В ходе работ эксперты Solar 4RAYS изучают инфраструктуру и, если она действительно была атакована, то анализируют скомпрометированные системы и найденное вредоносное ПО (его функции, уникальность, методы обхода защиты). По завершении исследования специалисты готовят рекомендации по «зачистке» инфраструктуры от атакующих и повышению уровня ИБ-защиты.
Эффективность Compromise Assessment во многом зависит от того, насколько своевременно компания обратилась за услугой. Лучше это сделать при первых признаках компрометации. Например, при множественных сработках антивируса, потере доступа к корпоративным ресурсам, появлении подозрительных учетных записей или аномалий в сетевом трафике.
Эксперты Solar 4RAYS видят, что атакующие постоянно расширяют набор техник, используемых для сокрытия своего присутствия в инфраструктуре и обхода средств защиты. Причем обилие маскировочных техник — это характерный признак проукраинских группировок, с которым в рамках расследований сталкивались эксперты Solar 4RAYS. Такие группы, как Shedding Zmiy и Lifting Zmiy, придерживаются стратегии долговременного скрытного присутствия в атакованной инфраструктуре для сбора максимального количества конфиденциальных данных. Угроза усугубляется тем, что, собрав необходимые данные, злоумышленники часто уничтожают все системы, до которых успели «дотянуться» за это время. Именно поэтому сегодня крайне важно поймать атаку на самой ранней стадии, еще в момент первичной компрометации.
«Иногда компании не уверены, что средства ИБ-мониторинга полностью покрывают их сеть — в этом случае Compromise Assessment поможет убедиться в том, что атакующие не воспользовались «слепыми зонами». Так же мы всегда рекомендуем Compromise Assessment в случае M&A-сделок, поскольку только так организация сможет проверить безопасность поглощаемой инфраструктуры и предотвратить подключение скомпрометированных систем», — отметил начальник отдела реагирования на инциденты центра исследования киберугроз Solar 4RAYS ГК «Солар» Антон Фирсов.
Эффективность Compromise Assessment доказывают пилотные проекты, проведенные командой Solar 4RAYS. Например, в рамках услуги в одном из российских государственных учреждений удалось обнаружить APT-группировку, которая долгое время занималась шпионажем в инфраструктуре.
Подробнее о других расследованиях эксперты Solar 4RAYS расскажут в рамках юбилейного 10-го SOC Forum, который пройдет в Москве в рамках Недели кибербезопасности с 6 по 8 ноября.