КАК ВЗЛАМЫВАЮТ КОМПАНИИ?

Почему злоумышленникам удается проникнуть в сеть NASA, что не так даже с самыми защищенными периметрами и как анализ трафика помогает предотвратить контроль критически важных систем атакующими, шпионаж, кражу денег и чувствительных данных.

Что, если вас уже взломали?

Раскрытие данных

Сверхсекретные базы данных NASA украли с помощью компьютера за 5$. Налоговики проводят проверку по новому факту раскрытия информации с серверов оператора фискальных данных.

Шпионаж

Киберпреступники используют AutoCAD для промышленного шпионажа. Шпион Winnti годами находился в сетях компании Bayer.

Хищение средств

Злоумышленники похитили у биржи Binance 41$ млн. Дочерняя компания Toyota Boshoku потеряла 37$ млн в результате BEC-атаки.

Нарушение работы

Кибератака нарушила работу заводов Rheinmetall в трех странах. Нарушить работу главного аэропорта Малайзии могли хакеры.

Почему атакующим удается проникнуть в сеть

Защиты периметра недостаточно

В 92% проектов по тестированию на проникновение, проведенных в 2018 году, специалисты Positive Technologies преодолели сетевой периметр и получили доступ к ресурсам ЛВС*
В 50% компаний злоумышленник может преодолеть сетевой периметр за один шаг*
2 вектора проникновения в среднем приходится на одну систему*

Возможность остаться незамеченным в сети

206 дней среднее время незаметного присутствия злоумышленников в инфраструктуре (согласно исследованию Ponemon Institute)
4 шага в среднем требуется злоумышленникам для получения полного контроля над инфраструктурой
Когда злоумышленник попадает во внутреннюю сеть, его действия остаются незамеченными для периметровых средств защиты
* Результаты исследования уязвимостей корпоративных систем, 2019, Positive Technologies

Как атакующие получают контроль над инфраструктурой

История одного расследования

Типовой сценарий действий злоумышленников для полной компрометации сети

Первичный доступ

Сотрудник получает письмо с релевантной для него темой, переходит по ссылке в теле письма, скачивает и запускает вредоносное ПО (агент), которое соединяется с командным центром злоумышленника.

Закрепление

Атакующий получает возможность удаленного выполнения команд на рабочей станции сотрудника.

Исследование

Через скомпрометированную рабочую станцию хакер начинает взаимодействие с контроллером домена, получает список рабочих станций и серверов, на которых залогинен администратор домена.

Продвижение в сети

Злоумышленник подобрал учетные данные к некоторым рабочим станциям и подключился к файловому серверу.

Получение привилегированного доступа

Повысив себе привилегии, атакующий получает содержимое рабочей памяти процесса lsass.exe и с помощью хакерского инструментария (например, Mimikatz) извлекает из него учетные данные администратора домена.

Полная компрометация

Атакующий подключается к контроллеру домена и получает доступ ко всем критичным системам. Он выводит средства, крадет данные и управляет всеми системами.

Как выявить атакующего

Нужно контролировать безопасность инфраструктуры. Наиболее популярные инструменты мониторинга внутренней безопасности — это системы выявления инцидентов (SIEM-системы), системы обнаружения угроз на конечных точках (EDR-системы), антивирусные системы. Однако они оставляют «слепые зоны», которыми пользуются злоумышленники. Справиться с ними помогает анализ трафика с помощью систем класса NTA.

Подробнее о системах безопасности

Network Traffic Analysis (NTA) системы анализа трафика для выявления атак

Анализируют трафик как на периметре, так и в инфраструктуре

Системы класса NTA анализируют не только внешний, но и внутренний трафик, поэтому они детектируют горизонтальные перемещения злоумышленников, попытки эксплуатации уязвимостей, атаки на конечных пользователей в домене и на внутренние сервисы.

Выявляют атаки с помощью комбинации методов

Как правило, NTA-системы используют вместе и правила детектирования, и машинное обучение, и глубокой аналитики для обнаружения аномалий. Это позволяет выявлять как известные атаки, так и новые виды угроз.

Помогают в расследовании инцидентов

NTA-системы хранят данные, полезные для расследования атак, например записи сырого трафика и метаданные сессий. Пользователи могут оперативно находить нужные сессии и отбирать из них подозрительные.

Многие клиенты Gartner рассказали, что NTA инструменты выявили подозрительную активность в трафике, которую пропустили периметровые решения

Согласно исследованию института SANS NTA входит в топ технологий для выявления угроз, работой которых довольны в различных SOC по всему миру

Сценарии использования NTA

Пять ключевых сценариев применения NTA на примере системы анализа трафика от Positive Technologies — PT Network Attack Discovery

Выявление атак на периметре и в сети

PT NAD захватывает и разбирает сетевой трафик на периметре и в инфраструктуре. Это позволяет выявлять активность злоумышленника и на самых ранних этапах проникновения в сеть, и во время попыток закрепиться и развить атаку внутри сети.

Расследование инцидентов

PT NAD упрощает проверку успешности атаки, помогает локализовать ее и восстановить хронологию. Для этого он хранит метаданные сессий и сырой трафик, позволяет находить сессии и отбирать подозрительные.

Выявление целевых атак

Благодаря ретроспективному анализу пользователи PT NAD могут выявлять следы компрометации в прошлом. Это помогает обнаруживать случаи, когда злоумышленники используют новые виды угроз, которые неизвестны на момент проведения атаки. Такие угрозы нулевого дня — излюбленный метод APT-группировок.

Контроль соблюдения регламентов ИБ

PT NAD помогает обнаружить ошибки конфигурации систем и нарушения регламентов ИБ. Пользователи могут оперативно обнаружить учетные записи в открытом виде, нешифрованные почтовые сообщения, использование утилит для удаленного доступа и инструментов сокрытия активности в сети.

Threat Hunting — охота за угрозами

PT NAD помогает выстроить в организации процесс threat hunting и выявлять даже скрытые угрозы, которые не обнаруживаются стандартными средствами кибербезопасности.

Читать о сценариях использования

Посмотрите на работу NTA вживую