РСМД :: Аналитические статьи
Все ТемыАТРБезопасностьВнешняя политика РоссииГлобальное управлениеМир через 100 летМногополярный мирОбразование и наукаОбщество и культураТехнологииЭкологияЭкономикаЭнергетика
Все РегионыАнтарктикаАрктикаАфрикаБалканыБлижний ВостокВосточная Азия и АТРЕвропаКавказЛатино-Карибская АмерикаОкеания и АвстралияПостсоветское пространствоРоссияСеверная АмерикаЦентральная АзияЮго-Восточная АзияЮжная Азия
Все ПроектыБудущее Большой ЕвропыВекторы развития европейской части постсоветского пространства: вызовы для РоссииВосточная Азия: приоритеты внешней политики РоссииГлобализация 2.0: новые подходы к преподаванию и исследованиямГлобальная наукаГородские завтраки РСМДЕвразийская экономическая интеграция: эффективные модели взаимодействия экспертовЗеленая повестка: политическое измерениеЗимняя школа РСМД «Миграция в глобальном мире»Искусство дипломатии и политический опыт: преемственность поколенийИсламский фактор в современной мировой политикеКонкурс «Глобальные перспективы»Конкурс молодых журналистов-международниковКонкурс онлайн-курсов по международным отношениямЛекции в Музее современной истории РоссииЛетняя школа «Дорожная карта международного сотрудничества в Арктике»Летняя школа «Интерактивные ресурсы для публичной и корпоративной дипломатии»Летняя школа «Молодежный саммит АТЭС: цели, приоритеты и перспективы»Летняя школа в Екатеринбурге «Ситуация в Центральной Азии: безопасность, экономика, человеческое развитие»Летняя школа ЕЭК и РСМД «Евразийская экономическая интеграция: приоритеты, перспективы, инструменты»Международная миграция: институциональное измерениеМеждународное измерение информационной безопасностиМеждународное измерение технологической политикиМеждународное научно-техническое сотрудничество РоссииМеждународное сотрудничество в АрктикеМеждународные и социальные последствия использования технологий искусственного интеллектаМонография «Дилеммы Британии: российский взгляд»Новая Восточная Европа: анализ ситуации и стратегическое позиционирование России в регионах ЦВЕ, Балтии и на европейском фланге постсоветского пространстваНовая повестка российско-британских отношенийНовая повестка российско-французских отношенийОрганизация международной экспертизы проектов для РНФПовышение эффективности участия России в «Группе восьми», «Группе двадцати» и БРИКСПолитическая и экономическая динамика стран Центральной АзииПолитические риски для российских проектов в области мирного атомаПроблемы формирования нового мирового порядкаПрогнозирование динамики международной средыПути преодоления проблем российско-грузинских отношенийРазвитие механизмов и инструментов научной дипломатии в РоссииРазработка рекомендаций по интернационализации высшего образования России в целях повышения его качества и конкурентоспособности на период 2013–2017 гг.
Все СтраныАвстралияАвстрияАзербайджанАлбанияАлжирАнголаАргентинаАрменияАфганистанБангладешБахрейнБеларусьБелизБельгияБенинБолгарияБоливияБосния и ГерцеговинаБотсванаБразилияБрунейБуркина-ФасоБутанВатиканВенгрияВенесуэлаВосточный ТиморВьетнамГабонГаитиГайанаГамбияГанаГватемалаГвинеяГвинея-БисауГерманияГибралтарГондурасГондурасГонконгГренландияГрецияГрузияДанияДжибутиДоминиканская РеспубликаЕгипетЗамбияЗимбабвеИзраильИндияИндонезияИорданияИракИран, Исламская РеспубликаИрландияИсландияИспанияИталияЙеменКабо-ВердеКазахстанКамбоджаКамерунКанадаКатарКенияКипрКиргизияКирибатиКитайКНДРКНРКолумбияКоморыКонгоКонго, Демократическая РеспубликаКоста-РикаКот-д’ИвуарКубаКувейтЛаосЛатвияЛиберияЛиванЛивияЛитваЛихтенштейнЛюксембургМаврикийМавританияМадагаскарМакедонияМалавиМалайзияМалиМальдивыМальтаМароккоМексикаМозамбикМолдавияМонголияМьянмаНамибияНепалНигерНигерияНидерландыНикарагуаНовая ЗеландияНорвегияОбъединенные Арабские ЭмиратыОманПакистанПалестинаПанамаПапуа-Новая ГвинеяПарагвайПеруПольшаПортугалияПуэрто-РикоРеспублика КореяРеюньонРоссияРуандаРумынияСальвадорСан-Томе и ПринсипиСаудовская АравияСейшелыСенегалСербияСингапурСинт-МартенСирияСловакияСловенияСоединенное КоролевствоСоединенные ШтатыСоломоновы островаСомалиСуданСуринамСьерра-ЛеонеТаджикистанТаиландТайвань (Китай)Танзания, Объединенная РеспубликаТогоТунисТуркменияТурцияУгандаУзбекистанУкраинаУругвайФарерские островаФилиппиныФинляндияФолклендские островаФранцияФранцузская ГвианаХорватияЦентральноафриканская РеспубликаЧадЧерногорияЧешская РеспубликаЧилиШвейцарияШвецияШри-ЛанкаЭквадорЭкваториальная ГвинеяЭритреяЭсватиниЭстонияЭфиопияЮжная АфрикаЮжная ОсетияЮжный СуданЯмайкаЯпония
Показать еще 12 из 4200
Прошедший опрос
Увеличение количества мусора 228 (66. 
67%)Вырубка лесов 214 (62.57%) Загрязнение воды 186 (54.39%) Загрязнение воздуха 153 (44.74%) Проблема захоронения ядерных отходов 106 (30.99%) Истощение полезных ископаемых 90 (26.32%) Глобальное потепление 83 (24.27%) Сокращение биоразнообразия 77 (22.51%) Звуковое загрязнение 25 (7.31%) Архив опросов
67%)Полезные материалы
Библиотека
В поисках компромисса — Россия |
Точка зрения
16 марта 2022 г.
16:17
Сюжет
© РИА Новости. Максим Гучек
Interfax-Russia.ru — Киев предлагает создать на Украине вариант нейтрального демилитаризованного государства, но имеющего собственную армию. Москва рассматривает такой компромисс.
Последний «очный» раунд российско-украинских переговоров прошел 7 марта в Беловежской пуще — там же, где и предыдущий. Обсуждение проходило за закрытыми дверями и продлилось более трех часов. По мнению советника главы Офиса президента Украины Михаила Подоляка, третий раунд переговоров дал небольшие положительные подвижки по вопросу предоставления гуманитарных коридоров. Вместе с тем он констатировал отсутствие результатов, которые бы существенно улучшили ситуацию.
Российская делегация также осталась не удовлетворенной результатами третьего раунда переговоров с украинской стороной. Глава российской делегации Владимир Мединский тогда заявил журналистам, что ожидания от переговоров не оправдались и выразил надежду, что в следующий раз удастся сделать «более существенный шаг вперед».
Так, по его словам, российская делегация рассчитывала подписать протоколы по тем вопросам, по которым уже была достигнута договоренность, однако этого не произошло.
«Украинская сторона все эти документы забрала на изучение домой, подписать что-то не смогла, ну и сказали, что вернемся к этому вопросу на следующей встрече», — сказал он.
В свою очередь член российской делегации, председатель комитета Госдумы по международным делам Леонид Слуцкий в эфире телеканала «Россия-24» заметил, что говорить о максимально конструктивном настрое украинской стороны в ходе переговоров было бы утопично. Вместе с тем, прошедший раунд был важен и позволил обменяться «базисными документами по всему кругу серьезнейших обсуждаемых вопросов», хотя и не дал «каких-то знаковых результатов». Важным итогом этих переговоров Слуцкий также назвал то, что «детально, глубоко, серьезно каждый штрих обсудили по гуманитарным коридорам».
Слуцкий также заявил, что видит предпосылки для сближения позиций Москвы и Киева на переговорах в ближайшие дни.
«Если сравнивать позиции обеих делегаций на переговорах в самом их начале и сегодня, то мы увидим существенный прогресс. По моим личным ожиданиям, этот прогресс может перерасти в самые ближайшие дни в единую позицию обеих делегаций, в документы для подписания», — сказал глава комитета Госдумы по международным делам в интервью телеканалу RT Arabic.
Большие надежды участники переговоров возлагали на следующий раунд — на 14 марта наметили переговорную сессию для подведения предварительных итогов. При этом советник главы Офиса президента Украины отмечал, что переговоры с РФ и до этого продолжались нон-стоп в формате видеоконференций.
В интервью газете «Коммерсант» Подоляк заявлял, что на столе переговоров лежит «десяток предложений», в том числе по прекращению огня и по выводу войск.
Официально четвертый раунд российско-украинских переговоров стартовал 14 марта около полудня и на этот раз проходил в видеоформате. Стороны общались более четырех часов, после чего была взята «техническая пауза» для «дополнительной работы в рабочих подгруппах и уточнения отдельных определений», сообщил Подоляк.
Возобновились переговоры днем 15 марта, а затем вновь были отложены на день.
При этом перед началом переговоров советник Офиса президента Украины заявлял, что позиции украинской делегации остаются неизменными: Киев и в первую очередь будет требовать прекращения огня и отведения всех российских войск с территории Украины.
«Только после этого мы сможем говорить о каких-либо соседских отношениях и политических урегулированиях», — сказал Подоляк в видеообращении.
В свою очередь глава МИД РФ Сергей Лавров на пресс-конференции по итогам переговоров со своим иранским коллегой Хосейном Амиром Абдоллахияном назвал несколько обсуждавшихся тем.
«Обеспечение нейтрального военного статуса Украины, в контексте гарантий безопасности для всех участников этого процесса, в контексте демилитаризации Украины, чтобы с ее территории никаких угроз для РФ никогда не исходило, и в контексте, конечно же, прекращения политики нацификации страны», — пояснил он.
Со своей стороны президент Украины Владимир Зеленский еще перед началом четвертого раунда переговоров называл одной из главных задач украинской делегации на переговорах с Россией — «сделать все, чтобы состоялась встреча президентов».
Возможным местом для встречи с российским президентом Зеленский до этого называл Израиль, отмечая, что позитивно относится к посредничеству премьер-министра Израиля Нафтали Беннета в урегулировании вопросов мира между Украиной и Россией.
В Кремле также подтвердили, что на переговорах с участием российской делегации обсуждаются в том числе условия, при которых может состояться встреча президентов России и Украины. Пресс-секретарь президента РФ Дмитрий Песков при этом напомнил, что в Москве неоднократно говорили о возможной встрече Путина с Зеленским, но предварительно хотели бы понять, что войдет в ее повестку и какой результат ожидается.
Глава МИД РФ Сергей Лавров на минувшей неделе по итогам переговоров со своим украинским коллегой Дмитрием Кулебой также отмечал, говоря о возможности встречи президентов России и Украины, что Путин никогда не отказывается от контактов, однако они должны быть осмысленными и проводиться для того, чтобы «фиксировать какие-то договоренности», а не быть «встречей ради встречи».
По словам помощника президента РФ Владимира Мединского, Россия и Украина после трех очных раундов переговоров в Белоруссии решили продолжить их в формате видеосвязи для экономии времени, сил и средств.
«В Белоруссии прошло три очных раунда переговоров, но мы посмотрели: поскольку очень сложная логистика, то в целях экономии времени, сил и средств решили избежать перелетов в Белоруссию с ночевками и ограничиться ежедневной работой с утра до вечера в формате видеоконференцсвязи», — сказал Мединский.
Он рассказал, что в сверке позиций сторон на российско-украинских переговорах и поиске компромиссов принимает участие большой коллектив юристов, военных, экспертов.
«У нас всегда есть техническая пауза на ночь. Ночью юристы работают. Переговоры идут на уровне не только руководителей переговорных групп и членов, но также большого коллектива юристов, экспертов, международников, военных, которые, как правило, поздним вечером и ночью сверяют позиции и пытаются выйти на какие-то компромиссы, что, конечно, очень тяжело», — сообщил глава российской делегации.
Он отметил, что переговоры с Украиной идут тяжело.
«Главная задача переговорной группы заключается в том, чтобы среди огромного количества сложных вопросов находить те, по которым можно найти согласие, опираться на них, вытаскивать эти общие вопросы в повестку и так постепенно, шаг за шагом, двигаться к результату — заключению мира, который устроит наши народы», — подчеркнул Мединский.
России и Украине, по словам Мединского, на переговорах удалось достичь определенного прогресса по ряду позиций, но не по всем. Цель России на переговорах с Украиной не менялась — Москве нужна мирная, свободная, нейтральная и независимая Украина, не являющаяся плацдармом для атаки на РФ. Поэтому, по его словам, «буквально каждая цифра, каждая буква в договорах» обсуждается с украинской стороной с особой тщательностью.
«Сохранение и развитие нейтрального статуса Украины, демилитаризация Украины — обсуждается целый комплекс вопросов, связанных с размером украинской армии. Украина предлагает австрийский, шведский вариант нейтрального демилитаризованного государства, но при этом государства, имеющего собственную армию и военно-морские силы.
Все эти вопросы обсуждаются на уровне руководств министерств обороны России и Украины», — рассказал глава российской делегации.
При этом он напомнил, что «нейтральный статус есть у Украины и сейчас» — именно при условии нейтралитета Украина вышла из состава Советского Союза в 1991 году, и этот нейтралитет записан в Декларации о суверенитете Украины.
«Безусловно, ключевой вопрос для нас — это статус Крыма и Донбасса, а также целый ряд гуманитарных вопросов, в том числе денацификация, права русскоязычного населения и положение русского языка и так далее», — добавил Мединский.
Также, по его словам, важным пунктом повестки российско-украинских переговоров остается тема денацификации и ужесточения наказания, правоприменения, в первую очередь, наказаний за героизацию нацизма, неонацизма, экстремизма на их основе. Поэтому, отметил Мединский, заявления из Киева об исключении пункта о денацификации Украины из повестки переговоров не вполне соответствует действительности.
«Мы хотим, чтобы это была договоренность на поколения, чтобы наши дети тоже жили в мире, основа которого закладывается этим договорным процессом», — пояснил он.
Со своей стороны пресс-секретарь президента РФ Дмитрий Песков заметил, что демилитаризация Украины по австрийскому или шведскому варианту с сохранением собственной армии, но без наличия иностранных военных может рассматриваться в качестве компромиссного варианта.
О том, что на переговорах России с Украиной есть надежда на компромисс, заявил и глава МИД РФ.
«Ориентируюсь на те оценки, которые дают наши переговорщики. Они констатируют, что переговоры идут непросто по понятным причинам, но, тем не менее, есть определенная надежда на достижение компромисса», — сказал Лавров в интервью телеканалу РБК.
По словам министра, «такую же оценку дают и некоторые представители украинской делегации».
«Сам президент (Украины Владимир) Зеленский не так давно сделал ряд интересных заявлений», — подчеркнул Лавров, напомнив, что украинский президент оценил позиции сторон на переговорах как «более реалистичные».
По его словам, ряд формулировок договоренностей с Украиной, касающихся нейтрального статуса и гарантий безопасности, уже близок к согласованию.
«Нейтральный статус (Украины) сейчас всерьез обсуждается в увязке, конечно же, с гарантиями безопасности. Это ровно то, о чем президент Путин говорил в феврале на одной из своих пресс-конференций: любые возможные варианты, любые общеприемлемые гарантии безопасности для Украины и для всех стран, включая Россию, за исключением расширения НАТО», — уточнил министр.
При этом глава МИД РФ отметил, что Россия не называет конкретные формулировки, касающиеся гарантий и нейтралитета Украины, из уважения к переговорному процессу.
«Деловой настрой, который не сразу, не просто, но все-таки начинает проявляться — и надеюсь, он возобладает — дает надежду, что мы сможем по этой теме конкретно договориться. Хотя ясно, что изолированно провозгласить нейтралитет и объявить о гарантиях — это будет существенным шагом вперед, но проблема гораздо шире», — отметил Лавров.
Обозреватель Анастасия Николаева
Главные события
Голикова: уровень безработицы в РФ в январе обновил исторический минимум, составив 3,6%
Голикова: уровень безработицы в РФ в январе обновил исторический минимум, составив 3,6%Точка зрения
Особая зона на Курилах
Interfax-Russia.
Особая зона на Курилах ru – Особую экономическую зону создадут на Курильских островах. С помощью ОЭЗ российские власти намерены развивать эти территории и подчеркнуть их принадлежность к РФ.ЦентрНападение на села
Interfax-Russia.ru — Вылазку украинских диверсантов пресекли в Брянской области. Диверсионную группу «выдавили» на территорию Украины, где по ней нанесли массированный артиллерийский удар.
МоскваРазобраться индивидуально
Interfax-Russia.ru – Росмолодежь направила в Роскомнадзор для блокировки материалы, связанные с «ЧВК Редан». Пока речь идет о трех размещенных в интернете материалах, продолжается экспертиза еще около 100 обращений.
МоскваЗамкнули кольцо
Interfax-Russia.ru – Большую кольцевую линию метро (БКЛ) открыли в Москве.
В 2023 году метро также придет в район Северный и к аэропорту Внуково.
ru – Особую экономическую зону создадут на Курильских островах. С помощью ОЭЗ российские власти намерены развивать эти территории и подчеркнуть их принадлежность к РФ.
В 2023 году метро также придет в район Северный и к аэропорту Внуково.Что такое скомпрометированные оценки? | CrowdStrike
Что такое оценка компрометации?
Оценка компрометации — это высокоуровневое расследование, в ходе которого квалифицированные группы используют передовые инструменты для более глубокого изучения своей среды с целью выявления текущей или прошлой активности злоумышленника в дополнение к выявлению существующих слабых мест в средствах контроля и методах. Цель комплексной оценки — ответить на критический вопрос: «Была ли взломана моя организация?»
В соответствии с нормативными стандартами в некоторых отраслях требуется проводить оценку компрометации, в то время как Агентство по кибербезопасности и безопасности инфраструктуры (CISA) рекомендует их использование в качестве передовой практики для всех организаций.
Преимущества оценки компрометации
Несмотря на достижения в области технологий кибербезопасности и увеличение бюджетов на обеспечение безопасности, среднее время ожидания практически не изменилось за последние годы.
Время ожидания — это время между входом злоумышленника в сеть и его изгнанием. Сокращение времени ожидания важно, потому что чем дольше субъект угрозы может действовать незамеченным внутри сети, тем больше времени у него есть, чтобы найти путь к наиболее ценным активам, научиться преодолевать средства защиты, устанавливать лазейки и выводить данные. Эти продвинутые постоянные угрозы (APT) наносят ущерб и обходятся дорого, но их можно обнаружить при оценке компрометации.
Глубина и широта оценки компрометации позволяет организациям определить, присутствуют ли субъекты угроз или они были взломаны. Это определение, полученное в результате всестороннего анализа, приводит к снижению риска кражи финансовых активов, данных клиентов или интеллектуальной собственности злоумышленниками.
Состояние безопасности улучшается за счет упреждающего выявления неэффективных методов обеспечения безопасности, таких как ошибки конфигурации и конфликты политик, которые могут оставлять пробелы и подвергать организации большему риску.
Оценка компромисса выявит эти недостатки и предложит путь к их устранению. Организации смогут ответить на вопрос «Была ли взломана моя организация?» В нем также будут представлены предложения по будущим улучшениям, которые можно использовать для принятия решений о бюджете и ресурсах в будущем. Наконец, оценка компромисса обязательна в соответствии с некоторыми правилами, но даже если организация не подпадает под действие одного из этих конкретных стандартов, доказательство оценки компромисса будет иметь вес для аудиторов.
Этапы оценки компрометации
Шаг 1. Оценка
Оценка компрометации начинается со сбора данных судебной экспертизы, поиска признаков потенциальной компрометации в конечных точках, сетевом трафике и журналах.
Шаг 2: Анализ
Группы оценки компрометации могут использовать собранные данные, чтобы определить, была ли атака? Если да, предполагаемые компрометации подтверждаются, и команда может провести анализ — , кто стоит за атакой — почему они нацелились на организацию – какая их цель – и как они выполняют свое ремесло.
Это знание может быть использовано для предвидения и блокирования следующих шагов противника.
Шаг 3: Помощь
Аналитики могут использовать полученные результаты оценки компрометации для реагирования на обнаруженные угрозы и их устранения.
Шаг 4: Рекомендация
Оценка компрометации завершена, когда организация понимает, как улучшить свои внутренние возможности реагирования и общее состояние безопасности, чтобы она могла предотвращать или устранять будущие инциденты.
Оценка компрометации и поиск угроз
Поиск угроз — это упреждающий поиск киберугроз, которые уже находятся внутри инфраструктуры. Охотники за угрозами разрабатывают гипотезы на основе информации, собранной о новых угрозах, и объединяют ее со знаниями о методах противника. Они используют аналитику угроз, чтобы выявить потенциальную и текущую активность злоумышленников, и применяют расширенную аналитику для обнаружения подозрительного поведения среди огромного объема информации, захваченной системами безопасности.
Охота за угрозами — это непрерывный процесс.
Оценка компромисса, с другой стороны, обычно проводится на периодической основе, часто ежеквартально или ежемесячно для анализа на момент времени и в некоторых случаях для выполнения нормативных требований. Масштабы оценки компрометации также значительно шире, чем при поиске угроз: при оценке компрометации рассматриваются не только индикаторы компрометации и индикаторы атаки, но и причины, по которым они могли произойти, какие следующие шаги следует предпринять, и какие действия можно предпринять для улучшения общего состояния безопасности организации.
CrowdStrikes Falcon Forensics позволяет командам проводить периодические оценки компрометации
CrowdStrike Falcon Forensics автоматизирует сбор актуальных и исторических данных криминалистической сортировки, позволяя командам проводить эффективную и действенную оценку компрометации на периодической основе. Являясь единым решением для анализа больших объемов данных, как исторических, так и в режиме реального времени, Falcon Forensics устраняет необходимость в разрозненных инструментах или методах приема данных, упрощая рабочие процессы аналитиков. Настраиваемые предустановленные информационные панели, такие как панель быстрых побед, были разработаны совместно с командой CrowdStrike Services, чтобы обеспечить самое высокое отношение сигнал/шум.
Falcon Forensics позволяет командам быстро развертывать масштабы, поддерживая коллекции от десятков до сотен тысяч конечных точек. Растворимый исполняемый файл выполняет сбор перед удалением себя из систем, поэтому аналитикам не нужно поддерживать и управлять другим агентом в системах, что еще больше снижает сложность.
Для организаций, которые хотят, чтобы для них была проведена самая всесторонняя оценка в отрасли, оценка компрометации служб CrowdStrike® использует многолетний опыт команды служб в реагировании на вторжения со стороны самых продвинутых злоумышленников. Вместе с мощной платформой CrowdStrike Falcon®, ведущей в отрасли аналитикой киберугроз и круглосуточным поиском угроз организации могут ответить на критический вопрос: «Была ли взломана моя организация?»
Обнаружение активности угроз после компрометации с помощью средства обнаружения IOC CHIRP
Сводка
Обновлено 15 апреля 2021 г. : Правительство США приписывает эту деятельность Службе внешней разведки России (СВР). Дополнительную информацию можно найти в заявлении Белого дома. Для получения дополнительной информации о деятельности, связанной с SolarWinds, перейдите на https://us-cert.cisa.gov/remediating-apt-compromised-networks и https://www.cisa.gov/supply-chain-compromise.
Это оповещение объявляет об использовании инструмента CISA Hunt and Incident Response Program (CHIRP). CHIRP — это инструмент сбора криминалистических данных, разработанный CISA, чтобы помочь сетевым защитникам находить индикаторы компрометации (IOC), связанные с действиями, подробно описанными в следующих предупреждениях CISA: Sector Organizations, который в первую очередь фокусируется на компрометации продуктов SolarWinds Orion субъектом продвинутой постоянной угрозы (APT), затрагивающей правительственные учреждения США, объекты критической инфраструктуры и частные сетевые организации.
- AA21-008A: Обнаружение активности угроз после взлома в облачных средах Microsoft, в котором рассматривается активность APT в средах Microsoft 365/Azure и предлагается обзор и рекомендации по доступным инструментам с открытым исходным кодом. Оповещение включает в себя инструмент Sparrow, разработанный CISA, который помогает сетевым защитникам обнаруживать возможные скомпрометированные учетные записи и приложения в среде Azure/M365.
Оповещение включает в себя инструмент Sparrow, разработанный CISA, который помогает сетевым защитникам обнаруживать возможные скомпрометированные учетные записи и приложения в среде Azure/M365.Подобно Sparrow, который сканирует признаки компрометации APT в среде M365 или Azure, CHIRP сканирует признаки компрометации APT в локальной среде.
В этом выпуске CHIRP по умолчанию ищет IOC, связанные с вредоносной активностью, описанной в AA20-352A и AA21-008A, которая проникла в локальную корпоративную среду.
CHIRP находится в свободном доступе в репозитории CISA GitHub. Дополнительные рекомендации см. в обзорном видео CHIRP от CISA. Примечание. CISA продолжит выпускать подключаемые модули и пакеты IOC для новых угроз через репозиторий CISA GitHub.
CISA рекомендует организациям использовать CHIRP для:
- Проверить журналы событий Windows на наличие артефактов, связанных с этим действием;
- Проверить реестр Windows на наличие признаков вторжения;
- Запрос сетевых артефактов Windows; и
- Применение правил YARA для обнаружения вредоносных программ, бэкдоров или имплантов.
Сетевые защитники должны проверять и подтверждать любую активность угроз после компрометации, обнаруженную инструментом. CISA предоставила оценки достоверности для каждого правила IOC и YARA, включенного в выпуск CHIRP. Для подтвержденных положительных попаданий CISA рекомендует собрать криминалистическое изображение соответствующей системы (систем) и провести криминалистический анализ системы (систем).
Если у организации нет возможности следовать указаниям, изложенным в этом предупреждении, рассмотрите возможность обращения за сторонней поддержкой в области ИТ-безопасности. Примечание : Реагирование на подтвержденные положительные попадания необходимо для изгнания злоумышленника из скомпрометированной сети.
Нажмите здесь, чтобы открыть PDF-версию этого отчета.
Технические подробности
Как работает CHIRP
CHIRP — это исполняемый файл командной строки с динамическим подключаемым модулем и системой индикаторов для поиска признаков взлома.
У CHIRP есть плагины для поиска в журналах событий и ключах реестра и запуска правил YARA для поиска признаков тактики, методов и процедур APT. CHIRP также имеет файл YAML, содержащий список IOC, которые CISA связывает с вредоносными программами и активностью APT, подробно описанными в предупреждениях CISA AA20-352A и AA21-008A.
В настоящее время инструмент ищет:
- Наличие вредоносных программ, идентифицированных исследователями безопасности как TEARDROP и RAINDROP;
- Запрос сертификата дампа учетных данных;
- Некоторые механизмы сохраняемости, определенные как связанные с этой кампанией;
- Система, сеть и перечисление M365; и
- Известные наблюдаемые индикаторы бокового смещения.
Сетевые защитники могут следовать пошаговым инструкциям в репозитории CISA CHIRP GitHub , чтобы добавлять дополнительные IOC, правила YARA или подключаемые модули в CHIRP для поиска действий после взлома, связанных с компрометацией цепочки поставок SolarWinds Orion или новыми действиями угроз.
.
В настоящее время CHIRP сканирует только операционные системы Windows.
ИнструкцииCHIRP доступен в репозитории CISA GitHub в двух формах:
Скомпилированный исполняемый файл
Скрипт Python
CISA рекомендует использовать скомпилированную версию для простого сканирования системы на наличие APT-активности. Инструкции по запуску см. в файле README.md в репозитории CHIRP на GitHub.
Если вы решите использовать нативную версию Python, см. подробные инструкции в репозитории CHIRP GitHub.
Меры по смягчению последствий
Интерпретация результатов
CHIRP предоставляет результаты сканирования в формате JSON. CISA рекомендует загружать результаты в систему управления информацией и событиями безопасности (SIEM), если таковая имеется. Если система SIEM недоступна, результаты можно просмотреть в совместимом веб-браузере или текстовом редакторе.
Если CHIRP обнаружит какую-либо активность угрозы после компрометации, эти обнаружения должны быть проверены и подтверждены. CISA предоставила оценки достоверности для каждого правила IOC и YARA, включенного в выпуск CHIRP. Для подтвержденных положительных попаданий CISA рекомендует собрать криминалистическое изображение соответствующей системы (систем) и провести криминалистический анализ системы (систем).
Если у вас нет возможности следовать указаниям, приведенным в этом предупреждении, рассмотрите возможность обращения за сторонней поддержкой в области ИТ-безопасности. Примечание: Реагирование на подтвержденные положительные попадания необходимо для изгнания злоумышленника из скомпрометированной сети.
Часто задаваемые вопросы- На каких системах должен работать CHIRP?
Системы, использующие SolarWinds Orion или предположительно вовлеченные в любое боковое движение.
- Что делать с результатами?
Загрузите результаты JSON в систему SIEM, веб-браузер или текстовый редактор.
- Существуют ли существующие инструменты, которые дополняют CHIRP и/или обеспечивают те же преимущества, что и CHIRP?
Разработчики антивирусного программного обеспечения, возможно, начали внедрять средства обнаружения действий после взлома SolarWinds. Однако эти продукты могут пропустить исторические признаки компрометации. CHIRP может обеспечить дополнительные преимущества для антивируса при запуске.
CISA ранее выпустила инструмент Sparrow, который сканирует активность APT в средах M365 и Azure, связанную с активностью, описанной в предупреждениях CISA AA20-352A и AA21-008A. CHIRP предоставляет дополнительные возможности для Sparrow, сканируя локальные системы на наличие аналогичной активности.
- Как часто следует запускать CHIRP?
CHIRP можно запускать один раз или регулярно. В настоящее время CHIRP не предоставляет механизма для многократного запуска в собственном формате.
- Нужно ли настраивать инструмент перед его запуском?
№
- Будет ли CHIRP изменять или влиять на что-либо в системе(ах), на которой он работает?
Нет, CHIRP только сканирует системы, на которых он работает, и не вносит активных изменений.
- Сколько времени потребуется для запуска CHIRP?
CHIRP завершит сканирование примерно за 1–2 часа. Продолжительность будет зависеть от уровня активности, системы и размера резидентных наборов данных. CHIRP будет периодически обновлять информацию о ходе работы.
- Если у меня есть вопросы, к кому мне обратиться?
По общим вопросам, касающимся CHIRP, обращайтесь в CISA по электронной почте [email protected] или по телефону 1-888-282-0870. Чтобы сообщить о признаках потенциальной компрометации, свяжитесь с нами, отправив отчет через наш веб-сайт по адресу https://us-cert.cisa.gov/report. По всем техническим вопросам или поддержке CHIRP отправляйте вопросы в репозиторий CISA CHIRP GitHub.
