольких компьютерах в качестве старта. Такой подход позволил в сжатые сроки обеспечить полную видимость территориально распределенной инфраструктуры «Игр будущего»: самой площадки «Казань Экспо», буткемпа и части инфраструктуры, расположенной в других городах и подключенной через VPN. Кроме того, благодаря использованию MaxPatrol EDR стало возможно централизованно собирать системные события с устройств, а также события безопасности, контекст и данные аудита для расчета уязвимостей. Вдобавок такой способ получения журналов оказался ощутимо быстрее и эффективнее, чем традиционные (syslog, WEC и другие).
Модули реагирования на угрозы на узлах MaxPatrol EDR усилили ЦПК и позволили команде мониторинга без привлечения IT-службы быстро, централизованно и дистанционно реагировать на угрозы. Так, например, специалистам удалось за минуту изолировать на площадке «Казань Экспо» опасный компьютер с вредоносным ПО, не имея к нему физического доступа. Наш EDR-продукт дает возможность гибко настраивать политики обнаружения и реагирования, в которых можно отразить договоренности между подразделениями IT и ИБ, то есть зафиксировать, в случае каких инцидентов и групп устройств специалисты по информационной безопасности вправе отражать угрозы самостоятельно, не привлекая к процессу реагирования коллег из другого отдела.
Помимо главной площадки турнира в Казани MaxPatrol EDR контролировал безопасность тренировочной площадки киберспортсменов. Она состояла из 150 удаленных друг от друга компьютеров. Продукт оперативно обнаружил, как один из спортсменов случайно скачал потенциально опасные программы. Если бы на устройстве не был установлен агент MaxPatrol EDR, специалистам по ИБ пришлось бы потратить много времени на физический поиск компьютера с угрозой. Более того, с учетом сложности доступа к буткемпу и его специфики справиться с инцидентом было бы практически невозможно.
MaxPatrol EDR способен проводить поведенческий анализ объектов непосредственно на агенте с применением 600 корреляционных правил «из коробки». Этот набор функций особенно полезен при обнаружении популярных хакерских инструментов (в том числе их собственной разработки) и техник. Поведенческий анализ дополнен модулем сигнатурного анализа «YARA-сканер», который можно применять вместе с пользовательским набором правил для поиска вредоносных файлов и решения других задач.
Как мы защищали узлы вне периметра
Еще один сценарий применения MaxPatrol EDR во время соревнования — защита узлов вне периметра «Игр будущего», в том числе удаленных пользователей, которые подключались к инфраструктуре по VPN. Например, благодаря содержащейся в MaxPatrol EDR экспертизе удалось определить сетевой вектор атаки на одну из удаленных площадок. Продукт зафиксировал, как специально приглашенная команда пентестеров в рамках проверки качества защиты пыталась взломать учетные записи путем перебора логина и пароля (брутфорса), а также применяла другие техники атак. Этот кейс можно рассматривать как показательный пример взлома крупного мероприятия (или компании), когда конечные устройства находятся в недоверенном контуре, где нет корпоративных средств защиты.
Для обеспечения безопасности мероприятия команда ЦПК использовала другие продукты Positive Technologies, которые получали от MaxPatrol EDR важную для своих задач информацию о том, что происходило в инфраструктуре. Так, EDR-решение, собирая инвентаризационные и конфигурационные данные с конечных точек, помогало MaxPatrol VM в выявлении и приоритизации актуальных уязвимостей. Кроме того, благодаря интеграции c MaxPatrol EDR повышалась эффективность PT Sandbox в области обнаружения сложных угроз. Агенты либо анализировали локально на узле, либо доставляли на проверку в песочницу файлы, которые невозможно извлечь из трафика или почты. К этой группе относятся файлы, полученные или сохраненные в мессенджерах, а также загруженные по зашифрованным соединениям. При таком сценарии MaxPatrol EDR мог выявить факты сохранения файлов на устройство, в определенные папки или с учетом заданных родительских процессов, например telegram.exe.
Вывод
MaxPatrol EDR в составе ЦПК стал важным кубиком в защите масштабного мероприятия государственного уровня, разветвленная инфраструктура которого создавалась перед турниром и во время самого мероприятия менялась на лету. Без этого продукта мы бы не смогли за короткий срок покрыть такое большое количество конечных устройств на базе разных ОС и молниеносно реагировать на хакерскую активность. Наряду с другими технологиями Positive Technologies MaxPatrol EDR позволил обеспечить кибербезопасность «Игр будущего», помогая исключить инциденты с недопустимым ущербом, которые могли бы поставить проведение турнира под удар.
■ erid:LjN8K3kFRРекламодатель: АО «Позитив Текнолоджиз»ИНН/ОГРН: 7718668887/ 1077761087117Сайт: https://www.ptsecurity.com/ru-ru/Поделиться
Короткая ссылка
