Журнал "Information Security/ Информационная безопасность" #6, 2019

Классические антивирус- ные средства не будут детектировать вредоносные файлы при хорошо подго- товленной атаке. Наиболее продвинутые продукты должны автоматически отслеживать совокупность событий, происходящих в сети, как на уровне отдельного хоста, так и на уровне трафика внутри сети. В случае атак проявляются очень характерные цепочки событий, которые можно отследить и остановить, если иметь сфокусирован- ный на события такого рода мониторинг. вопрос: а что и как мы будем тестировать? Мы в Group-IB предлагаем следующий под- ход – сразу выбрать фокус тестирования: либо оценивать готовность к атакам только самих пользователей, либо же проверять защищенность ком- пании в целом. А тестировать методами социальной инже- нерии, имитируя реальные атаки, т.е. теми же самыми фишингом, рассылкой испол- няемых документов, звонками и другими техниками. В первом случае атака тща- тельно готовится совместно с представителями заказчика, в основном с его ИТ- и ИБ- специалистами. Согласуются легенды, инструменты и тех- ники атак. Заказчик сам пре- доставляет фокус-группы и списки пользователей для атаки, который включает все нужные контакты. Создаются исключения на средствах защиты, так как сообщения и исполняемые нагрузки обя- зательно должны дойти до получателя, ведь в таком про- екте интерес представляет только реакция людей. Опцио- нально можно заложить в атаку маркеры, по которым пользователь может догадать- ся о том, что это и есть атака, например можно сделать пару орфографических ошибок в сообщениях либо оставить неточности в копировании фирменного стиля. По оконча- нии проекта получается та самая "сухая статистика" – какие фокус-группы и в каком объеме среагировали на сце- нарии. Во втором случае атака про- водится c нулевыми исходными знаниями, методом "черного ящика". Мы самостоятельно собираем информацию о ком- пании, ее сотрудниках, сетевом периметре, формируем леген- ды для атаки, выбираем мето- ды, ищем возможные приме- няемые в целевой компании средства защиты, адаптируем инструменты, составляем сце- нарии. Наши специалисты используют как классические методы разведки по открытым источникам (OSINT), так и про- дукт собственной разработки Group-IB – Threat Intelligence, систему, которая при подготов- ке к фишингу может высту- пать агрегатором информации о компании за длительный период, используя в том числе и закрытую информацию. Разу- меется, чтобы атака не стала неприятным сюрпризом, ее детали также согласуются с заказчиком. Получается пол- ноценный тест на проникнове- ние, но в его основе будет про- двинутая социальная инжене- рия. Логичная опция в таком случае – развитие атаки внутри сети, вплоть до получения наи- высших прав во внутренних системах. Кстати, схожим обра- зом мы применяем социотех- нические атаки и в Red Tea- ming, и в некоторых тестах на проникновение. В результате заказчик получит независимое комплексное видение своей защищенности от определен- ного вида социотехнических атак, а также демонстрацию эффективности (или, наоборот, неэффективности) выстроенной линии обороны от внешних угроз. Мы рекомендуем проводить такое обучение не реже двух раз в год. Во-первых, в любой компании есть текучка кадров и предыдущий опыт постепенно забывается сотрудниками. Во- вторых, постоянно меняются способы и техники атак, и это приводит к необходимости адаптации процессов безопас- ности и средств защиты. Финал. Несколько спасительных лайфхаков Если говорить про техниче- ские меры защиты от атак, то в наибольшей степени помогают следующие: 1. Наличие обязательной двухфакторной аутентификации на сервисах, которые разме- щены в Интернете. Выпускать в 2019 г. такие сервисы без систем Single Sign On, без защи- ты от перебора паролей и без двухфакторной аутентификации в компании размером от несколько сотен человек рав- носильно открытому призыву "Сломай меня". Правильно внедренная защита сделает быстрое применение похищен- ных паролей невозможным и даст время на устранение последствий фишинговой атаки. 2. Контроль разграничения доступа, минимизация прав пользователей в системах и соблюдение руководств по безопасной настройке продук- тов, которые выпускает каждый крупный производитель. Это зачастую простые по своей сути, но очень эффективные и сложные в практической реа- лизации меры, которыми все в той или иной степени пренеб- регают ради скорости работы. А некоторые настолько необхо- димы, что без них ни одно сред- ство защиты не спасет. 3. Хорошо выстроенная линия фильтрации электронной почты. Антиспам, тотальная проверка вложений на наличие вредо- носного кода, в том числе дина- мическое тестирование через песочницы. Хорошо подготов- ленная атака подразумевает, что исполняемое вложение не будет детектироваться антиви- русными средствами. Песочни- ца же, наоборот, проверит все на себе, используя файлы так же, как их использует человек. В результате возможная вре- доносная составляющая будет раскрыта по производимым изменениям внутри песочницы. 4. Средства защиты от целе- направленных атак. Как уже отмечалось, классические анти- вирусные средства не будут детектировать вредоносные файлы при хорошо подготов- ленной атаке. Наиболее про- двинутые продукты должны автоматически отслеживать совокупность событий, происхо- дящих в сети, как на уровне отдельного хоста, так и на уров- не трафика внутри сети. В слу- чае атак проявляются очень характерные цепочки событий, которые можно отследить и остановить, если иметь сфо- кусированный на события тако- го рода мониторинг. l • 35 ТЕХНОЛОГИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Эксперты компании Check Point опубликовали исто- рию хакера, который смог осуществить атаку типа MITM в отношении китайского венчурного фонда, используя приемы социальной инженерии. Первоначально хакеру стало доступно начало пере- писки об готовящихся инвестициях между венчур- ным фондом и израильским стартапом. После этого хакер с помощью двух вновь зарегистрированных доменов, схожих по написанию с доменами сторон, смог стать посредником в их переписке. В нужный момент хакер подменил банковские рекви- зиты стартапа на свои, похитив таким образом $ 1 млн. Стороны направили друг другу в общей сложности более 30 писем, но даже не заподозрили неладное. Защититься от такой атаки можно было бы, исполь- зуя другие каналы коммуникации – звонки, личные встречи. И стороны в описываемой истории как раз пытались организовать очную встречу. Но хакер, редактируя проходящие через него письма, сумел найти убедительные доводы для отмены встречи. Личность хакера так и осталась неизвестной.