Журнал "Information Security/ Информационная безопасность" #3, 2022

Почта и веб – доступные и первичные векторы атак злоумышленников. Многие компании работают с облачными тех- нологиями, вынося туда сервисы и биз- нес-приложения для доступа удаленных пользователей, взаимодействия с контр- агентами и работы с документами внутри организации. Существует много точек взаимодей- ствия корпоративной сети с внешним миром и различных ее сегментов между собой внутри сетевой инфраструктуры, состояние которых можно вовремя не отследить и не отреагировать на рас- пространяющуюся угрозу. Поэтому информационные системы компании постоянно подвергаются риску зараже- ния. Распространение вредоносного ПО, как правило, начинается с различных серверов, рабочих станций, мобильных устройств, сегментов облачных вычис- лительных ресурсов или выделенных средств виртуализации. Информацион- ная система – критически важный сег- мент любой организации, в котором функционируют значимые бизнес-про- цессы, поэтому его заражение и послед- ствия этого заражения недопустимы. Безусловно, сегодня многие компании повышают уровень кибербезопасности, соблюдают "лучшие практики" и требо- вания по защите данных. Но обеспечение сетевой безопасности зачастую сводится к использованию классических средств межсетевого экранирования, организа- ции сегментации внутри сетевой инфра- структуры либо использованию средств пассивного анализа трафика. Эти реше- ния предоставляют достаточно полную картину происходящего в сети и требуют от сотрудников отдела информационной безопасности активного реагирования на обнаруженные инциденты, что осо- бенно актуально в связи с геополитиче- ской ситуацией и повышенным внима- нием к доступным, опубликованным внут- рикорпоративным данным: повышается риск распространения угроз. Злоумыш- ленники постоянно совершенствуют свои инструменты, но чаще всего используют фишинговые атаки, поддельные веб- ресурсы и другие приемы социальной инженерии. Портрет современного злоумышленника Как показывает опыт Softline, хакеры атакуют преимущественно через поч- товые сервисы, сформировавшийся уда- ленный доступ или опубликованные ресурсы и приложения, которыми поль- зуется организация. Методы злоумышленников быстро раз- виваются. Мошенники реагируют на обстановку в мире и с помощью акту- альной новостной повестки манипули- руют жертвами через открытые интер- нет-ресурсы или средства массовой рас- сылки, которые, попадая внутрь защи- щаемого периметра, не отфильтровы- ваются системами информационной без- опасности. Помимо Интернета и почты, есть дру- гие варианты проникновения злоумыш- ленника в информационную систему. Если рассматривать целенаправленные атаки, то на текущий момент самым простым способом является распростра- нение вредоносного программного обес- печения – вирусов, программ-вымогате- лей (шифровальщиков), эксплойт-паке- тов. Модифицированное вредоносное ПО сложно идентифицировать и забло- кировать при попадании в инфраструк- туру, особенно если оно направлено на манипулирование уязвимостями нуле- вого дня. Чаще всего злоумышленники придер- живаются типового сценария. Хакер начинает с разведки – получения инфор- мации о значимых сотрудниках, процес- сах и сервисах, которые используются в организации. Самый частый сценарий проникновения – рассылка с вредонос- ным ПО, которая ведет на ресурс, содер- жащий это самое ПО, чтобы осуществить первичное заражение. Далее злоумыш- ленник стремится получить первичный доступ, а после – закрепиться в инфра- структуре. Мошенники используют множество тактик и методов при перемещении с этапа на этап внутри корпоративного периметра. MITRE разработала базу знаний на основе анализа APT-атак. На их официальном сайте можно ознако- миться со сценарием перемещения зло- умышленника, а также с применяемыми им техниками 1 . Основные методы хакера – горизон- тальное перемещение (lateral move- ment) посредством обнаружения доступных связей между активами и сегментами, а также повышение привилегий (прав на выполнение опре- деленных операций внутри организа- ции) своего доступа до уровня "опера- тор" или "администратор" для влияния и внесения изменений в конфигурацию используемого сетевого оборудования. Злоумышленник при успешном созда- нии бэкдора для незаметного проник- новения в инфраструктуру может оста- ваться незамеченным до полугода и более. "Классика жанра", или Основные способы обеспечения безопасности Существуют стандартные средства обеспечения безопасности корпоратив- ной инфраструктуры. Сегментация подразумевает исполь- зование классических средств межсе- тевого экранирования, которые работают на третьем и четвертом уровнях модели оси и обеспечивают разграничение про- 52 • УПРАВЛЕНИЕ Ландшафт современных киберугроз и подходы к автоматическому реагированию обытия последних двух лет привели к тому, что данные предприятий перестали находиться исключительно внутри корпоративного периметра. Теперь они распространяются по серверам, рабочим станциям и другим активам внешних взаимодействующих информационных систем. Сотрудники пользуются почтовыми сервисами, у них есть доступ в Интернет, что способствует распространению угроз в сторону корпоративного сегмента. С Николай Спирихин, эксперт по информационной безопасности Softline 1 Тактики и методы, представляющие матрицу MITRE ATT&CK для предприятий https://attack.mitre.org/versions/v11/matrices/enterprise/