Как защитить бизнес от целевых атак

Изображение: recraft

Часть 1. Факты и особенности целевых атак

Кибератаки на российский бизнес становятся всё более изощрёнными. В последние годы наблюдается рост именно целевых (APT) атак — сложных, многоэтапных операций, направленных на конкретные организации. По оценкам отраслевых экспертов, доля APT-атак в общем объёме киберинцидентов выросла на 20–25 % по сравнению с предыдущими годами. По данным Positive Technologies, компании отмечают рост числа целевых атак по критически важным отраслям (финансы, энергетика, промышленность).

Специалисты подчёркивают: злоумышленники зачастую присутствуют в инфраструктуре жертвы неделями, месяцами, а порой и более года, прежде чем перейти к активной фазе атаки. По данным аналитиков, в ряде случаев скрытое проникновение продолжалось от 6 до 18 месяцев — как это происходило, например, при известных крупных APT-инцидентах, включающих массовое извлечение данных или саботаж инфраструктуры.

По данным отчёта Mandiant (M‑Trends 2023), медианное время присутствия злоумышленников в сети до момента их обнаружения составляет 16 дней. Если атака выявляется силами компании — этот срок сокращается до 13 дней, при внешнем уведомлении — до 28 дней. Однако без внедрения процессов внутреннего мониторинга злоумышленники могут оставаться в инфраструктуре месяцами, особенно при использовании инструментов маскировки активности.

Типичный сценарий APT включает следующие этапы:

• скрытное проникновение во внутреннюю инфраструктуру;
• закрепление и создание устойчивых каналов доступа;
• разведка и выявление критичных систем;
• расширение привилегий и охвата;
• направление целевого воздействия: кража данных, остановка сервисов, уничтожение или саботаж инфраструктуры.

Чаще всего первоначальный доступ предоставляют:

• фишинговые атаки и доставка вредоносных вложений;
• удалённый доступ по VPN/RDP без MFA;
• эксплуатация уязвимостей в публичных веб-сервисах и устаревшем ПО;
• использование ранее скомпрометированных учётных данных;
• атаки через цепочки поставок или подрядчиков (supply chain).

Сегодня под прицелом оказываются не только крупные организации ИТ, финансового и телеком-сектора — но и логистические компании, промышленные предприятия, ритейл и транспорт. Ущерб от успешной APT-атаки может достигать десятков и сотен миллионов рублей, тогда как инвестиции в базовые средства обнаружения и реагирования стоят в разы меньше.

Часть 2. Как защищаться от целевых атак: меры и решения

Организационные меры

1. Информационная безопасность должна основываться на реальных бизнес-процессах и рисках.
   Политика Информационной безопасности — живой документ, который должен регулярно пересматриваться в соответствии с изменениями в бизнес-среде, рисках, а также в зависимости от изменения ландшафта угроз.
2. Инвентаризация ИТ-активов.
   Без точного понимания, какие системы находятся в сети и кто ими управляет, эффективная защита невозможна.
3. Обучение сотрудников.
   Регулярные тренинги по безопасности, практические фишинг-тесты и инструкции по действиям в случае инцидента.

Технические меры

1. NTA / NDR-системы

Позволяют отслеживать аномалии в сетевом трафике: перемещение внутри сети, подозрительные подключения, утечку данных.

2. Deception-системы

Имитационные ресурсы (фальшивые базы, учётки, сервисы), позволяющие отследить попытки взаимодействия злоумышленника с несуществующими объектами.

3. DAM-системы (Database Activity Monitoring)

Контролируют доступ к базам данных и действия пользователей: кто, когда и к каким данным обращался, что изменял, с какого приложения или адреса.

Позволяют:

• выявлять аномалии и несанкционированные действия внутри СУБД;
• фиксировать массовые выгрузки, административные команды, нестандартные SQL-запросы;
• обеспечить аудит доступа к критичной информации в соответствии с политиками и требованиями регуляторов.

DAM помогает быстро обнаружить и расследовать инциденты, связанные с компрометацией данных.

4. SIEM, UEBA, SOAR

Системы централизованного сбора и корреляции логов, анализа поведения пользователей и автоматизации реагирования на инциденты.

5. Управление уязвимостями и контроль ПО

Устранение уязвимостей до момента их эксплуатации — ключевой элемент профилактики атак.

В их поиске может помочь сканер внешнего и внутреннего периметра. Такой инструмент:

• выявляет уязвимости и слабые конфигурации;
• контролирует парк программного обеспечения;
• формирует отчёты для ИТ и ИБ-подразделений;
• позволяет отслеживать динамику защищённости.

6. Контроль доступа и привилегий, MFA

Любая учётная запись с расширенными правами — потенциальный канал для атаки. Многофакторная аутентификация, аудит, регулярная ротация паролей и минимизация прав — обязательны.

7. Сегментация и изоляция сетей

Если злоумышленник получил доступ к одному сегменту, он не должен получить доступ ко всей инфраструктуре. Используйте VLAN, firewall, ACL внутри сети.

8. Регулярные пентесты

Проверка защищённости критичных систем по реальным сценариям атак. Вовлечение внешней команды позволяет проверить и устранить недостатки, а также подготовить вашу команду к правильному реагированию.

Часть 3. Вывод

Целевая атака — это не случайность, а результат многомесячной подготовки и изучения инфраструктуры. Сегодня подобные инциденты становятся всё более изощрёнными и масштабными.

Решения, описанные выше, требуют усилий, времени и инвестиций, но именно они позволяют сохранить бизнес от остановки, репутационных потерь и реального финансового ущерба. Российскому бизнесу пора выстраивать системный подход к безопасности.

📷

Автор: Никита Баранов, менеджер по развитию бизнеса ИБ-направления, компания Крайон.

Оригинал публикации на сайте CISOCLUB: "Как предотвратить атаку класса APT и вовремя обнаружить злоумышленника внутри инфраструктуры".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.