- КРУПНЕЙШИЕ ПРЕДПРИЯТИЯПредприятия с годовой выручкой свыше 70 миллиардов рублей.
- КРУПНЕЙШИЕ ПРЕДПРИЯТИЯПредприятия с годовой выручкой свыше 70 миллиардов рублей.
В середине 2022 года хакерская группа атаковала более 30 коммерческих компаний и госструĸтур из России и Белоруссии. Хищение данных происходило с помощью руткита, который не проявляет никакой подозрительной активности. В числе пострадавших были компании из сфер IT, финансов, логистиĸи, медицины, а также добывающие компании.
ИНТЕРЕСНЫЙ ФАКТ
КТО НАПАДАЕТ
КИБЕРНАЕМНИКИ
продвинутые группировки
- Взлом по заказу
- Точечный взлом с целью монетизации
- Срыв производственных и технологических процессов
- Хищение значимой информации
- Самостоятельно разработанные инструменты, созданные с прицелом на обход хостовых средств защиты и скрытное взаимодействие
- Приобретение 0-day эксплойтов (метод, используемый злоумышленниками для атаки на системы с невыявленными ранее уязвимостями) для поиска новых уязвимостей
- Коммерческие фреймворки для тестирования на проникновение (Cobalt Strike, Brute Ratel C4 Sliver, Covenant C2 и т. д.)
- Коммерческое ПО для защиты от реверс-инжиниринга (Themida или VMProtect)
- Доработанные руткиты для обеспечения скрытности и закрепления (руткит — это программа, которая позволяет скрыть присутствие в системе вредоносного ПО)
- Использование предварительной разведки
Киберпреступники используют различные способы проникновения в инфраструктуру: эксплуатацию недавно выявленных уязвимостей, покупку доступов на теневых форумах, методы социальной инженерии, но чаще всего действуют с помощью целевого фишинга. Также используется проникновение через подрядчика. Преступники обычно долго и скрытно присутствуют в сети жертвы, с высокой вероятностью они будут искать пути попадания в технологические сегменты. Нацелены на обход средств защиты, не «шумят» в инфраструктуре, зная, что в компании настроен мониторинг и анализ событий.
В явном виде отсутствуют.
Угрозы очень сложно выявить на этапе проникновения. Обнаружение происходит с помощью продвинутой аналитики событий в инфраструктуре и на конечных точках. В случае обнаружения есть шанс отбросить злоумышленника назад, что в большинстве случаев заставит его отказаться от атаки.
Необходима установка не только базовых, но и продвинутых средств защиты: Anti-APT (APT (Advanced Persistent Threat) — устойчивая угроза повышенной сложности), Sandbox (песочница — изолированная виртуальная среда для безопасного открытия файлов и запуска программ), контроль технологических сегментов. Выявить присутствие в инфраструктуре кибернаемников помогает продвинутый инструментарий SOC (Security Operations Center — центр мониторинга и оперативного реагирования на инциденты информационной безопасности), включая такие сервисы, как EDR (Endpoint Detection & Response — cистемы обнаружения целевых атак на конечных точках) и NTA (Network Traffic Analysis — анализаторы сетевого трафика). Дополнительная глубокая аналитика регистрируемых событий позволяет не только идентифицировать инциденты, но и выявлять взаимосвязи между ними.
Как защититься
Решения по управлению доступом IdM (Identity Management — управление правами доступа и учетными записями пользователей) и PAM (Privileged Account Management — контроль привилегированных пользователей) выполнят задачи по непрерывному мониторингу привилегированных, в том числе удаленных, пользователей, выявлению аномалий, защите учетных данных, разграничению доступа и автоматизации исполнения политик ИБ.
Рекомендуемые сервисы и продукты Solar (6+)*
* Данные решения носят рекомендательный характер, обратитесь за консультацией solar@rt-solar.ru.
Все перечисленные угрозы относятся к внешним. Но каждая компания сталкивается и с внутренними угрозами, которые не зависят от масштаба ее деятельности.
Подробнее о них читайте здесь.
Подробнее о них читайте здесь.
