Злоумышленники — тоже люди. И как любым людям им свойственны пороки и привычки. Один из человеческих пороков — лень. Лень порождает ритуалы. Кто-то берет один и тот же кофе в одном и том же месте, кто-то начинает рабочий день с проверки почты, а кто-то взламывает компании одним и тем же способом. Многие из хакеров автоматизировали свои действия настолько, что исследователи компьютерной преступности могут использовать эти "вредные привычки" себе на пользу. Как это сделать? Рассказывает Николай Степанов, пресейл-инженер F.A.C.C.T.
Понимание того, что для разных хакеров характерны собственные «любимые» приемы — сильно помогает в расследованиях киберпреступлений. И эти знания можно и нужно использовать для защиты бизнеса, для того чтобы понимать, куда направить свое время и ресурсы сейчас, чтобы не тратить ещё больше времени и сильно больше денег на решение последствий потом.
Электронная почта
Как мы писали в прошлой статье: «Человек — самое уязвимое место в компании» — потому что на него невозможно «быстро установить обновление безопасности». Поэтому потратьте время на то, чтобы прописать корректные политики почты, SPF, DMARC и DKIM-записи.
Фишинг хоть и появился очень давно, но все ещё крайне эффективен и используется как начинающими преступниками, так и крупными проправительственными группировками, к примеру Lazarus (это, кстати, их любимый метод попадания в компанию — из 110 атак 70 начинались с фишинга).
Или недавний пример: под видом зашифрованного архива с итогами фейкового тендера от Минобороны злоумышленники распространяли троян DarkWatchman RAT.
До этого троян был замечен в кампаниях финансово-мотивированной группы Hive0117, в том числе в массовой рассылке по российским компаниям лже-повесток в мае этого года.
Обе рассылки — майская и июльская — были заблокированы автоматизированной системой защиты электронной почты Business Email Protection от F.A.С.С.T. Так что учитывая популярность "почтового" вектора атаки, "ящики" сотрудников надо защищать прежде всего.
Активы задремали в тени
То, что видно всем в сети — это «цифровой периметр» вашей компании. Это ваши домены, IP адреса и почты сотрудников (да, сейчас их легко найти), и это и есть самые уязвимые части компании. Потому что до них легко дотянуться, используя специальные программы-сканеры.
Вас скорее всего не будут атаковать «в лоб» через основной ресурс. Почему? Потому что вы, разработчики и админы, работаете с ним каждый день. Скорее всего, там все будет обновлено, и проверено десятки раз (если нет — настраивайтесь на регулярный аудит!).
А как насчет того одностраничного сайта, который вы подняли под праздник или акцию? Да, тот, который все ещё, почему-то доступен и висит у вас на сервере, хотя и должен быть уже отключен.
По статистике, до 30% цифровых активов могут находиться в тени — о них не знают ни ИБ, ни ИТ службы.
Интернет все помнит. И не только плохие фотографии Бейонсе или дома Барбары Стрейзанд, но и активы, создаваемые любой компанией. Эти активы видят злоумышленники и используют их уязвимости для проведения атак. В ходе многочисленных реагирований на инциденты информационной безопасности специалисты регулярно видят атаки через забытые и неизвестные цифровые активы — тот же RDP-сервер, старые лендинги.
Подойдите к своему администратору и уточните, сколько сейчас доменов, поддоменов и IP-адресов вашей компании доступны в сети. Если в ответ не будет дана точная цифра — это повод задуматься.
Следите за периметром
4 часа 18 минут. Именно столько времени понадобилось преступной группе LockBit, чтобы проникнуть в инфраструктуру жертвы и запустить шифровальщик. А вот что, к сожалению, не удивляет — так это прямое попадание шифровальщика в сеть компании через забытое средство удаленного доступа (RDP).
Обновляйте ПО, которое стоит на внешних активах, следите за портами, которые на них открыты. Мне сложно сосчитать случаи, когда кто-то «забыл» закрыть RDP-порт, когда кто-то «случайно» не обновил ПО с критичной уязвимостью на сервере, когда кто-то «по ошибке» оставил доступной административную панель и т.д. Это всегда заканчивалось тратой огромного количества нервов, времени, репутации и денег. Такие маленькие ошибки часто заканчиваются большими проблемами
Многие организации достигли того размера, что «назвать точное число активов» уже невозможно, потому оно каждый день меняется. Если "руками" проверить все точно не получится, можно использовать решения класса Attack Surface Management (ASM), которое сможет обнаружить забытые цифровые активы и подсветить все проблемы, связанные с ними.
Эти предосторожности не гарантируют полную безопасность. Даже выключенный от сети компьютер можно включить и атаковать, было бы желание. Но эти простые на вид действия затруднят разведку и автоматический «пробив» активов. Злоумышленники — тоже люди, и как все люди, они хотят получить максимальную выгоду с минимальными затратами. Давайте не будем упрощать им жизнь.
Обязательно подпишитесь на наш канал "Кибербез по фактам". Мы знаем о киберпреступности всё. Рассказываем самое интересное.
