Wednesday, March 29, 2017

Threat hunting как процесс SOC

Сегодня на 7-ом собрании SOC Club-а "SOC в России" рассказывал о Threat hunting-e в рамках работы SOC. Вот презентация:


Технически получилось немного смазано, так как я не совсем уложился во время, поэтому в этом посте перечислю основные тезисы, которые я хотел донести:
1. Переход "защиты от ВПО" в "защиту от целевых атак" - очевидная эволюция ландшафта угроз.
2. Эволюции п.1 соответствует очевидное развитие подходов к защите: от Alerting-а, как реакции на предопределенные сигнатуры, до Hunting-а, как поиска новых угроз.
3. Современные атаки обладают рядом свойств, которые надо брать во внимание при планировании СЗИ (слайд 5)
3. История с Vault7 полностью добила веру в эффективность превентивных средств защиты и сместила приоритеты развития СЗИ именно в сторону своевременного обнаружения и быстрого восстановления (слайд 6)
7. Слайд 7 - концептуальные различия подходов. Слайд "пропал", так как я забыл его сделать видимым в pptx ;), однако, попереживав несколько секунд, решил, что в этом нет ничего страшного, так как уже неоднократно его показывал и рассказывал, например, здесь.
8. Threat hunting не исключает подходы классического мониторинга, а дополняет. На слайде 8 показано это взаимное дополнение, разложенное по процессу управления инцидентами.
9. Для TH нужны исходные данные и технологии. Это представлено на слайде 9. Расскажу по аббревиатурам - это наши внутренние подразделения-поставщики знаний для нас: Global Research and Analysis team (GReAT), Anti-Malware research (AMR), Targeted Attack Research Group (TARG), Security Operations Center (SOC) - имеется в виду наша внутренняя практика обнаружения, коей больше с каждым инцидентом, не являющемся фолсой, Security Services Research (SSR) - наш внутренний ИБ ресеч; сервисы расследования инцидентов - Incident response (IR), Digital forensics (DF), Malware analysis (MA); ну а поставщиком на сырых нотификаций на низком уровне выступает - Endpoint (EP).
Важным моментом в этом слайде является стрелочка "Постоянное совершенствование", означающая, что мы реализуем новые детектирующие и микрокорреляционные логики на уровне ЕР, - можно считать, аналогично, созданию сигнатур.
В качестве иллюстрации дана картинка все с той же презентации, где показана максимально упрощенно текущая процессная модель ТН.
10. Последний слайд - действительно последний, отражающий где в общем списке процессов SOC (список процессов взят из ГосСОПКИ) ТН и на что он в основном нацелен.

Надеюсь, что доклад (в совокупности с этим постом) будет полезен аудитории.








Wednesday, March 22, 2017

Оружие массового поражения для всех

- Безопасность - это когда стоимость взлома превышает стоимость выгод атакующего.
- Вы уверены?

Новости про ЦРУ уже не произвели такого фурора, как товарищ Сноуден, в свое время. Все привыкли, что за нами следят и вендоры бывают на госконтрактах и их терзают смутные сомнения. Очевидна нерентабельность усилий противостояния гражданина армии, что объясняет наличие соответствующих по возможностям подразделений

Но, тем не менее, лично мне эта публикация все равно расширила кругозор, цитаты:
1. "Securing such 'weapons' is particularly difficult since the same people who develop and use them have the skills to exfiltrate copies without leaving traces — sometimes by using the very same 'weapons' against the organizations that contain them. There are substantial price incentives for government hackers and consultants to obtain copies since there is a global "vulnerability market" that will pay hundreds of thousands to millions of dollars for copies of such 'weapons'. Similarly, contractors and companies who obtain such 'weapons' sometimes use them for their own purposes, obtaining advantage over their competitors in selling 'hacking' services."

2. "In what is surely one of the most astounding intelligence own goals in living memory, the CIA structured its classification regime such that for the most market valuable part of "Vault 7" — the CIA's weaponized malware (implants + zero days), Listening Posts (LP), and Command and Control (C2) systems — the agency has little legal recourse.

The CIA made these systems unclassified.

Why the CIA chose to make its cyberarsenal unclassified reveals how concepts developed for military use do not easily crossover to the 'battlefield' of cyber 'war'.

To attack its targets, the CIA usually requires that its implants communicate with their control programs over the internet. If CIA implants, Command & Control and Listening Post software were classified, then CIA officers could be prosecuted or dismissed for violating rules that prohibit placing classified information onto the Internet. Consequently the CIA has secretly made most of its cyber spying/war code unclassified. The U.S. government is not able to assert copyright either, due to restrictions in the U.S. Constitution. This means that cyber 'arms' manufactures and computer hackers can freely "pirate" these 'weapons' if they are obtained. The CIA has primarily had to rely on obfuscation to protect its malware secrets."

В целом, текст достаточно красноречив, и не нуждается в моих комментариях... Но вы только вдумайтесь: все мои инвестиции в проактивную безопасность - это повышение стоимости взлома, потому что, очевидно, взломать можно все и вопрос только в ресурсах на это потраченных. Но в сложившейся ситуации аксиома о том, что я могу чувствовать себя в безопасности, когда стоимость моей компрометации достаточно высока - уже не работает, потому что есть некоторая организация с бесконечными ресурсами, инвестирующая в технологии нападения и никак не ограничивающая и не контролирующая их использование! Даже, выкинув из внимания вопросы этики, морали и глобальной информационной безопасности, - ситуация выглядит аналогично, как если бы некая контора делала атомные бомбы (или оружие массового поражения (ОМП) вообще) и разбрасывала их по миру для всеобщего использования. Конечно же, оно при этом может попадать в руки террористов и прочего криминала, а пытаться что-то со всем этим делать приходится нам.
Вспоминается, как подозрение в наличии ОМП послужило причиной лишения государства суверенитета, как аргумента для спасения Человечества. Здесь же кибероружие разрабатывают и практически публикуют, и это "считается" нормальным, все по комплайенсу.
Так что, уважаемые коллеги, интерпрайзные безопасники, вот у нас с вами новое обстоятельство, которое надо брать во внимание.

Sunday, March 19, 2017

Контекст угрозы

Даже хорошо спроектированные процессы дают сбой на стыках ответственности - всегда может обнаружиться что-то там, где предыдущие уже не отвечают, а следующие еще не включились.

Я писал про Контекст, но это - одна его сторона, связанная с конкретной инфраструктурой конкретного предприятия, спецификой, так сказать, Объекта защиты. Однако, есть и другая сторона, которую позволю себе назвать Контекстом угрозы. Концептуально контекст угрозы понять очень просто: такой инструмент как нож, в руках Джека-потрошителя и в руках грибника - представляет собой совершенно разную угрозу и это, безусловно, необходимо учитывать планирующему контроли безопасности. Именно поэтому неправильно продетекчивать конкретный инструмент (~нож), не беря во внимания Контекст угрозы, - в случае Грибника такой подход будет фолсить.

Может показаться, что требование анализа Контекста угрозы выглядит не реализуемым, поскольку он, очевидно, определяется последствиями, которые далеко не всегда предсказуемы, а нам следует их предотвращать. Да, это сложно, так как мы уже не можем тупо продетекчивать все ножи в независимости кто и как ими пользуется, и даже все еще хуже - преступления можно совершать вполне бытовыми инструментами, но, уверяю, это возможно. Именно для этого есть аналитика, различные скоринговые алгоритмы, машобуч, в конце концов! Нормальные инфобез-вендоры уже не сражаются с конкретной малварой\инструментами, но противостоят злоумышленникам их использующим, что позволяет при смене инструмента продолжать успешно защищать своих клиентов. Низкий уровень ошибок I и II рода при изменяющихся инструментах - является простейшим подтверждением результативности анализа Контекста угрозы, хорошим критерием качества совокупного detect rate продуктов безопасности - услуг и технологий.

Закончить пост хочется той же идеей о разделении ответственности. Как видим, Контекст имеет, минимум, две перспективы: контекст угрозы, определяющий специфику непосредственной угрозы вообще, и контекст среды, характеризующий насколько данная конкретная угрозы актуальна для данного конкретного предприятия. Контекст угрозы должен обязательно быть адресован поставщиком продуктов безопасности "из коробки", Контекст среды - это уже вопрос адаптации в конкретную инфраструктуру.

Tuesday, January 24, 2017

SLA для Threat Hunting-а

Чем бы вы не занимались, это нужно уметь измерять, как минимум, чтобы самому себе доказать, что вы делаете правильные вещи и делаете их правильно.


Любая работа SOC характеризуется определенными параметрами уровня сервиса, закрепленными в Соглашении. Традиционно, - это Время реакции и Время решения. Threat hunting (TH), вроде как, тоже работа SOC, а значит, тоже должны быть метрики времен реакции и решения... А вот и нет! 

Эти метрики предполагают, что есть некоторая точка во времени, откуда начинается их отчет, т.е. они по определению неразрывно связаны с Alerting-ом. ТН же предполагает проверку гипотезы путем анализа множества показателей, каждый из которых по отдельности еще не является свидетельством атаки, однако совокупность таких признаков, под соусом всевозможного Threat intelligence, помноженная на опыт аналитика - вполне может ею быть. На практике ТН реализуется как совокупность поисковых запросов, выдающих некоторый список кейсов, которые надо "отсмотреть" и расследовать, путем все тех же запросов, но с уже с уточненными условиями, - получить новый список кейсов, которые также надо проверить и т.п. - процесс итеративный. Обнаружив через последовательность таких запросов подозрение на атаку, аналитик регистрирует инцидент. В этом подходе нет Alert-а (или есть, но он не представляет собой точный детект, требующий уже реакции, но требующий проверки) от которого начинают свой отчет Время реакции и Время решения, и поэтому такие метрики здесь не подходят. Да они и не нужны, - в случае целевой атаки, согласитесь, если вы были взломаны по меньшей мере последние 6+ месяцев, дополнительные несколько дней на время реакции\решения - не принципиальны.

Но, раз мы занимается чем-то, очевидно, это что-то надо уметь мерить, иначе просто не понятно делаем ли мы это хорошо, и вообще, нужно ли это делать, поэтому метрики нужны. Можно предложить следующие:
1. этап атаки, когда вы ее обнаружили - характеризует оперативную готовность, а также способность обнаруживать атаку на разных стадиях (очевидно, обнаружить надо уметь на всех этапах и, по возможности, как можно раньше);
2. абсолютное время с момента компрометации - спустя сколько времени с момента взлома обнаружили (надо учитывать только то время, в которое проводился ТН);
3. критичность обнаруженного инцидента - важно для планирования реагирования;
4. % и тип ложных срабатываний - определяет с одной стороны - качество подходов к обнаружению, а с другой стороны - эффективность расходования ресурсов ТН;
5. гипотеза, которая сработала, - гипотеза может быть оформлена, например, в виде цепочки связанных событий, что технически может быть реализовано в виде последовательности связанных поисковых запросов и частично может быть автоматизировано - нужно анализировать результативность гипотез (сразу замечу, что это не просто количество успешных "хитов", а более сложная метрика, учитывающая современные тренды, "моду" на те или иные ТТР атакующих), ну, как минимум, чтобы, придя в поле, приоритезировать свою работу, проверяя в первую очередь гипотезы, наиболее часто дающие положительный результат (вообще, для гипотез надо иметь своего рода процесс Управления изменениями, чтобы отслеживать все их параметры: фолсивость, трудоемкость проверки, актуальность/современность, где/кто использовал такие ТТР и т.п., - это заслуживает отдельной заметки);
6. степень автоматизации - параметр который, преодолевая все трудности насколько это возможно, надо стремиться увеличивать со временем (== его надо контролировать);

Тема ТН последнее время популярна, поэтому есть масса публикаций, в том числе и по тематике измерений. Возникшие идеи приветствуются в комментариях.



Thursday, January 19, 2017

Об Ответственности и Возможностях

....тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. 
Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. 
Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении.
Сунь-цзы. "Искусство войны"

Ни у кого не вызывает сомнения заключение, что оборона должна соответствовать нападению. Именно поэтому бытовые конфликты в той или иной степени мы способны разрешать самостоятельно, против бандитов-одиночек и организованной преступности у нас есть полиция, для эффективных военный действий - используется армия. Указанные три стратегии обороны характеризуются различными инструментами, применяемыми подходами, глубиной разведки и планирования действий, в общем - сильно разными TTP, следовательно, требуют разного оснащения и обеспечения, прежде чем эффективно и результативно защищаться, и поэтому имеют разные возможности, определяющие их способности и возлагаемую ответственность. Я не раз писал, что профессионалам должны противостоять профессионалы, и дело далеко не полностью определяется исключительно профессионализмом команды, как и эффективность военный действий не определяется исключительно способностью каждого солдата метко стрелять, быстро и незаметно перемещаться и т.п. Здесь нужна целая система взаимосвязанных мероприятий, позволяющая к моменту начала боя полностью знать противника: его цели, тактику и стратегию, применяемые инструменты, в общем, опять ТТР. Понятно, что наши противники имеют достаточно методов и средств, чтобы не делиться с нами своими ТТР, а поэтому нам нужны возможности эти сведения доставать, поскольку без знания противника ему невозможно противостоять. Именно поэтому полиция, не имея поддержки ФСБ, СВР, ГРУ не может противостоять организованным вооруженным силам, и тем более неэффективны гражданские - сколько не было бы отважным народное ополчение, при прочих равных условиях без грамотного руководства (а мы знаем из истории и даже художественной литературы, что эффективные народные ополчения возглавлялись профессиональными военными) оно не сможет противостоять регулярной армии.

Вроде как бы все очевидно, да? Однако почему в области кибербезопасности мы думаем иначе? Сколько ни был бы профессиональным безопасник или целое подразделение копрбезопасности, почему есть полная уверенность, что он способен противостоять киберармии (APT-кампаниям), и что в его ответственности лежит не допустить компрометации? А разве он имеет возможности, для обеспечения этой ответственности? Он имеет возможность провести глубокую разведку противника (== исследовать группировки, организующие APT-кампании)? Он имеет возможность реверсить применяемые противником инструменты/оружие, чтобы выковыривать оттуда информацию о других инструментах и инфраструктуре и придумывать что с этим можно поделать? Он смотрит на вопрос широко (== видит больше своей сети)? Едва ли он имеет многолетний опыт (== критерий профессионализма) таких исследований (давно ли мы заговорили об целевых атака?), позволяющий ему прогнозировать действия противников и производить безошибочную атрибутику. 

Я не вижу ничего особенного в том, что корпоративная безопасность зачастую не может эффективно противостоять целевым атакам - это всего лишь подтверждает мой старый тезис что профессионалам должны противостоять профессионалы с аналогичным обеспечением и возможностями. Поэтому не стоит по этому поводу сокрушаться, ибо для достижения лучшей результативности надо усиливать свои сильные стороны, а не подтягивать свои слабые - не надо бросаться в исследования атак, форенсику и реверс ВПО, - едва ли получится это делать лучше специализированных компаний, делающих это более 20 лет, но надо усиливать те направления, где никто вам не помощник: понимать ваши бизнес-процессы и циркулирующую там информацию, где в них ценность как для потенциального атакующего, так и для вашего бизнеса, что не получится защитить техническими контролями и что с этим можно поделать и т.п. Только так, дополнив "знание себя" аутсорсингом того, кто "знает врага", можно построить действительно эффективную оборону!

Saturday, December 31, 2016

Профессионализм vs. Новые идеи

Собирая новую команду мы стремимся найти себе как можно более профессиональных коллег, обладающих многолетним опытом, и сильно переживаем, когда желанных гуру найти не удается. Будучи оптимистом, надо всегда стремиться находить положительное зерно в любой, на первый взгляд, очевидно негативной ситуации. Так и здесь, опыт далеко не однократного набора команд, показал объективные преимущества молодежи перед подразделениями, полностью укомплектованными звездами. А в ситуации, когда вы стартуете что-то абсолютно новое, что ранее никто не делал, напротив, чрезмерный профессионализм может быть даже вреден.

К величайшему сожалению (и даже тех, кто об этом задумывается и понимает), в большинстве случаев наше самомнение в значительной степени обгоняет наш профессионализм. Поэтому вместе с расширением и углублением знаний в какой-либо области, мы теряем способность слышать и воспринимать альтернативное мнение. Я люблю приводить аналогии и верю в повсеместную применимость законов сохранения, - и этот случай не исключение: как чем глубже автомобиль залез в колею, тем труднее из нее выехать, так и чем более профессионален сотрудник, тем сложнее его заставить смотреть на вещи иначе, стимулировать его решать задачи не так, как он привык это делать.

Проблема вообще не нова, - всегда было тяжело пробиться сквозь консервативные взгляды, однако пост о том, что профессионализм часто является катализатором такой ситуации, а людям значительно сложнее победить самих себя, чем кого бы то ни было, причем справиться с собой тем сложнее, чем более сильным характером мы обладаем.

Молодые, не обремененные глубоким профессионализмом, мешающим им видеть альтернативы и не бояться изобретать велосипеды, напротив, открыты к новым идеям, способны их слышать и понимать, быстро адаптироваться к новым условиям, а это как раз то, что нужно, если вы делаете что-то новое, идете по ранее нехоженой тропе, и ваш план достижения цели динамично изменяется в процессе движения.

В этом последнем моем посте в уходящем году, я хотел бы нам всем пожелать:

  • всегда видеть положительные моменты в любой ситуации;
  • становиться как можно более широкими и глубокими профессионалами и, вместе с тем, не обрастать инертностью мышления;
  • новых идей;
  • отсутствия страха, а напротив, повышения интереса и увлеченности, при виде трудностей;
  • удачи и Божьей благодати.

Sunday, December 25, 2016

Полечить нельзя форенсить

Наверно, многим читателям этот пост покажется очевидным баяном, однако, к сожалению, мой опыт общения с разными людьми не позволяет утверждать это с уверенностью, поэтому вынужден в очередной раз прибегнуть к созданию поста, который в дальнейшем можно будет давать ссылкой и не тратить много времени на объяснения.

Заметна некоторая путаница в терминах: APT, целевые атаки, вредоносное ПО и т.п., поэтому сразу договоримся: атака - это то, что делается людьми; целевая атака - характеризуется наличием конкретной цели (жертвы), кастомизирована под жертву; APT - крутой маркетинговый термин для целевая атака. Атака всегда выполняется с помощью каких-либо инструментов, которые могут быть как легитимными (их изначальный функционал не предполагает вредоносных, нарушающих КЦД, действий, так и, собственно, ВПО.

ВПО может быть "обычное", "случайно залетевшее", не связанное с целевой атакой - это означает, что за успехом данного ВПО атакующий не следит, т.е. в случае его неуспеха, атака не будет повторяться до тех пока, пока компрометация не будет произведена. Назовет сценарий такого инцидента "Обычная малвара".

Но бывает и иной сценарий - ВПО является кастомизированным инструментом проведения атаки. Тут миллион различных вариантов, но принципиально, что в этом случае за атакой стоит целеустремленный человек, который в случае неуспеха будет пробиваться до последнего, пока цель не будет достигнута. Здесь хорошим сравнением может служить команда пентестеров, которая рано или поздно совершит успешный взлом через тот или иной вектор. Вот это и есть "Целевая атака".

При расследовании инцидентов ИБ принципиально отличать "Обычную малвару" от "Целевой атаки", поскольку принципиально различная реакция требуется.

Обычную малвару можно просто продетектить антивирусом и на этом атака будет исчерпана. Ну конечно, если у вас бесконечные ресурсы форенсеров, вы можете расследовать каждый такой инцидент, а по результатам чинить свою периметровую защиту, чтобы впредь такое не повторялось - будет прямо как по книжкам. Однако, любой кто видел лог антивируса в большом интерпрайзе поймет, что такое количество детектов более чем неразумно подробно расследовать. Компромиссное решение - смотреть статистику за период, выявлять наиболее частые вектора и сценарии, адресовать их в планах развития своей ИБ.

А вот с целевой атакой все наоборот, - обнаружив какой ее компонент просто детектить ее нельзя. Помним, что за ней стоят конкретные люди, которые превосходят в технических познаниях и возможностях нас с вами, бумажных интерпрайзных безопасников, голова которых забита космосом про СУИБ, governance и пр., безусловно, важными вещами, но, как правило, далекими от практической стороны вопроса, - заметив, что мы их стали детектить - они сменят тактику\инструменты\процедуры и мы снова будем вынуждены их искать, или надежно уничтожат свои следы и мы не сможем их исследовать, или обидятся и что-нибудь нам поломают - мы же пока еще не знаем как глубоко они в нас попали и какие у них есть возможности по управлению нашими системами, как они закрепились и т.п. В случае целевой атаки надо проводить полноценное расследование, получить ответы, как минимум, на следующие вопросы:
- как они получают к нам доступ, как осуществляется контроль со стороны атакующего, как устроена С&C, как передаются данные;
- как они к нам попали (вектор проникновения);
- все стадии атаки (для затруднения расследования, уничтожения следов, а также множества других плюсов с т.з. разработки атаки, применяются многоступенчатые комбинации, когда одно [В]ПО запускает другое [В]ПО, которое надежно удаляет первое, которое запускает третье и т.п.);
- какие инструменты они используют, и как все эти компоненты работают совместно, управляются;
- как и где они закрепились, как реализовано обеспечение высокой доступности инфраструктуры атаки (плохие ребята, безусловно, готовы к тому, что их когда-то начнут детектить, поэтому у них есть миллион вариантов, как обеспечить живучесть своей атаки - многократное закрепление с использованием различных техник, взаимный контроль закрепления - сервисы которые поднимают друг друга и перепрописывают правильные слова в конфигах и реестре в т.ч. и по сети и т.п.)

Собрав ответы на все эти вопросы можно спланировать эффективную реакцию, основная цель которой - обрубить все щупальце сразу, чтобы атакующий не смог быстро восстановить свой доступ и был вынужден вернуться на первые стадии килчейна - разведка снаружи или первоначальный пробив. Понятно, что без "dd hdd" на все эти вопросы не ответить, поэтому здесь понадобятся полноценные форенсика, чтобы собрать куски инструментария, информацию о закреплении в системах, какие вектора проникновения выполнены и т.п. (что можно вытащить из форенсики достойно отдельного поста, а может и не одного) и анализ образцов ВПО, чтобы найти другие связанные компоненты, понять где С&С и как передаются данные, понять функциональное назначение каждого компонента и т.п. (также тема очень обширная). Закончив с форенсикой и анализом ВПО можно спланировать реагирование на инцидент, чтобы максимально быстро всех накрыть и атака не успела мутировать. 

Я люблю для пояснения использовать аналогии - здесь подходит аналогия с захватом ОПГ. Чтобы затем не гоняться за ее участниками, каждый из которых может собрать по такой же ОПГ, что явно прибавит работы и увеличит ущерб, лучше придумать как накрыть всех сразу.

"Все здорово", - скажете вы, - "но как же отличить "целевую атаку" от "обычной малвары"? Наверно, и в этом случае отвечать пришлось бы очень долго, однако накидаю первые пришедшие на мысли:
- анализ найденного ВПО - в случае целевой атаки процесс будет превышать одну итерацию: нашел подозрительный образец, отреверсили, достали из него IoC-и (какие-то связанные компоненты, какие-то конфиги, ветки реестра, адреса С&С - да что угодно, по чему можно поискать и быть уверенным, что найденное будет относиться к нашему кейсу), поискали данные IoC-и по всей нашей сети, нашли еще файлы, компьютеры - их тоже отреверсили\отфоренсили, вытащили новые IoC-и - поискали уже по ним и т.п.;
- установленный функционал - что файлик делает, понятно ли вообще на текущем этапе его назначение;
- популярность - видели ли это где-нибудь когда-нибудь у кого-либо раньше;
- пересечения по имеющемуся Threat intelligence - может, что-то совпадает по C&C, по хешам компонент, по поведенческим сигнатурам, по любым другим IoC-ам и атрибутам атаки.

Буквально пару слов про атаки без применения ВПО (возможно, об этом надо отдельно написать поподробнее). Такие атаки находятся исключительно по поведению в тесной коммуникации с владельцем инфраструктуры, ибо здесь без "situational awareness" не обойтись - отличить легитимное использование psexec, teamviewer или powershell-скрипта, запускаемого из Word-а от нелигитимного, к сожалению, можно только спросив. В большинстве случаев нелегальных действий без применения ВПО мы будем иметь дело с целевой атакой.

В заключение, приведу простую последовательность действий (эдакий дайджест из всего, что я выше написал):
1. Если вы что-то обнаружили - начинаем строить цепочку расследования: (то, что обнаружили) -> IoC1 -> (то, что нашли по IoC1) -> IoC2 -> (то, что нашли по IoC2) -> ... .
2. Если цепочка закончилась на том, что обнаружили (нет связных компонентов, функционал понятен и т.п.) - можно просто продетектить\пролечить, как  yet another malware и закрыть инцидент.
3. Если цепочка длинная, то надо пройти ее до конца, вытащив всю информацию об атаке, достаточную для того, чтобы накрыть всех сразу.
4. Придумать как накрыть всех сразу и сделать это.
5. Придумать как защититься в будущем.