Разбор нашего инцидента: учетка уволенного подрядчика и неделя простоя

[fpga_lord]

Пишу пока горячо, под NDA, поэтому без названий. Производственная компания, около 400 хостов. В апреле к нам зашли через VPN-учетку подрядчика по 1С, которого расторгли еще в декабре. Учетку никто не отключил, MFA на ней не было, потому что подрядчикам неудобно, цитата.

Дальше около месяца тихо осматривались, забрали доменного админа (как именно, до конца не восстановили, подозреваем пароль в текстовике на терминалке). В ночь с пятницы на субботу зашифровали ESXi, легло порядка 60 ВМ. Veeam был, но репозиторий в том же домене, его потерли первым. Поднимались с холодной копии месячной давности плюс ленты. Неделя простоя, потери семизначные, точную цифру не скажу.

Выводы, которые мы внедрили, может кому сэкономит нервы: отключение учеток в чек-листе офбординга с подписью ИБ, а не только HR. MFA всем без исключений, неудобно значит неудобно. Бэкап-репозиторий вне домена и immutable. VPN-пул подрядчиков сегментирован и не видит management-сеть гипервизоров. Спрашивайте, отвечу что могу в рамках NDA.

[delphin]

@fpga_lord, Вопрос по бюрократии: вы субъект КИИ? В НКЦКИ уведомление в 24 часа отправляли или замяли? И утечка ПДн была? Просто с прошлого года за это уже оборотные штрафы, интересно как на практике проходит.

[react_fan]

классика жанра. офбординг это процесс ИБ, а не HR, но понимают это все почему-то только после такого вот поста

[alansmit]

Hardened repository с immutability в Veeam есть с 11 версии, это 2021 год. Не настроить его к 2026 это уже не не знали, это забили. Извините, но репозиторий бэкапов в том же домене, что и прод, это не инцидент вас нашел, это вы его ждали.

[Pmannn]

А вот это вот месяц сидели тихо меня смущает больше всего. Месяц движений по сети и ноль детекта. Логоны подрядной учетки в нерабочее время, новые сессии на гипервизорах, и тишина. У вас мониторинга не было совсем? Чем в итоге обнаружили, когда уже все легло?

[mstrbates]

У знакомых почти под копирку год назад, тоже подрядчик 1С, тоже VPN. По ощущениям это вектор номер один по СНГ сейчас, франчи 1С имеют доступы в сотни контор и текучку кадров. Что у себя сделали после того кейса: подрядчикам отдельный VPN-профиль с доступом строго до одной терминалки по RDP, оттуда только до нужной базы. И при заведении любой внешней учетки сразу ставим expiry date в AD на дату окончания договора. Учетка умирает сама, даже если все про нее забыли. Стоит ноль рублей.

[readymix]

MFA подрядчикам неудобно надо высекать в граните и вешать в переговорке, где договоры подписывают. Прямо рядом с цифрой потерь.

[Tcraw62981]

а ленты какие, LTO-8? мы свои в 2023 выкинули как пережиток, читаю вас и что-то жалею

[davkar]

Спасибо что не поленился расписать. Утащил выводы к себе в вики, на ближайшей планерке покажу директору, у нас с офбордингом ровно та же дыра.