Информационная безопасность для крупного бизнеса

Крупный бизнес

КРУПНЫЙ БИЗНЕС

Предприятия с годовой выручкой от 5 миллиардов рублей и штатной численностью более 1000 сотрудников.

КРУПНЫЙ БИЗНЕС

Предприятия с годовой выручкой от 5 миллиардов рублей и штатной численностью более 1000 сотрудников.

В ноябре 2024 года группировка Shedding Zmiy провела атаку на российскую ИТ-компанию — подрядчика госкомпаний: сначала злоумышленники получили доступ к серверу с уязвимым веб-приложением Bitrix без обновлений, после чего внедрили в инфраструктуру руткит Puma и связанный с ним модуль Pumatsune, маскируя их под системные процессы Linux.

В течение полутора лет Shedding Zmiy скрытно контролировали сеть жертвы, обновляли вредоносные компоненты, модифицировали утилиты для сокрытия следов, а также похищали аутентификационные данные и криптографические ключи. В результате компания утратила контроль над критичными системами, а последствия атаки потребовали масштабной очистки инфраструктуры и восстановления безопасности. Позднее следы этой атаки нашли еще в трех организациях.

ИНТЕРЕСНЫЙ ФАКТ

КТО НАПАДАЕТ

Кибермошенники

Проникновение и монетизация атаки через шифрование и выкуп
Использование схемы двойного шифрования, когда дополнительно происходит хищение чувствительной информации и шантаж жертвы под угрозой публикации данных в открытых источниках
Использование вычислительных мощностей для майнинга
Хищение денежных средств с расчетного счета
Взлом веб-сервисов для дальнейшего мошенничества в отношении клиентов и пользователей
Перепродажа доступа

Для защиты от кибермошенников, помимо базовых средств (антивируса, антиспама, решений класса UTM и WAF), используется сегментация сети и инвентаризация сервисов на периметре. Также рекомендуется настроить базовый мониторинг инцидентов ИБ (SOC) и работать над повышением киберграмотности пользователей.

Как защититься

Чтобы избежать использования скомпрометированного ПО, необходимо подписаться на уведомления из баз об уязвимостях. Также важно своевременно обновлять все используемые решения, следить за патчами, проверять разработчиков публичных модулей, которые подключаются к системам компании.

Рекомендуемые сервисы и продукты Solar (6+)*

* Данные решения носят рекомендательный характер, обратитесь за консультацией solar@rt-solar.ru.

Мониторинг и анализ инцидентов (SOC)

Мониторинг внешних цифровых угроз (Solar AURA)

Оценка зрелости (SOC)

Тестирование на проникновение (Пентест)

Расследование и реагирование на инциденты

Выявление следов компрометации (Compromise assessment)

Потоки данных (фидов) об актуальных угрозах (Solar TI Feeds)

Защита веб-приложений (WAF)

Мониторинг трафика и защита от DDoS-атак (Anti-DDoS)

Контроль уязвимостей (VM)

Повышение киберграмотности сотрудников (SA)

Защита электронной почты (SEG)

Защита от продвинутых угроз (Sandbox)

Защита от сетевых угроз (UTM)

Межсетевой экран нового поколения (Solar NGFW)

Управление доступом в интернет и защита от веб-угроз (Solar webProxy)

Комплексный контроль безопасности ПО (Solar appScreener)

Система управления подрядчиками, ИТ-администраторами и другими привилегированными пользователями (PAM)

Контроль и защита неструктурированных данных (DAG)

Система управления учетными записями и расследования инцидентов ИБ, связанных с правами доступа (IDM/IGA)

Solar Space On-premise

Все перечисленные угрозы относятся к внешним. Но каждая компания сталкивается и с внутренними угрозами, которые не зависят от масштаба ее деятельности.

Подробнее о них читайте здесь.