Уверен, что на определенном уровне абстракции все науки пользуются одними принципами
Очевидное поведение: если тебя стали разыскивать, надо "лечь на дно", пока ситуация не успокоится. И, тем не менее, удивился, когда столкнулся с этим на практике. Ребята (для упрощения можно считать APT), которых мы отслеживали в одном из пилотов, вероятно, легли на дно, поэтому пособирав все beacon-ы, вытащив оттуда все C&C-шки, позакрывав все их на периметре, почистив все, что на них отстукивалось, а также все, где были обнаружены другие, найденные в рамках чистки IoC-и, мы, было, успокоились - поддержка с воздуха не наблюдала ничего аномального...
Но к окончанию пилота Ребята вернулись. Причем, с большой степенью уверенности это не был новый пробив, - периметр хорошо просматривался и ничего эксплуатабельного не пролетало. Т.е., они сохранили persistence, просто приостановили свою работу и стали чуть менее заметны, и наш расслабленный подход, заключающийся в фиксации уже выявленного поведения и артефактов перестал давать результат, и отсутствие прежнего шума было расценено нами как победа над атакой, а это было - прекращение, временное.
Поначалу я немного сокрушался о такой нашей "оплошности" - увлеченные своим успехом, мы не заметили как нас переиграли. Но позднее понял то, что хочу донести в этой заметке - они никогда не остановятся. Они будут всегда возвращаться, и не важно как - через новый пробив периметра или используя старые бэкдоры. Задача ИБ - бороться с ущербом, при этом все равно как достигается, что его нет - Ребята не проникли в инфраструктуру или они пробились, но как только начинают активничать их сразу выявляют и они уходят, путь на время, чтобы затем вернуться, но результат достигнут - ущерба нет.
Нас постоянно одолевают миллиарды микробов и бактерий, однако, это не создает нам видимых проблем, так как у нас есть иммунитет, который эффективно справляется со всеми рецидивами, прежде чем они успеют переродится во что-то что причинит нам ущерб. Эта постоянная работа иммунитета не побеждает все зло в организме, однако держит ситуацию под контролем - мы не болеем.
{как любителю проводить всякого рода параллели и искать сходство в противоположностях, хочу отметить, что аналогия вполне успешна - у нас тоже есть периметр в виде кожного покрова, который защищает нас от совсем агрессивной среды, мы соблюдаем гигиену - моем руки, готовим пищу... и, тем не менее, если иммунитет ослабевает - мы заболеваем, получаем ущерб}
Как иммунитет постоянно в работе, так и ИБ - это бесконечный процесс выявления, расследования и чистки, причем, может, и не важно, что зачищено не все, важно, что ущерба нет, проявится активность - зачистим еще раз, главное - иметь возможность своевременно выявить и расследовать, до того, как активность обратится в профит для Ребят, и в ущерб для вас.
Закончить хочется краткими тезисами, суммирующими опыт, который я пытался максимально интересно изложить сегодня:
1. Ребята не отстанут - они будут приходить снова и снова
2. Не надейтесь на периметр, есть масса способов попасть внутрь, руководствуйтесь принципом, что Ребята уже внутри
3. Шансов обнаружить Ребят внутри значительно больше, так как закрепление, горизонтальные перемещения, внутренняя рекогносцировка, сбор данных, эксфильтрация, удаленное управление и т.п. - намного более продолжительные и шумные операции, чем пролет неведомого эксплоита через периметр.
4. Не надо стремиться победить все зло (недостижимость совершенства - закон диалектики), надо стремиться победить материальное зло, несущее ущерб. Про приоритезацию есть книжный термин - триаж, но думаю на уровне здравого смысла, и без книжек, смысл понятен.
5. Никогда не расслабляйтесь - "тишина - страшный звук" - возможно Ребята сменили тактику, сменили инструменты, временно затихли - ищите с еще большим вниманием, охотьтесь постоянно, помните п.1
6. Квалификация и осведомленность Ребят - очень высокая, они знают вас и как вы их ищете, за вас здесь только старая аксиоматическая поговорка криминалистов о том, что любое преступление всегда оставляет улики - ищите эти улики, постоянно, а кто ищет - тот находит.
7. ИБ (Threat hunting, в частности) - это кибериммунитет корпорации, контролирующий ситуацию, не позволяющий ей дойти до ущерба.