Хакеры стали активно пытаться шпионить за российскими компаниями, связанными с оборонно-промышленным комплексом и критической инфраструктурой, через легальное программное обеспечение. Киберэксперт Овчинников рассказал, какие меры безопасности нужно предпринять, чтобы полностью нейтрализовать подобный сценарий атак на корпоративные сети.
Группировка Core Werewolf применяет фишинг и легитимное программное обеспечение, чтобы получить полный контроль над системой пользователя, копировать файлы, отслеживать его действия. Основными целями шпионов стали российские организации, связанные с оборонно-промышленным комплексом и критической инфраструктурой, рассказали в компании Bi.Zone.
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников:
– Киберпреступники, наравне с купленными вредоносными программами, специально разработанными под конкретную задачу пэйлоадами и богатым инструментарием, также уверенно и официально используют легальное ПО. И как пример, можно привести систему удаленного доступа, которая устанавливается в фоновом режиме по запуску из файла. Для борьбы с подобными методами, обычное антивирусное ПО не поможет. Необходимо соблюдать ряд базовых мер безопасности в корпоративной сети, которые полностью нейтрализуют подобный сценарий атаки:
- Пользователю должен быть назначен минимальный для работы набор прав на компьютере;
- На компьютере должен быть установлен минимальный для работы набор программ. Чем больше ПО установлено, тем больше площадь атаки и вероятность наличия уязвимостей в легальном ПО;
- Необходимо иметь систему мониторинга за используемым ПО. Как минимум, надо иметь возможность собирать данные с серверов и рабочих мест для последующего анализа;
- Необходимо иметь систему централизованного управления установкой, удалением ПО. К ней необходимо иметь шаблоны стандартных рабочих мест, что бы можно было производить сверку и выявление нежелательной активности.
Кроме этого, этими системами необходимо пользоваться на постоянной основе и выявлять своевольно установленное ПО или иные аномалии. Большим подспорьем будет проведение обучения пользователей, чтобы они имели иммунитет против социальной инженерии и фишинговых атак.