Первый час после кибератаки: пошаговое руководство
По данным «Бастион», в 2024 году число киберугроз выросло более чем на 20%, и их количество постоянно растет. Эффективная организация работы ИТ-инфраструктуры и быстрая реакция на инциденты позволяют оперативно восстанавливать процессы и минимизировать риски киберпреступлений.
Семен Рогачев, руководитель отдела реагирования на инциденты «Бастион», рассказал, какие шаги следует предпринять в первые часы после обнаружения угрозы, чтобы предотвратить ее дальнейшее распространение.
Что делать после обнаружения кибератаки
Ограничьте распространение атаки
Изолируйте подозрительные хосты от сети. При необходимости временно отключите отдельные сегменты ИТ-инфраструктуры, особенно те, где уже есть следы компрометации. Это не только сдержит угрозу, но и облегчит расследование.
Проведите первичный сбор данных
На этом этапе критично сохранить «цифровые следы» – соберите логи ОС, события аутентификации, данные с SIEM и т.д.Ограничьте действия злоумышленников
Проверьте учетные записи, а особенно те, у которых есть привилегированные права. Временно заблокируйте подозрительные сессии, принудительно завершите активные подключения, смените пароли и проверьте политику доступа.
Проверьте резервные копии
Убедитесь, что бэкапы хранятся в изолированной среде и не были скомпрометированы. Желательно наличие «холодных» копий на физическом носителе, недоступном из скомпрометированной сети.
Оградите неповрежденные системы
Создайте резервные копии с устройств, которые, по предварительной оценке, не затронуты атакой, и переместите их в изолированное хранилище. Отдавайте приоритет критичным для осуществления бизнес-процессов устройствам. В случае провала сдерживания злоумышленника это поможет при восстановлении критичных компонентов инфраструктуры.
Оповестите сотрудников и партнеров
Сообщите коллегам о возможной компрометации корпоративных аккаунтов, особенно в мессенджерах. Рекомендуется завершить активные сессии на всех устройствах. При наличии внешних клиентов или партнеров важно предупредить их о рисках, особенно если компания предоставляет ИТ-услуги.
Как определить масштабы и источник инцидента
Существует базовый алгоритм действий, который можно применить в большинстве случаев возникновения инцидента, чтобы максимально оперативно локализовать угрозу и начать расследование.
Во-первых, исследуйте устройство, на котором были замечены следы компрометации. К явным признакам взлома можно отнести использование хакерских инструментов и IP-адресов сторонних серверов, через которые злоумышленники управляли атакой, а также связанную с инцидентом активность пользователей.
Во-вторых, определите, какие устройства взаимодействовали с зараженным хостом. Это позволит выявить потенциально скомпрометированные узлы.
В-третьих, идентифицируйте характер атаки – это откроет возможность подключения внешних источников информации, что позволит расширить круг проверяемых данных, связанных со взломом.
Процесс работы с выявленными следами активности обычно цикличен и повторяется для каждого устройства, на котором есть подозрения о вмешательстве.
Важно сохранять сведения о всех проблемах, с которыми можно столкнуться в процессе, так как они могут указать направления для улучшения уровня безопасности и защищенности ИТ-инфраструктуры.
Кто должен быть уведомлен в первые часы после атаки
ИБ-команда и CISO должны как можно быстрее приступить к расследованию инцидента. В большинстве компаний этим занимаются специалисты в области компьютерной криминалистики или других смежных дисциплин. Если в компании их нет, то крайне рекомендуется привлечь сторонних экспертов для проведения расследования.
Помимо этого, на этапе начала расследования необходимо свериться с актуальными законодательными актами, которые регулируют действия в случае наступления инцидентов.