-
КРУПНЕЙШИЕ ПРЕДПРИЯТИЯ
Предприятия с годовой выручкой свыше 70 миллиардов рублей.
-
КРУПНЕЙШИЕ ПРЕДПРИЯТИЯ
Предприятия с годовой выручкой свыше 70 миллиардов рублей.
В ноябре 2024 года специалисты Solar 4RAYS обнаружили массовые срабатывания по удаленному созданию задач через легитимное ПО из инфраструктуры госкомпании и по запуску известных утилит разведки (Shadowpad Light, утилиты с открытым исходным кодом для сканирования сети и других). Во время расследования эксперты обнаружили, что заражение началось еще в 2023 году на части инфраструктуры вне поля зрения SIEM-системы, поэтому никто не обратил внимания на присутствие злоумышленника в периметре компании. На протяжении 19 месяцев атакующие распространялись по системам заказчика, они копировали все действия через кейлоггер и передавали данные в шифрованном виде на сервер C2.
ИНТЕРЕСНЫЙ ФАКТ
КТО НАПАДАЕТ
КИБЕРНАЕМНИКИ
- Взлом по заказу
- Точечный взлом с целью монетизации
- Срыв производственных и технологических процессов
- Хищение значимой информации
- Самостоятельно разработанные инструменты с прицелом на обход хостовых средств защиты, скрытное взаимодействие и собственную инфраструктуру
- Приобретение N-day эксплойтов для совершения атак. Отличаются длительным этапом разведки, тщательной подготовкой и подбором инструментов под конкретную компанию
- Коммерческие фреймворки для тестирования на проникновение: Cobalt Strike, Brute Ratel C4, Sliver, Covenant C2
- Коммерческое ПО для защиты от реверс-инжиниринга — Themida или VMProtect, а также различные доработанные руткиты для обеспечения скрытности и закрепления
Киберпреступники используют различные
способы проникновения в инфраструктуру: эксплуатацию недавно
выявленных уязвимостей, покупку доступов на теневых форумах, методы
социальной инженерии, но чаще всего действуют с помощью
целевого фишинга.
Преступники обычно долго и скрытно присутствуют в сети жертвы,
с высокой вероятностью они будут искать пути попадания
в технологические сегменты. Нацелены на обход средств защиты,
не «шумят» в инфраструктуре, зная, что в компании
настроен мониторинг и анализ событий.
В явном виде отсутствуют.
Угрозы очень сложно выявить
на этапе проникновения. Обнаружение происходит с помощью
продвинутой аналитики событий в инфраструктуре
и на конечных точках. В случае обнаружения есть шанс
отбросить злоумышленника назад, что в большинстве случаев заставит
его отказаться от атаки. Рекомендуется обращаться в специализированные ИБ-компании для проведения полноценного расследования и реагирования.
Необходима установка не только базовых,
но и продвинутых средств защиты: Anti-APT (APT (Advanced Persistent Threat) —
устойчивая угроза повышенной сложности), Sandbox (песочница — изолированная виртуальная
среда для безопасного открытия файлов и запуска программ), контроль
технологических сегментов. Выявить присутствие в инфраструктуре кибернаемников помогает
продвинутый инструментарий SOC (Security Operations Center — центр мониторинга
и оперативного реагирования на инциденты информационной безопасности), включая
такие сервисы, как EDR (Endpoint Detection & Response — cистемы обнаружения целевых
атак на конечных точках) и NTA (Network Traffic Analysis — анализаторы
сетевого трафика). Дополнительная глубокая аналитика регистрируемых событий позволяет
не только идентифицировать инциденты, но и выявлять взаимосвязи между ними.
Как защититься
Рекомендуемые сервисы и продукты Solar (6+)*
* Данные решения носят рекомендательный характер, обратитесь за консультацией solar@rt-solar.ru.
Все перечисленные угрозы относятся
к внешним. Но каждая компания сталкивается и с внутренними угрозами,
которые не зависят от масштаба ее деятельности.
Подробнее о них читайте здесь.
Подробнее о них читайте здесь.
