Журнал "Information Security/ Информационная безопасность" #4, 2025

Давайте разберем, какие признаки компрометации учетной записи стоит отслеживать, как использовать обман- ные объекты и как даже небольшая организация может выстроить эффек- тивный мониторинг с помощью KOMRAD Enterprise SIEM 4.5. Подозрительные действия пользователей В описаниях ландшафта киберугроз, актуальных для российских организаций, в топ-3 методов первоначального проник- новения в инфраструктуру входит исполь- зование легитимных учетных записей. Для того чтобы вычислить злоумышлен- ника, действующего от лица сотрудника, важно понимать, какие события сигнали- зируют о проблеме. В список наиболее вероятных можно включить следующие: l нетипичная по времени или источнику авторизация для конкретной доменной учетки; l параллельные активные сессии одной учетки с разных узлов или с разных уче- ток с одного узла; l создание механизмов закрепления (новые службы, задания планировщика, элементы автозагрузки, добавление в локальные администраторы); l очистка журналов событий; l остановка средств защиты; l использование нетипичных команд в пользовательской сессии; l интерактивная авторизация с учетной записью приложения; l попытка повышения привилегий; l выполнение системных команд из СУБД; l экспорт данных вне расписания. Обманные объекты: ловим злоумышленника на крючок Эффективным способом раннего выявления злоумышленников также является отслеживание обращений к внедренным заранее приманкам. Наиболее простые и популярные варианты: l фейковые учетные записи (например, testadmin), которые выглядят как адми- нистративные, но на деле не исполь- зуются; l файлы с заманчивыми названиями, например "отчет_по_крупным_клиен- там_2024.xlsx"; l пароли и API-ключи, преднамеренно оставленные в открытых местах; l мнимые ресурсы, например сетевой каталог corp_backup. Обращение к таким объектам фикси- руется SIEM и становится красным фла- гом для ИБ-специалистов. Зачем нужен SIEM? Если SIEM отсутствует, организация зачастую узнает о факте атаки из теле- грам-каналов или от клиентов, чьи дан- ные утекли. При этом злоумышленники обычно успевают зачистить следы. Даже базовое внедрение SIEM для мониторинга описанных выше событий позволяет: l вовремя выявлять подозрительные действия; l реагировать на компрометацию еще на стадии разведки; l накапливать доказательную базу для расследования. Решение: KOMRAD Enterprise SIEM 4.5 Многие компании малого и среднего бизнеса все еще считают SIEM недо- ступной технологией из-за ограничений в вычислительных и людских ресурсах, а также стоимости. Но с выходом KOM- RAD Enterprise SIEM 4.5 эти барьеры перестают существовать. Развертывание системы занимает всего пять минут и не требует дорогостоящего железа. Под- держка российских операционных систем – Astra Linux, РЕД ОС, "Альт СП", а также Windows (через WSL) – позволяет интегрировать решение в привычную ИТ-среду. Система собирает и нормализует события практически с любых источни- ков, что избавляет специалистов от рутины и экономит время. Уведомления о важных инцидентах приходят туда, где их действительно заметят, – по email или в Telegram. В случае ограничения ресурсов, как правило, отсутствуют ИБ-специалисты, которые могут за мониторами следить за ИБ в режиме 24/7. Поэтому мы реко- мендуем настроить систему так, чтобы алерты приходили ответственному лицу только в случае самых критичных ситуа- ций (очистка журналов, доступ к обман- ным объектам и т. п.). Для событий, по которым потенциально будет большое количество ложных срабатываний, необходимо выработать практику перио- дической работы с KOMRAD Enterprise SIEM в режиме поиска угроз (Threat Hunting). Для этого используются фильт- ры событий и поисковые запросы. Любой может самостоятельно попро- бовать KOMRAD Enterprise SIEM 4.5, загрузив демо-версию с нашего корпо- ративного сайта 1 . Минимальные реко- мендуемые требования CPU: 2 ядра, ОЗУ: 8 Гбайт, SSD: 100 Гбайт. Ожидае- мые EPS при выполнении данных тре- бований: от 500 до 5 тыс. в зависимости от количества включенных директив корреляции. Доступны бесплатные паке- ты экспертизы (Windows, Linux – auditd). Заключение Злоумышленник, использующий леги- тимные учетные данные, – один из самых опасных противников. Но гра- мотный мониторинг с помощью SIEM, использование обманных объектов и автоматизация алертов позволят заме- тить его на ранней стадии атаки. Сегодня даже небольшие компании могут выстроить этот уровень защиты. KOMRAD Enterprise SIEM 4.5 – это способ внедрить такой подход быстро и без лишних затрат. l 24 • СПЕЦПРОЕКТ Когда свой – чужой: как вычислить злоумышленника под легитимной учеткой лоумышленники, использующие легитимные учетные записи – ключевая угроза сегодня для корпоративной инфраструктуры. Если атаки через вредоносный трафик может обнаружить система IDS, а вирусное ПО – антивирус, то действия хакера под видом обычного сотрудника выявить гораздо сложнее. Здесь на помощь приходит SIEM. З Александр Дорофеев, ССК, CISSP, CISA, CISM, АО “Эшелон Технологии” АДРЕСА И ТЕЛЕФОНЫ ЭШЕЛОН ТЕХНОЛОГИИ см. стр. 84 NM Реклама Фото: Эшелон Технологии 1 https://etecs.ru/komrad45/