Чтобы оставаться защищенным, нужно мыслить как преступник. Хорошо, что киберпреступники используют методичный подход при планировании атак. Понимая их процессы и зная свою сеть, вы будете лучше подготовлены и сможете оставаться на шаг впереди, обеспечивая информационную безопасность организации.
1 ЭТАП ВТОРЖЕНИЯ: РАЗВЕДКА
ЦЕЛЬ: АНАЛИЗ
На этом этапе злоумышленники действуют, как детективы, собирая информацию, чтобы по-настоящему понять свою цель. Детали – это все! От изучения списков электронной почты до информации с открытым исходным кодом, их цель – знать сеть лучше, чем владелец. Они изучают слабые места и используют любую уязвимость в своих интересах.
Этап разведки можно рассматривать, как самый важный, потому что он требует терпения и времени, от недель до нескольких месяцев. Любая информация, которую злоумышленник может собрать о компании, например, имена сотрудников, номера телефонов и адреса электронной почты имеет критическое значение. Злоумышленники заметят любые изменения в системе, которые могут быть использованы в качестве точки входа.
К концу этого этапа перед атакой злоумышленники создадут подробную карту сети, выделят слабые места системы, а затем продолжат выполнение своей миссии. Еще одним важным моментом на этапе разведки является понимание границ доверия сети. С увеличением числа сотрудников, работающих из дома или использующих свои личные устройства для работы, происходит увеличение областей нарушения данных.
КАК БОРОТЬСЯ: ЗНАЙТЕ СВОЮ СЕТЬ
Важно полностью проверить вашу сеть, знать используемые технологии и любые возможные слабые места вашей системы. Лучший способ полностью понять сеть и получить доступную для исследования информацию – централизованно собирать сообщения журнала с вашего сетевого оборудования. Кроме того, аудит ИБ и тестирование – отличный способ проверить вашу безопасность. "Красная команда" может протестировать вашу систему для выявления уязвимостей в инфраструктуре. Если они успешно взломают вашу сеть, то покажут, какие области нуждаются в большей защите и как исправить существующие ошибки.
ЭТАП 2: НАЧАЛЬНАЯ ЭКСПЛУАТАЦИЯ
ЦЕЛЬ: ВТОРЖЕНИЕ
Взломщики очень настойчивы и применяют разнообразные методы для своих целей. Например, атака через заражение используется злоумышленником для взлома популярного веб-сайта, который посещают сотрудники компании. После того, как сотрудник посещает зараженный сайт, киберпреступник может атаковать его компьютер и получить учетные данные, а также доступ к сети компании. Другие примеры:
КАК БОРОТЬСЯ: ЛОГИ И ПРОЦЕДУРЫ
Для того, чтобы защитить вашу систему, вам нужно сосредоточиться на самой подробной информации о сети – логах! Логи являются ключом к обнаружению любых аномалий или нарушений в вашей системе. Наличие корпоративной системы управления журналами усложнит работу преступника. Вы должны постоянно контролировать свой сетевой трафик для поиска аномалий и признаков вторжения. Кроме того, чтобы затруднить взлом, среди прочих мер добавьте двухфакторную аутентификацию к сервисам, используемым сотрудниками, или реализуйте принцип наименьших привилегий в качестве дополнительных методов безопасности.
ЭТАП 3: СТОЙКОСТЬ
ЦЕЛЬ: ИЗУЧЕНИЕ СИСТЕМЫ
На данный момент киберпреступники находятся в вашей системе и сосредоточены на получении дополнительных прав. Чтобы захватить сеть, им нужно будет получить больше контроля и доскональный анализ системы. Одним из способов является повышение привилегий, при этом злоумышленник использует любую ошибку или дефект в системе, чтобы либо вертикально, либо горизонтально получить дополнительные привилегии, либо те привилегии, которые не предназначались для пользователя. Другой точкой входа может быть слишком открытая система или подбор SSH-ключей.
КАК БОРОТЬСЯ: МОНИТОРИНГ ПОДКЛЮЧЕНИЙ
Если в вашу сеть проникли, скорее всего существует канал передачи команд и контрольный канал, по которым происходим передача данных в вашу инфраструктуру. Ваша задача состоит в том, чтобы обнаружить и отключить этот канал, прежде, чем злоумышленник начнет детально изучать вашу сеть, причиняя больше вреда. Вы можете использовать логи сети и операционной системы для поиска «лишних» подключений. Как и обнаружение злоумышленников, мониторинг таких подключений должен быть частично автоматизирован или выполняться с помощью удобной панели управления.
ЭТАП 4: ГОРИЗОНТАЛЬНОЕ ПЕРЕМЕЩЕНИЕ
ЦЕЛЬ: ПОИСК КЛЮЧЕВЫХ ДЕТАЛЕЙ
Киберпреступники редко бьют точно в цель, то есть они должны горизонтально продвигаться, чтобы достичь главной цели.
КАК БОРОТЬСЯ: ЗАЩИТА ПО ВСЕЙ СЕТИ
Если злоумышленник проник внутрь вашей системы, необходимо остановить его движение. Защита сети должна охватывать все её области. Вы можете усилить её с помощью сегментирования сети, мониторинга логов и ограничения прав администратора.
ЭТАП 5: СБОР, ПРОНИКНОВЕНИЕ, ЭКСПЛОЙТ
Злоумышленник преуспел. Они скомпрометировали вашу сеть, и утечка данных произошла. Теперь хакеры могут распространить эту информацию, их миссия завершена.
КАК БОРОТЬСЯ: ПОСТОЯННОЕ УЛУЧШЕНИЕ!
Вы должны постоянно улучшать свои системы защиты, внедрять политики и процедуры, всегда анализировать свои логи, так как это первое место для обнаружения вредоносной активности.