КАК ВЗЛАМЫВАЮТ КОМПАНИИ?
Почему злоумышленникам удается проникнуть в сеть NASA, что не так даже с самыми защищенными периметрами и как анализ трафика помогает предотвратить контроль критически важных систем атакующими, шпионаж, кражу денег и чувствительных данных.
Что, если вас уже взломали?
Раскрытие данных
Сверхсекретные базы данных NASA украли с помощью компьютера за 5$. Налоговики проводят проверку по новому факту раскрытия информации с серверов оператора фискальных данных.Шпионаж
Киберпреступники используют AutoCAD для промышленного шпионажа. Шпион Winnti годами находился в сетях компании Bayer.Почему атакующим удается проникнуть в сеть
Защиты периметра недостаточно
Возможность остаться незамеченным в сети
Как атакующие получают контроль над инфраструктурой
История одного расследованияТиповой сценарий действий злоумышленников для полной компрометации сети
Первичный доступ
Сотрудник получает письмо с релевантной для него темой, переходит по ссылке в теле письма, скачивает и запускает вредоносное ПО (агент), которое соединяется с командным центром злоумышленника.
Закрепление
Атакующий получает возможность удаленного выполнения команд на рабочей станции сотрудника.
Исследование
Через скомпрометированную рабочую станцию хакер начинает взаимодействие с контроллером домена, получает список рабочих станций и серверов, на которых залогинен администратор домена.
Продвижение в сети
Злоумышленник подобрал учетные данные к некоторым рабочим станциям и подключился к файловому серверу.
Получение привилегированного доступа
Повысив себе привилегии, атакующий получает содержимое рабочей памяти процесса lsass.exe и с помощью хакерского инструментария (например, Mimikatz) извлекает из него учетные данные администратора домена.
Полная компрометация
Атакующий подключается к контроллеру домена и получает доступ ко всем критичным системам. Он выводит средства, крадет данные и управляет всеми системами.
Как выявить атакующего
Нужно контролировать безопасность инфраструктуры. Наиболее популярные инструменты мониторинга внутренней безопасности — это системы выявления инцидентов (SIEM-системы), системы обнаружения угроз на конечных точках (EDR-системы), антивирусные системы. Однако они оставляют «слепые зоны», которыми пользуются злоумышленники. Справиться с ними помогает анализ трафика с помощью систем класса NTA.