ГК «Информзащита» провела мероприятие «IZ:SOC без галстуков», на котором рассказала о деятельности своего коммерческого центра реагирования на инцидента IZ:SOC. Это относительно небольшой центр реагирования на инциденты ИБ, который имеет соглашение с НКЦКИ, обслуживает десятки клиентов и защищает около 30 тыс. рабочих мест. На мероприятии сотрудники SOC поделились своими достижениями по части обеспечения защиты своих клиентов.
Опыт отражения атак
На семинаре представители IZ:SOC поделились опытом реагирования на нападения клиентов. В частности, Никита Назаров, руководитель группы аналитики IZ:SOC, рассказал о противодействии специалистов SOC нападению китайской шпионской группы Winnity (APT41), которая специализируется на воровстве информации из информационных систем государственных органов и разработчиков игровой индустрии. Вредонос проникает в информационную систему с помощью троянского файла, который загружает в систему основной компонент — он закрепляется на компьютере жертвы, используя популярный у хакеров метод инъекции DLL-библиотек. Далее происходит скрытое изучение системы с помощью отправки системных журналов злоумышленникам и анализ полезности тех или иных данных, расположенных на захваченном компьютере. Вычистить вредоносную программу оказалось не просто, но специалисты IZ:SOC справились с этой задачей без остановки работы информационной системы заказчика.
Еще одним интересным инцидентом, который расследовали сотрудники IZ:SOC, стал случай с криптомайнингом в инфраструктуре компании добывающей отрасли. По данным специалистов центра реагирования злоумышленники орудовали в сети компании больше трех месяцев и добыли криптовалюту более чем на 90 млн рублей. Судя по характеру взлома и анализу многочисленных следов в группировке были русскоговорящие члены, хотя есть признаки и германоговорящих специалистов. Хакеры использовали простые тактики для проникновения в инфраструктуру заказчика, заводили специального пользователя John и подключались к захваченным машинам по RDP от имени этого нового пользователя. Очевидно, что злоумышленники особенно не скрывались — они просто занимались майнингом криптовалюты за чужой счет и подменой реквизитов транзакций с криптовалютой. Последнее делалось с помощью специальной утилиты, которая меняла адреса кошельков в буфере обмена на заранее определенные злоумышленниками.
Эксперты IZ:SOC хотя и используют известные продукты таких компаний как IBM, Check Point, Azure Sentinel и «Лаборатория Касперского», однако полностью переписали правила выявления инцидентов и реагирования на них. В частности, компания имеет 350 уникальных собственных правила, которые позволяют в течении 5 минут выделить потенциально опасное событие из потока, а в течении 24 минут выдать рекомендации по реагированию на подтвержденный инцидент. В течении 2020 года компания обнаружила более 5 тыс. подтвержденных событий безопасности и предотвратила 40 инцидентов. По оценкам экспертов построение аналогичного SOC потребовало бы два года работа и капитальных затрат в размере 30 млн руб.
Решения Space-Bit
На конференции также была представлена новая компания из ГК “Информзащита” под названием Space-Bit. Она предлагает российским пользователям два продукта собственной разработки: систему организации жизненного цикла средств криптографической защиты X-Control и решение для мониторинга и анализа ролевых моделей доступа X-Role. Компания была создана как отдельное юридическое лице в январе этого года и сейчас находиться на этапе формирования своей партнерской сети. X-Control предназначен для распределенных компаний с большим использованием средств шифрования по российским ГОСТам — это в первую очередь операторы, государственные организации и ведомства, банки и энергетические компании. Компания построила дорожную карту развития своих продуктов и собирается уже в этом году выйти на самоокупаемость.
