За последние два года, согласно аналитике Positive Technologies, количество кибератак увеличилось на 110%, и каждая третья из них была целевой. В топ-3 хакерских целей входят госучреждения, промышленные предприятия и финансовые организации, но статистика показывает, что с разной интенсивностью атакуют компании из всех отраслей.
При этом доля утечек учётных данных из организаций в первой половине 2024 года достигла рекордного уровня в 21%, что на 9% выше показателей прошлого года за аналогичный период, по данным аналитики Positive Technologies. Украденные сведения хакеры использовали для улучшения фишинговых инструментов, применения методов социальной инженерии и написания нового вредоносного ПО — всё это помогает совершать целенаправленные атаки.
Неужели на рынке не хватает решений для ИБ, которые позволяют эффективно противостоять злоумышленникам или хотя бы выявлять их присутствие до причинения ущерба? В этой статье разберёмся, как атакуют российский бизнес и какие средства защиты помогают предотвращать кибератаки.
Как атакуют бизнес
Обычно сначала хакеры проводят разведку и ищут потенциальные точки проникновения в компанию. Разведка бывает двух типов: пассивная и активная. К пассивной относятся поиск информации в публичном пространстве и даркнете, сбор доменных имён и данных о сотрудниках. К активным — сканирование периметра.
Окей, цели обозначены — пора выбрать техники атаки и осуществить проникновение. На этом этапе злоумышленники:
Получив первичный доступ, хакеры расширяют присутствие внутри инфраструктуры с помощью следующих техник:
Последний и самый важный этап — нанесение ущерба. К нему относятся:
Тщательно спланированная атака занимает от нескольких недель до нескольких месяцев. А значит, у службы безопасности достаточно времени, чтобы выявить угрозу и принять необходимые меры. Главное — понимать, какие инструменты способны с ней справиться.
Какие инструменты нужны
Если посмотреть на схему атаки, можно выявить общий знаменатель — сеть. Разберёмся, какие системы сетевой безопасности существуют на рынке.
Анализатор NetFlow — система для статистического анализа сетевого трафика. Выявляет базовые атаки по индикаторам компрометации и может обнаруживать аномалии сетевых узлов на основе машинного обучения. Однако стоит помнить, что выявление аномалий на основе статистики может создавать большое количество ложноположительных срабатываний, а для настройки ML-механизма нужны знания обо всех узлах в инфраструктуре. Система нетребовательна к аппаратной платформе и, как правило, применяется внутри сети.
NGFW — программно-аппаратный комплекс для защиты от сетевых атак, который разграничивает доступ пользователей к приложениям. Обычно такие устройства ставят на внешнем и внутреннем периметре для разделения сетевых зон и уменьшения площади атаки. Комплекс содержит модули безопасности (обычно IPS, потоковый антивирус и URL-фильтр), которые призваны не дать злоумышленникам проникнуть за периметр на высоких скоростях. При этом NGFW не собирает и не хранит данные и содержимое сессий.
Решение класса NTA (NDR) — система для обнаружения сложных кибератак и аномалий внутри сети методом поведенческого анализа. Под капотом таких систем — модули, правила и машинное обучение. Их задача — досконально анализировать внутренний трафик, разбирать протоколы до уровня приложений и искать следы хакеров. Они требовательны к аппаратным платформам, так как обрабатывают большой поток данных, собирают и хранят огромное количество артефактов и контекста, профилируют каждое сетевое устройство и находят отклонения от типичного поведения.
Песочница (sandbox) — решение, которое выявляет сложное вредоносное ПО, изучая подозрительные файлы в изолированной среде. Как правило, подключается к системам ИБ и ИТ через API или ICAP и может анализировать полученные от них объекты. Но ключевая задача песочницы — блокировать в почтовом трафике ВПО, которое пропускают потоковые антивирусы.
Мы разобрались с видами систем и определили область применения каждой. Осталось понять, какое решение выбрать. Для этого вернёмся к циклу атаки и увидим, что на каждом этапе нужны определённые инструменты:
Теперь понятно, что для предотвращения всей цепочки кибератаки понадобится связка трёх продуктов. На первый взгляд, это избыточно, но, если копнуть глубже и посмотреть на сценарии применения, всё встанет на свои места (рис. 1).
Рисунок 1. Сценарии применения трёх продуктов
Мы видим, что невозможно обнаружить и остановить кибератаку с помощью одной системы. Каждое средство защиты решает свою задачу, но вместе они могут выстроить практическую кибербезопасность — не позволяют реализовать целевую атаку на бизнес.
Порядок внедрения систем сетевой безопасности
Идеально, когда все системы сетевой безопасности внедрены, настроены и работают. Но далеко не каждая служба безопасности владеет нужным набором инструментов. Сейчас наведём порядок (рис. 2).
Рисунок 2. Этапы внедрения систем сетевой безопасности
В первую очередь следует внедрить NGFW. Это базовое устройство, которое отделяет внутреннюю сеть компании от интернета. Политики безопасности настраиваются один раз и обновляются периодически, а значит, не нужно работать со средством защиты регулярно. Дополнительно NGFW устанавливают на границы сетевых сегментов со своим набором политик. Для управления системой понадобится один специалист.
Песочница внедряется второй. Она подключается к NGFW и параллельно устанавливается в разрыв сети на почтовый трафик. Для работы с двумя системами одновременно требуется несколько специалистов, которые будут защищать периметр и почту от сетевых атак и неизвестного ВПО.
Третий этап — внедрение системы NTA (NDR). Это решение подключается к коммутаторам доступа или ядра внутри сети либо к NGFW. Система получает от NGFW копию расшифрованного трафика для последующего анализа и выявления сетевых аномалий. Если во внутренних сегментах передаются файлы, решение извлекает их и отправляет на анализ в песочницу, а после получает вердикт. Система требует внимания службы безопасности, а значит, необходимо выделить специалистов, которые будут мониторить внутреннюю сеть.
Такая последовательность позволит навести порядок на периметре и внутри инфраструктуры, вовремя выявлять и блокировать целевые атаки, а также контролировать активность пользователей в корпоративной сети (рис. 3).
Рисунок 3. Синергия продуктов
Основы размещения средств сетевой безопасности
От правильного расположения систем в инфраструктуре зависит, насколько точно служба безопасности сможет противостоять атакующим. Рекомендуемые точки установки представлены ниже — на упрощённой схеме (рис. 4).
Рисунок 4. Рекомендуемые точки установки систем сетевой безопасности
NGFW устанавливается на периметре сети и на границах сегментов (например, между ДМЗ и офисной сетью). К нему подключаются система NTA (NDR) и песочница. К ДМЗ, офисной сети и ЦОД рекомендуется подключать дополнительные сенсоры системы анализа внутреннего трафика. Для филиалов точки установки будут аналогичными.
Практическое применение систем сетевой безопасности
Напоследок рассмотрим пример атаки и покажем, как защититься от неё с помощью продуктов Positive Technologies — PT NGFW, PT NAD и PT Sandbox (рис. 5).
Рисунок 5. Цепочка атаки с причинением ущерба бизнесу
С помощью вредоносного ПО хакер заражает рабочую станцию компании и получает к ней удалённый доступ. После этого осуществляет внутреннюю разведку, подбирает учётные данные (техника password spraying*) и TGT-билет для доступа к сервисам (Kerberoasting*).
*Техниках злоумышленников из матрицы MITRE ATT&CK
Далее атакующий закрепляется на сервере СУБД и создаёт задачу в доменном контроллере, чтобы заразить максимальное количество устройств, включая устройства удалённых пользователей. Получив доступ к конфиденциальным данным, выгружает их в облачное хранилище, маскируя вредоносную активность под легитимные действия (рис. 6).
Рисунок 6. Применение инструментов сетевой защиты
Теперь посмотрим, как будет выглядеть аналогичная атака с работающими системами безопасности.
PT NGFW в связке с PT Sandbox смогли бы предотвратить заражение рабочей станции вредоносным ПО. При передаче объекта по электронной почте PT Sandbox защищает пользователей в режиме inline. Если в инфраструктуре нет PT NGFW или PT Sandbox, обнаружить заражение рабочей станции и определить обратное соединение с узлом злоумышленника к злоумышленнику сможет PT NAD.
Кроме того, PT NAD однозначно выявит внутреннюю разведку, password spraying*, Kerberoasting*, перемещение внутри периметра и позволит быстро определить масштаб кибератаки. А PT NGFW не даст атакующим передвигаться между корпоративной сетью и ЦОД.
PT NAD определит создание задачи для массового заражения устройств, PT Sandbox — распространение вредоносного ПО, а PT NGFW — распространение задачи на удалённых пользователей.
На последнем этапе PT NAD обнаружит эксфильтрацию данных за периметр, а PT NGFW заблокирует угрозу в соответствии с политикой безопасности.
Защита от кибератак с помощью продуктов Positive Technologies
Инструменты сетевой безопасности важны, особенно если у компании есть несколько филиалов и офисов. Продукты Positive Technologies тесно интегрируются друг с другом и покрывают практически все этапы кибератаки. PT NGFW и PT Sandbox позволяют предотвратить проникновение хакеров в сеть на периметре, PT NAD и PT Sandbox помогают вовремя увидеть развитие атаки и продвижение атакующих внутри сети. А объединение трёх продуктов защитит бизнес от целевых атак.
Реклама. АО «ПОЗИТИВ ТЕКНОЛОДЖИЗ», ИНН: 7718668887, Erid: 2VfnxwV69ng
.jpg)
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)