Типовые инциденты ИБ

Типовые инциденты ИБ#

Этот документ описывает наиболее распространенные инциденты информационной безопасности (ИБ) в Astra Automation, признаки их проявления и рекомендуемые процедуры реагирования.

Компрометация секретов и учетных данных#

Один из наиболее опасных инцидентов в системе – компрометация секретов или учетных данных пользователей. Она может привести к несанкционированному доступу к критическим ресурсам и выполнению нежелательных действий от имени легитимных пользователей.

Следующие признаки указывают на компрометацию секретов и учетных данных:

  • неудачные попытки аутентификации с известных учетных записей (события в журнале контроллера);

  • успешная аутентификация с подозрительных IP-адресов или в нехарактерное время;

  • создание новых пользователей или изменение привилегий без соответствующих заявок;

  • выполнение нехарактерных для пользователя операций.

При обнаружении компрометации секретов и учетных данных выполните следующие действия:

  1. Заблокируйте скомпрометированную учетную запись в системе аутентификации.

  2. Принудительно сбросьте ключи и пароли у скомпрометированных учетных записей.

  3. Обновите секреты в Ansible Vault, HashiCorp Vault или другом хранилище секретов.

  4. Проанализируйте журналы активности пользователя.

  5. Восстановите доступы.

Злоупотребление доверенными ролями и политиками доступа#

Злоупотребление доверенными ролями или ошибочно настроенными политиками доступа может позволить злоумышленникам или недобросовестным пользователям выполнять операции с чрезмерными привилегиями, что угрожает безопасности всей платформы.

Следующие признаки указывают на злоупотребление доверенными ролями и политиками доступа:

  • выполнение наборов сценариев с подозрительными операциями, например, удаление критических файлов, установка ПО;

  • наборы сценариев, не соответствующие корпоративным стандартам автоматизации;

  • неавторизованное выполнение наборов сценариев с повышенными привилегиями;

  • массовое выполнение однотипных деструктивных операций.

При подозрении на злоупотребление доверенными ролями и политиками доступа выполните следующие действия:

  1. Проведите мониторинг подозрительной активности и запусков наборов сценариев с повышенными привилегиями.

  2. При обнаружении таких случаев немедленно ограничьте доступ подозрительным пользователям или группам и отзовите у них лишние права.

  3. Проверьте, какие действия были совершены с повышенными привилегиями.

  4. Проведите расследование инцидента.

  5. Проведите внеочередной аудит ролей и политик и восстановите их корректность.

Несанкционированное изменение наборов сценариев#

Наборы сценариев являются ключевыми элементами автоматизации. Их несанкционированное изменение может привести к внедрению вредоносного кода, нарушению рабочих процессов и прямым угрозам безопасности.

Следующие признаки указывают на несанкционированное изменение наборов сценариев:

  • неавторизованные коммиты в репозитории проектов;

  • изменение наборов сценариев без соответствующих процедур утверждения;

  • обнаружение вредоносного кода в наборах сценариев при их анализе;

  • несоответствие хеш-сумм файлов наборов сценариев эталонным значениям.

При обнаружении несанкционированного изменения наборов сценариев выполните следующие действия:

  1. Заблокируйте синхронизацию проектов со скомпрометированным репозиторием.

  2. Откатите изменения к последней известной безопасной версии.

  3. Проанализируйте все измененные файлы на наличие вредоносного содержимого.

  4. Идентифицируйте источник несанкционированных изменений.

  5. Приостановите выполнение всех наборов сценариев из затронутого репозитория.

Нарушение ролевой модели доступа#

Ролевая модель доступа (RBAC) определяет, какие действия пользователи могут выполнять в системе. Ее нарушение приводит к перераспределению полномочий и появлению избыточных прав у пользователей, что повышает риск злоупотреблений и атак.

Следующие признаки указывают на нарушение ролевой модели доступа:

  • пользователи выполняют операции вне своих полномочий;

  • несанкционированные изменения в настройках ролей и разрешений;

  • доступ к проектам или инвентарю без соответствующих прав;

  • создание пользователей с избыточными привилегиями.

При обнаружении нарушений выполните следующие действия:

  1. Проведите аудит текущих разрешений всех пользователей и ролей.

  2. Отзовите избыточные привилегии.

  3. Заблокируйте учетные записи с подозрительной активностью.

  4. Восстановите корректную конфигурацию RBAC из резервной копии.

  5. Принудительно выполните повторную авторизацию всех пользователей.

Общие рекомендации для всех сценариев#

Независимо от характера инцидента важно придерживаться унифицированного подхода к реагированию и последующему анализу. Это помогает минимизировать ущерб и повышает устойчивость платформы к атакам.

Следующие рекомендации применимы ко всем типам инцидентов:

  • поддерживайте и регулярно тестируйте план реагирования на инциденты;

  • внедрите автоматизацию для сбора доказательств, уведомлений и изоляции при инцидентах;

  • проводите пост-инцидентный анализ и обновляйте процессы на основе прошлых инцидентов.

Такой подход позволит быстро реагировать на инциденты, минимизировать ущерб от них и повысить устойчивость платформы к атакам.