Рассмотрим классический случай - тщательно спланированная, растянутая во времени хакерская атака с применением полученных знаний об атакуемой ИТ инфраструктуре.
Большинство компаний не выделяют бюджет на информационную безопасность в нужном объеме и заблаговременно, несмотря на многочисленные нашумевший примеры успешных кибератак на бизнес разного размера.
Основные мифы: мнимое отсутствие интереса хакеров к конкретному бизнесу и высокая стоимость вложений в ИБ.
Компания клиента является крупным дистрибьютором на рынке HoReCa, которой также принадлежит сеть офлайн-магазинов и онлайн витрина.
ЗАПРОС КЛИЕНТА:
Провести расследование компьютерного инцидента
Исходные данные, с чем обратился клиент: ресурсы компании были частично уничтожены - подверглись необратимому шифрованию.
Что означает шифрование на практике?
Частично были зашифрованы виртуальные сервера единого кластера, включающие системы кадрового учета, баз данных по товарообороту и аналитики по ним, файловых хранилищ. Также атаке подверглась часть физической серверной инфраструктуры: базы данных 1С и прочие базы данных, необходимые для функционирования торговых площадок и центрального офиса. Системы резервного копирования были так же скомпрометированы и подверглись действию программы-шифровальщика.
ЧТО БЫЛО СДЕЛАНО КОМАНДОЙ РАССЛЕДОВАНИЯ SIMPLITY:
1. Специалисты по расследованию инцидентов восстановили хронологию событий
2. Установили портрет злоумышленника – им оказался внешний нарушитель с навыками разработки ВПО, проведения таргетированного фишинга и знанием ОС и сетей, действующий в группе
3. Установили наиболее вероятные векторы атаки
4. Вектор 1: взлом периметра сети с помощью эксплуатации уязвимости в опубликованных на периметре компании RDP-серверах
5. Вектор 2: использование учетных данных сотрудника компании, полученных путем фишинговой рассылки.
6. Выработали рекомендации с целью недопущения повторения действий злоумышленников
Классический сценарий кибератаки
В данном случае мы видим классический сценарий кибератаки на достаточно крупную жертву.
- Закрепление и подготовка к атаке началась заранее. Примерно за месяц злоумышленниками была проведена успешная фишинговая рассылка, добыты учетные данные, а на периметре выявлены незакрытые уязвимости.
- Активная фаза атаки проходила в выходной день – раним утром, когда ИТ службы жертвы не смогли бы среагировать в силу их рабочего графика и отсутствия на рабочем месте.
- Атака была завершена к началу рабочей недели - инфраструктура клиента была зашифрована на 70%.
Предпосылки к атаке хакеров
Команда форензиков выявила предпосылки к реализации недопустимых событий:
- Отсутствие подразделения ИБ, средств мониторинга безопасности и предотвращения вторжений
- Устаревшие версии антивирусной защиты с неполным покрытием всех хостов в сети
- Нахождение антивирусной защиты в доменной авторизации
- Нахождение серверов бэкапа внутри инфраструктуры и подключение к доменной авторизации
- Недостаточная сегментация сети клиента
- Отсутствие средств защиты на периметре, например, NGFW
- Использование устаревших средств удалённого доступа на периметре, например, удаленное подключение к рабочему месту без MFA
- Отсутствие достаточной для защиты парольной политики
- Слабо настроенная доменная политика, позволяющая проводить атаки на привилегированные учётные записи, а именно использование устаревших протоколов, отсутствие контроля изменений прав пользователей и администраторов
- Отсутствие контроля за запуском приложений в инфраструктуре
РЕЗУЛЬТАТ
- Клиент получил полную картину инцидента – узнал ключевые точки входа в сеть, предпосылки, ошибки в организации ИБ в компании
- Клиент получил пошаговый план предотвращения киберинцидентов на будущее, куда включены эффективные решения по оптимальной стоимости
