Крайняя контрольная точка по кейсу с разбором инцидента (честно-честно)😼
После разбора имеющейся информации и переспав с мыслями, меня не оставляет два вопроса:
➖как шелл попал на сервер?
➖почему Битрикс24 - не началась ли компания по работе с фокусом на платформу?
2️⃣Начну со второго
Нет. По данным из официального сайта Битрикс24 подвержен тем же угрозам, что и обычный веб-сайт, а именно:
Cross Site Scripting
SQL- injection
⚡PHP- injection
HTTP Response Splitting
HTML code injection
File Inclusion
Directory traversal и некоторые другие.
Важный комментарий на самом сайте:
То есть про обеспечение безопасности было акцентировано внимание разработчиком. Значит два сценария:
❓халатное отношение
❓недостаток в безопасности
По первому: все таки проблема задетектирована, значит что-то было из СЗИ до сайта.
По второму веселее. Когда мы видим веб-шел значит киберпреступник уже провел разведку, получил первоначальный доступ, провел успешно загрузку ВПО на «нулевого пациента» и сейчас старается закрепиться в инфраструктуре для начала атаки.
Не проверял на практике свое предположение по «циклу Деминга», но в теории при грамотной эшелонированной защите логика должна была выглядеть так (+ ZTNA в помощь):
➖на уровне GeoIP мы отсекаем адреса сторонних регионов;
➖если такое невозможно проводим фокусную настройку NGFW;
➖обеспечиваем актуальность получения фидов для IDS/IPS (половина адресов в этот момент должна была быть заблокированной);
➖после снижения риска в ход идут сигнатуры WAF;
➖если WAF пропускает в ход идет EPP/EDR.
1️⃣Вот тут нужен ответ на первый вопрос: как его закинули?
Опять к теории. Есть несколько классических способов:
➖доступ к веб-сайту через «админку»;
➖доступ к файлам сайта по FTP, SSH;
➖обмануть сервер загрузив вместо картинки иной файлик (собственно, в отчете не было информации про это никакой)
Но каким бы способом не кидали бы ВПО его ОБЯЗАНЫ были увидеть потоковым антивирусом («привет» нормальному NGFW на периметре в зоне ответственности владельцев платформы) или хостовым антивирусом (тут «привет» ИБшникам организации).
Резюмирую. Битрикс24❤️ как платформа вообще не при делах. Это всего лишь точка входа для более важных для киберпреступников данных (а не просто цель закинуть «майнер»). Обеспечить безопасность можно было минимум тремя классами продуктов ИБ и не раздувать соломенкой муху💩
После разбора имеющейся информации и переспав с мыслями, меня не оставляет два вопроса:
➖как шелл попал на сервер?
➖почему Битрикс24 - не началась ли компания по работе с фокусом на платформу?
2️⃣Начну со второго
Нет. По данным из официального сайта Битрикс24 подвержен тем же угрозам, что и обычный веб-сайт, а именно:
Cross Site Scripting
SQL- injection
⚡PHP- injection
HTTP Response Splitting
HTML code injection
File Inclusion
Directory traversal и некоторые другие.
Важный комментарий на самом сайте:
Только системное проектирование, продумывание вопросов безопасности на всех этапах разработки и детальное тестирование готового приложения могут позволить исключить появления уязвимостей.
То есть про обеспечение безопасности было акцентировано внимание разработчиком. Значит два сценария:
❓халатное отношение
❓недостаток в безопасности
По первому: все таки проблема задетектирована, значит что-то было из СЗИ до сайта.
По второму веселее. Когда мы видим веб-шел значит киберпреступник уже провел разведку, получил первоначальный доступ, провел успешно загрузку ВПО на «нулевого пациента» и сейчас старается закрепиться в инфраструктуре для начала атаки.
Не проверял на практике свое предположение по «циклу Деминга», но в теории при грамотной эшелонированной защите логика должна была выглядеть так (+ ZTNA в помощь):
➖на уровне GeoIP мы отсекаем адреса сторонних регионов;
➖если такое невозможно проводим фокусную настройку NGFW;
➖обеспечиваем актуальность получения фидов для IDS/IPS (половина адресов в этот момент должна была быть заблокированной);
➖после снижения риска в ход идут сигнатуры WAF;
➖если WAF пропускает в ход идет EPP/EDR.
1️⃣Вот тут нужен ответ на первый вопрос: как его закинули?
Опять к теории. Есть несколько классических способов:
➖доступ к веб-сайту через «админку»;
➖доступ к файлам сайта по FTP, SSH;
➖обмануть сервер загрузив вместо картинки иной файлик (собственно, в отчете не было информации про это никакой)
Но каким бы способом не кидали бы ВПО его ОБЯЗАНЫ были увидеть потоковым антивирусом («привет» нормальному NGFW на периметре в зоне ответственности владельцев платформы) или хостовым антивирусом (тут «привет» ИБшникам организации).
Резюмирую. Битрикс24❤️ как платформа вообще не при делах. Это всего лишь точка входа для более важных для киберпреступников данных (а не просто цель закинуть «майнер»). Обеспечить безопасность можно было минимум тремя классами продуктов ИБ и не раздувать соломенкой муху💩