Хакеры атакуют

Вот, например, инцидент, который произошел несколько лет назад.

На предприятии проводили плановые работы по обслуживанию внутренней инфраструктуры: бизнес-процессы проходили в штатном режиме, рисков угроз кибербезопасности не было.

Обслуживая локальную сеть, один из сотрудников предприятия предоставил удаленный доступ к корпоративному сегменту — чтобы сделать работу из дома. Предполагается, что злоумышленники в тот момент сканировали интернет-ресурсы на уязвимости и заметили появившееся «окно».

Следующим шагом хакеров стал подбор паролей для удаленного доступа. После они обнаружили уязвимый сервер с устаревшим ПО. Так они закрепились во внутренней инфраструктуре предприятия, подключились к сетевому оборудованию и изменили настройки, чтобы получить доступ ко всем производственным сегментам предприятия: от внутренних документов до дорогостоящей рецептуры.

Затем хакеры установили вредоносное ПО и зашифровали все корпоративные серверы. Работа предприятия практически полностью остановилась: были заблокированы критические системы, влияющие на отгрузку, хранение и транспортировку. Получив контроль над инфраструктурой, злоумышленники выставили требования: мол, вернем все как было, если переведете сумму в криптовалюте на криптокошелек.

Реакция предприятия и древние резервные копии

Выкуп заплатить не вышло: «использовался несуществующий адрес криптокошелька». Руководители решили отформатировать все серверы и восстановить информацию из резервных копий, сделанных несколько лет назад.

Через четыре дня после переустановки и настройки... хакеры вновь провели шифрование данных. Как? Вредоносы остались незамеченными на нескольких компьютерах сотрудников, также сохранились внедренные настройки сетевого оборудования. В результате компания осталась без важных бизнес-данных, полноценного доступа к инфраструктуре и была вынуждена заниматься длительным процессом восстановления работы. Это заняло больше месяца.

«Такие примеры ярко демонстрируют, что угрозы кибербезопасности остаются актуальными для всех предприятий, что и диктует необходимость строгого соблюдения требований законодательства в области защиты информации, — говорит наш эксперт, руководитель проектов по кибербезопасности компании „ИнноТех Солюшнс“ Александр Слабодчиков. — Возможности несанкционированного доступа к корпоративной инфраструктуре не ограничиваются только рассылками зараженных писем или недостатками в настройке удаленного доступа. Потому необходимо отслеживать все внутренние потоки, порты, службы, сервисы информационных систем, новые активы в информационной инфраструктуре, контролировать конфигурации сетевого оборудования, в том числе Wi-Fi-устройств, используемых на предприятии».

Как выстроить защиту — советует эксперт

И вот некоторые важные элементы защиты таких систем.

Контроль периметра — разведка

Чтобы успешно противодействовать кибератакам как по внутренней сети, так и по Wi-Fi, нужно прогнозировать возможные атаки на инфраструктуру и отслеживать поиск уязвимостей. Существуют специальные модули, которые могут непрерывно мониторить локальные и Wi-Fi-сети, отслеживая все активные устройства. Они анализируют сетевой трафик и оперативно выявляют подозрительные активности: от пассивного сканирования до попыток использования уязвимостей, маскировки через подмену MAC-адресов под легитимные устройства и другие угрозы. При помощи такого модуля можно наблюдать, какие угрозы злоумышленник уже реализует, или отслеживать активность, схожую с хакерской.

«Применяя такие инструменты, можно зафиксировать попытки хакера использовать уязвимости локальной сети и Wi-Fi. А значит, и заблокировать его на ранней стадии атаки», — поясняет Александр.

Контроль периметра — закрепление

Как поясняет эксперт, хакер может проходить любую защиту периметра, а чтобы его обнаружить, нужен специнструмент для глубокого анализа локальных сетей и построения их эталонной копии. Это позволяет увидеть аномалии и изменения в инфраструктуре, которых не должно быть.

«Хакер, как правило, пытается повысить свои привилегии, чтобы получить контроль над более важными частями системы, — уточняет Александр. - По этой причине нужно контролировать целостность конфигурации сетевого и серверного оборудования, файлов конфигураций. В случае аномалий сисадмины и спецы по кибербезопасности смогут оперативно расследовать эти изменения».

Такие надстройки позволяют контролировать конфигурации производственных линий, сетевого оборудования, серверов резервного копирования и межсетевых экранов, а также фиксировать изменения и попытки несанкционированных доступов к ним.

Приманка

Еще одним элементом защиты может стать «приманка honeypot». Она создает виртуальные ловушки: несуществующие сервисы, обращение к которым приводит к идентификации злоумышленника внутри сетевой инфраструктуры. На основании этой активности можно вовремя принять меры и найти злоумышленника.

Сканеры

Важным дополнением эксперт называет модули, сканирующие информационные системы на уязвимости. Они проверяют сеть и устройства на предмет известных устаревших версий ПО с проблемами безопасности и настроек. В итоге это позволяет администраторам и ответственным сисадминам устранять уязвимости прежде, чем они станут реализованной угрозой.

Комбинируя эти модули, компания получает не только экономию для средств защиты, но и гибкий аналитический инструмент реагирования на реальные киберинциденты: от поиска следов хакера до разоблачения сложных схем атаки и быстрого восстановления контроля над сетью.

Спецпроект подготовлен при поддержке ООО «ИнноТех Солюшнс» , УНП: 193156727.

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ga@onliner.by