Reagowanie na wojskowe incydenty cybernetyczne: opanowanie i odbudowa po atakach na systemy obronne

Reagowanie na wojskowe incydenty cybernetyczne działa w warunkach, które nie mają odpowiednika w komercyjnym IR. Wymogi obsługi klasyfikacji oznaczają, że każdy artefakt wygenerowany podczas śledztwa — zrzuty pamięci, eksporty dzienników, przechwytywanie ruchu sieciowego, notatki analityka — musi być traktowany jako materiał niejawny, jeśli pochodzi z sieci niejawnej. Wymogi ciągłości operacyjnej oznaczają, że domyślna komercyjna akcja reagowania „izoluj natychmiast" jest często niedostępna. A wymogi raportowania w ramach łańcucha dowodzenia oznaczają, że incydent musi być eskalowany przez zdefiniowane kanały wojskowe w określonych terminach.

Ten artykuł zawiera pełny podręcznik IR dla środowisk wojskowych i obronnych — od triażu alertów i wstępnego opanowania, przez zbieranie dowodów kryminalistycznych, atrybucję zagrożeń, odbudowę, po obowiązkowe raportowanie.

Ograniczenia wojskowego IR: klasyfikacja, ciągłość i łańcuch dowodzenia

Obsługa klasyfikacji oznacza, że artefakty kryminalistyczne z sieci niejawnej są niejawne na poziomie systemu źródłowego. Zrzut pamięci ze stacji roboczej SECRET jest artefaktem SECRET. Musi być przechowywany na akredytowanych nośnikach SECRET, analizowany na akredytowanej stacji roboczej SECRET, przesyłany tylko przez zatwierdzone kanały SECRET i utylizowany zgodnie z wymogami niszczenia klasyfikacji.

Ciągłość operacyjna oznacza, że zespół IR nie może jednostronnie decydować o wyłączaniu systemów. Dowódca — oficer lub urzędnik odpowiedzialny za misję operacyjną wspieraną przez system — musi być częścią decyzji o opanowaniu. Rolą zespołu IR jest przedstawienie opcji technicznych i wsparcie dowolnej decyzji podjętej przez dowódcę.

Raportowanie w łańcuchu dowodzenia wymaga, aby incydenty cybernetyczne w sieciach wojskowych były raportowane przez zdefiniowane kanały w określonych terminach. W strukturze DoD USA oznacza to raportowanie do odpowiedniego Zespołu Ochrony Cybernetycznej (CPT) i łańcucha dowodzenia.

Wykrywanie: triaż alertów SIEM dla sieci wojskowych

Skuteczne wykrywanie w wojskowych środowiskach sieciowych zależy od dostrojonych reguł korelacji SIEM, które uwzględniają specyficzne wzorce ruchu systemów wojskowych — i które traktują anomalie protokołów OT/ICS jako wskaźniki pierwszej klasy obok sygnałów włamań IT.

Wysokiej wiarygodności wskaźniki włamań dla sieci IT obejmują: sygnatury ruchu bocznego (Pass-the-Hash, Kerberoasting generujące niezwykle dużą liczbę zdarzeń 4769 z typem szyfrowania 0x17), wzorce beaconingu w dziennikach proxy i DNS (regularne zapytania do nowych lub słabo reputowanych domen), eskalację uprawnień przez tworzenie usługi (Event ID 7045).

Wskaźniki włamania OT/ICS wymagają monitorowania na poziomie protokołu. Nieoczekiwane polecenia Modbus function code 5 lub 16 ze źródłowych adresów sieci IT wskazują na przekroczenie granicy IT-OT. Nieautoryzowane kody funkcyjne DNP3 i nieoczekiwane operacje zapisu BACnet to wysokiej wiarygodności wskaźniki włamania do OT.

Wstępna reakcja: izolacja bez zakłócania systemów krytycznych dla misji

Faza wstępnej reakcji rozpoczyna się, gdy zdarzenie wykrycia jest triażowane i potwierdzane jako prawdziwy pozytyw. Bezpośrednie cele to zrozumienie zakresu kompromitacji i rozpoczęcie opanowania przy zachowaniu ciągłości operacyjnej i dowodów kryminalistycznych.

Opcje opanowania dla systemów krytycznych dla misji, których nie można wyłączyć, obejmują: ponowne przypisanie VLAN (przenosi skompromitowany host do izolowanego segmentu przy zachowaniu jego adresu IP i aktywnych połączeń), modyfikację ACL zapory (zezwala tylko na porty i adresy docelowe wymagane dla funkcji misji, blokując cały pozostały ruch) oraz kształtowanie ruchu (obniża przepustowość kanału atakującego poniżej użytecznych poziomów).

Zbieranie dowodów kryminalistycznych: łańcuch dowodowy dla systemów niejawnych

Dokumentacja łańcucha dowodowego rozpoczyna się w momencie zbierania i musi rejestrować: tożsamość zbierającego, datę i godzinę zbierania (w UTC, zsynchronizowane z autorytatywnym źródłem czasu), konkretne narzędzie i wersję użytą do zbierania, wartość skrótu każdego zebranego artefaktu (minimum SHA-256), obliczoną w momencie zbierania i weryfikowaną w momencie przekazania, oraz każde kolejne przekazanie dowodów.

Atrybucja zagrożeń: TTPs APT i MITRE ATT&CK dla ICS

Trzy grupy APT najbardziej istotne dla obrońców sieci wojskowych to APT28 (Fancy Bear, GRU Rosji), APT29 (Cozy Bear, SVR Rosji) i APT41. APT28 charakteryzuje się spearphishingiem z dokumentami do zbierania danych uwierzytelniających, wykonywaniem przez PowerShell i WMI oraz nadużywaniem danych uwierzytelniających VPN. APT29 jest znany z kompromitacji łańcucha dostaw, trwałości low-and-slow przez legalne usługi chmurowe i ukrytego rozpoznania LDAP. APT41 łączy szpiegostwo z finansowo motywowanymi włamaniami i jest znany z trwałości na poziomie firmware.

MITRE ATT&CK dla ICS obejmuje techniki specyficzne dla środowisk OT: Inhibit Response Function (T0838), Manipulate Control (T0831), Damage to Property (T0879) i Loss of Safety (T0880) — konsekwencje bez odpowiednika w reagowaniu na incydenty IT i bezpośrednio wpływające na zdolność bojową.

Strategie opanowania: segmentacja, rotacja danych uwierzytelniających, reflash firmware

Pełne opanowanie wymaga usunięcia trzech kategorii obecności atakującego: kanałów dostępu sieciowego, ścieżek ruchu bocznego i mechanizmów trwałości. Rotacja awaryjnych danych uwierzytelniających jest wymagana, gdy dowody wskazują na kradzież danych uwierzytelniających. Sekwencja: dwukrotne zresetowanie hasła konta krbtgt, rotacja wszystkich haseł kont usługowych i uprzywilejowanych, unieważnienie wszystkich aktywnych sesji i wymuszenie ponownego uwierzytelnienia wszystkich użytkowników.

Odbudowa i hartowanie: czyste obrazowanie i ponowna walidacja STIG

Po ponownym obrazowaniu z zweryfikowanego obrazu bazowego zgodność STIG jest ponownie walidowana przy użyciu SCAP Compliance Checker (SCC) DISA lub równoważnego zatwierdzonego narzędzia. Wszelkie wyniki muszą być usunięte i udokumentowane przed zwróceniem systemu do produkcji. Ponowna walidacja STIG po incydencie zazwyczaj również wyzwala nowy przegląd Authority to Operate (ATO).

Raportowanie: CISA, NATO NCIRC i ujawnienie publiczne

Podwykonawcy DoD USA są zobowiązani do raportowania incydentów cybernetycznych do DC3 w ciągu 72 godzin od wykrycia zgodnie z DFARS 252.204-7012. Agencje federalne USA raportują do CISA zgodnie z FISMA i CIRCIA. Incydenty NATO dotyczące CIS NATO są raportowane do NCIRC zgodnie z Polityką Zarządzania Incydentami CIS NATO. Ujawnienie publiczne jest odrębną decyzją polityczną koordynowaną z odpowiednimi organami.