Когда Дэниел Райн признал себя виновным в атаке с целью вымогательства, совершенной инсайдером, власти перечислили использованные им методы: несанкционированные сеансы удаленного рабочего стола, удаление учетных записей администратора и смену паролей. После отключения систем он потребовал выкуп в биткоинах. — csoonline.com
Когда Дэниел Райн 1 апреля признал себя виновным в организации атаки с целью вымогательства, совершенной инсайдером против своего тогдашнего работодателя, власти перечислили использованные им методы, включая несанкционированные сеансы удаленного рабочего стола, удаление учетных записей сетевого администратора, смену паролей и планирование несанкционированных задач на контроллере домена.
После того как он отключил ключевые системы и учетные записи, он отправил сотрудникам записку, в которой заявил об удалении всех резервных копий и пригрозил продолжить отключение серверов, если ему не будет предоставлен биткоин на сумму около 750 000 долларов.
Но что консультантов и аналитиков обеспокоило больше всего, так это то, насколько обыденными и рутинными были использованные им методы. Иными словами, стандартные процедуры безопасности должны были заблокировать почти все из них.
Отсутствие превентивных мер
Угрозы со стороны инсайдеров на предприятиях далеко не новы, однако консультанты и аналитики отмечают, что многие предприятия не предпринимают всех возможных и необходимых превентивных шагов, поскольку ИТ-персонал сопротивляется, считая эти меры чрезмерным контролем за их деятельностью, а также замедляющим их работу.
Консультант по кибербезопасности Брайан Левин, исполнительный директор FormerGov, заявил: «Что сделало этот случай интересным, так это до боли предсказуемый путь атаки».
Левин отметил, что резервные копии всегда должны быть неизменяемыми. «Никто в компании не должен иметь возможности удалять, изменять или шифровать резервную копию в течение установленного периода времени», — сказал он. Он также подчеркнул, что принцип наименьших привилегий должен применяться к сотрудникам, чьи обязанности меняются по какой-либо причине.
Критически важно, по его мнению, что использование различных инструментов должно немедленно вызывать подозрение. «Использование Task Scheduler, PsExec, PsPasswd и net user — это сигналы высокого риска. Это эквивалент отмычек для инсайдера», — сказал он. «Они должны генерировать поведенческие оповещения при использовании в больших масштабах, вне рабочего времени или с необычных хостов».
Левин также предложил проводить обширный мониторинг систем. «Если кто-то подключается через RDP к контроллеру домена в 7:48 утра и создает 16 запланированных задач, у вас должен быть аудиторский след, похожий на видеозапись».
Пол Фуртадо, ведущий аналитик Gartner, заявил, что призывает клиентов позаботиться о том, чтобы ни один администратор не мог нанести такой ущерб.
«Создайте многоуровневую модель администрирования с фрагментированными полномочиями. Это ротирует владение критически важными процессами даже среди старших инженеров и администраторов», — посоветовал Фуртадо. В ИТ-системах также должно быть «резервное учетное заявление администратора, хранящееся в аппаратных модулях безопасности или цифровых хранилищах, которое следует использовать только в ходе учений и в экстренных случаях».
Флавио Вилланустре, CISO группы LexisNexis Risk Solutions, добавил: «Те же учетные записи, которые использовались для администрирования их сетей [в деле Райна], по-видимому, могли необратимо уничтожить и их резервные копии, что указывает на отсутствие строгого разделения обязанностей».
Райну теперь грозит значительный тюремный срок. В материалах Министерства юстиции США говорится: «Обвинение в вымогательстве, по которому Райн признал себя виновным, предусматривает максимальное наказание в виде пяти лет тюремного заключения, а обвинение в умышленном повреждении защищенного компьютера, по которому Райн признал себя виновным, предусматривает максимальное наказание в виде 10 лет тюремного заключения».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Evan Schuman