ESET World 2025 oli üritus, mis tõi kokku küberturvalisuse tippeksperdid kõigist eluvaldkondadest, nii et sealt võiks oodata käegakatsutavaid näiteid selle kohta, mis teeb ettevõtte tõesti turvaliseks. Just seda näitaski James Rodewald, ESETi turvamonitooringu analüütik.

Loengus pealkirjaga „Kaitse tagamine ESET MDR-iga“ („Staying protected with ESET MDR“) tõi Rodewald välja IT-administraatorite kriitilised valupunktid ja selle, kuidas hallatud tuvastamine ja reageerimine (Managed Detection and Response – MDR) säästab nende aega ja avab uusi võimalusi tõhususe suurendamiseks, ning jagas ka üht lugu ohtlikuks muutunud VPN-ist.

Päev IT-administraatori elus

Tavaliselt peavad IT-administraatorid jagama oma tähelepanu paljude valdkondade vahel ning turvalisus on vaid üks väike osa nende ülesannetest, nii et sageli pööratakse sellele vähem tähelepanu kui vaja.

Ettevõtte küberturvalisusega seotud paljude probleemide hulgas on peamine mure nende eelarve – korralikud turvaoperatsioonide keskused (SOC-d) võivad olla kallid, sest sadade kohtade katmine nõuab aega ja vaeva. Mõned ettevõtted küll eeldavad, et kahe inimese olemasolu kogu SOC võimekuse tagamiseks on piisav, kuid Rodewald on kindlalt teist meelt: „Nad ei suudaks teha 24/7 seiret. … Kui midagi juhtub siis, kui nad magavad või on võib-olla puhkusel, võib see olla väga halb.“

IT admin pain points
[Keskmise IT-administraatori valupunktid

Kuigi Rodewald ei taha IT-spetsialiste heidutada, rõhutab ta, et on teatud lüngad, mida saavad täita ainult turvaeksperdid: „IT-administraatorid on targad. Seda, mida nad teevad, teevad nad suurepäraselt. Nad teevad ilusaid süsteeme, mis kõik omavahel suhtlevad – ja see on hämmastav. Aga mõnikord ei oska nad märgata, kui keegi teine nende võrku pahatahtlikult juhib. Ja siit tulenevadki ohud.“

ESET MDR tuleb appi!

IT-administraatoritele ohtude vastu võitlemiseks lisaressursside andmine, samal ajal kui nad igapäevaste ülesannete eest hoolitsevad, on see, mida ESET MDR ohtrasti pakub. See on üsna kasulik väiksematele ettevõtetele, kellel pole IT-osakonnas palju turvatöötajaid, nii et nad saaksid kiiresti oma taset tõsta. „See on nagu „paigalda- ja-töötab-ise“ süsteem. … Kliendid tahavad, et keegi jälgiks ja annaks teada, kui midagi juhtus, mida selle kõrvaldamiseks on tehtud, ja kas on mingeid meetmeid, mida nemad peavad võtma,“ ütles Rodewald teenuse kohta.

ESET MDR on väiksematele organisatsioonidele mõeldud 24/7 ohuhaldusteenus, mis kasutab tehisintellekti ja inimteadmisi, et pakkuda esmaklassilist kaitset ilma ettevõttesiseste turvaspetsialistideta. ESET blokeerib, peatab ja katkestab pahatahtliku käitumise vaid 20 minutiga, samal ajal kui teie keskendute oma põhitegevusele.

Kuigi baastaseme MDR-i teenus võib pakkuda ettevõtte tasemel turvalisust, kusjuures järelevalvet teostavad tõsised eksperdid, kes on turvaintsidentide peatamiseks koolitatud (kasutades oma otsuste tegemiseks tipptasemel ohuanalüüsi), saab keerukamate keskkondade jaoks teha palju enamat ja avaldada suuremat mõju. Need keskkonnad vajavad spetsiifilist lähenemist, mis sobitub loomulikul moel suurema organisatsiooni olemasolevasse turvasüsteemi.

ESET MDR services
ESET kohandab oma teenused erinevatele ärivajadustele.

Nagu Rodewald ütles, on ESET MDR Ultimate (MDRU) „neile klientidele, kes soovivad käia meiega reaalajas kaasas, kui me nende keskkonda jälgime … selle lähenemise kasulikkus ulatub kohandatud reeglite ja hoiatuste loomisest [kuni] turvakeskkonna optimeerimiseni … kaitsmata seadmete leidmiseni jne. Nii et nende tegevustega edendame kogu ulatuses nii äritegevuse kui protsesside küpsust, aitame olukorda parandada ja isegi märgistame kaitsmata seadmed, mis on kahjuks liigagi levinud ohtude allikas.“

ESET MDRU kombineerib ideaalselt ESETi tehnoloogia ja digitaalse turvalisuse alased teadmised, et mistahes ohud tõhusalt ja ennetavalt tuvastada ning neile reageerida. Tegemist on kohandatud teenusega, mis toimib SOC-taolise turvasüsteemina ning suudab kaitsta spetsiaalsete turvameeskondadega keerukaid keskkondi.

Rodewald tõstis esile ka ESET MDRU aruandeid, selgitades, kuidas see protsess on inimlikum, ühendades mõlema poole eksperdid, et üheskoos kujundada paremaid kaitse-eeskirju ja -mehhanisme, mis lisab veelgi rohkem väärtust.

20-minutilise tuvastamiskiiruse säilitamine

ESET MDRi teenusetase tagab 20-minutilise tuvastusaja kõigile klientidele – praegu on reageerimiseks aega 1 minut ja intsidendi lahendamiseks umbes 5 minutit. See on tingitud SOC-taolisest 24/7 jälgimisest, kusjuures meie MDR-i meeskonnad parandavad pidevalt ja iga tuvastamisega oma otsustusprotsesse korral.

MDR detection time
ESET MDR-i keskmine tuvastamis- ja reageerimisaeg.

Rodewald selgitas ESET MDR-i koolitusrežiimi sellise kiire avastamis- ja reageerimiskiiruse saavutamiseks: „Meie koolitamise viis on esitada küsimus: kas me oleksime võinud seda varem märgata? Sest kui me saame teha paremini, siis me ka tahame teha paremini. Ja teine küsimus: kas te oleksite võimelised seda [ohtu] tuvastama, kui te seda kusagil näete?“ Meeskonnad vaatavad läbi ka uuringuid, et osata paremini tuvastada probleeme, millega nad varem pole kokku puutunud.

Selle tulemusena suudavad ESET MDR-i meeskonnad aktiivselt eraldada valepositiivsed leiud tegelikest avastustest, rakendada vajaduse korral uudseid intsidentidele reageerimise tegevuskavasid ja hallata koolitusi, et hoida analüütikud ohtudega kursis. Ettevõttesisestele meeskondadele (eriti üldiste ülesannetega IT-töötajatele) võib see olla raske pähkel, kuid ESETi turvaseire analüütikud on just selle nõiaringi jaoks välja õpetatud.

James räägib juhtumist

ESET MDRU edule pühendatud loos rääkis Rodewald sellest, kuidas väärkasutatud VPN-i kaudu sai FIN7 juurdepääs ettevõtte võrgule. Kõnealusesse ettevõttesse, millel on suur võrk mitme tegevuskohaga üle kogu maailma, oli enne ESETi teenuse kasutuselevõttu (vähemalt kaks-kolm kuud enne seda) digitaalselt sisse murtud. Kuigi ettevõte kasutas XDR-lahendust, ei jälginud seda keegi – mis on selge tee katastroofini.

Tormi eelõhtul

Alguses oli keegi kasutanud PowerShelli, et luua väline võrguühendus, mille tulemusel paigaldati ümbernimetatud kaugseire- ja haldusvahend (RMM) (LiteManager). PowerShellil oli ka huvitav skript nimega „PowerTrash“, mis oli üle 6000 rea pikk.

PowerTrash image 1
[Skripti PowerTrash sisu]

Järgnevalt käivitas RMM tööriist, mis nimetati ümber failiks romfusclient.exe, teise täitmisahela, et paigaldada OpenSSH tagauks: „See tagauks suhtles eemalasuva C&C [command-and-control] ehk kaugjuhtimisserveriga ja võimaldas selle seadme kaudu rünnata ka teisi võrgus olevaid seadmeid,“ ütles Rodewald.

RMM tool executed
[Käivitatud kaughalduse käsk käivitada LiteManager

Kuidas ESET MDRU aitas

Varsti pärast ESET MDRU kasutuselevõttu tuvastas seire kaugjuhitavate ülesannete teostamise – käivitatud oli PowerTrash’i järjekordne instants: „Selle eesmärk oli kasutada mandaate ja laadida mällu Spy.Sekur. Sellest hetkest teadsime, et tegemist on FIN7-ga, sest Spy.Sekur on kasutusel ainult FIN7-s ja PowerTrash’i kasutab minu teada samuti ainult FIN7,“ kommenteeris Rodewald. Viimane instants oli 41 000 rida koodi, palju pikem kui eelmine.

PowerTrash image 2
[MDRU edu: VPN-i ärakasutamine]

„Hakkasime nägema ka teisi kaugtoiminguid, samal ajal kui me lõime kohandatud reegleid, et neid blokeerida. … Ja need hakkasid toimuma nii kaughalduse kui WinRM-i kaudu. Me nägime, et nende eesmärk oli seekord käivitada batch-fail, et panna käima ümbernimetatud versioon failist RClone.exe, et teha koopiad võrgus jagatud failidest ja seejärel kasutada ümbernimetatud koopiat pakkijast 7-Zip, et see kõik kokku pakkida ja seejärel süsteemist välja saata,“ jätkas Rodewald.

rclone and lateral movement
VPN-i ärakasutamine, kaughalduse toimingud

Kustutamine ja blokeerimine

Seejärel hakkas MDR-i meeskond neid protsesse kustutama ja blokeerima, luues samal ajal kohandatud reegleid nende püsivaks keelamiseks. Sellest hoolimata toimusid kaugtoimingud mitmes seadmes ja mitmel viisil.

Kuna MDR-i meeskonnal olid kõigi nende liikumiste lähte-IP-d olemas, said nad aru, et tuleb leida kliendi keskkonnas kaitsmata seadmed, sest need ei olnud ESET PROTECTis ega ESET Inspectis hallatavatena näha. „Nii et me olime selleks ajaks telefoni otsas ja ma lasin neil mulle otse nendesse seadmetesse kaugjuurdepääsu anda, et ma saaksin näha, mis toimub. Me leidsime OpenSSH tagauksed mitmes erinevas seadmes – nüüd oli meil vaja kas lasta kliendil need võrgust välja lülitada või ma pidin need käsitsi puhastama,“ ütles Rodewald.

WinRM unprotected devices
Leitud kaitsmata/jälgimata seadmed

Kuid vastane ei olnud veel alla andnud. Tõenäoliselt sattusid nad paanikasse, kuna kaotasid juurdepääsu, ja lasid käiku uue tööriista: „See oli täiesti uus DLL-i varikäivitaja!” hüüatas Rodewald. Kuigi seda .exe faili on vast varemgi nähtud (TopoEdit), sisaldas see seekord pahatahtlikku DLL-i.

DLL sideload
Vastane üritab DLL-i kõrvallaadimist

„Nad üritasid võrgus püsida. … Me märkasime seda vähem kui 30 sekundiga,“ ütles Rodewald naeratades. Seega blokeeris MDRi meeskond faili clean .exe ja DLL-i ning kõrvaldas selle umbes kuuest või seitsmest muust seadmest, kõik ühe ja sama aja jooksul.

Tagasi lähtekohta

Samal ajal tahtis meeskond teada, kuidas toimus esialgne ligipääs[JS1] : „Hakkasime võtma seadmetest logisid, püüdes leida sündmuste jälgi … nii et tegime digitaalset kohtuekspertiisi, [intsidendi] uurimist.“ Enne, kui nad selle uurimisega kuigi kaugele olid jõudnud, käis ohuallikas oma kaardid lauale: keegi kasutas Remote Desktop Protocol’i (RDP), et saada era-IP-delt juurdepääs erinevatele seadmetele, ja paigaldas kohe ka tööriistad AteraAgent ja Splashtop – veel kaks RMM-vahendit.

Need IP-d asusid aga konkreetses alamvõrgus, mis erines teistest võrgus olevatest seadmetest, ning ettevõtte administraator kinnitas kiiresti, et need olid kliendi VPN-i poolt määratud aadressid.

VPN gone rogue
MDR meeskond avastab petturseadmed VPN-is

„Nende VPN-seadet kasutati ära. Ohuallikale kuuluvad petturseadmed liitusid nende VPN-iga ja seejärel ühendusid RDP kaudu teiste seadmetega,“ paljastas Rodewald. Seega lasi MDR-i meeskond ettevõttel oma VPN-i sulgeda ja sealtpeale ei ole uut tegevust toimunud, kuigi seda jälgitakse endiselt.

See lugu toob esile, kuidas tänu ESET MDRU teenusele võimalikuks saanud tihedas koostöös võeti koheselt meetmeid kasutusele ning töötati kliendi jaoks kiiresti välja uued tegevuskavad ja turvastrateegiad, et vältida tulevasi intsidente.

Turvalisus, mis lähtub eelkõige ennetamisest

ESET MDR-i teenuste peamine väärtus seisneb selles, et nende puhul on esikohal ennetamine. Iga ESETi hallatud teenus on suunatud erinevatele ettevõtte arhitektuuridele ja neil kõigil on sama eesmärk – kiire tuvastamine ja peaaegu kohene parandusmeetmete võtmine, mis aitab lahendada uudsed ohud enne, kui need jõuavad pahandust teha.

Lisaks, nagu Rodewaldi lugu VPN-i ärakasutamisest tõestab, võib hallatud teenuse kasutamine isegi juba toimuva intsidendi puhul võimaldada ettevõtetel saada oma turvalisus tagasi ka hiilivate kurjategijate sõrmede vahelt.