В июле это­го года ком­пания «Док­тор Веб» объ­яви­ла о запус­ке облачно­го сер­виса для диаг­ности­ки инци­ден­тов, свя­зан­ных с информа­цион­ной безопас­ностью — Dr.Web FixIt! Сер­вис поз­воля­ет экспер­там ком­пании уда­лен­но иссле­довать машины поль­зовате­лей и ока­зывать необ­ходимую помощь в устра­нении пос­ледс­твий инци­ден­та. О том, как это работа­ет и ког­да при­гож­дает­ся, мы погово­рили с руково­дите­лем про­ектов в «Док­тор Веб» Кон­стан­тином Юди­ным.

— Расскажите, как выглядит работа FixIt! с точки зрения пользователя.

— Конеч­ные поль­зовате­ли Dr.Web FixIt! — сис­темные адми­нис­тра­торы, спе­циалис­ты SOC-цен­тров и сот­рудни­ки ИБ‑под­разде­лений ком­паний. С их точ­ки зре­ния работа сер­виса выг­лядит сле­дующим обра­зом.

Вна­чале такой спе­циалист получа­ет информа­цию о воз­никших ано­мали­ях – подоз­ритель­ном тра­фике, стран­ном поведе­нии компь­юте­ра, неполад­ках в уста­нов­ленном ПО и так далее. Если целевая машина работа­ет под управле­нием Windows, на нее заг­ружа­ется диаг­ности­чес­кая ути­лита Dr.Web FixIt!. Пос­ле запус­ка она собира­ет всю необ­ходимую для ана­лиза информа­цию и пред­лага­ет (если ранее в нас­трой­ках не была выб­рана авто­мати­чес­кая отправ­ка) заг­рузить ее в обла­ко «Док­тор Веб» для глу­боко­го ана­лиза.

Да­лее через свою учет­ную запись поль­зователь может выг­рузить резуль­таты ана­лиза и при­менить к ним филь­тры для поис­ка источни­ка потен­циаль­ной проб­лемы. Если на целевом компь­юте­ре уста­нов­лен анти­вирус Dr.Web, ана­лиз будет выпол­нен более деталь­но, и на него пот­ребу­ется боль­ше вре­мени.

По окон­чании всех этих дей­ствий поль­зователь при­нима­ет решение о даль­нейших шагах, необ­ходимых для устра­нения проб­лем, либо начина­ет рас­сле­дова­ние на осно­ве получен­ных дан­ных (нап­ример, по фак­ту незакон­ного отклю­чения средств защиты).

Панель администратора
Па­нель адми­нис­тра­тора
Сравнение отчетов
Срав­нение отче­тов
Выбор операций над файлами
Вы­бор опе­раций над фай­лами

— В сборке утилиты участвуют сотрудники или это полностью автоматизированный процесс?

— Что­бы в пол­ной мере отве­тить на этот воп­рос, необ­ходимо понять алго­ритм ведения задачи. При ее решении исполь­зуют­ся раз­ные вари­анты сбо­рок Dr.Web FixIt! — диаг­ности­чес­кий и лечеб­ный. Обе соз­дают­ся через веб‑панель сер­виса. Сам про­цесс сбор­ки про­исхо­дит авто­мати­чес­ки, на выходе вы получа­ете готовую ути­литу. Одна­ко пос­коль­ку фун­кци­ональ­ность у каж­дой из вер­сий своя, их под­готов­ка тоже раз­лича­ется. Нап­ример, для соз­дания диаг­ности­чес­кой вер­сии ути­литы спе­циалис­ту дос­таточ­но сде­лать пару кли­ков в веб‑панели. В то же вре­мя в лечеб­ную вер­сию пос­ле ана­лиза получен­ного отче­та тре­бует­ся внес­ти необ­ходимые алго­рит­мы лечения. Это так­же дела­ется в веб‑панели через спе­циаль­ное меню. Таким обра­зом, спе­циалист зада­ет нуж­ные парамет­ры сбор­ки, но в конеч­ном ито­ге ути­лита собира­ется сер­висом авто­мати­чес­ки.

— В чем принципиальное отличие такого решения от антивируса? Почему потребовалось создавать отдельный продукт? Как он сочетается с антивирусом?

— Анти­вирус реша­ет прин­ципи­аль­но иные задачи: он защища­ет устрой­ство в про­цес­се его экс­плу­ата­ции, в режиме реаль­ного вре­мени. На при­нятие решения у него есть мил­лисекун­ды, он обя­зан обес­печить работос­пособ­ность устрой­ства парал­лель­но со сво­ей работой. Dr.Web FixIt! исполь­зует­ся, ког­да что‑то пош­ло не так. Прин­цип его работы совер­шенно дру­гой, пос­коль­ку и задачи дру­гие ― помочь поль­зовате­лю разоб­рать­ся в при­чинах ано­маль­ного поведе­ния компь­юте­ра и най­ти потен­циаль­но вре­донос­ное ПО, которое не замече­но штат­ным анти­виру­сом. С его помощью мы ана­лизи­руем сос­тояние сис­темы по очень широко­му спек­тру парамет­ров, бла­года­ря чему можем выяв­лять даже нез­начитель­ные, на пер­вый взгляд, ано­малии, находить вза­имос­вязи и исправ­лять воз­ника­ющие проб­лемы в работе компь­юте­ров.

Dr.Web FixIt! — не замена анти­виру­са, но допол­няет его, ког­да это необ­ходимо. При этом он не кон­флик­тует с анти­виру­сами, поэто­му его исполь­зование не вызовет проб­лем с сов­мести­мостью.

— Какие обычно показания к использованию Dr.Web FixIt?

— Мож­но выделить сле­дующие:

  • Есть подоз­рение на вирус­ную активность.
  • Об­наружен ано­маль­ный тра­фик с компь­юте­ра в сети.
  • Не­обхо­дима про­вер­ка компь­юте­ра пос­ле обна­руже­ния и ней­тра­лиза­ции ата­ки анти­вирус­ными средс­тва­ми.
  • Нуж­но най­ти отсутс­тву­ющие обновле­ния ПО/ОС, которые зак­рыва­ют опре­делен­ные уяз­вимос­ти.
  • Тре­бует­ся устра­нить пос­ледс­твия зараже­ния вре­донос­ным ПО.
  • Не­обхо­димо соб­рать дан­ные при рас­сле­дова­нии целевых атак на информа­цион­ные сис­темы.
  • Нуж­но най­ти наруше­ния пра­вил и политик ИБ ком­пании.
  • Нуж­но выяс­нить при­чины про­изо­шед­ших зараже­ний и дру­гих инци­ден­тов ИБ.

— Можете описать типичный кейс или кейсы применения FixIt!?

— Сер­вис активно исполь­зует­ся нашей вирус­ной лабора­тори­ей, ког­да необ­ходимо, нап­ример, выявить зараже­ние. Типич­ный слу­чай ― ког­да поль­зователь обра­щает­ся с жалоба­ми на какую‑либо ано­малию. Это может быть замед­ление работы ПК, пери­оди­чес­кое детек­тирова­ние той или иной вре­донос­ной прог­раммы штат­ным анти­виру­сом и так далее. Поль­зовате­лю для диаг­ности­ки сос­тояния сис­темы переда­ется ути­лита Dr.Web FixIt!, которая готовит отчет. Вирус­ные ана­лити­ки изу­чают этот отчет, видят приз­наки зараже­ния, пос­ле чего при помощи сер­виса про­изво­дят­ся необ­ходимые для лечения дей­ствия. У нас, кста­ти, уже есть успешный опыт выяв­ления APT-угроз таким спо­собом.

Кро­ме того, Dr.Web FixIt! при­меня­ет и наша служ­ба тех­ничес­кой под­дер­жки. Сер­вис помога­ет выяв­лять ано­малии при обра­щении поль­зовате­лей, а так­же сок­раща­ет вре­мя обра­бот­ки зап­росов.

— Вы продвигаете FixIt! не только как средство устранения последствий но и как инструмент для анализа инцидентов. Однако эксперты по форензике обычно рекомендуют не включать пострадавший компьютер. Тем более, в некоторых случаях это может привести и к новым срабатываниям вредоноса. Какие у вас рекомендации на этот счет?

— Мы так­же рекомен­дуем не вклю­чать пос­тра­дав­шие от атак компь­юте­ры. Одна­ко такие ситу­ации пред­полага­ют, что име­ется имен­но пос­тра­дав­шая машина, то есть допод­линно извес­тно, что с ней что‑то про­изош­ло. Нап­ример, были зашиф­рованы дан­ные или на ней работал сот­рудник бух­галте­рии и в этот момент на бан­ков­ский счет ком­пании была совер­шена ата­ка.

Dr.Web FixIt! при­меня­ется, ког­да однознач­но пос­тра­дав­шего компь­юте­ра еще не выяв­лено. К тому же опре­делен­ные типы подоз­рений мож­но под­твер­дить имен­но на вклю­чен­ной машине. Вмес­те с тем мы обя­затель­но пре­дуп­режда­ем поль­зовате­ля о необ­ходимос­ти соз­дания кри­мина­лис­тичес­кого обра­за дис­ка такого компь­юте­ра, если в даль­нейшем пот­ребу­ется юри­дичес­ки зна­чимая компь­ютер­ная экспер­тиза (нап­ример, при обра­щении в полицию). Если такая копия сде­лана, то компь­ютер мож­но вклю­чать и исполь­зовать инс­тру­мен­тарий сер­виса.

— Если Windows по тем или иным причинам не загружается, использовать Dr.Web FixIt! невозможно?

— Да, это дру­гая область задач. Dr.Web FixIt! пред­назна­чен для работы на тех компь­юте­рах, где тре­бует­ся диаг­ности­ка и лечение. Это машины, которые находят­ся в строю. Для машин с пов­режден­ной опе­раци­онной сис­темой в нашем рас­поряже­нии име­ется спе­циали­зиро­ван­ный инс­тру­мент ― Dr.Web LiveDisk. Он заг­ружа­ется отдель­но от ОС и поз­воля­ет исправ­лять раз­личные ошиб­ки в работе Windows. В нем есть редак­тор реес­тра, дос­туп к фай­ловой сис­теме, а так­же анти­вирус­ный ска­нер.

— Как работает обнаружение нарушений политик компании?

Та­кие ситу­ации диаг­ности­руют­ся стан­дар­тны­ми средс­тва­ми сер­виса — через спе­циали­зиро­ван­ные пра­вила (филь­тры), которые спе­циалист при­меня­ет при ана­лизе получен­ного отче­та. С помощью этих филь­тров воз­можно получить нуж­ный срез дан­ных, в том чис­ле информа­цию о сос­тоянии политик безопас­ности и нас­тро­ек сис­темы. Это помога­ет выявить сущес­тву­ющие откло­нения.

Редактирование фильтра
Ре­дак­тирова­ние филь­тра

— Одна из функций — настройка антивируса. Это касается только антивируса Dr.Web?

— Dr.Web FixIt! поз­воля­ет выпол­нять диаг­ности­ку любых анти­виру­сов, уста­нов­ленных на целевых компь­юте­рах. Про­вер­ка нас­тро­ек анти­виру­са Dr.Web пре­дус­мотре­на по умол­чанию. Одна­ко опе­рато­ры при ана­лизе отче­та могут соз­давать соот­ветс­тву­ющие филь­тры для диаг­ности­ки про­дук­тов любых дру­гих про­изво­дите­лей. Dr.Web FixIt! в этом пла­не уни­вер­саль­ный инс­тру­мент.

— Как вы думаете, почему FixIt! и подобные ему решения стали актуальны именно сейчас? Какие изменения условий к этому привели?

— Акту­аль­ность такого сер­виса была и рань­ше, ведь лан­дшафт киберуг­роз не ста­тичен. Эво­люци­они­рует логика пос­тро­ения атак, появ­ляют­ся новые вре­донос­ные при­ложе­ния, а у зло­умыш­ленни­ков ― новые воз­можнос­ти для нападе­ния.

Dr.Web FixIt! как инс­тру­мент задумы­вал­ся дос­таточ­но дав­но. В его осно­ве ― мно­голет­няя экспер­тиза нашей ком­пании, опыт сот­рудни­ков, в нем содер­жится обширная база зна­ний с информа­цией о типах зараже­ний, спо­собах поис­ка и ней­тра­лиза­ции тех или иных угроз. При этом она пос­тоян­но попол­няет­ся. Успешная струк­туриза­ция такого объ­ема информа­ции в еди­ном сер­висе ― серь­езная задача из области Big Data.

При ана­лизе киберин­циден­тов при­ходит­ся иметь дело с широки­ми мас­сивами информа­ции. По отдель­нос­ти раз­рознен­ные дан­ные изу­чать слож­нее, пос­коль­ку есть риск не заметить нез­начитель­ные на пер­вый взгляд детали. Наш сер­вис помога­ет решить эту проб­лему, поз­воляя, в том чис­ле, находить невиди­мые ранее законо­мер­ности.

18+