Найти в Дзене
Журнал «Информационная безопасность»
1171 подписчик

Когда свой – чужой: как вычислить злоумышленника под легитимной учеткой

20
3 мин
Злоумышленники, использующие легитимные учетные записи – ключевая угроза сегодня для корпоративной инфраструктуры. Если атаки через вредоносный трафик может обнаружить система IDS, а вирусное ПО – антивирус, то действия хакера под видом обычного сотрудника выявить гораздо сложнее. Здесь на помощь приходит SIEM. Автор: Александр Дорофеев, ССК, CISSP, CISA, CISM, АО “Эшелон Технологии” Давайте разберем, какие признаки компрометации учетной записи стоит отслеживать, как использовать обманные объекты и как даже небольшая организация может выстроить эффективный мониторинг с помощью KOMRAD Enterprise SIEM 4.5. В описаниях ландшафта киберугроз, актуальных для российских организаций, в топ-3 методов первоначального проникновения в инфраструктуру входит использование легитимных учетных записей. Для того чтобы вычислить злоумышленника, действующего от лица сотрудника, важно понимать, какие события сигнализируют о проблеме. В список наиболее вероятных можно включить следующие: Эффективным способо
Оглавление

Злоумышленники, использующие легитимные учетные записи – ключевая угроза сегодня для корпоративной инфраструктуры. Если атаки через вредоносный трафик может обнаружить система IDS, а вирусное ПО – антивирус, то действия хакера под видом обычного сотрудника выявить гораздо сложнее. Здесь на помощь приходит SIEM.

Автор: Александр Дорофеев, ССК, CISSP, CISA, CISM, АО “Эшелон Технологии”

Давайте разберем, какие признаки компрометации учетной записи стоит отслеживать, как использовать обманные объекты и как даже небольшая организация может выстроить эффективный мониторинг с помощью KOMRAD Enterprise SIEM 4.5.

Подозрительные действия пользователей

В описаниях ландшафта киберугроз, актуальных для российских организаций, в топ-3 методов первоначального проникновения в инфраструктуру входит использование легитимных учетных записей.

Для того чтобы вычислить злоумышленника, действующего от лица сотрудника, важно понимать, какие события сигнализируют о проблеме. В список наиболее вероятных можно включить следующие:

  • нетипичная по времени или источнику авторизация для конкретной доменной учетки;
  • параллельные активные сессии одной учетки с разных узлов или с разных учеток с одного узла;
  • создание механизмов закрепления (новые службы, задания планировщика, элементы автозагрузки, добавление в локальные администраторы);
  • очистка журналов событий;
  • остановка средств защиты;
  • использование нетипичных команд в пользовательской сессии;
  • интерактивная авторизация с учетной записью приложения;
  • попытка повышения привилегий;
  • выполнение системных команд из СУБД;
  • экспорт данных вне расписания.

Обманные объекты: ловим злоумышленника на крючок

Эффективным способом раннего выявления злоумышленников также является отслеживание обращений к внедренным заранее приманкам. Наиболее простые и популярные варианты:

  • фейковые учетные записи (например, testadmin), которые выглядят как административные, но на деле не используются;
  • файлы с заманчивыми названиями, например "отчет_по_крупным_клиентам_2024.xlsx";
  • пароли и API-ключи, преднамеренно оставленные в открытых местах;
  • мнимые ресурсы, например сетевой каталог corp_backup.

Обращение к таким объектам фиксируется SIEM и становится красным флагом для ИБ-специалистов.

Зачем нужен SIEM?

Если SIEM отсутствует, организация зачастую узнает о факте атаки из телеграм-каналов или от клиентов, чьи данные утекли. При этом злоумышленники обычно успевают зачистить следы.

Даже базовое внедрение SIEM для мониторинга описанных выше событий позволяет:

  • вовремя выявлять подозрительные действия;
  • реагировать на компрометацию еще на стадии разведки;
  • накапливать доказательную базу для расследования.

Решение: KOMRAD Enterprise SIEM 4.5

Многие компании малого и среднего бизнеса все еще считают SIEM недоступной технологией из-за ограничений в вычислительных и людских ресурсах, а также стоимости. Но с выходом KOMRAD Enterprise SIEM 4.5 эти барьеры перестают существовать. Развертывание системы занимает всего пять минут и не требует дорогостоящего железа. Поддержка российских операционных систем – Astra Linux, РЕД ОС, "Альт СП", а также Windows (через WSL) – позволяет интегрировать решение в привычную ИТ-среду.

Система собирает и нормализует события практически с любых источников, что избавляет специалистов от рутины и экономит время. Уведомления о важных инцидентах приходят туда, где их действительно заметят, – по email или в Telegram.

В случае ограничения ресурсов, как правило, отсутствуют ИБ-специалисты, которые могут за мониторами следить за ИБ в режиме 24/7. Поэтому мы рекомендуем настроить систему так, чтобы алерты приходили ответственному лицу только в случае самых критичных ситуаций (очистка журналов, доступ к обманным объектам и т. п.). Для событий, по которым потенциально будет большое количество ложных срабатываний, необходимо выработать практику периодической работы с KOMRAD Enterprise SIEM в режиме поиска угроз (Threat Hunting). Для этого используются фильтры событий и поисковые запросы.

Любой может самостоятельно попробовать KOMRAD Enterprise SIEM 4.5, загрузив демо-версию с нашего корпоративного сайта [1]. Минимальные рекомендуемые требования CPU: 2 ядра, ОЗУ: 8 Гбайт, SSD: 100 Гбайт. Ожидаемые EPS при выполнении данных требований: от 500 до 5 тыс. в зависимости от количества включенных директив корреляции. Доступны бесплатные пакеты экспертизы (Windows, Linux – auditd).

Заключение

Злоумышленник, использующий легитимные учетные данные, – один из самых опасных противников. Но грамотный мониторинг с помощью SIEM, использование обманных объектов и автоматизация алертов позволят заметить его на ранней стадии атаки. Сегодня даже небольшие компании могут выстроить этот уровень защиты.

KOMRAD Enterprise SIEM 4.5 – это способ внедрить такой подход быстро и без лишних затрат.

***

Гаджеты и электроника
5,73 млн интересуются