Как правило, когда мы говорим об управлении киберрисками, мы затрагиваем в первую очередь вопросы обеспечения безопасности инфраструктуры, будь то инвентаризация активов и харденинг, управление уязвимостями, использование средств защиты информации, выстраивание процессов security operations или внедрение регламентов ИБ.
И на то есть причины. Ведь большинство тактик, техник и процедур злоумышленников эффективно детектируются и митигируются при их взаимодействии с атакуемой инфраструктурой. Несмотря на то что ни одно СЗИ и ни один подход к обеспечению ИБ не дают стопроцентной гарантии безопасности, их использование позволяет повысить шансы своевременного обнаружения действий злоумышленников до нанесения ущерба и снизить соответствующие киберриски: антивирусные средства и EDR обеспечивают обнаружение вредоносной активности на конечных хостах, «песочницы» анализируют вредоносную нагрузку, сетевое оборудование анализирует трафик, харденинг и сегментация ограничивают возможности горизонтального перемещения и эскалации привилегий, управление активами снижает риск эксплуатации уязвимостей и вероятность «забыть» о существовании этих активов, регулярное повышение осведомлённости пользователей снижает риск человеческого фактора (особенно при открытии фишинговых писем), а процессы securityoperationsобъединяют все эшелоны обороны воедино.
Если описывать действия злоумышленника через killchain, когда для проведения атаки он проходит несколько этапов, то все упомянутые меры нацелены на этапы от «Доставки» до «Нанесения ущерба» (рис.).
Рисунок. Действия злоумышленника через killchain проходят несколько этапов
При этом за рамками контроля остаются как подготовительные этапы проведения атаки, так и угрозы, которые наносят ущерб вообще за пределами инфраструктуры организации. Поговорим про каждый из аспектов подробнее.
РАЗВЕДКА И АНАЛИЗ ЦИФРОВОГО СЛЕДА
На подготовительных этапах атаки задача злоумышленника — собрать как можно больше информации об инфраструктуре жертвы. При этом, исходя из тенденций как российского региона, так и мировой практики, основной упор делается на поиск утёкших секретов жертвы (логин/пароль пользователей системы, ключи, токены, фрагменты кода и т. д.). По некоторым оценкам, легитимные учётные данные использовались для первичного проникновения в инфраструктуру (Т.1078 MITREATT&CK®) в 30% случаев от общего числа атак в 2024 году, а по сравнению с предыдущим годом их количество увеличилось на 70%.
Рост популярности подхода понятен: login дешевле, чем hackin. Кроме того, обнаружить активность злоумышленника под легитимной учётной записью значительно сложнее. Ситуация усугубляется, если украденная УЗ обладает повышенными привилегиями. В этом случае значительно сокращается время от момента проникновения в инфраструктуру до нанесения ущерба, а некоторые этапы killchain могут и вовсе быть пропущены.
Источников утечек секретов множество. Их можно найти в репозиториях ИТ-подрядчиков (например, git), которые по каким-то причинам оказались публично доступны, или при передаче секретов через различные сервисы (например, Paste bin и Telegram). На теневых форумах и в telegram-каналах распространяются «слитые» базы интернет-ресурсов, в которых регулярно попадаются данные пользователей, использовавших для регистрации корпоративную почту и пароль. При этом пароли нередко хранятся в открытом виде.
Утечки информации через Telegram стоит отметить отдельно. Мессенджер популярен в России и часто используется для обсуждения в чатах рабочих вопросов, а иногда и передачи конфиденциальной информации. При некорректных настройках приватности такие чаты легко обнаружить по ключевым словам (названию организации или подрядной компании), и они доступны для просмотра третьим лицам.
Говоря про атаки через подрядные организации, необходимо упомянуть и набирающую популярность технику «Использование доверенных отношений» (Т.1199 MITREATT&CK®). На практике регулярно оказывается, что предоставляемые для подрядчика привилегии в инфраструктуре избыточны, его действия не контролируется, а при аутентификации не используется второй фактор. Всё это делает подрядные организации привлекательной целью для злоумышленников, так как компрометация одной организации ведёт к получению доступа сразу в несколько инфраструктур разных клиентов. Полученный доступ может быть передан другим заинтересованным лицам, и объявления о продаже можно обнаружить как в индексируемых, так и неиндексируемых сегментах сети Интернет.
Помимо упомянутых подходов к снижению рисков от Т.1199, возможно проведение у подрядчика комплексного анализа инфраструктуры для выявления следов её компрометации (Compromise Assessment).
С ростом популярности хактивизма чаще стали публиковаться массовые призывы к проведению атак против конкретных организаций. Сведения о планируемых кампаниях позволяют быстрее принять контрмеры и снизить риск ущерба.
На подготовительных этапах полезной для злоумышленника может быть совершенно разная информация. Например, если в утечках не обнаружено секретов для доступа к инфраструктуре, при проведении целевой атаки может быть использован фишинг (Т.1566 MITREATT&CK® по-прежнему входит в топ техник первичного проникновения в инфраструктуру). Для более качественного профилирования активности используется любая чувствительная информация об организации: данные о сотрудниках, должностных регламентах и зонах ответственности, внутренних процессах и многое другое. Чем больше информации, тем больше вероятность успеха атаки.
Пресс-релизы об «историях успеха» внедрения каких-либо решений, опубликованные внутренние документы могут быть использованы для планирования вектора атаки. Не пренебрегают такими данными и для проведения конкурентной разведки.
АТАКИ ЗА ПРЕДЕЛАМИ ИНФРАСТРУКТУРЫ
Для нанесения финансового или репутационного ущерба злоумышленнику далеко не всегда необходимо взаимодействовать с инфраструктурой жертвы. В первую очередь сюда относятся угрозы, связанные с защитой бренда.
Мошенники создают фишинговые ресурсы с использованием брендбука и атрибутов организации, которые могут использоваться для кражи конфиденциальных данных пользователя: логинов, паролей, данные банковских карт, персональных данных. На подложных ресурсах распространяется контрафакт и фиктивные услуги от лица легитимных компаний. Зачастую обманутые клиенты требуют компенсации собственных потерь у официальной компании.
Также важно помнить и про медиаатаки, связанные с распространением ложной информации об организации или её сотрудниках. Учитывая скорость и масштабы распространения информации в социальных сетях, мессенджерах и на новостных сайтах, такие действия злоумышленников могут нанести серьёзный ущерб репутации, который может быть довольно трудно восстановить.
В КАЧЕСТВЕ РЕЗЮМЕ
Обеспечение безопасности — непрерывный и повторяющийся процесс (PDCA/PDAR). Регулярный анализ и актуализация модели угроз, используемых средств, процессов и подходов позволяют снижать вероятность реализации киберрисков. Учитывая тенденции, характерные как для России, так и для мира в целом, сегодня необходимо уделять должное внимание контролю цифрового следа. Стоимость превентивных мер практически всегда в разы меньше стоимости реагирования на инциденты и устранение их последствий, особенно если в результате атаки были остановлены бизнес-процессы.
Сегодня на рынке представлены различные продукты и услуги, направленные на решение этой задачи. Одним из них является платформа Angara ECHO, с помощью которой можно автоматизировать процессы регулярного мониторинга цифрового следа и оперативно получать информацию о возникающих угрозах для оперативного принятия превентивных мер.
Реклама. ООО «АНГАРА СЕКЬЮРИТИ», ИНН: 9731134528, Erid: 2VfnxwfTjHA
Готовы обсудить противодействие кибератакам и создание центров мониторинга ИБ, технологии и инструменты для обнаружения и анализа инцидентов? Поделиться кейсами реагирования на инциденты и расследования?
Второй SOC Tech ждёт вас 15 октября! Оригинальные форматы откроют возможности сверхэффективного взаимодействия между участниками, спикерами и партнёрами.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных