Праздники в SOC — не только про мандарины
В праздники мы работаем почти так же, как и в любое другое время года. На страже всегда стоят две команды: центр мониторинга с круглосуточной аналитикой и отдел реагирования, то есть форензики на выезде. У каждой из них своя специфика.
Например, в случае SOC кардинальных изменений в праздники нет. В целом они сопоставимы с обычными выходными: активность пользователей меняется, а вместе с этим меняется количество событий и подозрений на инцидент. При этом число сотрудников в смене остается прежним. Иногда можно услышать что-то вроде «работать в праздники надо лучше, а смотреть — внимательнее». А что, в обычные дни можно давать себе какие-то послабления? В нашей работе это непростительно.
Тем не менее в отгулы в это время аналитиков SOC предпочитают не отпускать. Не потому, что мы жесткие, — просто всегда должна быть возможность перекроить график. Если поступает информация об активности новой или хорошо известной хакерской группировки, атакующей в нашем регионе, перед праздниками мы обязательно прорабатываем дополнительные контроли и сценарии реагирования. В любом случае для непредвиденных ситуаций есть схема эскалации на специалистов следующей линии — вплоть до руководителей групп. К счастью, пока таких форс-мажоров не возникало.
А вот в отделе реагирования на инциденты ситуация обратная: есть даже отдельный набор шуток про планирование отдыха и рансом (атаки с использованием программ-вымогателей) в праздники. Но мы уже привыкли: кейсы, которые застают в пятницу вечером в баре, — вполне обычное дело. Когда я только пришла в реагирование, мне сразу сказали, что эта профессия тяжело ладит с долгосрочным планированием — нужно быть готовой ехать буквально прямо сейчас. Поэтому мы всегда с ноутбуками, а на работе стоит заряженный чемоданчик — мало ли что...
С бокалом шампанского
Мне тоже приходилось встречать Новый год и другие праздники на дежурстве. На самом деле в этом даже есть своя романтика: ведь смена не только у тебя, а с коллегами всяко не заскучаешь. При том, как я уже упоминала, кардинально праздничные смены не отличаются от дежурств в обычные выходные.
Хотя одно из праздничных дежурств мне запомнилось хорошо: оно было самым первым на моем пути в качестве специалиста экстренного реагирования. Тогда меня еще не ставили в график, но по неведомому стечению обстоятельств первого января я проснулась около 5–6 часов — заряженная начинать новый год с новыми силами. Открываю телефон, вижу новые чаты и ветки переписок: наши респондят уже с двух ночи — снова шифровальщик… Конечно, без юмора в таких ситуациях не обойтись: в этот раз реагируем удаленно, поэтому шутим, что реверсим с бокалом шампанского в руках :)
Я подменила коллег, которые не спали всю ночь, но самым сложным оказалось не это. Первые двое суток мы буквально 24/7 искали хотя бы что-то среди тщательно зашифрованных машин — пытались найти ту самую точку входа злоумышленника. Все, кто в теме, понимают, что это достаточно долго: обычно на такие задачи уходит от силы 6–8 часов, если не меньше, при условии оперативного взаимодействия команд. А тут — ну никак не поддается. Еще и делали все в полуавтоматическом режиме, ведь инфра была полуживая. И вот на третьи сутки — бинго! Первый закреп на одном из хостов в виде пресловутой службы, но со специфической нагрузкой — Node.js. В качестве одного из основных инструментов постэксплуатации ее использует буквально одна группировка на сотню. Зная это, мы за считаные часы нашли нулевого пациента с фишинговым письмом и ссылкой на архивы с LNK — TinyLink (вы же уже поняли, о ком речь?). Меры по реагированию сразу стали гораздо точнее.
Вот такой мне достался ценный урок в самом начале года — о важности атрибуции и роли киберразведки при расследовании и реагировании.
Когда я перешла из in-house SOC в реагирование и стала руководителем команды, мне как на ладони стали видны все прошлые ошибки: и в анализе кейсов, и в расстановке приоритетов, и в написании детектирующей логики — насколько все было хаотично. Хотя раньше казалось, что мы все делаем ровно наоборот: реализуем идею структурирования всех правил по матрице MITRE ATT&CK и «закрываем недостающие клеточки»…
Проблема была в том, что зачастую мы заполняли их по принципу «лишь бы поставить галочку» или «ого, как интересно и хитро работает — ну такое точно надо детектить». Правда, стоит признать, что некоторые правила были действительно сложными и с навороченной логикой. Такой подход хоть и не совсем бесполезен, но все же утопичен — в нем нет ни малейшего представления о реальных угрозах и о том, как оно на самом деле бывает.
Сейчас (еще и с полноценной командой из десяти человек) я стала смотреть на все более целостно и поняла, насколько важен каждый человек в команде, ровно как и его эмоциональное состояние. Как я люблю говорить, менеджмент и управление людьми — сложная штука, просто сидеть и форензить куда проще.
«После праздников разберемся»
Интересно, что один из самых показательных кейсов, который я вспоминаю в контексте праздников, длился куда дольше, чем новогодние каникулы.
Нас пригласили с подозрением на «что-то неладное» еще осенью. Сняв пару триажей, мы не только подтвердили компрометацию всей сети, но и смогли однозначно атрибутировать угрозу. Злоумышленников было сразу несколько, что сейчас далеко не редкость. Тем не менее в этом случае все было просто: первая группа сидела в сети как минимум с 2021 г., а ее целями были шпионаж и кража конфиденциальной информации. У вторых помимо шпионажа была еще и дополнительная мотивация — получение прямой финансовой выгоды за счет шифрования. При этом они тоже работали в инфраструктуре жертвы уже достаточно продолжительное время. Мы сразу же обо всем доложили и составили план работ с краткосрочными и долгосрочными задачами. Действовать нужно было здесь и сейчас, ведь одной из конечных целей злоумышленников фактически было выведение инфраструктуры из строя.
Но… до самих работ нас не допустили. Вернее, работы «ушли согласовывать». Все понимали критичность ситуации, но ничего нельзя было сделать без согласования одного со вторым и подписи третьего. Всю осень мы бились за то, чтобы как-то ускорить процесс: приводили аргументы, предлагали другие виды работ, давали рекомендации. Но проверить, выполнялись ли они, мы, конечно же, не могли.
Ближе к декабрю случилась первая победа: нам удалось согласовать установку EDR-агентов! Без возможностей реагирования и т. д. — просто в качестве первого этапа начать собирать телеметрию, чтобы пополнять имеющиеся техники и процедуры, знания о методах злоумышленников. Кажется, дело сдвинулось! Мы ликовали, ведь появился шанс наглядно продемонстрировать все в реальном времени — теперь процесс точно ускорится. Но возникла новая проблема: установка агентов затянулась. К концу декабря покрытие составляло порядка 50 машин из почти 600 — в таких условиях мы ушли праздновать Новый год...
Ладно, долго держать интригу смысла нет. Мы обменялись теплыми поздравлениями в чатах, а следующее сообщение отправили уже 4 января, и в нем было только два слова: «Начали шифровать». К счастью, клиент был на связи, и мы смогли локализовать активность атакующих. Несмотря на то что они отчетливо целились в серверный сегмент, пострадала только малая его часть. Ее удалось восстановить из физически изолированных от общей сети резервных копий — их создания нам удалось добиться еще осенью, на начальных этапах проекта. Оставшиеся работы нам согласовали в тот же день :)
Перед тем как делать выводы, стоит упомянуть еще один момент в стиле «да давайте уже после праздников». Как говорится, мем смешной, ситуация страшная. Да, оказывается, реагирование на ИБ-инцидент тоже можно отложить на условные 9 января или 10 мая — «после праздников разберемся». И да, в классическом понимании для реагирования есть идеальный момент — уникальный для каждой атаки. Это когда не слишком рано (пока недостаточно понимаем противника), но и не слишком поздно (атака перешла к финальной стадии). Но это ни в коем случае не значит, что можно знать о проблеме и ничего с ней не делать!
Топ кейсов от Angara SOC за 2025 г.
- Платить нельзя реагировать. Клиент хотел заплатить вымогателям, но ссылка для оплаты не сработала, поэтому он обратился к нам.
- Клиент по факту. Компания отменяла пилот услуги мониторинга три года подряд, но в этом году не успела — пошифровали раньше.
- Средство защиты сработает при любом раскладе. Администратор обнаружил бэкдор, когда его работа начала мешать функционированию SIEM-системы, запущенной в тестовом режиме
Как подготовиться к новогодним праздникам
Как не попасть в одну из перечисленных выше ситуаций? Ответ на этот вопрос напрямую зависит от уровня зрелости вашей компании. Например, перепроверка работы средств защиты или оповещений вообще-то должна выполняться не только перед праздниками, а на регулярной основе. Поступают ли события от всех подключенных источников в SIEM? Реагирует ли АВПО или WAF на тестовую атаку?
Хорошим правилом может стать фриз основных работ за две недели до праздников — это не лучшее время для внедрения новых политик безопасности или апробации в бою свежих правил детектирования. С резервными копиями та же история: если у вас их нет и не было, едва ли за неделю до Нового года вы неожиданно найдете физические мощности и организуете процесс с нуля. Лучше ориентироваться на текущий план реагирования: провести premortem-анализ, определить слабые места и обсудить, как вы можете решить эти проблемы прямо сейчас (а что предстоит улучшить в будущем). Можно в режиме брейншторма взять худшие сценарии и проработать каждый из них.
Еще один подход я подсмотрела у наших коллег из мониторинга: стоит пробежаться по всем уведомлениям в почте за последнее время и убедиться, что никаких (даже мельчайших!) вопросов по ним не осталось.
Из организационных мер: важно не только обсудить все нюансы взаимодействия во время инцидента, но и обеспечить доступность ответственных 24/7. А заодно еще раз проговорить с ними:
- Не бывает незначительных или мелких инцидентов.
- Информируем только уполномоченных лиц.
- Не удаляем подозрительные файлы до их анализа.
- Никаких переустановок систем до понимания первопричины подозрительной активности.
- Документирование каждого шага реагирования бесконечно спасает во всех ситуациях, и особенно когда есть риск поддаться панике.
Для сохранения мотивации и поддержания командного духа во время нагруженных смен у меня есть лайфхак. Нужно объяснить самому себе: все, что происходит с тобой, — это бесценный опыт. Даже если что-то кажется неинтересным, можно переформулировать задачу так, чтобы видеть в ней пользу. Причем не только для компании или клиентов, но и для своего профессионального развития.
Непонятный кейс? Докажи, почему сработка пустяковая. Опять нужно работать в системе N? Ты безопасник, поэтому тебе придется часто разбираться в новых системах, и сейчас лучший момент сделать это на практике. К тому же самые, казалось бы, тяжелые смены прокачивают с невероятной скоростью и порой дарят самые веселые воспоминания (истории из разряда «как мы выжили во всем этом»). Всегда помните, ради чего это все, ведь у нас одна из самых классных и захватывающих профессий.
Нельзя не сказать и про ответственность сотрудников за самих себя. Да, не всегда есть возможность писать руководству письма с большим списком пожеланий, как Деду Морозу. И да, руководитель не всегда на 100% понимает твое настроение — даже если делает для этого все, что в его силах. Поэтому я всегда прошу коллег быть максимально открытыми к диалогу: без тебя никто не догадается, что именно в этот день ты не можешь идти на дежурство, потому что обещал побыть с семьей. Лучший рецепт для сохранения мотивации — это доверие, а значит, возможность прийти и все обсудить. Решение можно найти всегда!
***
Новогодние пожелания коллегам
Хочется пожелать не сбавлять оборотов! Я не знаю ни одного безопасника, который бы не выкладывался на 101%. Из этого складывается любовь к нашему общему делу.
Интересных проектов, и чтобы все самые громкие цели (как личные, такие и рабочие) были реализованы в один миг.
С Новым годом!
Что ты хотела бы сказать всей отрасли по итогам прошедших 25 лет?
Мне 28 :D
