Защита от скрытых атак, или Как найти чёрную кошку в тёмной комнате

Защита от скрытых атак, или Как найти чёрную кошку в тёмной комнате

По оценкам аналитиков, общий объём рынка ИБ в России за 2022 год достиг 160 млрд руб. Несмотря на серьёзные цифры бюджетов, затрачиваемых на информационную безопасность, ущерб от киберпреступлений остаётся колоссальным.

Статистика подсказывает, что минимальное время проникновения в компьютерную сеть составляет тридцать минут, а в среднем злоумышленникам требуется 1–2 дня для преодоления защиты. При этом хакеры могут оставаться незамеченными довольно продолжительное время, доходящее до нескольких месяцев и более. И всё это – несмотря на большое количество средств защиты информации (СЗИ), внедрённых, во всяком случае, в крупных компаниях. За счёт чего же это становится возможным и как эффективно защититься от кибератак? 

НАЙТИ УЯЗВИМОСТЬ

Наш опыт проведения тестирований на проникновение показал, что большому числу компаний присущи ряд недостатков, позволяющих хакеру получить доступ уровня администратора сети. К ним относятся неисправленные уязвимости как на внешнем периметре, так и в программном обеспечении внутри сети. Отметим использование словарных и простых паролей, не установленные обновления безопасности. Всё ещё довольно редко применяется двухфакторная аутентификация в Active Directory. Зачастую бывает отключён мониторинг запрашиваемых билетов Kerberos. В качестве мер защиты мы применяем у наших заказчиков установку сканеров уязвимостей, внедряем систему управления паролями и ряд других мер. Отдельного внимания заслуживает опасность компрометации привилегированных учётных записей, для борьбы с которой рекомендуем устанавливать специализированные решения по их управлению.

Основными факторами повышенной киберуязвимости становятся значительно возросшая частота применения методов социальной инженерии, высокая доля целенаправленных атак, в том числе использование уязвимостей нулевого дня. Не стоит сбрасывать со счетов использование такого вида атаки, как «злой двойник» (Evil Twin Attack), позволяющей создавать поддельные точки доступа и получать доступ к информации, проходящей через них. Наша практика показывает, что злоумышленника, проникшего в сеть, проще выявить, если внедрять решения по анализу трафика и сеть ловушек, позволяющих увидеть подозрительную активность. Кроме того, положительно зарекомендовала себя технология UEBA, позволяющая на основе машинного обучения увидеть аномальные активности со стороны пользователей.

ПРО СОЦИАЛЬНУЮ ИНЖЕНЕРИЮ

По опыту общения с заказчиками, применение методов социальной инженерии кратно возросло в течение 2022 года. Злоумышленники получают доступ к логинам, паролям и другой информации с помощью манипуляций и обмана, а СЗИ далеко не всегда срабатывают в этих случаях. Фишинг, смишинг, вишинг – эти слова стали неотъемлемой частью лексикона не только ИБ-специалистов, но и обычных пользователей. Статистика киберучений показывает, что при грамотно сформулированном псевдомошенническом письме доля открытия вложений и ссылок достигает 50% и более. В случае получения настоящего фишингового письма это может приводить к компрометации учётных записей, и злоумышленник попадает в сеть незамеченным. Несмотря на повсеместно внедрённые решения по защите электронной почты, благодаря созданию новых доменов, использованию VPN и созданию максимально правдоподобного контента часть писем доходит до адресатов, что приводит к печальным последствиям. Для борьбы с фишингом предназначены решения класса Security Awareness, включающего обнаружение с помощью псевдофишинговых рассылок сотрудников, подверженных рискам, их обучение и дальнейшее тестирование.

НОВЫЕ МЕТОДЫ БОРЬБЫ С ЦЕЛЕНАПРАВЛЕННЫМИ АТАКАМИ

Целенаправленные атаки отличаются высоким уровнем планирования, включают разведку и сокрытие следов присутствия и наносят серьёзный финансовый ущерб. Помимо традиционных средств борьбы, таких как «песочницы», существует ряд относительно новых и весьма эффективных методов обнаружения атак и минимизации рисков компрометации информационных активов.

В первую очередь это решения класса Network Traffic Analysis, системы анализа трафика, позволяющие находить следы компьютерных атак как на периметре, так и внутри сети. Такие продукты позволяют находить различные источники атак, включая попытку эксплуатации уязвимостей, открытые порты и т. д. При этом благодаря хранению копии трафика данные решения играют важную роль в расследовании киберинцидентов.

Особое место занимают решения класса Deception, которые за счёт расстановки в сети приманок и ловушек, имитирующих реальные информационные системы, позволяют пустить злоумышленника по ложному следу и заодно обнаружить атаку. Внедрение подобных технологий удачно ложится в канву проведения тестирования на проникновение. Если пентестер в первую очередь после проникновения в сеть зайдёт на «подложную» информационную систему, значит, ловушки расставлены правильно и с большой вероятностью на эту же информационную систему клюнет и реальный хакер.

Есть и другой класс эффективных решений, позволяющих противодействовать обходу хакерами СЗИ. При запросе ядра операционной системы о наличии на хосте тех или иных решений ИБ такое решение перехватывает эти запросы и даже при отсутствии тех или иных СЗИ на вопрос об их наличии отвечает утвердительно, тем самым атака захлёбывается, едва начавшись.

Говоря о готовности сотрудников SOC и СЗИ к атакам на предприятие, нельзя не упомянуть о классе решений BAS (Breach and Attack Simulation), позволяющем в автоматизированном режиме проводить атаки на компьютерную сеть.

В последние годы стали популярны XDR-решения (Extended Detection and Response – расширенное обнаружение и реагирование). Они объединяют в себе базу индикаторов компрометации вместе с анализом всех хостов в сети, как конечных точек, так и сетевого оборудования, строят цепочки событий и позволяют анализировать, например, не восемь отдельных событий, а одно, их объединяющее. Это сильно экономит время ИБ-службы, а дополнительное преимущество заключается в возможности автоматизированного реагирования благодаря интеграции с различными СЗИ.

THREAT INTELLIGENCE

Внедряемые CTI платформы Threat Intelligence позволяют благодаря регулярно обновляемой базе индикаторов компрометации находить признаки начинающейся атаки, например подмену DLL-библиотеки, и эффективно решают задачи по обнаружению вторжения там, где традиционные IPS-системы (Intrusion Prevention Systems – системы предотвращения вторжений), основанные на сигнатурном методе, оказываются недостаточными. Что же касается Threat Hunting, то эта технология рассчитана на высокий уровень зрелости информационной безопасности организации, что предполагает наличие аналитиков, в проактивном режиме ищущих следы компрометации, в отличие от традиционной модели работы, парадигма которых – дождаться сигнала об атаке, после чего предпринимать действия по защите от неё. Внедрение концепции Threat Hunting может стать вишенкой на торте, но уже после внедрения всех основных ИБ-решений, включая решения по сетевой защите, мониторингу и управлению событиями безопасности и защите прикладных систем. 

КОМПЛЕКСНЫЙ ПОДХОД

Для обеспечения эффективной защиты важен сервисный комплексный подход. CTI предлагает «безвендорскую» поддержку оборудования и ПО западных производителей на уровне, максимально приближённом к тому, что предлагали до 2022 года сами производители. Рынок подобных услуг сейчас во многом определяется техническими возможностями и ресурсами конкретной сервисной компании, а спрос на них можно назвать ажиотажным. Компания CTI на протяжении многих лет работала как с иностранными, так и с российскими вендорами. Накопленный экспертный опыт позволяет осуществлять проекты максимально бесшовного перехода с западных решений на отечественные с учётом глубокого понимания специфики их функционирования. Высококвалифицированные инженеры сервисного департамента оказывают как «безвендорскую» поддержку, так и услуги 1-й и 2-й линии поддержки по решениям российских вендоров.

Подводя черту, отметим, что в силу изменения ландшафта угроз базовыми, с точки зрения выявления атак, становятся такие решения, как NTA, Threat Intelligence, XDR, процессы проактивной охоты за угрозами (Threat Hunting), которые наряду с повышением осведомлённости сотрудников об угрозах ИБ и проведением киберучений способны стать опорой в борьбе с киберпреступностью.