Kill them all! Ранжируем ИБ-инструменты Microsoft по Cyber Kill Chain

Мож­но по‑раз­ному отно­сить­ся к про­дук­ции и сер­висам кор­порации Microsoft, но нель­зя не приз­нать, что она пред­лага­ет боль­шой ассорти­мент инс­тру­мен­тов для обес­печения информа­цион­ной безопас­ности как сво­их собс­твен­ных прог­рамм, так и про­дук­тов, соз­дава­емых на их базе. В пер­вую оче­редь сто­ит отме­тить зна­читель­ное количес­тво встро­енных механиз­мов защиты информа­ции в опе­раци­онных сис­темах и кор­поратив­ных про­дук­тах, за которые ты (точ­нее, твой работо­датель) уже зап­латил, но на прак­тике мало исполь­зуешь.

Мы при­вык­ли стро­ить информа­цион­ную защиту с исполь­зовани­ем «внеш­них» средств. Сот­ни и тысячи ком­паний и стар­тапов спе­циали­зиру­ются имен­но на таких тех­ничес­ких решени­ях и про­ектах. При этом мы забыва­ем (на мой взгляд, абсо­лют­но незас­лужен­но) об инс­тру­мен­тах и механиз­мах защиты информа­ции, которые встро­ены в обще­сис­темное и прик­ладное ПО, а так­же о его небезо­пас­ных дефол­тных кон­фигура­циях. Ошиб­ки в нас­трой­ке таких при­ложе­ний «не перек­роют» никакие, даже самые прод­винутые средс­тва.

В этой статье я хочу сис­темати­зиро­вать и при­ори­тизи­ровать инс­тру­мен­ты и механиз­мы защиты информа­ции для in-house кор­поратив­ных IT-инфраструк­тур, пос­тро­енных на про­дук­тах кор­порации Microsoft в соот­ветс­твии с мо­делью Cyber Kill Chain. При рас­ста­нов­ке при­ори­тетов я сде­лаю акцент на раз­рушении цепоч­ки ата­ки на мак­сималь­но ран­ней ста­дии.

Для начала зафик­сиру­ем условную типовую кор­поратив­ную IT-инфраструк­туру:

• ло­каль­ная Active Directory Domain Services;
• сер­верные опе­раци­онные сис­темы: Windows Servers 2016 и выше;
• кли­ент­ские опе­раци­онные сис­темы: Windows 10;
• кли­ент­ский веб‑бра­узер: Microsoft Edge;
• поч­товые сер­веры: Exchange Server 2016 и выше.

Ты навер­няка стал­кивал­ся с такими IT-инфраструк­турами, пос­коль­ку в нашей стра­не их дос­таточ­но мно­го. Сво­евре­мен­ный хар­денинг в таких инфраструк­турах, которо­му уже уде­лялось вни­мание в дру­гих пуб­ликаци­ях на «Хакере», сей­час не фоновая задача, а одна из пер­вооче­ред­ных. В том чис­ле при­нимая во вни­мание, что с рын­ка ушли некото­рые средс­тва защиты информа­ции.

Рас­смат­рива­емые инс­тру­мен­ты и механиз­мы информа­цион­ной безопас­ности я раз­делю на две груп­пы. Пер­вая груп­па — это условно «пас­сивные» (детек­тиру­ющие) инс­тру­мен­ты, которые могут обна­ружить подоз­ритель­ную активность или инци­дент и уве­домить о них поль­зовате­ля. Вто­рая — условно «активные» (реаги­рующие) инс­тру­мен­ты, которые могут пре­дот­вра­тить кон­крет­ные дей­ствия (нап­ример, зап­ретить или заб­локиро­вать их). Они в сос­тоянии сок­ратить пло­щадь ата­ки, могут скор­ректи­ровать дей­ствия субъ­екта дос­тупа или сам объ­ект дос­тупа (к при­меру, изо­лиро­вать или перемес­тить его) либо ком­пенси­ровать кон­крет­ные дей­ствия — усложнить усло­вия дос­тупа, зат­ребовать допол­нитель­ные под­твержда­ющие дей­ствия и так далее. Такое деление поз­волит избе­жать иллю­зии того, что прос­то ведение жур­налов регис­тра­ции событий (вклю­чение тобой ауди­та) физичес­ки или логичес­ки может помешать ата­кующе­му выпол­нить активное несан­кци­они­рован­ное дей­ствие.

Результаты сопоставления и приоритизации инструментов по шагам Cyber Kill Chain

Разведка (Reconnaissance)

• Цель ата­кующе­го: соб­рать информа­цию о целях ата­ки
• Цель защища­юще­гося: сок­ратить прос­транс­тво для раз­ведки и пло­щадь для ата­ки

Нап­равле­ниями раз­ведки в пер­вую оче­редь ста­новят­ся люди (работ­ники, под­рядчи­ки, кли­енты) и IT-инфраструк­туры, отно­сящи­еся к цели ата­ки. Исходны­ми дан­ными зачас­тую выс­тупа­ет толь­ко наз­вание орга­низа­ции, отдель­но взя­тый веб‑сайт, кон­крет­ная сис­тема. Ата­кующе­му дос­тупны раз­ные методы сбо­ра информа­ции: от обще­дос­тупных источни­ков и соци­аль­ной инже­нерии до исполь­зования спе­циаль­ных сер­висов и инс­тру­мен­тов.

«Пассивные» инструменты

• Вклю­чить аудит Microsoft Defender Firewall (pfirewall.log). Это необ­ходимо сде­лать в свя­зи с тем, что по умол­чанию аудит Microsoft Defender Firewall отклю­чен.

«Активные» инструменты

• Ис­поль­зовать бран­дма­уэр в Microsoft Defender. Отклю­чить (бло­киро­вать) все неис­поль­зуемые пор­ты и вхо­дящие соеди­нения, что­бы сок­ратить пло­щадь ата­ки и прос­транс­тво для сетевой раз­ведки.
• Ог­раничить раз­решения для веб‑сай­тов в Microsoft Edge в час­ти сбо­ра дан­ных о рас­положе­нии поль­зовате­ля. Вклю­чить «Зап­рос перед дос­тупом» (Ask before accessing), что­бы умень­шить веро­ятность рас­кры­тия дан­ных ата­кующе­му в ходе раз­ведки.
• Ог­раничить уда­лен­ные вызовы к Security Account Manager (SAM). Сок­ратить воз­можнос­ти эну­мера­ции поль­зовате­лей и групп в локаль­ной базе SAM и Active Directory в ходе раз­ведки. По умол­чанию параметр «Сетевой дос­туп: огра­ничить дос­туп кли­ентов, которым раз­решены уда­лен­ные вызовы SAM» (Network access: Restrict clients allowed to make remote calls to SAM) нас­тро­ен сле­дующим обра­зом: для более ста­рых опе­раци­онных сис­тем про­вер­ка дос­тупа не выпол­няет­ся, для более новых пре­дос­тавля­ется дос­туп толь­ко чле­нам встро­енной груп­пы «Адми­нис­тра­торы» (BUILTIN\Administrators).
• Ог­раничить поль­зовате­лям, про­шед­шим про­вер­ку, исполь­зование NetSessionEnum. Сок­ратить воз­можнос­ти эну­мера­ции сес­сий для опре­деле­ния узлов, где поль­зователь­ские и сер­висные учет­ные записи были залоги­нены. Это необ­ходимо потому, что по умол­чанию про­шед­шим про­вер­ку (Authenticated Users) поль­зовате­лям раз­решено при­менять метод NetSessionEnum.