Чтобы оставаться защищенным, нужно мыслить как преступник. Хорошо, что киберпреступники используют методичный подход при планировании атак. Понимая их процессы и зная свою сеть, вы будете лучше подготовлены и сможете оставаться на шаг впереди, обеспечивая информационную безопасность организации.

1 ЭТАП ВТОРЖЕНИЯ: РАЗВЕДКА

ЦЕЛЬ: АНАЛИЗ

На этом этапе злоумышленники действуют, как детективы, собирая информацию, чтобы по-настоящему понять свою цель. Детали – это все! От изучения списков электронной почты до информации с открытым исходным кодом, их цель – знать сеть лучше, чем владелец. Они изучают слабые места и используют любую уязвимость в своих интересах.

Этап разведки можно рассматривать, как самый важный, потому что он требует терпения и времени, от недель до нескольких месяцев. Любая информация, которую злоумышленник может собрать о компании, например, имена сотрудников, номера телефонов и адреса электронной почты имеет критическое значение. Злоумышленники заметят любые изменения в системе, которые могут быть использованы в качестве точки входа.

К концу этого этапа перед атакой злоумышленники создадут подробную карту сети, выделят слабые места системы, а затем продолжат выполнение своей миссии. Еще одним важным моментом на этапе разведки является понимание границ доверия сети. С увеличением числа сотрудников, работающих из дома или использующих свои личные устройства для работы, происходит увеличение областей нарушения данных.

КАК БОРОТЬСЯ: ЗНАЙТЕ СВОЮ СЕТЬ

Важно полностью проверить вашу сеть, знать используемые технологии и любые возможные слабые места вашей системы. Лучший способ полностью понять сеть и получить доступную для исследования информацию – централизованно собирать сообщения журнала с вашего сетевого оборудования. Кроме того, аудит ИБ и тестирование – отличный способ проверить вашу безопасность. "Красная команда" может протестировать вашу систему для выявления уязвимостей в инфраструктуре. Если они успешно взломают вашу сеть, то покажут, какие области нуждаются в большей защите и как исправить существующие ошибки.

ЭТАП 2: НАЧАЛЬНАЯ ЭКСПЛУАТАЦИЯ

ЦЕЛЬ: ВТОРЖЕНИЕ

Взломщики очень настойчивы и применяют разнообразные методы для своих целей. Например, атака через заражение используется злоумышленником для взлома популярного веб-сайта, который посещают сотрудники компании. После того, как сотрудник посещает зараженный сайт, киберпреступник может атаковать его компьютер и получить учетные данные, а также доступ к сети компании. Другие примеры:

• фишинг;

• SQL-инъекция;

• заражение электронной почты;

• заражение съемных носителей.

КАК БОРОТЬСЯ: ЛОГИ И ПРОЦЕДУРЫ

Для того, чтобы защитить вашу систему, вам нужно сосредоточиться на самой подробной информации о сети – логах! Логи являются ключом к обнаружению любых аномалий или нарушений в вашей системе. Наличие корпоративной системы управления журналами усложнит работу преступника. Вы должны постоянно контролировать свой сетевой трафик для поиска аномалий и признаков вторжения. Кроме того, чтобы затруднить взлом, среди прочих мер добавьте двухфакторную аутентификацию к сервисам, используемым сотрудниками, или реализуйте принцип наименьших привилегий в качестве дополнительных методов безопасности.

ЭТАП 3: СТОЙКОСТЬ

ЦЕЛЬ: ИЗУЧЕНИЕ СИСТЕМЫ

На данный момент киберпреступники находятся в вашей системе и сосредоточены на получении дополнительных прав. Чтобы захватить сеть, им нужно будет получить больше контроля и доскональный анализ системы. Одним из способов является повышение привилегий, при этом злоумышленник использует любую ошибку или дефект в системе, чтобы либо вертикально, либо горизонтально получить дополнительные привилегии, либо те привилегии, которые не предназначались для пользователя. Другой точкой входа может быть слишком открытая система или подбор SSH-ключей.

КАК БОРОТЬСЯ: МОНИТОРИНГ ПОДКЛЮЧЕНИЙ

Если в вашу сеть проникли, скорее всего существует канал передачи команд и контрольный канал, по которым происходим передача данных в вашу инфраструктуру. Ваша задача состоит в том, чтобы обнаружить и отключить этот канал, прежде, чем злоумышленник начнет детально изучать вашу сеть, причиняя больше вреда. Вы можете использовать логи сети и операционной системы для поиска «лишних» подключений. Как и обнаружение злоумышленников, мониторинг таких подключений должен быть частично автоматизирован или выполняться с помощью удобной панели управления.

ЭТАП 4: ГОРИЗОНТАЛЬНОЕ ПЕРЕМЕЩЕНИЕ

ЦЕЛЬ: ПОИСК КЛЮЧЕВЫХ ДЕТАЛЕЙ

Киберпреступники редко бьют точно в цель, то есть они должны горизонтально продвигаться, чтобы достичь главной цели.

КАК БОРОТЬСЯ: ЗАЩИТА ПО ВСЕЙ СЕТИ

Если злоумышленник проник внутрь вашей системы, необходимо остановить его движение. Защита сети должна охватывать все её области. Вы можете усилить её с помощью сегментирования сети, мониторинга логов и ограничения прав администратора.

ЭТАП 5: СБОР, ПРОНИКНОВЕНИЕ, ЭКСПЛОЙТ

Злоумышленник преуспел. Они скомпрометировали вашу сеть, и утечка данных произошла. Теперь хакеры могут распространить эту информацию, их миссия завершена.

КАК БОРОТЬСЯ: ПОСТОЯННОЕ УЛУЧШЕНИЕ!

Вы должны постоянно улучшать свои системы защиты, внедрять политики и процедуры, всегда анализировать свои логи, так как это первое место для обнаружения вредоносной активности.