Реагування на військові кіберінциденти: стримування та відновлення після атак на оборонні системи

Реагування на військові кіберінциденти діє в умовах, яким немає аналогів у комерційному IR. Вимоги до обробки класифікації означають, що кожен артефакт, створений під час розслідування — дампи пам'яті, експорти журналів, мережеві захоплення, нотатки аналітика — має оброблятися як класифікований матеріал, якщо він походить із класифікованої мережі. Вимоги оперативної безперервності означають, що стандартна комерційна дія «ізолювати негайно» часто недоступна: скомпрометована система, яка активно підтримує місію, не може бути просто відключена. А вимоги до звітування по командній вертикалі означають, що інцидент має бути переданий через визначені військові канали в установлені терміни.

Ця стаття надає повний алгоритм IR для військових та оборонних середовищ — від сортування сповіщень і початкового стримування через криміналістичний збір, атрибуцію загроз, відновлення та обов'язкову звітність.

Обмеження військового IR: класифікація, безперервність і командна вертикаль

Обробка класифікації означає, що криміналістичні артефакти із класифікованої мережі класифікуються на рівні вихідної системи. Дамп пам'яті з робочої станції SECRET є артефактом SECRET. Він має зберігатися на акредитованих SECRET носіях, аналізуватися на акредитованій SECRET робочій станції, передаватися лише через затверджені SECRET канали та утилізуватися відповідно до вимог знищення класифікації.

Оперативна безперервність означає, що IR-команда не може в односторонньому порядку вирішити відключати системи. Командна влада — офіцер або посадова особа, відповідальна за оперативну місію, яку підтримує система — має бути частиною рішення про стримування. Роль IR-команди — представити технічні варіанти з чесними оцінками залишкового ризику і підтримати будь-яке рішення командної влади.

Звітування по командній вертикалі вимагає, щоб кіберінциденти у військових мережах передавалися через визначені канали в установлені терміни. У структурі МО США це означає звітування до відповідної Команди кіберзахисту (CPT) та по командній вертикалі. Ці вимоги до звітування існують паралельно з оперативними рішеннями.

Виявлення: сортування сповіщень SIEM для військових мереж

Ефективне виявлення у військових мережевих середовищах залежить від налаштованих правил кореляції SIEM, які враховують специфічні шаблони трафіку військових систем — і які розглядають аномалії протоколів OT/ICS як індикатори першого класу поряд із сигналами IT-вторгнення.

Високодостовірні індикатори вторгнення для IT-мереж включають: сигнатури горизонтального переміщення (Pass-the-Hash, Kerberoasting з незвичайно великою кількістю подій 4769 з типом шифрування 0x17), патерни маяків у журналах проксі та DNS (регулярні запити до нових або маловідомих доменів), підвищення привілеїв через створення служби (Event ID 7045).

Індикатори вторгнення OT/ICS вимагають моніторингу на рівні протоколу. Несподівані команди Modbus function code 5 або 16 від адрес IT-мережі вказують на перетин IT-OT кордону. DNP3-команди несанкціонованих функціональних кодів, несподівані операції запису BACnet та повідомлення EtherNet/IP до виходів PLC від не-інженерних робочих станцій — усе це є високодостовірними індикаторами OT-вторгнення.

Початкове реагування: ізоляція без порушення критично важливих для місії систем

Фаза початкового реагування починається, коли подія виявлення сортується і підтверджується як справжня. Негайні цілі — зрозуміти масштаб компрометації та розпочати стримування, зберігаючи оперативну безперервність і криміналістичні докази.

Варіанти стримування для критично важливих для місії систем, які не можна відключити, включають: переміщення VLAN (переміщує скомпрометований хост до ізольованого сегменту, зберігаючи його IP-адресу та активні з'єднання), модифікацію ACL брандмауера (дозволяє лише порти та адреси призначення, необхідні для виконання місії, блокуючи весь інший трафік включно з ідентифікованими каналами C2) та обмеження швидкості трафіку (знижує пропускну здатність каналу зловмисника нижче корисного рівня).

Криміналістичний збір: ланцюг зберігання для класифікованих систем

Документація ланцюга зберігання починається в момент збору і повинна фіксувати: особу збирача, дату та час збору (в UTC, синхронізовані з авторитетним джерелом часу), конкретний інструмент та версію, хеш-значення кожного зібраного артефакту (SHA-256 мінімум), обчислене в момент збору та перевірене в момент передачі, та кожну наступну передачу доказів.

Захоплення мережевого трафіку для класифікованих мереж має виконуватися за допомогою затверджених інструментів мережевого аналізу. Файли PCAP з захоплення SECRET-мережі є артефактами SECRET і мають оброблятися відповідно. Точка захоплення має бути вище за будь-яку дію стримування, щоб зберегти трафік до стримування.

Атрибуція загрози: TTP APT та MITRE ATT&CK для ICS

Три групи APT, найбільш актуальні для захисників військових мереж, — APT28 (Fancy Bear, ГРУ Росії), APT29 (Cozy Bear, СВР Росії) та APT41 (подвійне шпигунство/злочинна група). APT28 характеризується цільовим фішингом з документами для збору облікових даних, виконанням через PowerShell і WMI та зловживанням обліковими даними VPN. APT29 відомий компрометацією ланцюга постачання, тихою персистентністю через легітимні хмарні сервіси та прихованою розвідкою LDAP. APT41 поєднує шпигунство з фінансово мотивованими вторгненнями і відомий персистентністю на рівні прошивки мережевих пристроїв.

MITRE ATT&CK для ICS охоплює методи, специфічні для OT-середовищ: Inhibit Response Function (T0838), Manipulate Control (T0831), Damage to Property (T0879) та Loss of Safety (T0880) — наслідки, яким немає аналогів в IT-реагуванні та які безпосередньо впливають на боєздатність.

Стратегії стримування: сегментація, оборот облікових даних, перепрошивка

Повне стримування вимагає усунення трьох категорій присутності зловмисника: каналів мережевого доступу (інфраструктури C2, скомпрометованих облікових даних для віддаленого доступу), шляхів горизонтального переміщення (відносин довіри між скомпрометованими та нескомпрометованими системами) та механізмів персистентності (шкідливого ПЗ, запланованих завдань, імплантів прошивки).

Екстрений оборот облікових даних потрібен, коли докази вказують на крадіжку облікових даних. Послідовність: двічі скинути пароль облікового запису krbtgt (з паузою між скиданнями для закінчення терміну дії всіх квитків Kerberos), ротувати всі паролі облікових записів служб і привілейованих облікових записів, анулювати всі активні сесії та примусово повторно автентифікувати всіх користувачів.

Перепрошивка потрібна для вбудованих систем (маршрутизаторів, комутаторів, контролерів ICS, HSM), де підтверджено або підозрюється персистентність на рівні прошивки. Чистий образ прошивки має надходити з перевіреного ланцюга постачання.

Відновлення та зміцнення: чисте розгортання та повторна перевірка STIG

Після розгортання з перевіреного базового образу відповідність STIG повторно перевіряється за допомогою SCAP Compliance Checker (SCC) DISA або еквівалентного схваленого інструменту. Будь-які відхилення від засобів контролю STIG мають бути усунені та задокументовані перед поверненням системи у виробництво. Повторна перевірка STIG після інциденту також зазвичай ініціює новий огляд Authority to Operate (ATO).

Звітування: CISA, NATO NCIRC та публічне розкриття

Підрядники МО США зобов'язані звітувати про кіберінциденти до DC3 протягом 72 годин після виявлення відповідно до DFARS 252.204-7012. Федеральні агентства США звітують до CISA відповідно до FISMA та CIRCIA. Інциденти НАТО, що стосуються CIS НАТО, звітуються до NCIRC відповідно до Політики управління інцидентами CIS НАТО. Публічне розкриття — окреме рішення, яке позбавляє засекреченої деталі та координується з відповідними органами нагляду.